Vérification de l’âge en ligne : trouver l’équilibre entre protection des mineurs et respect de la vie privée

La vérification de l’âge en ligne : un sujet complexe porteur de risques importants pour la vie privée

La vérification de l’âge de l’internaute se heurte à la difficulté, pour les différents acteurs techniques d’Internet, de savoir vraiment qui est la personne derrière l’ordinateur ou le smartphone. Cette nécessité d’identifier les internautes est, de fait, un enjeu pour la protection de la vie privée et des données personnelles, puisque la connaissance de l’identité d’une personne peut alors être reliée à son activité en ligne. Or, celle-ci renferme des informations particulièrement sensibles et intimes.

Pour la consultation de certains sites ou pour certaines activités en ligne, il est par nature nécessaire de s’identifier (par exemple, pour acheter un bien sur un site de commerce en ligne). La vérification de l’âge, lorsqu’elle est nécessaire, s’inscrit alors dans un contexte où l’éditeur du site connaît déjà certains éléments de l’identité ou certaines données personnelles de l’internaute (dont ses coordonnées bancaires). En revanche, lorsque l’accès au site ou à un service en ligne ne nécessite pas en principe de s’identifier, la vérification de l’âge est susceptible de modifier la protection de la vie privée de l’internaute, en l’empêchant de consulter le site s’il ne délivre pas à l’éditeur des informations sur son identité.

Informer, sensibiliser et privilégier le contrôle des utilisateurs sur les dispositifs

D’une manière générale, la CNIL rappelle l’importance d’informer et de sensibiliser enfants, parents, responsables légaux et personnels de la communauté éducative et de l’encadrement de la jeunesse sur les bonnes pratiques informatiques, compte tenu de l’importance croissante des outils numériques dans la vie des citoyens.

À ce titre, dans le cadre de ses travaux sur les droits numériques des mineurs, la CNIL a publié en août 2021 des recommandations générales dans lesquelles elle rappelle les exigences qu’elle a posées pour « vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée », notamment pour se conformer aux obligations du RGPD et de la loi sur l’accès des mineurs aux réseaux sociaux. La recommandation n° 7, en particulier, appelle à une articulation des systèmes de vérification de l’âge autour de six piliers : minimisation, proportionnalité, robustesse, simplicité, standardisation et intervention d’un tiers.

Enfin, la CNIL tend à privilégier l’usage de dispositifs sous le contrôle des utilisateurs plutôt que des solutions centralisées ou imposées : dans cette optique, la logique de contrôle parental, conduisant à une responsabilisation du foyer pour limiter l’accès à des contenus sensibles, semble la plus respectueuse des droits des individus. Néanmoins, cette logique présente une limite : la loi prévoit en effet que, dans certains cas, c’est aux éditeurs de sites (par exemple, des sites pornographiques) qu’incombent des obligations de vérification de l’âge.

La multiplication des obligations légales de vérification de l’âge en ligne

La loi française et certains règlements européens soumettent la fourniture de certains services ou biens à des conditions d’âge, ce qui oblige les sites en question à procéder à une vérification de l’âge du client : achat d’alcool, jeux d’argent et paris en ligne, certains services bancaires, etc. Cette exigence vaut généralement tant dans le monde physique que pour un accès en ligne. Les éditeurs de sites web ont alors mis en place des systèmes de vérification de l’âge ; ces systèmes sont généralement jugés moins intrusifs car le cadre légal impose déjà une justification d’identité relativement robuste, notamment parce que la transaction donnera lieu à un paiement en ligne.

En outre, certains services imposent contractuellement des conditions d’âge (accès aux paramètres d’une application pour les enfants, par exemple).

Dans une optique de meilleure protection de la jeunesse en ligne, la Commission anticipe une multiplication des obligations de vérification de l’âge pour certains services. Plus largement, la numérisation croissante des procédures publiques comme privées accroît l’importance d’apporter à chacun la faculté d’émettre seulement une preuve d’attribut (preuve de majorité, preuve de résidence, preuve de diplôme, etc.) sans dévoiler les autres éléments constitutifs de l’identité. La Commission appelle à la vigilance, afin de ne pas multiplier de façon disproportionnée les exigences de vérification d’âge en ligne, entraînant la diminution du nombre de sites dont la consultation se ferait librement.

Pour les sites pornographiques, une vérification de l’âge prévue par la loi et réaffirmée en 2020

Pour le cas particulier des sites diffusant des contenus à caractère pornographique, la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales est venue réaffirmer les obligations en matière de vérification de l’âge, qui sont codifiées à l’article 227-24 du code pénal. Le fait de diffuser un « message à caractère pornographique » susceptible d’être vu par des mineurs est ainsi puni pénalement, la loi précisant que le contrôle de l’âge ne saurait résulter d’une simple déclaration de l’internaute qu’il est âgé d’au moins dix-huit ans.

Le président de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), dans le cadre des pouvoirs qui lui ont été confiés, a mis en demeure plusieurs sites pornographiques, en décembre 2021, de mettre en place un contrôle effectif de l’âge de l’internaute. Ces mises en demeure n’ayant pas été suivies d’effet, le président de l’Arcom a, en mars 2022, demandé au président du tribunal judiciaire de Paris, sur le fondement de la loi du 30 juillet 2020, le blocage des sites permettant à des mineurs d’accéder aux contenus à caractère pornographique, en violation de l’article 227-24 du code pénal.

La CNIL a rendu le 3 juin 2021 un avis sur le projet de décret précisant, pour l’application de la loi du 30 juillet 2020, les obligations des sites diffusant des contenus à caractère pornographique. À cette occasion, elle a défini quelques grands principes afin de concilier protection de la vie privée et protection de la jeunesse par la mise en œuvre de systèmes de vérification de l’âge en ligne pour les sites pornographiques :

• pas de collecte directe de pièces d’identité par l’éditeur du site pornographique ;
• pas d’estimation d’âge à partir de l’historique de navigation de l’internaute sur le web ;
• pas de traitement de données biométriques aux fins d’identifier une personne physique de manière unique ou de l’authentifier (par exemple, en comparant, via une technologie de reconnaissance faciale, une photographie présente sur un titre d’identité à un autoportrait ou selfie).

La CNIL préconise également, de façon plus générale, le recours à un tiers de confiance indépendant destiné à faire obstacle à la transmission directe de données identifiantes relatives à l’utilisateur au site ou à l’application proposant des contenus pornographiques. Par ses préconisations, la CNIL poursuit le double objectif d’empêcher les mineurs de consulter des contenus inadaptés à leur âge, tout en minimisant les données collectées sur les internautes par les éditeurs de sites à caractère pornographique.

Dans ce contexte, la CNIL émet plusieurs recommandations et mises en garde.

Recommandations et mises en garde de la CNIL sur la vérification de l’âge en ligne

La nécessité d’encadrer, à brève échéance, les solutions de vérification de l’âge en faisant intervenir un tiers de confiance

Des critères de contrôle de l’âge qui soulèvent des enjeux importants

Dans le cadre du recours à un tiers de confiance, recommandé par la CNIL dans son avis du 3 juin 2021, le contrôle de l’âge se divise en pratique en deux opérations distinctes :

• D’une part, l’émission de la preuve de l’âge : la mise en place d’un système destiné à valider l’information sur l’âge de la personne, en émettant une preuve d’âge assortie d’un niveau de confiance. Cette preuve peut être émise par différentes entités qui connaissent l’internaute, qu’il s’agisse de prestataires spécialisés en fourniture d’identité numérique ou d’un organisme connaissant l’internaute dans un autre contexte (un commerçant, une banque, une administration, etc.). Différentes solutions sont analysées dans le présent document.
• D’autre part, la transmission de cette preuve de l’âge certifiée au site visité pour que ce dernier donne accès ou pas au contenu demandé (à noter que, comme indiqué dans la note du PEReN, une troisième étape consiste à analyser la preuve d’âge présentée et donner l’accès, ou non, au contenu demandé).

Ces deux volets comportent des enjeux importants de protection des données et de vie privée pour préserver notamment la possibilité d’utiliser Internet sans révéler son identité ou des données directement identifiantes. Confier ces fonctions à des acteurs différents rend possible une triple protection de la vie privée :

• celui qui fournit la preuve d’âge connaît l’identité de l’internaute mais ne sait pas quel site celui-ci consulte ;
• celui qui transmet la preuve d’âge au site peut connaître le site ou service que l’internaute consulte mais ne connaît pas son identité (dans la solution « idéale » développée plus bas, la preuve d’âge transite par l’utilisateur, ce qui permet un compartimentage entre les acteurs) ;
• le site ou service connaît l’âge de l’internaute (ou juste sa majorité) et sait qu’il consulte ce site, mais ne connaît pas son identité ni, dans certains cas, le service de vérification de l’âge utilisé.

Un tiers vérificateur indépendant pour protéger au mieux les données des personnes

Afin de préserver la confiance entre tous les acteurs et un haut niveau de protection des données, la CNIL recommande donc que les sites soumis à une obligation de vérification d’âge ne réalisent pas eux-mêmes les opérations de vérification de l’âge, mais s’appuient sur des solutions tierces dont la validité aura été vérifiée de manière indépendante.

Pour la fonction de transmission d’une preuve de l’âge validé à un site, la CNIL recommande le passage par un tiers vérificateur indépendant, dont l’utilisation est placée sous le contrôle de l’individu.

Ce tiers indépendant serait notamment chargé, d’une part, de retenir une ou plusieurs solutions permettant d’émettre une preuve de l’âge valide (voir ci-dessous) et, d’autre part, de garantir au site visité que l’utilisateur a l’âge requis pour accéder au contenu demandé au moyen de signatures cryptographiques permettant de vérifier l’authenticité de l’information et de sa source. Le démonstrateur développé par la CNIL avec Olivier Blazy, professeur à l’École polytechnique et le Pôle d’expertise de la régulation numérique de l’État (PEReN), fournit une modalité de mise en œuvre possible (voir à la fin de cette page). Les mécanismes mis en œuvre dans cette preuve de faisabilité empêchent :

• que le tiers qui transmet la preuve d’âge ait connaissance du site visité ;
• que le site visité connaisse le fournisseur de la preuve de l’âge.

Ce tiers de confiance pourrait, plus généralement et au-delà de la seule vérification de l’âge, prendre la forme d’un service de « gestion d’attributs », qui offrirait à chaque utilisateur la possibilité de divulguer des informations issues de fournisseurs de données bien identifiés (par exemple, une compagnie d’électricité pour attester d’une adresse, un service d’identité pour attester d’un âge) et sélectionnés par l’utilisateur lui-même.

Les travaux de la Commission européenne vont dans ce sens, comme le montre la communication intitulée « Nouvelle stratégie européenne pour un Internet mieux adapté aux enfants » (PDF), notamment dans le cadre de la proposition relative à une identité numérique européenne.

Une évaluation nécessaire des fournisseurs de preuve de l’âge par des tiers

Par ailleurs, il semble également nécessaire, d’une manière générale, que les fournisseurs de preuve de l’âge fassent l’objet d’une évaluation tierce, notamment quand ils mettent en œuvre une approche fondée sur une analyse automatique ou statistique.

À cette fin, et au regard de la sensibilité des données collectées et du caractère intrusif des systèmes de vérification d’âge et plus largement de traitement d’informations liées à l’identité, la création d’une labellisation ou certification spécifique de ces acteurs tiers sur l’ensemble du cycle de gestion de la preuve de l’âge (de son émission à son utilisation) pourrait permettre d’assurer la conformité des dispositifs au RGPD (respect des principes de minimisation, de sécurité des données collectées et de finalité).

La CNIL considère que cette démarche de labellisation pourrait s’inspirer, en les simplifiant, des modalités d’encadrement existant pour les prestataires de vérification d’identité à distance (PVID), qui impose une qualification de l’ANSSI sur la base de standards précis et auditables.

Cette labellisation devrait faire l’objet d’une communication claire permettant à chaque utilisateur d’attester facilement de la qualité et de la fiabilité du service proposé. Lorsqu’elle sera mise en place, un système non labellisé de vérification de l’âge ne devra pas être déployé de manière pérenne, notamment pour éviter l’utilisation de « faux » services de vérification d’âge cherchant à capturer frauduleusement des données personnelles (pour les revendre, les réutiliser à d’autres fins non autorisées par l’utilisateur, etc.).

Une vérification forcément imparfaite

Concernant les dispositifs actuellement proposés sur le marché, la CNIL souligne d’abord que l’efficacité des outils de contrôle de l’âge est tributaire des règles de fonctionnement d’Internet, conçu comme un réseau ouvert, accessible librement aux utilisateurs comme aux éditeurs de sites. Si ce constat ne doit pas empêcher la poursuite des objectifs légitimes de protection des mineurs, il convient également de veiller à préserver les multiples bénéfices liés à ce modèle ouvert (innovation, liberté d’expression, autonomie des utilisateurs, etc.). L’évolution vers un monde numérique fermé, où les individus sont incités à s’inscrire principalement dans des univers authentifiés (via la création de comptes utilisateurs) pour éviter une multiplication des contrôles d’identité ou d’attributs d’identité (âge, adresse, diplômes, etc.) présente des risques importants pour les droits et libertés des individus, qu’il est nécessaire de prendre en compte.

Actuellement, toutes les solutions proposées peuvent facilement être contournées. En effet, l’usage d’un simple VPN localisant l’internaute dans un pays qui ne demande pas une vérification de l’âge de cet ordre peut permettre à un mineur de contourner un dispositif de vérification de l’âge appliqué en France, ou de contourner le blocage d’un site web qui ne respecte pas ses obligations légales. De même, il est difficile d’attester que la personne qui utilise une preuve d’âge est bien celle qui l’a obtenue.

Ainsi, au Royaume-Uni, où de telles mesures ont été longtemps envisagées, 23 % des mineurs déclarent pouvoir contourner les mesures de blocage et certains éditeurs de contenus pornographiques proposent déjà des services de VPN.

Si l’usage de VPN doit faire l’objet d’une certaine vigilance, il convient de souligner que ces technologies sont aussi une des briques essentielles de la sécurité des échanges sur Internet, utilisées par de très nombreuses entreprises mais également par des individus souhaitant protéger leur navigation du traçage opéré par des acteurs publics ou privés.

L’analyse des solutions existantes

La CNIL a analysé plusieurs solutions existantes permettant de vérifier en ligne l’âge des utilisateurs, en vérifiant s’ils ont les propriétés suivantes : une vérification suffisamment fiable, une couverture complète de la population ainsi que le respect de la protection des données et de la vie privée des individus et de leur sécurité.

La CNIL constate qu’il n’existe pas aujourd’hui de solution remplissant ces trois exigences d’une façon satisfaisante. Elle appelle donc les pouvoirs publics et les acteurs du secteur à développer de nouvelles solutions, en suivant les recommandations développées ci-dessus. La CNIL estime urgent que des dispositifs plus efficaces, fiables et respectueux de la vie privée soient rapidement proposés et encadrés. L’article 3 du décret n° 2021-1306 du 7 octobre 2021 confie à l’ARCOM le soin d’élaborer des lignes directrices détaillant la fiabilité des procédés techniques que les sites web doivent mettre en œuvre pour éviter l’accès des mineurs.

Plus généralement, des référentiels et systèmes de labellisation ou certification sont de nature à permettre et faciliter le développement rapide de solutions de confiance. 

Cependant, il existe d’ores et déjà des dispositifs qui permettent d’améliorer le niveau de protection des mineurs, notamment des plus jeunes. Plusieurs solutions sont détaillées ci-dessous, par ordre décroissant de maturité du point de vue de la CNIL. Dans l’attente de la mise en place d’un encadrement adapté et seulement pour une période transitoire, la CNIL considère que certaines de ces solutions peuvent permettre de renforcer la protection des mineurs, à condition de veiller à leur mise en œuvre et notamment aux risques additionnels engendrés par leur utilisation.

1. La vérification de l’âge par validation de la carte de paiement

La vérification de l’âge par carte de paiement présente l’avantage de ne s’appuyer que sur des infrastructures déjà déployées et éprouvées. Ainsi, même si ce type de vérification est contournable (puisque des mineurs peuvent être en possession de cartes de paiement permettant d’effectuer des achats sur Internet) et non accessible à tous (puisque des majeurs peuvent ne pas disposer d’une telle carte, notamment du fait de discrimination sociale, compte tenu des différences d’accès à une carte de crédit selon les revenus). Cette solution est déjà mise en place par un certain nombre d’acteurs. Le système repose sur le fait de vérifier la validité de la carte et non sur un paiement (certains vérificateurs proposent toutefois un micro-paiement, immédiatement annulé), ce qui peut également être utilisé pour le contrôle d’accès à des sites gratuits.

Bien que les systèmes de paiement n’aient pas été pensés pour la vérification d’attributs, en particulier l’âge du détenteur (ou de sa majorité), ils peuvent contribuer à freiner l’accès des mineurs à des sites ou services qui ne leur sont pas destinés, sous réserve de certaines conditions. Un tel système permet notamment de protéger les plus jeunes (environ jusqu’à l’entrée au collège), qui ne peuvent pas disposer d’une carte bancaire permettant de réaliser un paiement en ligne et pour lesquels la probabilité qu’ils puissent utiliser celle d’un tiers est la plus faible.

D’une part, ce système de vérification de l’âge ne doit pas, en principe, être mis en œuvre directement par le responsable de traitement (c’est-à-dire le site web consulté) mais bien par un tiers indépendant. D’autre part, les systèmes mis en place devraient veiller à la sécurité de la vérification, afin de prévenir les risques d’hameçonnage qui y seront associés. Il convient donc de s’assurer que les informations de paiement sont bien saisies sur des sites de confiance. Dans l’hypothèse où cette solution serait privilégiée, il serait souhaitable que les éditeurs de site et les fournisseurs de solutions lancent en parallèle une campagne de sensibilisation aux risques d’hameçonnage, tenant notamment compte de cette nouvelle pratique. L’accès gratuit doit le rester : l’utilisation de ce système ne doit pas entraîner de coût pour l’utilisateur.

2. La vérification de l’âge par estimation sur la base d’une analyse faciale

Certains procédés d’estimation de l’âge reposent sur une analyse faciale, sans toutefois avoir pour but l’identification de la personne. Pour éviter que les plus jeunes accèdent à un service réservé aux majeurs, ce type d’estimation est souvent suffisant, la marge d’erreur étant concentrée sur les mineures et mineurs proches de 18 ans ou les jeunes majeures et majeurs. Il est cependant nécessaire, pour les personnes qui contesteraient l’estimation, de disposer d’un autre mode de vérification.

Le recours à de tels systèmes, par leur aspect intrusif (accès à la caméra de l’appareil de l’utilisateur lors d’un premier enrôlement auprès d’un tiers, ou d’une vérification ponctuelle par ce même tiers pouvant être la source d’un chantage à la webcam lors de la demande d’accès à un site à caractère pornographique), ainsi que du fait de la marge d’erreur inhérente à toute évaluation statistique, devrait impérativement être conditionné au respect de standards de fonctionnement, de fiabilité et de performance. Ces exigences devraient être vérifiées de manière indépendante.

Ce type de méthode doit également être mis en œuvre par un tiers de confiance respectant un cahier des charges précis, en particulier concernant l’accès à des sites pornographiques. Ainsi, une estimation de l’âge effectuée localement sur le terminal de l’utilisateur devrait être privilégiée afin de minimiser les risques de fuite de données. En l’absence d’un tel cadre, cette méthode ne devrait pas être déployée.

Prérequis : pour limiter le risque de captation vidéo et les possibles chantages à la caméra, les solutions de vérification d’âge par analyse faciale devraient être certifiées et déployées par un tiers de confiance respectant un cahier des charges précis.

3. Le système de vérification hors ligne

La modalité de vérification hors ligne qui semble la plus aboutie est la commercialisation aux seules personnes majeures de « cartes à gratter » permettant de récupérer un identifiant et un mot de passe qui ouvriraient l’accès à des contenus limités par l’âge. Ces cartes seraient proposées dans certains lieux de vente, par exemple les grandes surfaces ou les bureaux de tabac, leurs personnels procédant déjà à des opérations de contrôle de l’âge dans le cadre de la vente d’alcool, de cigarettes et de jeux d’argent.

Pour autant, cette modalité ne saurait être déployée pour le seul usage de la consultation de sites à caractère pornographique, car elle pourrait être stigmatisante pour la personne concernée. L’ensemble des activités limitées par l’âge devrait y être associé, et ce modèle devrait être promu par une communauté diverse d’éditeurs (achats de produits réglementés, pornographie, etc.). Les limites d’un tel système seraient les mêmes que pour l’achat de cigarettes ou d’alcool, à savoir la fraude par revente de cartes sur un marché parallèle.

Prérequis : cette modalité nécessite une gouvernance particulière, avec une autorité éditant les cartes et gérant les systèmes d’authentification.

4. La vérification de l’âge par analyse de documents d’identité

La vérification de l’âge peut être effectuée par un acteur tiers chargé de collecter et d’analyser un document d’identité fourni par l’utilisateur. Un tel système est facilement contournable en utilisant le document d’identité d’une autre personne si seule une copie du document est nécessaire (possibilité d’utiliser un document d’une autre personne majeure, y compris au sein même du foyer). Ce système est donc à la fois peu fiable et peu respectueux des données personnelles, car il nécessite, pour fonctionner, la collecte et le traitement d’un justificatif d’identité officiel.

Certains systèmes vérifient l’identité de la personne en comparant la photographie du document d’identité fourni avec un test de « détection du vivant », c’est-à-dire la captation d’une photographie ou d’une vidéo prise par l’utilisateur au moment de la demande de vérification d’âge, afin de vérifier que l’utilisateur est bien la personne qu’il déclare être, et contrer un éventuel contournement du dispositif. Ce procédé est beaucoup plus fiable et est d’ailleurs utilisé pour la vérification d’identité selon le référentiel PVID de l’ANSSI.

Cependant, dès lors qu’il conduit au traitement de données biométriques, son usage devrait être particulièrement encadré et doit en principe, en application du RGPD, être prévu par une norme juridique spécifique ou reposer sur un consentement libre des personnes. S’il devait être utilisé, ce procédé devrait l’être dans le cadre d’un gestionnaire d’identité certifié (ou labellisé), dans les conditions exposées ci-dessous.

Prérequis : comme pour le référentiel PVID, il est nécessaire de mettre en place un organisme de certification (ou de labellisation) qui permettra de vérifier que les garanties nécessaires à la collecte et à l’analyse des pièces d’identité sont bien mises en place.

5. L’utilisation d’outils proposés par l’État pour vérifier l’identité et l’âge

Le recours aux bases de données publiques ou à un système d’authentification comme FranceConnect pourrait théoriquement permettre de justifier de son âge pour l’accès à certaines sites ou services en ligne. Cependant, FranceConnect n’a pas été pensé dans ce but, mais dans une volonté de simplification des démarches administratives : son fonctionnement même est fondé sur la journalisation des utilisations sur des serveurs de l’État. Cette modalité n’apparaît donc pas satisfaisante, puisqu’elle conduirait l’Etat à disposer d’une liste de connexions de nature purement privée. De plus, concernant la consultation des sites pornographiques, le recours à ces dispositifs conduirait à un risque d’association d’une identité officielle à des informations intimes et à une supposée orientation sexuelle.

En revanche, comme exposé ci-dessus, la connexion d’un service de gestion d’attributs opéré par un tiers de confiance à des systèmes d’identité de l’État pourrait être envisagée.

Prérequis : il est nécessaire de déployer des tiers de confiance connectant les services de gestions d’attributs à des systèmes d’identité de l’État.

6. Les systèmes de vérification de l’âge par inférence

Il existe trois grandes déclinaisons de ce type d’analyse : la première apparaît difficilement compatible avec la protection des données, alors que la deuxième soulève des questions de fiabilité. La troisième, qui soulève également des questions importantes, n’est de plus mobilisable que par un petit nombre de services collectant déjà de nombreuses données de navigation.

1. L’importation de l’historique de navigation de l’individu sur Internet : cette modalité apparaît trop intrusive pour la simple finalité du contrôle de l’âge.
2. L’analyse de la « maturité » par questionnaire : cette modalité semble pouvoir éviter le transfert de données personnelles. Cependant, cette méthode apparaît d’une fiabilité relative et la possibilité d’un contournement est importante (partage des réponses en ligne), de même que les biais qui pourraient y être associés. Par exemple, une partie de la population pourrait être discriminée sur ses compétences (lecture, compréhension), son niveau de maîtrise de la langue, ses références culturelles, etc. Cette méthode devrait donc être évitée.
3. L’analyse de la navigation sur les services propres à l’éditeur du site (notamment les grandes plateformes numériques). La réutilisation de données pour la constitution de modèles d’inférence (ou déduction) de l’âge semble possible, sous réserve des points suivants :

• cette méthode ne doit en principe pas conduire à une décision automatisée, mais à une première estimation qui peut, en cas de soupçon de non-respect de la condition d’âge, conduire à un échange avec l’internaute ;
•  aucune donnée supplémentaire ne doit être collectée aux seules fins de la constitution du modèle (seules des données déjà collectées sont utilisées) ;
• les données produites sur les services de la plateforme doivent être distinguées des données récoltées par le traçage de la navigation de l’utilisateur sur d’autres sites (par exemple, par le fait d’être authentifié sur la plateforme, par l’installation d’un mécanisme de traçage de l’accès à certaines pages web, etc.) ;
• le système d’inférence devrait être évalué par un tiers indépendant, afin d’en limiter les risques.

Les travaux exploratoires de la CNIL sur un système de vérification de l’âge respectueux de la vie privée

Quelle que soit la technique utilisée pour vérifier l’âge, il est nécessaire de garantir sa fiabilité, la confidentialité de cette information et de minimiser les données échangées.

À cette fin, le Laboratoire d’innovation numérique de la CNIL (LINC), en partenariat avec Olivier Blazy et le PEReN, a démontré la faisabilité d’un système reposant sur un protocole sécurisé utilisant les « preuves à divulgation nulle de connaissance » (« zero-knowledge proof ») : Démonstrateur du mécanisme de vérification de l’âge respectueux de la vie privée.

Ce protocole repose sur un procédé mis en œuvre en cryptologie et permettant à des personnes identifiées de prouver qu'une situation est avérée sans avoir à révéler d’autres informations.

Cette démonstration permet de prouver qu’il est possible, à travers un système de tiers, de garantir la protection de l’identité de l’individu et le principe de minimisation des données, tout en maintenant un haut niveau de garantie sur l’exactitude des données transmises. Il suppose cependant que les tiers utilisés soient totalement indépendants des éditeurs.