Publication par l’ARCOM du référentiel sur la vérification de l’âge pour accéder en ligne aux contenus pornographiques

Après avis favorable de la Commission nationale de l’informatique et des libertés (CNIL), l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) a publié son référentiel sur la vérification de l’âge pour accéder aux contenus pornographiques en ligne, conformément à la loi SREN. L’objectif est de contrôler cet accès pour exclure les mineurs, au regard de leurs intérêts, tout en s’assurant de la protection des données personnelles et de la vie privée des internautes majeurs. Elle détermine donc les exigences techniques minimales que doivent respecter les diffuseurs de tels contenus dans un délai de trois mois, le choix de la solution restant libre, tout en rendant possible l’utilisation temporaire d’un système fondé sur la fourniture d’une carte bancaire pour contrôler l’âge.

L’accès des mineurs à la pornographie en ligne constitue un sujet brûlant, dont s’est emparé le législateur français ces dernières années au regard du nombre alarmant de fréquentations par les mineurs de sites pornographiques, augmentant au fur et à mesure des années (ARCOM, La fréquentation des sites « adultes » par les mineurs, mai 2023 ; Dr. fam. 2023. Alerte 84). Les conséquences sont en effet d’une gravité importante sur la santé et l’équilibre des enfants (Rapport de l’Académie de médecine, Accès à la pornographie chez l’enfant et l’adolescent : conséquences et recommandations, janv. 2023.). L’article 227-23 du code pénal imposait déjà aux hébergeurs de vérifier l’âge des internautes de ces sites, mais la plupart se contentent d’une simple déclaration de majorité : rien de plus facile pour un mineur que de cliquer sur le bouton « J’ai 18 ans » ou « Je suis majeur ». Le constat était donc celui d’une insuffisance du système actuel qui a permis une prise de conscience institutionnelle (M. Musson, Le droit de la personnalité du mineur à l’ère numérique, thèse Lyon 3, 2023, n° 224), malgré les difficultés rencontrées (L. Pécaut-Rivolier, Empêcher l’exposition des mineurs à des images pornographiques en ligne : mission impossible ?, Dr. fam. 2024. Dossier 12).

La loi du 30 juillet 2020 a modifié cette disposition de sorte qu’une telle vérification soit désormais insuffisante. À ce titre, plusieurs fournisseurs d’accès à internet ont été assignés par des associations de protection de l’enfance afin que le juge les contraigne à bloquer l’accès à ces sites, ce qu’a récemment ordonné la Cour d’appel de Paris (Paris, 17 oct. 2024, n° 23/17972, Dalloz actualité, 24 oct. 2024, obs. G. Thierry). Toutefois, plusieurs sites, parmi les plus fréquents, ont contesté la compatibilité de la loi française avec le droit de l’Union européenne à l’égard des sites établis dans un autre État membre de l’Union : le Conseil d’État a interrogé la Cour de justice de l’Union européenne à ce propos (CE 6 mars 2024, n° 461193, Lebon ; AJ fam. 2024. 181, obs. L. Mary ; Légipresse 2024. 142 et les obs. ) au regard de l’interprétation faite par cette dernière, dans un arrêt récent, de la directive du 8 juin 2000 qui pose le principe du pays d’origine (CJUE 9 nov. 2023, aff. C-376/22, Dalloz actualité, 21 déc. 2023, obs. J. Sénéchal ; D. 2023. 2007 ; ibid. 2024. 19, point de vue T. Douville ; Dalloz IP/IT 2023. 613, obs. A.-L. Pasquet ; ibid. 2024. 237, obs. J. Charpenet ; Légipresse 2023. 653 et les obs. ; ibid. 2024. 257, obs. N. Mallet-Poujol ).

La loi SREN du 21 mai 2024 (M. Clément-Fontaine, La loi SREN et le droit du numérique européen, RLDI 2024. 20) a renforcé les missions de l’ARCOM en lui confiant le soin d’élaborer un « référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l’âge » (Loi SREN, art. 10). Le projet de référentiel, soumis à consultation publique et notifié à la Commission européenne, a été soumis à la CNIL qui a estimé que l’ARCOM avait suivi ses recommandations en matière de protection des données personnelles et de la vie privée des internautes : elle a donc émis un avis favorable, tout en émettant plusieurs recommandations (CNIL 26 sept. 2024, délib. n° 2024-067). Elle a également insisté sur le fait que ce type de contrôle devait être limité aux hypothèses spécifiques telles que l’accès à la pornographie en ligne mais ne devait pas être généralisé au regard des risques pour les droits et libertés des utilisateurs.

Le 9 octobre 2024, l’ARCOM a donc adopté et publié son référentiel qui tient compte des différents intérêts en présence. Les sites doivent s’y conformer dans un délai de trois mois, en privilégiant la solution la plus protectrice des mineurs. Ils peuvent librement choisir la technique à adopter, mais celle-ci doit être suffisamment fiable tout en ne méconnaissant pas le niveau d’exigence de protection de la vie privée indiqué. Consciente que la tâche est complexe, l’Autorité leur laisse à titre exceptionnel et temporaire la possibilité de vérifier l’âge de leurs internautes grâce à la fourniture d’une carte bancaire, sous certaines conditions. Elle souligne également que le référentiel a vocation à être actualisé selon l’évolution des techniques mais également au regard d’une éventuelle standardisation européenne ou internationale, comme la France s’y est engagée auprès de la Commission européenne (Notification 2023/0461/FR).

Difficultés relatives à la balance des intérêts en présence

L’intérêt supérieur de l’enfant

L’enjeu central et la justification du contrôle de l’accès à la pornographie en ligne résident dans la protection du mineur au regard de son intérêt supérieur qui doit, selon l’article 3 de la Convention internationale des droits de l’enfant, constituer une considération primordiale pour toute décision le concernant. En effet, les risques liés au visionnage par des mineurs de contenus pornographiques ont déjà été maintes fois mis en lumière, depuis de nombreuses années (M. Arzano et C. Rozier, Alice au pays du porno. Ados : leurs nouveaux imaginaires sexuels, Ramsay, 2005 ; Observatoire de la parentalité et de l’éducation numérique, Les adolescents et le porno : vers une « Génération Youporn » ? Étude sur la consommation de pornographie chez les adolescents et son influence sur leurs comportements sexuels, 15 mars 2017) avec, comme le rappelle le référentiel, « des conséquences graves sur leur épanouissement mental et la représentation qu’ils se font de la sexualité et des rapports entre individus, au détriment de leur développement personnel et d’une plus grande égalité dans les rapports entre les genres ».

L’intérêt des hébergeurs de sites pornographiques

Les hébergeurs de sites pornographiques ont également invoqué leurs intérêts, au nom de la liberté d’expression. Toutefois, la Cour de cassation a jugé que « l’atteinte portée à la liberté d’expression, en imposant de recourir à un dispositif de vérification de l’âge de la personne accédant à un contenu pornographique, autre qu’une simple déclaration de majorité, est nécessaire, adaptée et proportionnée à l’objectif de protection des mineurs » (Civ. 1re, 5 janv. 2023, n° 22-40.017, § 11, Dalloz actualité, 19 janv. 2023, obs. J. Groffe-Charrier ; D. 2023. 69 ; ibid. 1615, obs. P. Bonfils et A. Gouttenoire ; Dalloz IP/IT 2023. 603, obs. V. Younès-Fellous ; Légipresse 2023. 10 et les obs. ; ibid. 241, étude N. Mallet-Poujol ; ibid. 2024. 257, obs. N. Mallet-Poujol ).

L’intérêt des internautes majeurs

L’intérêt des mineurs doit cependant être mis en balance avec les intérêts des internautes majeurs, tant au regard du droit à la protection des données personnelles (L. Pailler, Vérification de majorité et protection des données à caractère personnel, Dr. fam. 2024. Dossier 16) qu’au droit au respect de la vie privée (F. Marchadier, Le contrôle de l’accès des mineurs à la pornographie en ligne, perspectives de droit européen des droits de l’homme, Dr. fam. 2024. Dossier 15). Par exemple, l’orientation sexuelle des utilisateurs peut être déduite du type de contenus regardés. La vérification de l’âge, si elle passe par une vérification de l’identité, peut conduire à la divulgation de données personnelles (état civil, adresse IP, etc.) qui touchent directement à la vie privée : que se passerait-il en cas de cyberattaque d’un site pornographique ? Si celui-ci stocke lui-même toutes les données liées à ses utilisateurs, l’auteur de la cyberattaque pourrait librement dévoiler l’identité de ces derniers. Une solution limitant ce type de risques est donc nécessaire. Comme l’a rappelé la CNIL, l’idéal est de « privilégier l’usage de dispositifs sous le contrôle des utilisateurs », mais en matière de contenus pornographiques, « c’est aux éditeurs de sites (…) qu’incombent des obligations de vérification de l’âge » (CNIL, Vérification de l’âge en ligne : trouver l’équilibre entre protection des mineurs et respect de la vie privée, 26 juill. 2022). Elle a donc préconisé le recours à un tiers de confiance indépendant pour éviter la transmission directe des données identifiantes aux sites pornographiques (ibid.) : c’est ce qu’a retenu l’ARCOM dans son référentiel.

Principes du référentiel

Fiabilité

D’une part, l’ARCOM insiste sur la nécessité de la fiabilité du contrôle de l’accès aux sites pornographiques, ce qui implique des hébergeurs qu’ils fournissent « leurs meilleurs efforts » pour éviter qu’un mineur soit considéré comme majeur (« faux positifs »). Les solutions adoptées doivent être mises en œuvre à chaque consultation du site, c’est-à-dire pour chaque accès, « sans préjudice de la possibilité, pour l’utilisateur, de recourir à une preuve d’âge réutilisable ou régénérée par lui-même, sous réserve de la présence d’un second facteur d’authentification ». Il s’agit d’un mécanisme important notamment si l’objet utilisé – ordinateur, tablette, smartphone – est utilisé par un majeur et un mineur : l’ARCOM propose d’ailleurs de revérifier l’âge « lorsque la session prend fin, lorsque l’utilisateur quitte son navigateur ou lorsque le système d’exploitation entre en veille et, en tout état de cause, après une période d’une heure d’inactivité ». Si la solution réside dans la fourniture d’une pièce d’identité, le mécanisme doit permettre de vérifier « (i) que le document est réel, et qu’il ne s’agit pas d’une simple copie ; (ii) que l’utilisateur est bien le détenteur du document d’identité renseigné ». Enfin, l’autorité rappelle que la solution déployée ne doit pas être discriminatoire au regard de l’apparence physique de l’individu, notamment en raison de biais susceptibles de rendre la solution moins fiable.

Vie privée

D’autre part, l’ARCOM indique les principes devant guider les solutions utilisées par les hébergeurs des sites en matière de vie privée : « exactitude, proportionnalité et minimisation des données collectées ; information des utilisateurs concise, transparente, compréhensible et facilement accessible ; durées de conservation des données appropriée ; possibilité pour les personnes d’exercer leurs droits (…) ; sécurité à l’état de l’art pour les systèmes d’information utilisés dans le cadre de traitements de données à caractère personnel ». En effet, le RGPD doit être strictement respecté. L’Autorité insiste également sur les principes de privacy by default et privacy by design (également au cœur du RGPD, v. art. 25) : les solutions adoptées doivent avoir été pensées pour protéger la vie privée, dès leur conception, et au niveau le plus élevé de protection par défaut. L’ARCOM s’inscrit ainsi dans les recommandations de la CNIL qui, dès 2021, avait relevé six grands principes devant guider l’application des mécanismes de vérification de l’âge : la proportionnalité, la minimisation, la robustesse, la simplicité, la standardisation et l’intervention d’un tiers (CNIL, Recommandation 7 : vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée, 1er juin 2021). Ces principes se retrouvent également dans le cadre des travaux du groupe de travail « Article 29 » qui a rappelé que, conformément à l’article 8, § 2, du RGPD, les responsables de traitement doivent « s’efforcer raisonnablement de vérifier que l’utilisateur a dépassé l’âge minimum de consentement numérique » mais que « ces efforts devraient être proportionnels à la nature des activités de traitement et aux risques qui y sont liés » (G29, Lignes directrices sur le consentement au sens du règlement 2016/679, 28 nov. 2017, p. 29). Enfin, l’ARCOM précise que le niveau de protection de vie privée doit faire l’objet d’un affichage explicite, permettant à l’utilisateur de comprendre les standards imposés, de savoir qu’un tiers intervient et de ne pas confondre les différents systèmes proposés par le site internet.

Exigences minimales du référentiel

Le recours à un tiers vérificateur indépendant

L’ARCOM énonce des exigences applicables à tous les systèmes de vérification de l’âge, qui doivent reposer sur le recours à un tiers vérificateur indépendant. L’importance de l’intervention d’un tiers de confiance « fournisseur d’identités numériques et d’attestations de l’âge » avait déjà été soulignée par la CNIL en 2021 (CNIL, Recommandation 7, préc.). Dans ce cadre, plusieurs règles doivent être respectées – essentiellement afin d’assurer la confidentialité – qui s’inscrivent notamment dans le sillage des principes de minimisation des données et de limitation de leur conservation :

  • le prestataire du système de vérification de l’âge doit être indépendant à l’égard des hébergeurs de sites pornographiques, à la fois juridiquement et techniquement, afin que ces derniers n’aient pas accès aux données utilisées par le prestataire pour vérifier l’âge ;
  • ces données ne doivent pas pouvoir être traitées par les hébergeurs, notamment par le biais d’une collecte ;
  • sauf obligation légale ou réglementaire, le tiers vérificateur ne doit pas conserver ces données, hormis lorsque le système mis en place délivre une preuve d’âge réutilisable ou permet d’obtenir une identité numérique. De plus, la collecte de documents officiels d’identité n’est possible que pour générer une preuve d’âge réutilisable ;
  • si un autre tiers est impliqué dans le processus de vérification de l’âge, il ne doit pas conserver les données, « sauf pour le stockage d’une preuve à la demande de l’utilisateur » ;
  • le tiers vérificateur s’inscrivant dans le cadre de l’article 22 du RGPD, c’est-à-dire qu’il soumet l’utilisateur à une décision automatisée susceptible de produire des effets sur lui, il doit mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de l’utilisateur, conformément à l’exception prévue à l’article 22, § 2, b) : une contestation par l’utilisateur en cas d’erreur et une demande de rectification doivent être possibles. La CNIL considère en effet que la France autorise ce type de décision, en principe interdite, du fait de l’article 227-24 du code pénal et de la loi SREN. Bien que la charge de la mise en œuvre de ces mesures n’incombe pas à l’hébergeur des sites pornographiques, ce dernier doit tout de même, en tant que responsable de traitement, respecter l’obligation d’information prévue par le RGPD : il doit notamment informer l’utilisateur de la possibilité d’exercer un recours contre le tiers vérificateur.

Le « double anonymat »

L’ARCOM exige que l’hébergeur offre plusieurs systèmes de vérification de l’âge, dont l’un au moins repose sur le principe de « double anonymat » : « le site auquel l’internaute accède reçoit la preuve de sa majorité mais ne connaît pas son identité ; le prestataire de la solution de contrôle d’âge connaît l’identité de l’internaute mais ne sait pas quels sites il consulte » (CNIL, Vérification de l’âge en ligne, préc.). La CNIL souhaite que ce mécanisme « devienne rapidement le standard » en matière de vérification de l’âge (CNIL 26 sept. 2024, délib. n° 2024-067, § 20). Elle fixe à 80 % le pourcentage minimal de la population majeure résidant en France devant pouvoir bénéficier d’un tel système, ce que prévoit également le référentiel. En effet, ce système est plus protecteur de la vie privée des internautes mais plus complexe : les internautes doivent donc avoir le choix, selon leur priorité. Dans ce cadre, des règles supplémentaires sont imposées :

  • le tiers vérificateur ne doit pas permettre aux hébergeurs des sites de reconnaître un utilisateur ayant déjà utilisé ce système – il en est de même pour les éventuels tiers impliqués dans le processus –, ni de « pouvoir reconnaître que deux preuves de majorité proviennent d’une même source de preuves d’âge ». Ces hébergeurs ne doivent pas non plus être en mesure de connaître ou déduire la source ou la méthode d’obtention de la preuve d’âge ;
  • naturellement, les prestataires de génération de preuve d’âge ne doivent pas connaître le service pour lequel la vérification est demandée ;
  • l’hébergeur doit proposer au moins deux méthodes de génération de preuve d’âge différents : par exemple, l’une reposant sur la fourniture d’une pièce d’identité ; l’autre sur une analyse des traits du visage.

Mise en œuvre pratique

Bonnes pratiques

L’ARCOM pose deux objectifs qui constituent des bonnes pratiques vers lesquels les solutions de vérification de l’âge devraient tendre : l’utilisateur devrait pouvoir générer lui-même une preuve d’âge de façon confidentielle et la confidentialité devrait être totale (techniques de chiffrement, preuves à divulgation nulle de connaissance).

Dispositif provisoire et dérogatoire : la carte bancaire

Pour permettre qu’un système de vérification de l’âge en ligne soit rapidement mis en place et laisser le temps aux hébergeurs de se conformer au référentiel en respectant les exigences techniques minimales, l’ARCOM leur permet d’utiliser la carte bancaire. Toutefois, au regard des dangers importants que constitue un tel dispositif pour la vie privée et les données personnelles des internautes, le référentiel pose des exigences. D’une part, une authentification à double facteur doit être mise en œuvre, c’est-à-dire une authentification forte au sens de la directive DSP2. D’autre part, le système de vérification de l’âge doit être mis en œuvre par un tiers indépendant de l’hébergeur ; il doit garantir une sécurité des informations de paiement données et vérifier l’existence ainsi que la validité de la carte.

Solutions envisageables

Différences solutions sont envisageables pour vérifier l’âge, telles que la fourniture d’une carte d’identité. L’intelligence artificielle peut être utilisée, par exemple par le biais d’un mécanisme d’analyse des traits du visage : l’ARCOM invite toutefois les hébergeurs à « s’assurer que les solutions comportent un mécanisme de reconnaissance du vivant, dont il est attendu que l’efficacité soit conforme à l’état de l’art » afin d’empêcher qu’un mineur puisse se faire passer pour un majeur. La CNIL a également proposé de recourir à un « organisme tiers de confiance fournisseur d’identités numériques et d’attestations de l’âge » dans le cadre de la consultation publique précitée. Il peut s’agir de FranceConnect ou encore de l’application « Authentification en ligne certifiée sur mobile » – destinée à remplacer Alicem, fondé sur la reconnaissance faciale et critiqué par la CNIL (CNIL 18 oct. 2018, délib. n° 2018-342) – qui permet de prouver son identité en ligne grâce à la nouvelle carte nationale d’identité électronique (Décr. n° 2022-676 du 26 avr. 2022) sans la dévoiler pour certains sites, mécanisme cette fois-ci approuvé par la CNIL (CNIL 9 déc. 2021, délib. n° 2021-151). L’utilisation de la carte d’identité numérique était d’ailleurs encouragée par la commission dès 2019 (CNIL, Rapport d’activité 2019, Doc. fr., juin 2020, p. 44) et va dans le sens du droit de l’Union européenne au regard du règlement sur l’identité numérique européenne, dit « eIDAS 2.0 » (Règl. [UE] n° 2024/1183 du 11 avr. 2024).

Respect du référentiel

La loi SREN prévoit la possibilité pour l’ARCOM d’exiger un audit des systèmes de vérification de l’âge mis en œuvre par les hébergeurs pour vérifier le respect du référentiel. Ce dernier apporte des précisions quant aux modalités de réalisation et de publicité de cet audit : en particulier, il sera réalisé in concreto et évaluera les risques d’attaque ou encore de taux d’erreur. L’audit sera réalisé par un prestataire indépendant – des hébergeurs et des tiers vérificateurs – disposant d’une expérience avérée.

 

ARCOM 9 oct. 2024, délib. n° 2024-20, JO 22 oct.

© Lefebvre Dalloz