Après avoir entendu le rapport de Mme Aminata NIAKATE, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Etant rappelés les éléments de contexte suivants :
L'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique a été modifié par l'article 3 de la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet. Cette modification vient préciser que les moyens techniques permettant de restreindre l'accès à certains services que doivent proposer les fournisseurs d'accès à internet (FAI) doivent être proposés aux abonnés « sans surcoût » et que « les fonctionnalités minimales et les caractéristiques techniques » doivent être précisées par décret pris après avis de la CNIL.
Emet l'avis suivant sur le projet de décret :
Le projet de décret se borne à prévoir que ces moyens techniques doivent permettre « de bloquer l'accès des mineurs aux contenus susceptibles de nuire à leur épanouissement physique, mental ou moral » (projet de chapitre IV du titre Ier du livre III du code des postes et des communications électroniques). Le projet de décret ne décrit pas les « fonctionnalités » permettant ce blocage et n'impose aucune caractéristique technique pour leur fonctionnement.
La CNIL s'interroge sur la portée de ce projet de décret.
Elle rappelle qu'il est essentiel de protéger les mineurs sur internet, eu égard aux risques spécifiques auxquels ils sont exposés (harcèlement, arnaques, pédophilie…) et à la facilité d'accès à des contenus inadaptés. Cette protection passe par de nombreux canaux, au premier rang desquels figure l'éducation au numérique, à laquelle diverses autorités publiques, dont la CNIL, contribuent. La mise en place de dispositifs de contrôle automatisés constitue un moyen pertinent pour assurer cette protection. Cependant, la CNIL souligne, d'une part, qu'ils doivent s'inscrire dans le cadre d'une action plus globale de sensibilisation, d'éducation et de protection de la jeunesse dans ses usages numériques ; d'autre part que ces dispositifs peuvent impliquer la collecte de données personnelles et une forme de surveillance des mineurs et qu'un équilibre doit donc être trouvé entre ce contrôle et le respect de leur vie privée et de leur autonomie. Parmi les dispositifs de contrôle automatisé, la CNIL a recommandé, à de nombreuses reprises, de favoriser l'usage de dispositifs à la main des utilisateurs plutôt que de solutions centralisées ou imposées à ceux-ci.
La CNIL approuve donc que les fournisseurs d'accès à internet doivent fournir un dispositif gratuit de contrôle parental. Les fonctionnalités minimales que ce dispositif gratuit doit comporter et ses caractéristiques sont importantes dans un objectif de protection de la jeunesse, et pour garantir la protection des données personnelles qui pourraient être traitées dans le cadre du fonctionnement de ces dispositifs.
S'il est incontestablement difficile d'inscrire dans le CPCE des solutions techniques susceptibles, par nature, d'évoluer, il n'en reste pas moins que le projet de texte ne remplit pas les objectifs que lui a assignés le législateur. La Commission relève d'ailleurs que le projet de décret pour l'application d'une obligation analogue s'imposant aux fabricants de terminaux définit, lui, des fonctionnalités minimales et des caractéristiques techniques.
Au titre de ce qui devrait être précisé par le décret, il faut souligner que l'obligation des FAI et les contraintes techniques ne sont pas les mêmes selon qu'il s'agit d'un accès à internet via un équipement intermédiaire spécifique fourni à l'utilisateur (routeur, box, etc.) ou d'un accès direct à internet par le réseau mobile (4G, 5G, etc.). En effet, les dispositifs de contrôle parental intégrés dans les routeurs ou les box d'accès à internet apparaissent, en première analyse, pouvoir apporter une protection supplémentaire puisqu'ils peuvent être configurés pour s'appliquer à tous les terminaux se connectant par leur biais. En revanche, les dispositifs fournis par les FAI pour l'accès à internet depuis un terminal mobile (téléphone et tablette en particulier) seront largement redondants avec les dispositifs que les fabricants de ces terminaux devront mettre en place. Cette protection pourrait être en tout état de cause pertinente pour tous les terminaux déjà en circulation et il appartient au projet de décret de préciser l'articulation des deux dispositifs, fournis par le FAI et les fabricants, pour les nouveaux terminaux. Le projet de décret devrait également décrire les fonctionnalités minimales offertes aux représentants légaux des mineurs pour paramétrer le contrôle parental (listes noires, listes blanches, téléchargements interdits…). Il devrait enfin déterminer des garanties spécifiques en matière de protection des données personnelles des utilisateurs de l'accès à internet, en privilégiant un traitement local chaque fois que cela est possible.
En tout état de cause ces dispositions doivent contenir des garanties en matière de protection des données à caractère personnel, sur lesquelles le législateur a souhaité qu'elle porte un avis.
A ce titre, les moyens techniques et les fonctionnalités doivent être mis en place dans le respect des principes de protection des données par conception et par défaut, c'est-à-dire, sans remontée de données à caractère personnel vers des serveurs, sauf à recueillir l'accord exprès d'un titulaire de l'autorité parentale.