ANNEXE
RÉFÉRENTIEL DÉTERMINANT LES EXIGENCES TECHNIQUES MINIMALES APPLICABLES AUX SYSTÈMES DE VÉRIFICATION DE L'ÂGE MIS EN PLACE POUR L'ACCÈS À CERTAINS SERVICES DE COMMUNICATION AU PUBLIC EN LIGNE ET AUX PLATEFORMES DE PARTAGE DE VIDÉOS QUI METTENT À DISPOSITION DU PUBLIC DES CONTENUS PORNOGRAPHIQUES
Sommaire
Introduction
La responsabilité des services visés diffusant des contenus à caractère pornographique
L'évolution du rôle de l'ARCOM dans le cadre de la loi visant à sécuriser et réguler l'espace numérique
Les travaux déjà engagés sur la vérification de l'âge
Présentation du référentiel
Accompagner le secteur dans la mise en place de solutions de vérification de l'âge
Actualisations du référentiel et état de l'art
Structure du référentiel et calendrier de mise en œuvre
Première partie : Considérations générales relatives à la fiabilité des systèmes de vérification de l'âge
Deuxième partie : Protection de la vie privée
Principes de protection de la vie privée
Mise en œuvre d'un système de vérification de l'âge respectueux de la vie privée par défaut et par conception
Exigences minimales applicables à tous les systèmes de vérification de l'âge
1. Indépendance du prestataire de système de vérification de l'âge vis-à-vis des services visés diffusant des contenus à caractère pornographique
2. Confidentialité vis-à-vis des services visés diffusant des contenus à caractère pornographique
3. Confidentialité vis-à-vis des prestataires de génération de preuve d'âge
4. Confidentialité vis-à-vis des éventuels autres tiers impliqués dans le processus de vérification de l'âge
5. Mesures de sauvegarde des droits et libertés des personnes par les vérificateurs de l'âge
Exigences spécifiques pour les systèmes protecteurs de la vie privée respectant le principe de « double anonymat »
6. Confidentialité renforcée vis-à-vis des services visés diffusant des contenus à caractère pornographique
7. Confidentialité renforcée vis-à-vis des émetteurs d'attributs d'âge
8. Confidentialité renforcée vis-à-vis des éventuels autres tiers impliqués dans le processus de vérification de l'âge
9. Disponibilité et couverture de la population
Information des utilisateurs sur le niveau de protection de la vie privée attaché aux dispositifs de vérification de l'âge
10. Affichage explicite du niveau de protection de la vie privée des utilisateurs
Objectifs souhaitables et bonnes pratiques
Troisième partie : Solutions de génération de preuve dérogatoires acceptées à titre temporaire
Quatrième partie : Audit et évaluation des solutions de vérification de l'âge
Evaluation en conditions réelles des systèmes mis en place
Taux d'erreur, contournement et risques d'attaque
Indépendance du prestataire d'audit
Introduction
La responsabilité des services visés diffusant des contenus à caractère pornographique
1. Avec la démocratisation des terminaux mobiles permettant d'accéder à internet auprès des enfants, l'exposition des mineurs aux contenus pornographiques sur internet est en forte progression.
Selon une étude réalisée par l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) sur la base de données fournies par Médiamétrie, 2,3 millions de mineurs fréquentent chaque mois des sites à caractère pornographique, ce nombre étant en croissance rapide ces dernières années et corrélé à la démocratisation des terminaux mobiles auprès des enfants. La part des mineurs fréquentant des sites « adultes » a progressé de 9 points en 5 ans, de 19 % fin 2017 à 28 % fin 2022. Chaque mois en 2022, plus de la moitié des garçons de 12 ans et plus s'est rendue sur de tels sites, pourcentage qui monte à deux tiers pour les garçons âgés de 16 ans et 17 ans. En moyenne, 12 % de l'audience des sites adultes est réalisée par les mineurs (1).
Depuis le début des années 2000 (2), des travaux sur les conséquences de l'exposition précoce à la pornographie montrent qu'une exposition des plus jeunes à des contenus pornographiques peut avoir des conséquences graves sur leur épanouissement mental et la représentation qu'ils se font de la sexualité et des rapports entre individus, au détriment de leur développement personnel et d'une plus grande égalité dans les rapports entre les genres (3).
2. Depuis le 1er mars 1994, en application des dispositions de l'article 227-24 du code pénal, introduit par la loi n° 92-684 du 22 juillet 1992, il est interdit d'exposer des mineurs à un contenu pornographique.
La rédaction de cet article a été modifiée afin d'en préciser le champ d'application, mais aussi les modalités d'appréciation lorsqu'il s'agit de constater l'infraction sur internet. Consacrant une jurisprudence constante, l'article 227-24 précise, depuis 2020, qu'une simple déclaration d'âge ne suffit pas à prouver la majorité (4). La rédaction actuellement en vigueur est ainsi la suivante :
« Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support un message à caractère violent, incitant au terrorisme, pornographique, y compris des images pornographiques impliquant un ou plusieurs animaux, ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger, soit de faire commerce d'un tel message, est puni de trois ans d'emprisonnement et de 75 000 euros d'amende lorsque ce message est susceptible d'être vu ou perçu par un mineur.
« Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle ou de la communication au public en ligne, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.
« Les infractions prévues au présent article sont constituées y compris si l'accès d'un mineur aux messages mentionnés au premier alinéa résulte d'une simple déclaration de celui-ci indiquant qu'il est âgé d'au moins dix-huit ans. »
Le législateur a instauré, par la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales, une procédure spéciale faisant intervenir l'ARCOM dans l'objectif d'assurer la pleine effectivité de ces dispositions sur les services de communication au public en ligne mettant des contenus pornographiques à disposition du public sur internet.
Cette loi a ainsi confié au président de l'ARCOM une prérogative de mise en demeure de l'éditeur d'un site de se conformer au code pénal et, si cette mise en demeure n'est pas suivie d'effet, de demander au juge judiciaire d'ordonner aux fournisseurs d'accès à internet (FAI) d'empêcher l'accès à ce site.
3. Sur le fondement de ces dispositions, l'Autorité a prononcé treize mises en demeure. Elle a par ailleurs saisi, le 8 mars 2022, le président du tribunal judiciaire de Paris afin qu'il ordonne aux FAI le blocage de cinq de ces services mis en demeure. Cette procédure est toujours en cours à la date de publication du présent référentiel.
L'évolution du rôle de l'ARCOM dans le cadre de la loi visant à sécuriser et réguler l'espace numérique
La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN) a fait évoluer le dispositif prévu par la loi du 30 juillet 2020.
L'article 10 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) prévoit que l'ARCOM « établit et publie […], après avis de la Commission nationale de l'informatique et des libertés, un référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l'âge. Ces exigences portent sur la fiabilité du contrôle de l'âge des utilisateurs et le respect de leur vie privée. » Le champ d'application du dispositif concerne « les contenus pornographiques mis à la disposition du public par un éditeur de service de communication au public en ligne, sous sa responsabilité éditoriale, ou fournis par un service de plateforme de partage de vidéos au sens de l'article 2 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication » (ci-après « les services visés diffusant des contenus à caractère pornographique » ou « les services visés »). L'ARCOM peut, le cas échéant après avis de la présidente de la CNIL, mettre en demeure un de ces services de se conformer à ce référentiel et, en cas de persistance du manquement, après avis de la CNIL, prononcer une sanction pécuniaire à son égard dans le respect de la procédure prévue à l'article 42-7 de la loi n° 86-1067 du 30 septembre 1986.
Les nouvelles compétences confiées à l'ARCOM par la loi SREN complètent les pouvoirs reconnus par ailleurs au juge judiciaire, qui peut être saisi directement aux fins de blocage d'un site ne respectant pas les dispositions de l'article 227-24 du code pénal sur le fondement par exemple de l'article 6-3 de la LCEN.
En outre, la protection des mineurs contre l'accès à des contenus pornographiques s'inscrit dans un cadre plus général qui régit la protection des enfants, notamment la Convention des Nations unies relative aux droits des enfants du 20 novembre 1989 et son observation générale n° 25 de 2021 sur les droits de l'enfant en relation avec l'environnement numérique (5), ainsi que l'article 24 de la Charte des droits fondamentaux de l'Union européenne du 7 décembre 2000, qui prévoit que l'« intérêt supérieur de l'enfant doit être une considération primordiale ».
Les travaux déjà engagés sur la vérification de l'âge
Le présent document s'inscrit dans le contexte de travaux engagés ces dernières années par la CNIL sur les solutions de vérification d'âge permettant de concilier protection des mineurs et respect de la vie privée.
La CNIL a tout d'abord rendu un avis en juin 2021 sur le projet de décret pris pour l'application de la loi de 2020, relatif aux modalités de mise en œuvre des mesures visant à protéger les mineurs contre l'accès à des services de communication au public en ligne diffusant du contenu pornographique (6). Pour éviter que l'orientation sexuelle - réelle ou supposée - des personnes puisse être déduite des contenus visualisés et directement rattachée à leur identité, la CNIL préconisait dès cet avis de passer par des tiers de confiance et formulait plusieurs recommandations (7) qui comprenaient une partie relative à la vérification de l'âge. Ces publications ont été renforcées par une communication publiée en juillet 2022 intitulée « Vérification de l'âge en ligne : trouver l'équilibre entre protection des mineurs et respect de la vie privée » (8) et la mise en ligne d'un démonstrateur d'un mécanisme de vérification de l'âge respectueux de la vie privée des utilisateurs (9), en coopération avec le PEReN et M. Olivier Blazy, professeur à l'Ecole polytechnique.
La CNIL a déjà eu l'opportunité de rappeler que « Contrairement à ce qui est parfois dit, le RGPD (10) n'est pas incompatible avec un contrôle de l'âge pour l'accès aux sites pornographiques, qui est prévu par la loi. » (11)
Comme la CNIL, l'ARCOM a également rendu un avis sur le projet de décret d'application de l'article 23 de la loi du 30 juillet 2020 (12).
C'est dans ce contexte que l'ARCOM et la CNIL, avec le concours du PEReN, ont engagé début 2023 des échanges techniques conjoints avec les acteurs de la vérification de l'âge. Ces échanges ont été enrichis par les retours d'expérience dont l'ARCOM a pu bénéficier de la part de certains de ses homologues étrangers qui sont également confrontés aux enjeux de protection des mineurs et de la vie privée attachés au contrôle de l'accès aux contenus pornographiques.
Le présent référentiel a été adopté à la suite d'une consultation publique, ouverte du 11 avril au 13 mai, de sa notification à la Commission européenne, le 15 avril, au titre de la directive 2015/1535 du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information et de la délibération n° 2024-067 du 26 septembre 2024 de la CNIL portant avis sur le projet de référentiel.
Présentation du référentiel
Accompagner le secteur dans la mise en place de solutions de vérification de l'âge
Conformément aux dispositions de la loi, le référentiel précise les exigences techniques attendues.
L'objet de ce référentiel n'est pas de certifier des solutions techniques.
Les services visés diffusant des contenus à caractère pornographique demeureront libres de choisir les solutions de protection des mineurs de leur choix, dès lors qu'elles respectent les exigences techniques du référentiel.
L'absence de système de vérification de l'âge, tout comme les systèmes de vérification de l'âge qui ne seraient pas fiables ou offriraient un degré de protection de la vie privée inférieur au niveau d'exigence établi par le présent référentiel, ne seraient pas admissibles.
Actualisations du référentiel et état de l'art
Le référentiel pourra être revu et actualisé afin de tenir compte de l'état de l'art. La loi SREN dispose à cet égard que le « référentiel est actualisé en tant que de besoin dans les mêmes conditions ».
Il est en effet souhaitable que le secteur adopte des solutions de vérification d'âge correspondant à l'état de l'art et aux standards européens et internationaux (notamment tout standard européen qui émergerait à court terme), et compatibles avec les pratiques du secteur, s'agissant particulièrement des protocoles techniques existants.
C'est dans cet esprit que les autorités françaises ont indiqué, en réponse à une demande d'information de la Commission européenne, dans le cadre de la procédure de notification prévue par la directive 2015/1535 du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information (texte codifié) que :
« S'agissant de l'avenir, elles prennent l'engagement de réviser en tout ou partie leur dispositif juridique interne lorsqu'une base légale suffisamment précise au niveau de l'Union permettra d'imposer à tout ou partie des plateformes concernées par l'accès à des contenus pornographiques un dispositif effectif de vérification de l'âge.
« Dans ces conditions, elles envisagent le [référentiel] comme une solution transitoire, dans l'attente d'une solution européenne efficace. »
Structure du référentiel et calendrier de mise en œuvre
La première partie du référentiel énonce des considérations générales sur la fiabilité des systèmes de vérification de l'âge découlant de la loi. Outre la nécessité de garantir une protection des mineurs par défaut, c'est-à-dire avant même l'accès au service, il s'agit de rappeler les conditions d'efficacité des systèmes de vérification de l'âge en ligne, tout en évitant leur contournement.
La deuxième partie porte spécifiquement sur la protection de la vie privée par les systèmes de vérification de l'âge déployés pour contrôler l'accès à des contenus à caractère pornographique. Les sites peuvent proposer des systèmes de vérification de l'âge présentant des niveaux de protection de la vie privée différents, sous réserve d'informer les utilisateurs du niveau attaché à chaque système.
Dans ce cadre, le référentiel établit des objectifs minimaux applicables à tous les systèmes de vérification de l'âge, ainsi que des objectifs spécifiques renforcés pour les systèmes les plus respectueux de la vie privée dits en « double anonymat ». Les utilisateurs devront se voir proposer au moins un dispositif de vérification de l'âge conforme aux standards de protection de la vie privée en « double anonymat ».
Cette deuxième partie comprend aussi des bonnes pratiques en matière de protection des données, considérées comme souhaitables.
Par ailleurs, les services visés diffusant des contenus à caractère pornographique pourront mettre en œuvre, à titre temporaire, des solutions de génération de preuve d'âge fondées sur la fourniture d'une carte bancaire, par dérogation aux conditions prévues par les première et deuxième parties, mais sous réserve du strict respect de certaines conditions cumulatives énoncées dans la troisième partie du présent document.
Enfin, la quatrième et dernière partie fixe les grands principes susceptibles de guider les services visés diffusant des contenus à caractère pornographique amenés à procéder à la réalisation d'un audit de leurs systèmes de vérification de l'âge. Il est notamment question de préciser l'objet de tels audits, les conditions de leur réalisation et les exigences applicables aux tiers auditeurs.