Le présent référentiel vise également à assurer la protection de la vie privée des utilisateurs des systèmes de vérification de l'âge. En effet, ces systèmes peuvent présenter des risques élevés en matière de sécurité des données à caractère personnel, la vérification de l'âge s'apparentant à une vérification d'identité, et pouvant à ce titre nécessiter la collecte de données sensibles ou de documents d'identité.
Les acteurs impliqués dans les systèmes de vérification de l'âge doivent donc être particulièrement attentifs à la protection de la vie privée de leurs utilisateurs et à la sécurité des systèmes d'information concernés, principes au respect desquels la CNIL est chargée de veiller en application notamment du règlement général sur la protection des données (RGPD).
Principes de protection de la vie privée
En pratique, les systèmes de vérification de l'âge dans leur ensemble doivent être respectueux de la législation en vigueur concernant la protection des données à caractère personnel et la vie privée, dont les principes de minimisation et de protection des données dès la conception et par défaut (articles 5 et 25 du RGPD).
Les prestataires de tels systèmes doivent prêter notamment attention aux principes suivants :
- exactitude, proportionnalité et minimisation des données collectées ;
- information des utilisateurs concise, transparente, compréhensible et facilement accessible ;
- durées de conservation des données appropriées ;
- possibilité pour les personnes d'exercer leurs droits, à savoir le droit d'accès, le droit d'opposition, le droit de rectification, le droit à la limitation du traitement, le droit à l'effacement, le droit à la portabilité ;
- sécurité à l'état de l'art pour les systèmes d'information utilisés dans le cadre de traitements de données à caractère personnel.
Mise en œuvre d'un système de vérification de l'âge respectueux de la vie privée par défaut et par conception
En 2022, la CNIL a publié un démonstrateur de mécanisme de vérification de l'âge respectueux de la vie privée pour la transmission d'un attribut d'identité (en l'occurrence une preuve d'âge) (15), (16). Le mécanisme proposé permet notamment de garantir l'étanchéité entre les services visés diffusant des contenus à caractère pornographique ayant l'obligation de vérifier l'âge de leurs utilisateurs et les tiers émetteurs d'attributs d'âge.
Ce mécanisme, connu depuis sous l'appellation de « double anonymat » ou « double confidentialité », a fait l'objet de développements et d'expérimentations par différents acteurs publics et privés, permettant de confirmer sa faisabilité technique et sa capacité à répondre au besoin de protection de la vie privée inhérent aux mécanismes de vérification de l'âge en ligne. Il correspond par ailleurs aux objectifs fixés en général aux systèmes d'identité numérique incluant une gestion des attributs. Toutefois, ce mécanisme, bien qu'il soit désigné par « double anonymat » dans le présent document, n'est pas « anonyme » au sens du RGPD, mais garantit cependant une grande confidentialité.
Les services de communication au public en ligne qui mettent à disposition des contenus pornographiques devront proposer à leurs utilisateurs au moins un dispositif de vérification de l'âge conforme aux standards de protection de la vie privée en « double anonymat », en s'assurant que ce système puisse être utilisé par une large majorité de ses utilisateurs.
Cette exigence entrera en vigueur à la fin de la période transitoire prévue dans la troisième partie du présent référentiel, fixée à six mois après sa publication, sans préjudice des exigences minimales énoncées infra. Ainsi, jusqu'à cette date, les systèmes de vérification de l'âge devront respecter le socle minimum d'exigences prévues ci-dessous afin de garantir un niveau acceptable de protection des données à caractère personnel de leurs utilisateurs.
Les sections suivantes précisent :
- les exigences applicables à tous les systèmes de vérification de l'âge visés par le présent référentiel ;
- les objectifs spécifiques pour les systèmes les plus respectueux de la vie privée, dits en « double anonymat » ;
- les obligations de transparence visant à informer les utilisateurs du niveau de protection de la vie privée attachées aux dispositifs proposés sur les services ;
- ainsi que des bonnes pratiques énoncées comme souhaitables mais non exigées à ce jour.
Exigences minimales applicables à tous les systèmes de vérification de l'âge
Un socle minimum d'exigences est applicable à tous les systèmes de vérification de l'âge visés par le présent référentiel :
1. Indépendance du prestataire de système de vérification de l'âge vis-à-vis des services visés diffusant des contenus à caractère pornographique
Le prestataire de systèmes de vérification de l'âge doit être indépendant juridiquement et techniquement de tout service de communication au public en ligne visé par le présent référentiel et garantir que les services visés diffusant des contenus à caractère pornographique n'aient en aucune circonstance accès aux données servant à vérifier l'âge de l'utilisateur.
2. Confidentialité vis-à-vis des services visés diffusant des contenus à caractère pornographique
Les données à caractère personnel permettant à l'utilisateur de vérifier son âge auprès d'un service de communication visé par le présent référentiel ne doivent pas être traitées par ce service de communication.
En particulier, la mise en œuvre de solutions de vérification de l'âge ne doit pas permettre aux services de communication visés par le présent référentiel de collecter l'identité, l'âge, la date de naissance ou d'autres informations à caractère personnel de ces utilisateurs.
3. Confidentialité vis-à-vis des prestataires de génération de preuve d'âge
Lorsque le système de vérification de l'âge ne permet pas à l'utilisateur d'obtenir une identité numérique ou une preuve d'âge réutilisable, les données à caractère personnel fournies par l'utilisateur en vue d'obtenir cet attribut ne doivent pas être conservées par le prestataire de génération de preuve d'âge.
De plus, ce type de système ne doit pas requérir la collecte de documents officiels d'identité, s'il ne permet pas de générer une preuve d'âge réutilisable.
Cette exigence est sans préjudice du respect des obligations légales et règlementaires qui s'appliquent à certains prestataires de génération de preuve d'âge par ailleurs.
4. Confidentialité vis-à-vis des éventuels autres tiers impliqués dans le processus de vérification de l'âge
Lorsque des tiers autres que les prestataires de génération de preuve d'âge sont impliqués dans le processus de vérification de l'âge, par exemple pour la gestion des preuves ou de la facturation du service, ces tiers ne doivent pas conserver de données à caractère personnel des utilisateurs du système, sauf pour le stockage d'une preuve à la demande de l'utilisateur.
5. Mesures de sauvegarde des droits et libertés des personnes par les vérificateurs de l'âge
Lorsqu'il détermine si un utilisateur peut accéder ou non à un service de communication au public en ligne sur la base de la preuve qui lui est soumise, le service visé diffusant des contenus à caractère pornographique prend une décision automatisée au sens de l'article 22 du RGPD. En effet, en refusant l'accès à un service, cette décision est susceptible de produire des effets juridiques sur les personnes concernées, ou au minimum, produit des effets significatifs affectant les personnes de façon similaire.
La CNIL considère qu'une telle décision peut être fondée sur l'exception prévue au paragraphe 2.b. de l'article 22 du RGPD, dans la mesure où le service visé diffusant des contenus à caractère pornographique est soumis à une obligation de vérification de l'âge prévue à l'article 227-24 du code pénal et les dispositions de la loi SREN. L'article 22.2.b du RGPD impose que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée soient prévues par les dispositions autorisant cette décision automatisée.
Afin de préserver les exigences en matière de protection de la vie privée qui visent à limiter la capacité des services à identifier les personnes, de telles mesures doivent être mises en place non par le service visé diffusant des contenus à caractère pornographique, mais par le prestataire de solution technique de vérification de l'âge, qu'il soit le fournisseur d'attribut ou l'émetteur de preuve. De telles mesures doivent permettre aux utilisateurs, en cas d'erreur, de contester le résultat de l'analyse de leur attribut afin d'obtenir une preuve d'âge. Pour l'exercice de ces voies de recours, ces prestataires de solution de vérification de l'âge devraient proposer aux utilisateurs de recourir à différents fournisseurs d'attributs ou, selon les solutions, à différents émetteurs de preuve.
Le service visé diffusant des contenus à caractère pornographique est tout de même tenu, comme les prestataires de solution technique de vérification de l'âge, de se conformer aux obligations en matière d'information imposées par le RGPD et doit prévenir les utilisateurs de la possibilité d'exercer un recours auprès du fournisseur de la solution de vérification de l'âge.
En tout état de cause, les fournisseurs d'attributs doivent également permettre aux personnes de rectifier leurs données en vertu de l'article 16 du RGPD.
Exigences spécifiques pour les systèmes protecteurs de la vie privée respectant le principe de « double anonymat »
Les objectifs suivants complètent les objectifs du socle minimal pour définir un standard respectueux de la vie privée en matière de vérification de l'âge en ligne.
6. Confidentialité renforcée vis-à-vis des services visés diffusant des contenus à caractère pornographique
Les exigences prévues au n° 2 sont complétées des suivantes.
Un système de vérification de l'âge utilisant le « double anonymat » ne doit pas permettre aux services de communication visés par le présent référentiel de reconnaître un utilisateur ayant déjà utilisé le système sur la base des données générées par le processus de vérification de l'âge.
L'utilisation de systèmes de vérification de l'âge utilisant le « double anonymat » ne doit pas permettre à ces services de connaître ou de déduire la source ou la méthode d'obtention des preuves d'âge impliquées dans le processus de vérification de l'âge d'un utilisateur.
Un système de vérification de l'âge respectueux de « double anonymat » ne doit pas permettre à ces services de pouvoir reconnaître que deux preuves de majorité proviennent d'une même source de preuves d'âge.
7. Confidentialité renforcée vis-à-vis des émetteurs d'attributs d'âge
Les exigences prévues au n° 3 sont complétées de sorte qu'un système de vérification de l'âge utilisant le « double anonymat » ne doit pas permettre aux prestataires de génération de preuve d'âge de savoir pour quel service la vérification d'âge est effectuée.
8. Confidentialité renforcée vis-à-vis des éventuels autres tiers impliqués dans le processus de vérification de l'âge
Les exigences prévues au n° 4 sont complétées des exigences suivantes :
Un système de vérification de l'âge utilisant le « double anonymat » ne doit pas permettre aux éventuels autres tiers impliqués dans le processus de reconnaître un utilisateur ayant déjà utilisé le système. Par exemple, un tiers assurant la transmission d'une preuve d'âge ou certifiant sa validité ne doit pas être en mesure de savoir s'il a déjà traité une preuve du même utilisateur.
9. Disponibilité et couverture de la population
Les services de communication visés par le présent référentiel doivent s'assurer que leurs utilisateurs disposent d'au moins deux méthodes de génération de preuve d'âge différentes permettant l'obtention d'une preuve d'âge par le biais d'un système de vérification d'âge en « double anonymat ». En pratique, un prestataire proposant une solution en double anonymat doit y associer au moins deux modalités d'obtention d'une preuve d'âge (par exemple, une solution basée sur les documents d'identité et une solution basée sur l'estimation d'âge).
Les services de communication visés par le présent référentiel doivent s'assurer qu'un dispositif de vérification de l'âge en « double anonymat » est disponible pour au moins 80 % de la population majeure résidant en France.
Exemples et application :
Concrètement, les solutions en « double anonymat » doivent proposer plusieurs prestataires de génération de preuve d'âge (par exemple, différents fournisseurs d'accès à internet et/ou banques) et pour les autres solutions, différentes modalités de génération de preuve âge (analyse des traits du visage et fourniture de document d'identité par exemple).
Information des utilisateurs sur le niveau de protection de la vie privée attaché aux dispositifs de vérification de l'âge
10. Affichage explicite du niveau de protection de la vie privée des utilisateurs
Chaque solution de vérification de l'âge doit être explicitement associée à son niveau de protection de la vie privée, de sorte que les solutions respectant les standards de « double anonymat » soient affichées de manière claire et lisible. En tout état de cause, les autres solutions ne doivent pas être confondues ou mises en valeur afin de tromper l'utilisateur en faveur de solutions moins protectrices de la vie privée.
Lorsqu'un tiers participant au processus de vérification d'âge peut connaître le service pour lequel la vérification de l'âge est faite, l'utilisateur doit en être clairement informé.
S'agissant des systèmes de vérification d'âge conformes au principe de « double anonymat », l'utilisateur doit être clairement informé que cette solution garantit que le fournisseur de la vérification d'âge ne peut pas connaître le service pour lequel cette vérification est faite.
Objectifs souhaitables et bonnes pratiques
Les objectifs ci-après ne sont à ce jour pas exigibles des systèmes de vérification de l'âge pour la conformité au présent référentiel, mais constituent un ensemble de bonnes pratiques vers lequel les solutions de vérification de l'âge devraient tendre.
Capacité pour l'utilisateur de générer lui-même des preuves d'âge de façon confidentielle :
- l'utilisateur peut générer une preuve d'âge localement, sans informer l'émetteur initial de ses attributs d'âge, ni un autre tiers ;
- l'utilisateur peut générer une preuve d'âge via un service en ligne et utilisable sans disposer d'aucun accès à ses données à caractère personnel.
Confidentialité des systèmes de vérification de l'âge dans leur ensemble :
- le système repose sur des preuves à divulgation nulle de connaissance (« zero knowledge proof ») ;
- le système repose sur des techniques de chiffrement possédant des propriétés de résistance aux attaques les plus complexes, y compris dans le futur.