Articles

Article AUTONOME (Délibération n° 2024-20 du 9 octobre 2024 relative au référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l'âge mis en place pour l'accès à certains services de communication au public en ligne et aux plateformes de partage de vidéos qui mettent à disposition du public des contenus pornographiques)

Article AUTONOME (Délibération n° 2024-20 du 9 octobre 2024 relative au référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l'âge mis en place pour l'accès à certains services de communication au public en ligne et aux plateformes de partage de vidéos qui mettent à disposition du public des contenus pornographiques)


En application de l'article 10 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, les services assujettis mettent en œuvre un système de vérification de l'âge conforme aux caractéristiques techniques du présent référentiel dans un délai de trois mois à compter de sa publication. Néanmoins, à l'issue de ces trois mois, les services assujettis peuvent, pendant une période transitoire de trois mois, destinée à leur permettre d'identifier et de mettre en place une solution de vérification de l'âge satisfaisant l'ensemble des première et deuxième parties, mettre en œuvre des solutions utilisant la carte bancaire, qui seront réputées conformes aux caractéristiques techniques du référentiel, sous réserve de respecter les conditions suivantes.
Une solution utilisant la carte bancaire constituerait une première modalité de filtrage d'une partie des mineurs. Cette solution temporaire repose en effet sur une infrastructure déjà déployée et mobilisable.
Sous réserve du respect des exigences ci-dessous, cette solution permettrait dans un premier temps de protéger les mineurs les plus jeunes. Le filtrage doit s'opérer par une authentification forte (c'est-à-dire à double facteur). A titre d'exemple, il peut ainsi s'opérer soit via une authentification forte seule (sans paiement), soit via un paiement (y compris d'un montant de zéro euro) couplé à une authentification forte.
Ces systèmes de vérification :


- ne doivent pas être mis en œuvre directement par les services visés diffusant des contenus à caractère pornographique, mais par un tiers indépendant du service ;
- devront veiller à la sécurité de la vérification, afin de prévenir les risques d'hameçonnage qui y seront associés. Il convient donc de s'assurer que les informations de paiement sont bien saisies sur des sites de confiance. Il serait souhaitable à cet égard que les services visés diffusant des contenus à caractère pornographique et les fournisseurs de solutions lancent de manière coordonnée une campagne de sensibilisation aux risques d'hameçonnage, tenant notamment compte de cette nouvelle pratique ;
- devront permettre au minimum de s'assurer de l'existence et de la validité de la carte, ce qui exclut une simple vérification de la cohérence du numéro de la carte ;
- mettent en œuvre l'authentification forte prévue par la directive européenne (UE) 2015/2366 relative aux services de paiement (dite « DSP2 »), par exemple en s'appuyant sur le protocole 3-D Secure, dans sa deuxième version en vigueur, pour s'assurer que l'utilisateur du service est le titulaire de la carte au moyen d'une authentification à double facteur.