Vérification d’âge et sites pornos : la CNIL trace les lignes rouges

Le 8 octobre, le tribunal judiciaire de Paris rejetait la demande de blocage de plusieurs sites pornos adressée aux principaux FAI français. Le même jour, le gouvernement publiait un décret ouvrant une voie de blocage parallèle via le CSA. Next INpact diffuse l’avis de la CNIL, guirlande de voyants d’alerte « RGPD ».

e-Enfance et la Voix de l'enfant réclamaient directement des principaux FAI le blocage d’accès de plusieurs sites X comme YouPorn ou PornHub. Des sites pour adultes, également accessibles aux mineurs et donc en infraction avec cette disposition du Code pénal. En substance, la justice a reproché aux deux associations de ne pas avoir contacté préalablement les éditeurs et les hébergeurs des sites concernés.

Une hypothèse qui aurait permis d’envisager des solutions plus douces qu’une coupure d’accès. Par exemple, l’installation d’un contrôle d’âge ou toute autre solution robustes pour tirer le rideau face aux yeux des mineurs.

Si cette procédure s’est écroulée ce vendredi 8 octobre, un autre levier du blocage a été actionné par le gouvernement, le même jour au Journal officiel. L’épilogue d’une petite épopée débutée avec la loi contre les violences conjugales du 30 juillet 2020 qui a confié les clefs de cette régulation également au CSA.

• Blocage des sites pornos : échec devant le juge des référés
• #Pornodown : le président du CSA, nouveau gendarme des sites pornos 

Explications : après avoir constaté qu’un site X est accessible aux mineurs, le président du CSA peut désormais adresser une mise en demeure à son éditeur, tout en l’invitant à lui transmettre ses observations dans les 15 jours.

S’il estime que le site porno n’a pas suivi son injonction de s’assurer que les internautes mineurs ne puissent plus fréquenter ses pages, alors il peut saisir le président du tribunal judiciaire de Paris aux fins d'ordonner le blocage chez les FAI et le déréférencement dans les moteurs.

Le décret d’application publié ce 8 octobre décrit les modalités pratiques de ces étapes, mais aussi des mesures contre les sites miroirs, sans oublier l’obligation pour les FAI de rediriger le trafic des sites pornos « vers une page d'information du Conseil supérieur de l'audiovisuel indiquant les motifs de la mesure de blocage ».

Posée ainsi, la procédure semble simple, mais ce vernis est trompeur. En témoigne une récente délibération de la CNIL qui en révèle les risques collatéraux. Une délibération que n’a pas diffusée la commission le jour de publication du décret, mais que nous avons obtenue par demande CADA.

Quand le ministère de la Culture consulte la CNIL

C'est le ministère de la Culture qui avait pris l'initiative de consulter la CNIL sur une version intermédiaire de ce décret, afin que « celle-ci rappelle les garanties que les procédés techniques de vérification de la majorité d’âge des utilisateurs devront respecter afin d’être conformes aux principes consacrés par le RGPD ».

Dans sa délibération datée du 3 juin 2021, la Commission constate que le sujet va effectivement empiéter sur son domaine de compétence, puisque « la mise en place de procédés techniques de vérification de la majorité d’âge des utilisateurs est susceptible d’entrainer la mise en oeuvre de traitements de données à caractère personnel ».

Elle ne se prive pas, par réflexe, de rappeler les fondamentaux du sacro-saint texte du 25 mai 2018 : « principe de minimisation des données collectées », l’exigence d’ « une information adaptée aux personnes concernées », « une interdiction du détournement de finalité », « une durée de conservation limitée des données ainsi que des mesures de sécurité régulièrement mises à jour ».

Ce rappel des grands principes est d’autant plus impérieux que la même délibération relève l’ampleur du périmètre du décret sur le blocage des sites pornos sans vérification d'âge. Il frappe en effet les éditeurs de sites Internet accessibles au public (juridiquement des « services de communication au public en ligne ») « dont l’activité unique ou principale consiste en la diffusion de contenus pornographiques ». En somme, cela peut viser YouPorn, PornHub, mais également « de très nombreux sites qui éditent des contenus pornographiques ».

• Le RGPD expliqué ligne par ligne

Pas d'obligation générale d’identification 

Un tel périmètre fait réagir la CNIL. Au-delà « des fins légitimes de préservation des mineurs », ce texte « ne saurait justifier une obligation générale d’identification préalablement à la consultation de tout site proposant des contenus ».

Et pour cause, « le fait de pouvoir en principe bénéficier de services de communication au public en ligne sans obligation de s’identifier ou en utilisant des pseudonymes participe à la liberté de s’informer et à la protection de la vie privée des utilisateurs. Cela constitue un élément essentiel de l’exercice de ces libertés sur internet ».

En clair, d’une part, la loi et le décret doivent être circonscrits au seul domaine des contenus pornographiques accessibles aux mineurs. D’autre part, un éditeur ne saurait généraliser une demande d’identification des internautes au-delà de ce cercle, sans piétiner ces principes inscrits dans la Déclaration des droits de l’Homme, et donc à valeur constitutionnelle.

Pas de collecte de données identifiantes sur les sites X

Comme le vice-président du tribunal judiciaire de Paris dans sa décision rejetant la demande de blocage, la CNIL a insisté sur le nécessaire principe de proportionnalité qu’on retrouve aussi dans le RGPD. Soit un étau autour des éditeurs de site. 

Ainsi, « les traitements de données à caractère personnel mis en œuvre aux fins de vérification de la majorité d’âge des utilisateurs souhaitant accéder aux contenus pornographiques doivent être proportionnés à la finalité poursuivie ».

De cette règle de base, l'autorité en déduit que « la vérification de la majorité d’âge par les éditeurs diffusant eux-mêmes des contenus pornographiques ne doit pas les conduire à collecter des données directement identifiantes de leurs utilisateurs ».

Sujet peu abordé lors des débats parlementaires, « une telle collecte de données présenterait, en effet, des risques importants pour les personnes concernées dès lors que leur orientation sexuelle – réelle ou supposée – pourrait être déduite des contenus visualisés et directement rattachée à leur identité ». Conclusion : « une telle collecte d’informations aussi sensibles par les sites concernés serait contraire au RGPD ».

Autre danger : la multiplication de ces aspirateurs à données sensibles augmenterait nécessairement la surface d’attaque ou de compromission. « La multiplication de ce type de bases de données poserait de sérieux risques en cas de compromission de celles-ci par un tiers qui pourrait utiliser ces données à son profit ou les diffuser, avec un impact très significatif pour les utilisateurs concernés ».

Preuve de la majorité via un tiers de confiance

Que faire alors ? Compte tenu de ces difficultés, elle suggère de recourir à une preuve de majorité d’âge via un tiers de confiance, avec là encore de solides verrous de sécurisation.

Ces solutions « devraient intégrer un mécanisme de double anonymat empêchant, d’une part, le tiers de confiance d’identifier le site ou l’application à l’origine d’une demande de vérification et, d’autre part, faisant obstacle à la transmission de données identifiantes relatives à l’utilisateur au site ou à l’application proposant des contenus pornographiques. »

Elle plaide donc pour un moyen de preuve dans les seules mains de l’internaute, qui se limiterait « à un seul attribut d’âge ». Pas plus.

... sans collecte de justificatif d’identité, ni biométrie

Alors que les sites pornos se voient donc tenus de vérifier à distance l’âge des internautes, la CNIL leur ferme d'autres portes. « Serait considérée comme contraire aux règles relatives à la protection des données, la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».

Même sort s’agissant des « dispositifs destinés à estimer l’âge d’un utilisateur à partir d’une analyse de son historique de navigation, sans qu’en outre une telle collecte permette une estimation précise ».

Idem, s'agissant des procédés d’analyses du visage : « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques (…) compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé ».

Ni collecte d'IP sur la page de redirection du CSA

Enfin, contrairement à l’Arcep qui n’y a pas consacré une ligne, même sur ses versants techniques, la CNIL prévient que la page d’information du CSA, où seront redirigés les visiteurs des sites X bloqués, « ne devrait pas conduire ce dernier à collecter les données à caractère personnel des internautes concernés, et notamment leurs adresses IP ».

N’ayant été consultée que tardivement sur ce dispositif (la loi a été votée en juillet 2020, la CNIL consultée près d’un an plus tard…), elle tend la main au CSA : au regard de « la nécessité de mettre en place des dispositifs de vérification de la majorité d’âge conformes aux règles de protection des données », elle l’invite à poursuivre ces travaux en commun « dans une logique d’inter-régulation ».

En attendant, avec cette nouvelle délibération, il revient aujourd’hui aux sites pornos de trouver la bonne formule pour s’assurer que derrière l'IP de tel visiteur, se cache bien un majeur. Des sites bien avancés face à une loi volontairement peu bavarde, adoptée sous procédure d'urgence, précédée d’aucune étude d’impact, d’aucun avis du Conseil d’État, ni de consultation préalable des autorités compétentes.

• Télécharger la délibération de la CNIL sur la vérification d'âge à l'entrée des sites pornos