Intervention de Florent Laboy

Le PEReN est un service à compétence nationale créé en 2020 afin de mutualiser une expertise numérique à la disposition des services de l'État et des autorités indépendantes pour les accompagner dans leurs missions liées à la régulation des plateformes numériques. Le service est placé sous l'autorité des ministres chargés de l'économie, de la culture et du numérique et rattaché à la direction générale des entreprises pour sa gestion administrative. Il est composé d'une vingtaine de personnes, principalement docteurs et ingénieurs, et regroupe une expertise en science des données pour travailler à la conception, la mise en oeuvre et l'évaluation de la régulation des plateformes numériques.

Le PEReN produit des notes, des études, et il développe des preuves de concept. Ses travaux sont notamment guidés par le principe de neutralité, c'est-à-dire qu'il s'efforce de poser les termes du débat, de tester la faisabilité d'hypothèses et d'outils techniques sans prendre position.

L'élaboration d'une note d'analyse des solutions de vérification de l'âge, publiée en mai 2022, nous a permis de formuler plusieurs observations. La première est que pratiquement aucun service en ligne analysé n'utilise de méthode complètement fiable de vérification de l'âge. En l'état actuel, ces vérifications se fondent presque exclusivement sur de l'auto-déclaratif. Naturellement, du fait du risque de fausses déclarations, cette méthode est très peu efficace.

Cela a conduit les plateformes à compléter leur dispositif par des méthodes de détection en continu des enfants de moins de 13 ans passant par la recherche de mots-clés prédéfinis dans le contenu publié par l'utilisateur susceptibles de suggérer son âge. Cette méthode n'est pas satisfaisante non plus en raison du taux de fausse alerte élevé et de son manque de précision.

Notre seconde observation est qu'aucune solution de vérification de l'âge n'est à la fois performante, totalement transparente pour l'utilisateur et peu intrusive en matière de traitement de données à caractère personnel.

La vérification par carte bancaire, binaire, ne permet pas de discriminer finement en fonction de l'âge. De plus, on peut avoir une carte bancaire avant 18 ans.

La vérification par consultation d'une base de données nationale avec ou sans utilisation de la carte d'identité, outre sa faible acceptabilité sociale, comporte le risque de connaissance par l'exploitant de la base de données du site qui va être visité.

Quant aux solutions fondées sur des données biométriques, non seulement elles nécessitent la collecte de données d'enfants de moins de 13 ans, mais leur marge d'erreur est importante.

Par ailleurs, si l'utilisation du nouveau service de garantie de l'identité numérique (SGIN) paraît intéressante, ce service s'adresse à un public assez restreint, puisqu'il faut posséder une carte nationale d'identité électronique et un smartphone doté des technologies requises.

Reste le contrôle parental et la vérification par un bureau de tabac, qui peut être perçue comme contraignante ou gênante.

Le PEReN relève que la mise en place d'obligations en matière de détection des mineurs devrait être menée au regard de la proportionnalité de ces obligations par rapport au contenu auquel un site donne accès, sous réserve qu'une politique de modération efficace des contenus soit menée.

De plus, la mise en place d'obligations doit prendre en compte les enjeux liés aux données à caractère personnel. La vérification de l'âge entraîne en effet un risque de collecte et de croisement des données personnelles, ce risque étant renforcé pour les acteurs qui proposent un ensemble de services adossés à une solution mutualisée de vérification de l'âge.

Le PEReN considère, avec la Commission nationale de l'informatique et des libertés (Cnil), qu'un dispositif fondé sur un double anonymat est susceptible de remédier à ce risque.

Le principe est de rediriger l'utilisateur vers un service tiers qui effectue la vérification de l'âge et génère un jeton en retour à destination d'un service requérant. L'innovation consiste dans la mise en place d'une extension sur le terminal de l'utilisateur qui assure l'interface entre le service requérant et le service tiers certificateur. Le service requérant ne disposerait ainsi d'aucune donnée de l'utilisateur ayant permis le contrôle de l'âge, le service certificateur ne connaîtrait pas le service requérant et le confort de l'utilisateur serait optimisé.

Cette solution pourrait être mise en oeuvre par l'ensemble des acteurs et elle permettrait au certificateur de déployer un ensemble de solutions de vérification de l'âge proportionnées en fonction du contenu. Elle suppose toutefois l'identification de solutions fiables, efficaces et proportionnées, et la mise en oeuvre d'une procédure de certification des opérateurs habilités.

S'agissant enfin du cadre législatif, il nous apparaît que les lignes directrices prévues dans le cadre de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales sont de nature à permettre à l'Arcom d'identifier les solutions de vérification d'âge fiables et, en s'appuyant sur l'avis de la CNIL, de proposer une solution de transmission du résultat de vérification respectueuse de la vie privée.