Intervention de Bertrand Pailhès

Contrairement à l'Arcom, la Cnil n'a pas de compétence directe sur les dispositifs mis en oeuvre par les sites pornographiques, mais elle a donné un avis sur le projet de décret en juin 2021, avant sa parution. En outre, elle a une mission générale de vérification de la conformité au RGPD des traitements de données à caractère personnel effectués par les éditeurs de sites ou par les tiers vérificateurs.

Des travaux que nous menons en étroite collaboration avec l'Arcom et le PEReN, il ressort que le mécanisme de double tiers dans la vérification d'identité paraît particulièrement intéressant dans le cas des sites à caractère pornographique, d'autant que ces derniers sont parfois édités par des sociétés qui ne sont pas établies en France. La preuve de concept qui sera publiée prochainement devra démontrer la faisabilité de cette méthode.

Il nous paraît important d'éviter la collecte directe de données identifiantes, notamment de cartes d'identité et d'historiques de navigation, par les sites pornographiques. De même, nous estimons que la reconnaissance biométrique, par exemple faciale, n'est pas souhaitable. Je précise toutefois qu'il faut distinguer la reconnaissance faciale, interdite par principe, avec des dérogations, par exemple pour l'ouverture d'un compte bancaire, de l'analyse faciale, telle que proposée par Yoti, qui ne relève a priori pas des données sensibles dont le traitement est interdit au titre du RGPD.

Plus généralement, la Cnil est attachée à ce que l'ensemble des dispositifs de vérification d'âge n'entravent pas la capacité à naviguer en ligne librement et sans s'identifier. C'est une composante importante pour nous de l'exercice des libertés individuelles. Au vu de la nécessité de développer des systèmes permettant de fournir des preuves d'âge, il nous semble important de prévoir un processus de certification et une évaluation indépendante de l'ensemble des dispositifs. Ainsi, pour les dispositifs de vérification d'identité, une certification est établie par l'Anssi (Agence nationale de la sécurité des systèmes d'information).

Enfin, il faut encourager une montée en gamme relativement rapide de systèmes permettant de délivrer une preuve d'âge ou d'autres attributs qui ne soient pas limités à la preuve de majorité sur les sites pornographiques. Au Royaume-Uni, on a par exemple constaté que la délivrance de jetons par les bureaux de tabac était perçue comme trop stigmatisante par les utilisateurs, justement parce que ces jetons ne donnaient accès qu'à des contenus pornographiques.

J'insiste sur la nécessité de ne pas créer de collecte de données potentiellement problématique. Par exemple, les systèmes d'estimation de l'âge pourraient être détournés pour capturer des vidéos à l'insu des personnes.

Il est également important que les organismes vérificateurs soient soumis à une évaluation externe sur les taux de performance, notamment les taux de faux positifs et de faux négatifs à la limite de 18 ans.

Enfin, je partage ce qui a été dit sur la nécessité de l'éducation et de la sensibilisation des parents, des enfants et de l'ensemble des personnels éducatifs. Les outils de contrôle parentaux, qui ont montré leur efficacité, nous semblent globalement les plus adaptés pour protéger les mineurs.