Archives par mot-clé : Vie privée

Mineurs, réseaux sociaux et sites pornos : contrôle de l’âge et risques sur la vie privée

Publié le par

Alors qu’une procédure de l’Arcom s’éternisent devant la justice contre cinq sites web pornographiques (Pornhub, Ttukif, xHamster, Xnxx, et Xvideos), le contrôle de l’âge – pour interdire aux mineurs l’accès à ces contenus pour adultes ou l’inscription sur les réseaux sociaux – pose problème.

Cela fait un an que la Commission nationale de l’informatique et des libertés (Cnil) a publié – le 9 juin 2021 – huit recommandations pour « renforcer la protection des mineurs en ligne » (1), dont une – la septième – s’intitule « Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ». Car la question du contrôle de l’âge est complexe et difficile à mettre en œuvre au regard de la protection de la vie privée et du principe de l’anonymat. Or, 44 % des 11-18 ans déclarent avoir déjà menti sur leur âge pour utiliser les réseaux sociaux (2). Et quelle proportion des mineurs ont déclaré être majeurs sur les sites web à caractère pornographique ?

Vérifier l’âge : pas de procédé fiable (PEReN)
Vérifier l’âge de l’internaute reste encore à ce jour un problème car les solutions de contrôle sont soit facilement contournables (déclaration qui peut être mensongère, vérification par e-mail inefficace, …), soit portant atteinte à la protection des données et à la vie privée (reconnaissance faciale jugée disproportionnée, utilisation des données recueillies à des fins commerciales ou publicitaires, …). A ce jour, les réseaux sociaux – le plus souvent interdits aux moins de 13 ans (voire moins de 16 ans dans certains autres pays européens comme l’Allemagne), et les sites web pornographiques interdits aux moins de 18 ans – ne savent pas vraiment comment procéder pour être irréprochables dans le contrôle de l’âge de leurs utilisateurs.
A Bercy, le Pôle d’expertise de la régulation numérique (PEReN) – rattaché à la Direction générale des entreprises (DGE) et placé sous l’autorité conjointe des ministres chargés de l’Economie, de la Culture et du Numérique (3) – a publié le 20 mai dernier une étude à ce sujet. « Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ? », s’interroge cette entité interministérielle. Son constat : « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ». Le PEReN, qui est dirigé par Nicolas Deffieux (photo), fait aussi office de task force au service notamment de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), au moment où celle-ci – du temps du CSA (Conseil supérieur de l’audiovisuel) – a mis en demeure le 13 décembre 2021 cinq sites web pornographiques et les a enjoints de se mettre en conformité avec les nouvelles dispositions du code pénal. Faute d’avoir obtempéré dans les temps (ultimatum de quinze jours), les cinq plateformes incriminées – Pornhub, Ttukif, xHamster, Xnxx, et Xvideos – se retrouvent devant la justice, à l’initiative de l’Arcom, dans le cadre d’une procédure « accélérée » qui s’éternise (4).
Selon NextInpact, la présidente du tribunal judiciaire de Paris a considéré le 24 mai dernier comme « caduque » l’assignation adressée par l’Arcom aux fournisseurs d’accès à Internet (FAI) afin qu’ils bloquent les cinq sites pornos. Raison de cette annulation : l’Arcom n’a informé le tribunal de cette assignation que le jour même de l’audience, au lieu de la veille au plus tard (5). L’Arcom doit donc réassigner les FAI, ce qui reporte l’audience de quelques semaines. Toujours selon NextInpact, les avocats des sites pornos réclament le dépôt d’une question prioritaire de constitutionnalité devant le Conseil constitutionnel et d’une question préjudicielle à la Cour de justice de l’Union européenne (CJUE).
Tandis que le Conseil d’Etat, lui, a été saisi de l’annulation du décret d’application du 7 octobre 2021 portant sur les «modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » (6). Ce décret menace les FAI contrevenants à des sanctions pénales de « trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message [à caractère violent, incitant au terrorisme, pornographique] est susceptible d’être vu ou perçu par un mineur » (7). Surtout que « les infractions (…) sont constituées y compris si l’accès d’un mineur aux messages (…) résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans » (8). Cette dernière disposition introduite dans le code pénal découle de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Vie privée : ne pas enfreindre le RGPD
Il y a donc péril judiciaire dans le porno. D’autant qu’une deuxième procédure, distincte de celle de l’Arcom, suit son cours en référé déposé devant le tribunal judiciaire par deux autres associations – La Voix de l’enfant et e-Enfance – sur la base de la loi « Confiance dans l’économie numérique » (loi LCEN de 2004). Son visés les mêmes sites pornos que dans la première affaire, mais avec MrSexe, IciPorno, YouPorn et RedTube (soit neuf au total). Or, à ce jour, l’absence de procédés fiables pour contrôler l’âge des internautes sans porter atteinte à la vie privée – et en respectant au niveau européen le règlement général sur la protection des données (RGPD) – rend la situation compliquée pour les réseaux sociaux et les sites pornos. « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé », avait mis en garde la Cnil dans son avis du 3 juin 2021 sur le projet de décret « Protéger les mineurs » (devenu le décret du 7 octobre 2021).

Double anonymat préconisé par la Cnil
Dans sa délibération parue au J.O. le 12 octobre de la même année (9), la Cnil écarte aussi le recours à la carte d’identité : « Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».
Quoi qu’il en soit, l’article 8 du RGPD interdit l’utilisation de données personnelles des enfants âgés de moins de 13 à 16 ans, selon les Etats membres. La France, elle, a retenu l’âge de 15 ans. Ainsi, en-dessous de cet âge légal, la loi « Informatique et Libertés » impose – conformément au RGPD – le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale (10). Si la préoccupation première était de ne pas exposer les mineurs de 13 à 16 ans à de la publicité ciblée sur les réseaux sociaux, lesquels sont censés avoir mis en place des procédés de vérification de l’âge (11), cette obligation concerne désormais les sites web à caractère pornographique.
A noter que les jeux d’argent et de hasard en ligne (comme les paris sur Internet) sont également soumis au contrôle préalable de l’âge. Au niveau européen, la Commission européenne soutient l’initiative euConsent qui vise à mettre en place des systèmes de vérification de l’âge et de consentement parental qui soient interopérables, sécurisés et ouverts à l’échelle paneuropéenne – conformes à la certification eIDAS (12). Dans le consortium euConsent se côtoient Facebook, Google, les associations européennes respectivement des opérateurs télécoms historiques Etno et des fournisseurs d’accès à Internet EuroIspa, ou encore des organisations de protection de l’enfance. Le futur Digital Services Act (DSA), législation sur les services numériques, va introduire à son tour une interdiction de la publicité ciblée pour les mineurs.
Le contrôle de l’âge va se renforcer sur Internet, mais les méthodes de vérifications laissent à désirer. Le PEReN a classé dans son étude les solutions selon le mode de preuve employé (voir aussi tableau ci-dessous) :
• Le contrôle de l’âge, à l’aide d’un document portant l’identité et la date de naissance de la personne, à l’aide d’un document dont toutes les parties identifiantes auraient été supprimées avant tout traitement, ou enfin par les parents (contrôle parental) ;
• L’estimation algorithmique de l’âge sur la base du contenu publié ou utilisé par l’utilisateur sur le site ou bien à partir de données biométriques (voix, images, vidéos, …) ;
• Le déclaratif se basant uniquement sur les déclarations des internautes.
Le PEReN estime « primordial que la vérification de l’âge ne soit pas directement opérée par la plateforme ou le service en ligne afin de réduire le risque de croisement ou de réutilisation des données collectées lors de la vérification ». Il préconise alors « un mécanisme de tiers, voire de double tiers, [qui] peut être mis en place pour la transmission du résultat de la vérification précisément afin de minimiser ce risque ». Ainsi, ce mécanisme de doubletiers constitue une mise en œuvre possible du double anonymat recommandé par la Cnil, laquelle – en partenariat avec un laboratoire de l’Ecole polytechnique et le PEReN – a développé un prototype de ce mécanisme de vérification de l’âge par double anonymat pour en démontrer la faisabilité technique. D’après le PEReN « cette preuve de concept [devait] être rendue disponible fin mai ».
Contacté par Edition Multimédi@, son directeur général Nicolas Deffieux nous indique que la Cnil est maître des horloges. Le prototype est en effet entre les mains de Vincent Toubiana, qui y dirige le laboratoire d’innovation numérique (Linc). « Notre calendrier a été décalé et je n’ai actuellement aucune date de publication prévue », nous précise ce dernier. @

Charles de Laubier

Vie privée et télétravail : la consécration des VPN

Publié le par

En fait. Le 5 mai, la fondation Mozilla – créée dans la foulée du développement il y a vingt ans du navigateur Firefox – a rendu disponible en France sa solution de réseau privé virtuel, Mozilla VPN, pour permettre aux internautes de sécuriser et de masquer leurs connexions à Internet et de ne pas être géolocalisés.

Fini les cookies, place aux « intérêts communs »

Publié le par

En fait. Les 3 mars, Google a annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage « personnalisé » – au profit de « centres d’intérêts » de groupes d’individus. Des tests débuteront au second trimestre. Coup de grâce aux mouchards ?

Anonymisation des données personnelles : un enjeu de taille, notamment en matière de santé

Publié le par

Alors qu’une deuxième vague de coronavirus menace, le gouvernement croit en l’utilité des données « pseudonymisées » de son application mobile StopCovid malgré le peu d’utilisateurs. Mais le respect de la vie privée ne suppose-t-il pas une « anonymisation » ? Le dilemme se pose dans la santé.

Avec le « RGPD » californien, les GAFAM garderont le pouvoir en 2020 sur les données personnelles

Publié le par

Le partage des données des consommateurs avec les entreprises s’est généralisé en dix ans. Or le droit californien n’avait pas suivi cette évolution, laissant aux entreprises de la Silicon Valley la liberté d’exploiter la vie privée des individus sans contrainte. Ce que change partiellement le CCPA.

Dans le sillage du règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Cette loi applicable dans l’Etat américain le plus peuplé des Cinquante vient renforcer le contrôle des consommateurs californiens sur leurs données personnelles en leur octroyant de nouveaux droits. Et ce, afin de leur permettre de reprendre le contrôle de leurs vies privées.

Droit local d’inspiration populaire
A la suite du scandale Cambridge Analytica et de la fuite massive de données d’Equifax, concernant 143 millions de personnes, soit près de la moitié de la population américaine (1), a été formulée en 2018 une proposition de loi d’initiative populaire visant à protéger les données personnelles des Américains. Deux militants pour la protection de la vie privée, issus de la société civile, l’homme d’affaires Alastair Mactaggart et une juriste spécialiste de droit à la protection de la vie privée, Mary Stone Ross, ont rédigé dès 2017 un projet de loi sous le nom de California Consumer Privacy Act (CCPA) soumis aux électeurs californiens par la voie pétitionnaire (2). Le droit californien permet en effet aux citoyens de cet Etat de faire adopter des textes législatifs ou de provoquer un référendum au niveau local en recueillant 366.000 signatures. Le CCPA a recueilli 600.000 signatures, révélant par là une véritable volonté des Californiens de reprendre le contrôle de leurs vies privées et d’empêcher les intrusions répétées des GAFAM dont ils ont été victimes ces dernières années.
Mise sous pression, la Silicon Valley – dont la collecte des données personnelles est le fer de lance de son modèle économique – a milité auprès des chambres législatives californiennes pour que ces dernières concluent un accord avec les promoteurs du texte et que soit évité un référendum. Le 28 juin 2018, et après moins d’une semaine de débat, la loi initialement proposée a alors été adoptée par le législateur californien sous une version plus timorée que le projet initial. Le texte continue cependant à se heurter à la résistance des entreprises de nouvelles technologies qui militent pour l’adoption d’un texte fédéral moins contraignant. En effet, des lois prises par le Congrès à Washington s’imposeraient sur le droit des Etats fédérés et empêcheraient le CCAP de s’appliquer. Dans le sillage du CCPA, d’autres projets de loi se sont faits jour au niveau fédéral visant à réglementer la collecte des données personnelles des citoyens américains. Certaines propositions sont spécifiques et visent uniquement les données transmises via les réseaux sociaux. D’autres projets sont plus ambitieux dans leur champ d’application et cherchent à imposer un traitement loyal, équitable et non discriminatoire aux responsables de traitements, à l’instar du RGPD. Si aucun de ces projets n’a l’ambition portée par le texte européen, ils s’en inspirent dans la forme et constitueraient néanmoins une avancée considérable dans la conquête des droits des internautes quant au respect de leurs vies privées. Le CCPA intégré dans le Code civil de Californie (3) s’applique à toutes les informations à caractère personnel collectées, électroniquement ou non, auprès de consommateurs.
Les consommateurs sont définis comme des personnes physiques résidant en Californie, ce qui confère un champ d’application aux bénéficiaires du texte aussi large que le RGPD. La loi californienne s’applique donc très largement et pas seulement aux données collectées sur Internet. Toutefois, de façon plus pragmatique que le RGPD, les assujettis du CCPA sont uniquement des entreprises d’envergure. Ces dernières doivent en effet réaliser un chiffre d’affaires annuel supérieur à 25 millions de dollars, ou acheter, vendre ou partager à des fins commerciales des informations personnelles de plus de 50.000 consommateurs, ou encore obtenir plus de 50 % de leurs revenus annuels de la vente d’informations personnelles du consommateur.

Champ d’application du CCPA
Ainsi, les associations comme les petites et moyennes entreprises ne sont pas concernées par le texte. Les pouvoirs publics peuvent également continuer à collecter les données personnelles des individus sans que ceux-ci puissent s’y opposer, même s’il est prévu que les données issues de ces traitements et réutilisées pour d’autres finalités sont des informations sur lesquels les citoyens californiens pourront exercer les droits prévus par le texte. Le texte de loi californien vise les informations à caractère personnel comme les noms, les adresses, le numéro de sécurité sociale, les adresses IP, les renseignements commerciaux (registre de la publicité foncière, historique de crédit, …), les informations biométriques, les historiques de navigation, les données de géolocalisation, les informations audio, électroniques, visuelles, thermiques, olfactives, les informations professionnelles ou liées à l’emploi, ou encore les informations sur l’éducation. Sont également concernées toutes déductions tirées de ces différentes informations afin de créer un profil. Toutefois, un certain nombre de domaines sont exclus du champ d’application de la loi. Il en va ainsi du domaine financier, des agences de notation des consommateurs ou encore des informations visant les conducteurs.

Droits nouveaux pour les Californiens
Pâle copie du RGPD, le CCPA impose des obligations aux entités assujetties et des droits aux citoyens bénéficiaires. L’entreprise qui collecte des données doit informer le consommateur californien sur les catégories de données collectées, les sources auprès desquelles les données sont collectées, les finalités de la collecte et les catégories de tiers avec lesquelles l’entreprise partage les données. Les consommateurs doivent pouvoir exercer leurs droits dans des conditions faciles et gratuites : description du droit d’accès, du droit à l’effacement, du droit à l’égal accès aux services, description des méthodes pour présenter les requêtes. La loi californienne donne aussi aux consommateurs la possibilité de refuser la vente de leurs informations personnelles à des tiers, obligeant les entreprises concernées à publier un lien clair et visible intitulé « Ne pas vendre mes informations personnelles » sur leur site web national ou leur page spécifique à la Californie.
Un consommateur a le droit de demander à une entreprise de supprimer toute information personnelle le concernant que l’entreprise a collectée auprès de lui, et l’entreprise doit répercuter la demande auprès de ses sous-traitants. Toutefois, l’entreprise peut refuser cet effacement pour des raisons légitimes telles que l’exécution du contrat conclu entre l’entreprise et le consommateur. Enfin, la loi californienne confère le droit à un égal accès aux services, interdisant en principe toute discrimination à l’encontre des consommateurs qui exercent leurs droits en vertu de la loi. Les entreprises peuvent cependant être autorisées à appliquer des tarifs différents ou à fournir différents niveaux de service, si ces différences sont en lien raisonnable avec la « valeur fournie au consommateur par les données du consommateur », conférant un droit à la discrimination. Enfin, et à la grande différence du RGPD, les entreprises peuvent proposer des incitations financières – notamment des paiements aux consommateurs à titre de compensation – pour la collecte de leurs données personnelles. Cette option, pour laquelle de nombreux think tank militent en Europe, est à ce stade exclu par l’Union européenne pour qui les données personnelles sont des droits extrapatrimoniaux, incessibles. En cas de non-respect du CCPA, une amende de 2.500 dollars par violation, et de 7.500 dollars si la violation est intentionnelle, est infligée. Ce qui est peu, au regard du chiffre d’affaires des entreprises visées par le texte. Néanmoins, la loi californienne prévoit des dommages et intérêts dans le cadre d’une action intentée par un consommateur, compris entre 100 et 700 dollars par infraction et par consommateur, ce qui peut s’avérer important à l’aune du système de la class action. La procédure des actions collectives, bien éprouvée aux Etats-Unis, devrait en effet pouvoir contraindre les entreprises à respecter cette nouvelle loi, moins pour la sanction financière que pour la mauvaise publicité que représenterait une sanction prononcée à la demande de centaines de milliers de plaignants. A noter qu’en Europe, la commission des Affaires juridiques (JURI) a confirmé en janvier dernier (4) la position de négociation du Parlement européen sur une nouvelle législation introduisant des règles de recours collectif (5). En France, l’action de groupe a été introduite par la loi du 17 mars 2014 sur la consommation (loi dite « Hamon »).
Si le CCPA est timide au regard de l’enjeu que représentent les données personnelles pour les entreprises du numérique, il marque néanmoins un réel progrès quant à la protection des droits des données personnelles des citoyens californiens. Déjà, cette initiative a conduit d’autres Etats à réfléchir à une législation dans ce sens, et une loi fédérale devra inévitablement voir le jour pour éviter des législations disparates au sein d’un même pays. Dans le même temps, le parti communiste chinois a annoncé vouloir protéger les données personnelles de ses citoyens.

Vers des règles internationales unifiées
La collecte des données personnelles représente l’or noir du XXIe siècle et constitue un outil de concurrence majeur au sein du commerce international. Les législations nationales ne manqueront donc pas de s’affronter afin de contraindre les entreprises extérieures à limiter leur pouvoir d’intrusion de la vie privée de leurs citoyens tout en cherchant à poursuivre cette conquête des données, outil indispensable de la compétitivité économique. A moins qu’en guise d’apaisement, le G20 qui se tiendra à Riyad en novembre 2020 mette à son ordre du jour la recherche de règles internationales unifiées, seuls moyens de réguler la tentation intrusive des GAFAM. @

* Alexandre Lazarègue est avocat au Barreau de Paris,
spécialisé en droit du numérique.