Vérification d’âge et sites pornos : la CNIL trace les lignes rouges
Porn to be wild
Le 12 octobre 2021 à 05h30
9 min
Droit
Droit
Le 8 octobre, le tribunal judiciaire de Paris rejetait la demande de blocage de plusieurs sites pornos adressée aux principaux FAI français. Le même jour, le gouvernement publiait un décret ouvrant une voie de blocage parallèle via le CSA. Next INpact diffuse l’avis de la CNIL, guirlande de voyants d’alerte « RGPD ».
e-Enfance et la Voix de l'enfant réclamaient directement des principaux FAI le blocage d’accès de plusieurs sites X comme YouPorn ou PornHub. Des sites pour adultes, également accessibles aux mineurs et donc en infraction avec cette disposition du Code pénal. En substance, la justice a reproché aux deux associations de ne pas avoir contacté préalablement les éditeurs et les hébergeurs des sites concernés.
Une hypothèse qui aurait permis d’envisager des solutions plus douces qu’une coupure d’accès. Par exemple, l’installation d’un contrôle d’âge ou toute autre solution robustes pour tirer le rideau face aux yeux des mineurs.
Si cette procédure s’est écroulée ce vendredi 8 octobre, un autre levier du blocage a été actionné par le gouvernement, le même jour au Journal officiel. L’épilogue d’une petite épopée débutée avec la loi contre les violences conjugales du 30 juillet 2020 qui a confié les clefs de cette régulation également au CSA.
- Blocage des sites pornos : échec devant le juge des référés
- #Pornodown : le président du CSA, nouveau gendarme des sites pornos
Explications : après avoir constaté qu’un site X est accessible aux mineurs, le président du CSA peut désormais adresser une mise en demeure à son éditeur, tout en l’invitant à lui transmettre ses observations dans les 15 jours.
S’il estime que le site porno n’a pas suivi son injonction de s’assurer que les internautes mineurs ne puissent plus fréquenter ses pages, alors il peut saisir le président du tribunal judiciaire de Paris aux fins d'ordonner le blocage chez les FAI et le déréférencement dans les moteurs.
Le décret d’application publié ce 8 octobre décrit les modalités pratiques de ces étapes, mais aussi des mesures contre les sites miroirs, sans oublier l’obligation pour les FAI de rediriger le trafic des sites pornos « vers une page d'information du Conseil supérieur de l'audiovisuel indiquant les motifs de la mesure de blocage ».
Posée ainsi, la procédure semble simple, mais ce vernis est trompeur. En témoigne une récente délibération de la CNIL qui en révèle les risques collatéraux. Une délibération que n’a pas diffusée la commission le jour de publication du décret, mais que nous avons obtenue par demande CADA.
Quand le ministère de la Culture consulte la CNIL
C'est le ministère de la Culture qui avait pris l'initiative de consulter la CNIL sur une version intermédiaire de ce décret, afin que « celle-ci rappelle les garanties que les procédés techniques de vérification de la majorité d’âge des utilisateurs devront respecter afin d’être conformes aux principes consacrés par le RGPD ».
Dans sa délibération datée du 3 juin 2021, la Commission constate que le sujet va effectivement empiéter sur son domaine de compétence, puisque « la mise en place de procédés techniques de vérification de la majorité d’âge des utilisateurs est susceptible d’entrainer la mise en oeuvre de traitements de données à caractère personnel ».
Elle ne se prive pas, par réflexe, de rappeler les fondamentaux du sacro-saint texte du 25 mai 2018 : « principe de minimisation des données collectées », l’exigence d’ « une information adaptée aux personnes concernées », « une interdiction du détournement de finalité », « une durée de conservation limitée des données ainsi que des mesures de sécurité régulièrement mises à jour ».
Ce rappel des grands principes est d’autant plus impérieux que la même délibération relève l’ampleur du périmètre du décret sur le blocage des sites pornos sans vérification d'âge. Il frappe en effet les éditeurs de sites Internet accessibles au public (juridiquement des « services de communication au public en ligne ») « dont l’activité unique ou principale consiste en la diffusion de contenus pornographiques ». En somme, cela peut viser YouPorn, PornHub, mais également « de très nombreux sites qui éditent des contenus pornographiques ».
Pas d'obligation générale d’identification
Un tel périmètre fait réagir la CNIL. Au-delà « des fins légitimes de préservation des mineurs », ce texte « ne saurait justifier une obligation générale d’identification préalablement à la consultation de tout site proposant des contenus ».
Et pour cause, « le fait de pouvoir en principe bénéficier de services de communication au public en ligne sans obligation de s’identifier ou en utilisant des pseudonymes participe à la liberté de s’informer et à la protection de la vie privée des utilisateurs. Cela constitue un élément essentiel de l’exercice de ces libertés sur internet ».
En clair, d’une part, la loi et le décret doivent être circonscrits au seul domaine des contenus pornographiques accessibles aux mineurs. D’autre part, un éditeur ne saurait généraliser une demande d’identification des internautes au-delà de ce cercle, sans piétiner ces principes inscrits dans la Déclaration des droits de l’Homme, et donc à valeur constitutionnelle.
Pas de collecte de données identifiantes sur les sites X
Comme le vice-président du tribunal judiciaire de Paris dans sa décision rejetant la demande de blocage, la CNIL a insisté sur le nécessaire principe de proportionnalité qu’on retrouve aussi dans le RGPD. Soit un étau autour des éditeurs de site.
Ainsi, « les traitements de données à caractère personnel mis en œuvre aux fins de vérification de la majorité d’âge des utilisateurs souhaitant accéder aux contenus pornographiques doivent être proportionnés à la finalité poursuivie ».
De cette règle de base, l'autorité en déduit que « la vérification de la majorité d’âge par les éditeurs diffusant eux-mêmes des contenus pornographiques ne doit pas les conduire à collecter des données directement identifiantes de leurs utilisateurs ».
Sujet peu abordé lors des débats parlementaires, « une telle collecte de données présenterait, en effet, des risques importants pour les personnes concernées dès lors que leur orientation sexuelle – réelle ou supposée – pourrait être déduite des contenus visualisés et directement rattachée à leur identité ». Conclusion : « une telle collecte d’informations aussi sensibles par les sites concernés serait contraire au RGPD ».
Autre danger : la multiplication de ces aspirateurs à données sensibles augmenterait nécessairement la surface d’attaque ou de compromission. « La multiplication de ce type de bases de données poserait de sérieux risques en cas de compromission de celles-ci par un tiers qui pourrait utiliser ces données à son profit ou les diffuser, avec un impact très significatif pour les utilisateurs concernés ».
Preuve de la majorité via un tiers de confiance
Que faire alors ? Compte tenu de ces difficultés, elle suggère de recourir à une preuve de majorité d’âge via un tiers de confiance, avec là encore de solides verrous de sécurisation.
Ces solutions « devraient intégrer un mécanisme de double anonymat empêchant, d’une part, le tiers de confiance d’identifier le site ou l’application à l’origine d’une demande de vérification et, d’autre part, faisant obstacle à la transmission de données identifiantes relatives à l’utilisateur au site ou à l’application proposant des contenus pornographiques. »
Elle plaide donc pour un moyen de preuve dans les seules mains de l’internaute, qui se limiterait « à un seul attribut d’âge ». Pas plus.
... sans collecte de justificatif d’identité, ni biométrie
Alors que les sites pornos se voient donc tenus de vérifier à distance l’âge des internautes, la CNIL leur ferme d'autres portes. « Serait considérée comme contraire aux règles relatives à la protection des données, la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».
Même sort s’agissant des « dispositifs destinés à estimer l’âge d’un utilisateur à partir d’une analyse de son historique de navigation, sans qu’en outre une telle collecte permette une estimation précise ».
Idem, s'agissant des procédés d’analyses du visage : « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques (…) compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé ».
Ni collecte d'IP sur la page de redirection du CSA
Enfin, contrairement à l’Arcep qui n’y a pas consacré une ligne, même sur ses versants techniques, la CNIL prévient que la page d’information du CSA, où seront redirigés les visiteurs des sites X bloqués, « ne devrait pas conduire ce dernier à collecter les données à caractère personnel des internautes concernés, et notamment leurs adresses IP ».
N’ayant été consultée que tardivement sur ce dispositif (la loi a été votée en juillet 2020, la CNIL consultée près d’un an plus tard…), elle tend la main au CSA : au regard de « la nécessité de mettre en place des dispositifs de vérification de la majorité d’âge conformes aux règles de protection des données », elle l’invite à poursuivre ces travaux en commun « dans une logique d’inter-régulation ».
En attendant, avec cette nouvelle délibération, il revient aujourd’hui aux sites pornos de trouver la bonne formule pour s’assurer que derrière l'IP de tel visiteur, se cache bien un majeur. Des sites bien avancés face à une loi volontairement peu bavarde, adoptée sous procédure d'urgence, précédée d’aucune étude d’impact, d’aucun avis du Conseil d’État, ni de consultation préalable des autorités compétentes.
Vérification d’âge et sites pornos : la CNIL trace les lignes rouges
-
Quand le ministère de la Culture consulte la CNIL
-
Pas d'obligation générale d’identification
-
Pas de collecte de données identifiantes sur les sites X
-
Preuve de la majorité via un tiers de confiance
-
... sans collecte de justificatif d’identité, ni biométrie
-
Ni collecte d'IP sur la page de redirection du CSA
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/10/2021 à 07h10
La conclusion est sans appel, encore une loi crée par des clowns.
Le 12/10/2021 à 07h18
Donc, en gros, si je résume, pour ces sites :
Je crois que nos politiciens veulent purement et simplement la fermeture de ce type de sites. Je ne vois pas d’autres explications !
Le 12/10/2021 à 07h24
Je propose qu’on nomme France Connect comme tiers de confiance
Le 12/10/2021 à 07h36
Déjà envisagé il me semble
Le 12/10/2021 à 07h40
Retourner l’âge de l’utilisateur me semble encorte trop. Un simple “majeur : oui/non” est suffisant.
Le 12/10/2021 à 08h13
Bonne remarque qui tend vers la minimisation des données.
Le 12/10/2021 à 07h46
Amusant.
Si je ne dis pas de bétises, la plupart des sites mentionnés disposent aussi d’accès payant dans lesquels les utilisateurs sont déjà identifiés. La CNIL et NXi se sont penchés sur leur gestion RGPD des données ?
Tu devrais éviter de conclure alors: la CNIL précise simplement les conditions dans lesquelles la loi doit être appliquée. Ni plus, ni moins.
Un site français s’est déjà mis en conformité.
En même temps c’est normal: la rédaction de l’article n’aide pas à la compréhension.
D’ailleurs j’adore la jubilation du rédacteur toujours aussi prolixe sur le sujet qui pose des questions mais pas toutes (cf le début de mon post).
Le 12/10/2021 à 09h53
si je me trompe pas le site français en conformité est payant et il est surtout un de ceux qui a demandé cette lois pour évincer les sites étranger
Le 12/10/2021 à 16h16
Les sites porno ne t’identifient pas. Lorsque tu t’abonnes à un de ces sites (de mon expérience, je n’ai pas la prétention de connaître l’ensemble des existants), tu créés un identifiant et mot de passe rattaché à un e-mail et tu es ensuite redirigé vers le prestataire de paiement (epoch, probiller, plus rarement paypal, etc) pour la saisie des coordonnées bancaires.
Toute la gestion de l’abonnement est via le prestataire de paiement en fait, la seule chose dont le site porno a connaissance, c’est du statut de ta souscription.
Il y a même des cas où c’est carrément le prestataire de paiement qui te fourni tes credentials.
Le 12/10/2021 à 07h59
Bah, ce sera un coup d’épée dans l’eau. Si les sites français boivent la tasse, ce sont les sites anglophones qui prendront le relai.
Bref, beaucoup de bruit pour pas grand chose au final.
Le 12/10/2021 à 08h07
Tu devrais lire l’article, la loi à été pondue à al va vite, sans consulter aucun des acteurs, c’est donc une loi crée par des clown. Après si t’as pas la capacité de comprendre ce qui est écrit, fait toi aider.
Le 12/10/2021 à 08h13
Ce que tu reprends n’est qu’un avis du rédacteur.
Je comprends parfaitement ce que je lis et je réitère l’ensemble de mes propos.
Le 12/10/2021 à 08h14
Ce n’est pas le gouvernement, et il est probable qu’ils soient conformes car ils ont plus à perdre si ils ne protègent pas la vie privée de l’utilisateur.
Le rapport est faible et la source est veille, mais les sites porno sont plus sécurisés que les sites religieux/idéologiques
Le 12/10/2021 à 09h25
Vu le nombre de sites de rencontre gay qui ont eu des failles de sécurité (qui ne sont pas des sites porno, nous sommes d’accord), j’ai un doute.
Ton article parle de la présence de liens malveillants. Il faut aussi prendre en compte les vols de la base de données utilisateurs dont ne parle pas ton article.
Le 12/10/2021 à 09h55
L’article date de 2012 …, il est là pour illustrer mon propos pas pour l’appuyer.
C’est assez compliqué de trouver des infos sur les fuites de données pour les sites du porno (beaucoup de lien vers des vidéos porno dans les résultats de la recherche), mais je pense qu’ils respectent le RGPD
Le 12/10/2021 à 08h36
Quel procédé ont ils mis en place pour respecter toutes les recommandations de la CNIL ? (et qui plus est, comment ont ils réussi l’exploit de mettre ça en place en un WE ?)
Le 12/10/2021 à 09h28
Bah c’est devenu un sport national pour les ministres, changer des loi de manière inapplicable, ou inconstitutionnelle, histoire de faire genre qu’il bossent.
En même temps quand on met le roi des clown a la tête de l’état fallait s’y attendre.
Le 12/10/2021 à 09h42
Ils font vraiment n’importe quoi ces politiques. Imposer des restrictions techniquement irréalisable et mettre en place des blocages facilement contournable qui empiète sur la vie privée ne résoudra rien.
La vrai solution pour protéger les mineurs c’est le filtre parental directement dans la box. C’est ce qu’il font à l’étranger et c’est ce qu’on fait dans les écoles Française depuis plus de 20 ans. C’est simple, ça marche très bien, et le contrôle final reste dans les mains des parents.
(squidguard + une blacklist pour les connaisseurs)
Le 12/10/2021 à 09h56
Facilement contournable tu dis ?
Quid de la connexion directe en 4G et/ou du partage de connexion 4G ?
Le site étant français il est déjà soumis aux contraintes du RGPD
Quant à la solution elle est présentée dans cet article
Le 12/10/2021 à 09h59
Et ?
Le 12/10/2021 à 12h33
Comment faire pour que le tiers de confiance ne puisse pas connaitre le site porno consulté ? Utiliser un tiers de confiance supplémentaire ?
Le 12/10/2021 à 14h16
Normalement, la liberté est la règle et à l’impossible nul n’est tenu.
Le 12/10/2021 à 14h17
S’ils utilisent le pare-feu office c’est bon c’est sécure
Le 12/10/2021 à 14h35
Concrètement ils verraient ça comment d’un point de vue technique ?
L’utilisateur récupère un token auprès du tiers qui certifie que l’utilisateur est majeur; ce token ne contient aucune donnée personnelle; quand il veut accéder à un site restreint, il fournit ce token qui vérifie son authenticité via une signature et considère que c’est bon, le porteur du token peut rentrer ?
Mais comment s’assurer que le porteur du token est bien la personne pour laquelle le token a été délivré ?
Le 12/10/2021 à 14h43
Si c’est l’utilisateur qui récupère le token, alors combien de temps avant qu’une simple extension de navigateur génère des tokens valides et court-circuite le tiers de confiance ? ^^
Le 12/10/2021 à 14h59
C’est un réel souci, mais qui vient avec des solutions assez efficaces (mais qui ne sont pas exemptes de problèmes, d’un autre genre.
L’utilisation de Google Family Link ou de son équivalent chez Apple permet un filtrage plutôt efficace. Le problème c’est que c’est Google/Apple, et qu’aucune autre solution n’est totalement efficace sans rooter le téléphone (typiquement, utiliser OpenDSN Family Shield n’est pas possible directement, alors qu’il s’agit probablement de la solution la plus simple, rapide, et sans lien avec les GAFAM).
Personnellement, j’ai fait ce choix pour mon jeune ado et mon préado (Family Link sur le smartphone, OpenDSN Family Shield sur les ordinateurs). Ce qui n’empêche pas, en plus, un contrôle supplémentaire (ils savent qu’il y a un teamviewer sur leurs terminaux et que je peux m’y connecter une demie-seconde pour m’assurer qu’il n’y a pas d’excès. Ça va aussi avec une sensibilisation aux risques d’Internet, au fait qu’il vaut mieux nous parler dès qu’ils rencontrent un truc problématique, qu’on n’ouvre pas n’importe quel lien, etc.
Le 12/10/2021 à 16h01
Comment s’assurer de ça ?
J’imagine déjà les créateurs de fishing se frotter les paluches …
Donc si papa est un cochon, fiston peux aussi aller sur des sites porno, vu que utilisation de l’IP ?
Débile…..
Le 12/10/2021 à 16h09
C’est un choix éducatif que j’entends, mais que je n’appliquerais jamais chez moi. Pas question que mes enfants aient, vis à vis de moi, un ressenti panoptique avec le sentiment flou que “papa peu regarder tout ce que je fais à tout moment”.
Je ne l’aurais pas supporté, alors je ne l’imposerais pas à autrui, fut-il mes enfants.
Je préfère encore avoir à gérer l’aftermath d’une découverte impromptue et malaisante, qu’ils finirons de toute façon par faire un jour.
Ca ne veux pas dire qu’il ne faut rien faire:
Cette solution semble pratique, mais à qui fais tu confiance pour les listes ?
Le 12/10/2021 à 19h16
Facile de détecter l’ado dans ce cas: celui qui se présente avec un “token” se fait renvoyer au collège pour apprendre à traduire “token” en jeton.
Le 12/10/2021 à 19h20
Pour en revenir au titre, tracer des “lignes rouges” dans le contexte, c’est carrément “trash”. On pourrait se contenter de lignes blanches pour le coup
Le 12/10/2021 à 19h44
Dans la pratique c’est impossible d’avoir un tiers de confiance, car justement ce tiers sera capable de croiser les données entre l’application ou le site et le service qui fourni l’identité.
Dans tous les cas cette loi est une mauvaise idée, la meilleure solution et de l’abandonner car les effets négatifs, que certains appellent “dommages collatéraux” sont une grande régression pour les libertés numériques.
Il hors de question que je file mon identité surtout pour un sujet aussi sensible.
Le 12/10/2021 à 20h23
C’est loin d’être la solution que je préfère, mais c’est une solution que j’estime raisonnable vu leur âge (10 et 12). La situation évoluera progressivement avec le temps et leur maturité face aux dangers d’Internet. Cela dit, le deal a été très clair dès le début pour le grand (le second n’a pas encore d’ordinateur pour lui, il utilise donc celui qui est dans le séjour) : il pouvait avoir un ordinateur dans sa chambre (ce qui est devenu nécessaire avec les cours en visio d’un côté et la sur utilisation des ENT par les enseignants), à cette condition. Et vu qu’il y a déjà eu une affaire (assez grave) de cyberhacèlement dans sa classe l’an dernier, il a admis que c’était peut-être plus raisonnable pour l’instant. Je pense changer de façon de faire d’ici un ou deux ans, en fonction de la confiance qui se sera établie, avec un accès teamviewer où il doit accepter ma demande pour que je me connecte, par exemple.
OpenDNS dans un cas, Google pour l’autre. Par mon métier, je sais qu’il est impossible de mettre à jour soi-même les listes, et que les listes collaboratives proposées par Toulouse 1 que j’ai longtemps utilisées dans le cadre pro (https://dsi.ut-capitole.fr/blacklists/) ne sont pas suffisamment exhaustives du tout (en quelques essais, j’avais trouvé un site porno gonzo depuis une recherche Google qui n’était pas présent dans la liste afférente). C’est aussi parce qu’avoir un Squid/squidguard est moins pratique à gérer que juste un changement de DNS (pour la solution OpenDNS ; pour la solution Android, c’est de toutes façons beaucoup plus limité). Mettre en place un proxy local implique d’avoir un goulot d’étranglement dans son réseau, de risquer de passer à travers (même avec un proxy transparent), etc. Ça permet par contre, si on prend le temps de faire les choses vraiment proprement, d’associer les autorisations du proxy avec le compte Windows (par exemple via NTLM, Kerberos ou une authentification SMB) donc de ne pas avoir une machine bloquée sur un profil enfant quelle que soit la session ouverte.
Mais, très sincèrement, quand je rentre du boulot j’ai pas envie de faire des heures sup pour ça, et il n’empêche que ça n’est pas une solution valable pour monsieur et madame Toulemonde :/
Le 13/10/2021 à 06h56
Le CSA devrait lister les solutions techniques disponibles sur le marché.
Le 13/10/2021 à 08h25
D’accord dinosaure
Le 13/10/2021 à 08h53
La fermeture des sites francais (et perdre les taxes et cotisations qu’ils donnent au passage)
Pour ceux à l’étranger, ils ne pourront absolument rien faire.