Sites pour adultes : protéger à la fois les mineurs et l’identité des majeurs

En quoi la question du contrôle de l’âge sur les sites pour adultes représente-t-elle à la fois une nécessité et un défi ?

Martin Bieri : Il existe un véritable enjeu de société autour de ce sujet, en particulier concernant les sites à caractère pornographique. Un rapport de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique) publié en mai 2023, révèle que 28% des mineurs, soit 2,3 millions d’enfants et adolescents, en augmentation de 36% sur cinq ans, se rendent sur des sites pour adultes chaque mois. Dès 12 ans, plus de la moitié des garçons sont concernés. Pour protéger ces mineurs, le parlement a voté deux lois, l’une en 2020, l’autre en 2024, qui imposent aux sites à caractère pornographique d’installer un système de contrôle de l’âge. 

Olivier Blazy : L’enjeu est de pouvoir certifier qu’un internaute est adulte, tout en lui demandant le minimum d’informations personnelles pour des questions de respect de la vie privée. Or, à la suite de l’obligation du contrôle de l’âge, on a vu fleurir des propositions très invasives, comme communiquer sa pièce d’identité et/ou donner accès à sa webcam. Des options risquées : tout système qui permettrait de connaître à la fois l’identité de l’utilisateur et ses habitudes de consommation de ce genre de contenu ouvrirait notamment la voie au chantage.

Comment s’est monté le partenariat entre la Cnil et l’équipe Inria Grace pour répondre à cette problématique et comment avez-vous travaillé ensemble ?

O. B. : J’étais en contact avec la Cnil via d’anciens collègues de thèse et comme je travaille sur des questions de cryptographie et de vie privée, la collaboration s’est mise en place naturellement. Avec quatre agents de la Cnil, nous avons cherché collectivement une solution de contrôle de l’âge qui soit compatible avec le RGPD (règlement général sur la protection des données), en nous basant sur des outils cryptographiques existants. 

M. B. : 

Fin 2021, nous nous sommes donc rapprochés d’Olivier Blazy pour identifier les technologies à utiliser afin de prouver que la vérification de l’âge est compatible avec la protection des données. Et finalement, nous avons réussi à mettre au point un démonstrateur !

Pouvez-vous nous expliquer le fonctionnement de ce démonstrateur ?

O. B. : Il repose sur deux outils : les signatures de groupe et la « zero knowledge proof », ou « preuve à divulgation nulle de connaissance ». Les premières permettent aux sociétés qui sont sollicitées pour le contrôle de l’âge de signer la preuve de majorité au nom de toutes les sociétés vérificatrices d’âge. Le site internet à caractère pornographique n’aura donc pas d’information sur la société choisie par l’internaute ; par exemple, il ne saura pas qu’il est client de telle banque. 

Le problème : si une société vérificatrice et un site pour adultes appartiennent par exemple à la même entreprise, ou si une société vérificatrice cible un utilisateur en lui attribuant toujours une signature particulière, alors l’utilisateur peut finir par être relié à la signature et au contenu à laquelle elle est destinée. C’est là qu’intervient la preuve à divulgation nulle de connaissance. 

Concrètement, dans notre système, un internaute se rend sur un site pour adultes et celui-ci lui envoie un « challenge », une sorte de long numéro. Il transfère ce « challenge » à la société vérificatrice de son choix, qui, elle, dispose d’informations personnelles sur l’utilisateur. Elle signe ce « challenge » s’il est bien majeur. L’utilisateur n’a plus qu’à le retransmettre au site pour adultes afin d’accéder au contenu. L’anonymat est donc double : d’un côté le site pour adultes a la preuve que l’utilisateur est majeur, mais sans savoir d’où vient cette preuve et sans rien connaître de l’identité de l’utilisateur ; de l’autre, la société vérificatrice connaît l’identité de l’utilisateur, fournit la preuve que celui-ci est adulte mais ignore à quel site va servir cette preuve. 

Ce système à double anonymat présente-t-il néanmoins des limites ?

O. B. : Un adolescent vraiment motivé sera capable d’installer un VPN et de domicilier fictivement son ordinateur dans un pays qui n’exige pas la vérification d’âge pour contourner le contrôle. Mais notre solution reculera au moins l’âge du premier accès, qui tourne aujourd’hui autour de 9-10 ans, et évitera les consultations opportunistes ou accidentelles de ces sites.

M. B. : Comme les sites à caractère pornographique seront les seuls à demander ce genre de signature aux sociétés vérificatrices, celles-ci sauront que leur usager consulte ce type de site. Il faudrait donc étendre le système à tous les sites réservés aux plus de 18 ans (ventes d’alcool ou de cigarettes par exemple) pour noyer les demandes dans la masse. 

Vous avez mis en ligne ce démonstrateur en accès libre en 2022 et 2023. Quels sont les premiers retours ?

O. B. : La solution a été testée par les fournisseurs de contenu, des sociétés vérificatrices, des startups et par les associations de protection de la vie privée ainsi que par l’Observatoire de la protection de l’enfance. Cette étape nous a permis d’identifier des problèmes concrets, comme le besoin de rendre également anonyme la facturation de la vérification auprès des fournisseurs de contenu. La bonne nouvelle ? Le système est, parmi les solutions proposées, celle qui fait le moins fuir les utilisateurs. Or c’est un point clé car le but n’est pas d’empêcher les majeurs d’accéder à ces sites. 

M. B. : Grâce à la mise en ligne du démonstrateur et au retour des industriels, l’Arcom mettra en avant le double anonymat dans son référentiel, qui sera publié dans les prochaines semaines. Il demandera aux fournisseurs de contenu de mettre en place deux modes de contrôle de l’âge, dont l’un devra fournir les mêmes garanties que notre système.   

Désormais, quels sont vos prochains défis ?

O. B. : Le fait que notre système ait été retenu par le référentiel de l’Arcom constitue une belle illustration du transfert de nos recherches vers la société. Mais nous comptons également valoriser nos travaux dans le milieu académique, avec une publication scientifique prévue cette année. Sur le plan technique, nous allons garder un œil sur les besoins qui émergent, car l’idée est de laisser les acteurs s’emparer de la solution. Au niveau réglementaire, nous travaillons sur le passage à l’échelle internationale.

M. B : Les enjeux européens sont effectivement importants. Aujourd’hui, la loi française va au-delà des textes européens et il faudra des formalités supplémentaires pour son application dans les autres pays. La Cnil étant compétente pour contrôler et sanctionner les acteurs qui ne respectent pas la protection des données, nous allons bien sûr continuer à suivre le sujet de très près.