La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de la culture d’une demande d’avis concernant un projet de décret relatif aux modalités de mise en œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales, notamment son article 23 ;
Après avoir entendu le rapport de M. Christian KERT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement ;
Emet l’avis suivant :
Pris en application de l’article 23 de la loi du 30 juillet 2020, le projet de décret vise à permettre au président du Conseil supérieur de l’audiovisuel (CSA), dans un premier temps, d’adresser aux éditeurs de services de communication au public qui autorisent, en violation de l’article 227-24 du code pénal, l’accès des mineurs à un contenu pornographique, une mise en demeure leur enjoignant de prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé. A l’expiration d’un délai de quinze jours, en cas d’inexécution de cette injonction et si le contenu reste accessible aux mineurs, le président du CSA peut saisir le président du tribunal judiciaire de Paris aux fins notamment d’ordonner aux fournisseurs d’accès à internet de mettre fin à l’accès au service en cause.
Le projet de décret prévoit en son article 3, alinéa 1 que, pour apprécier si des mineurs peuvent accéder à un contenu pornographique, le président du Conseil supérieur de l’audiovisuel tient compte du niveau de fiabilité du procédé technique mis en place par [la personne dont l’activité est d’éditer un service de communication au public] afin de s’assurer de la majorité d’âge des utilisateurs souhaitant accéder au service .
Par ailleurs, le 2ème alinéa de l’article 3 du projet de décret prévoit que le CSA pourra adopter des lignes directrices afin de préciser la fiabilité des procédés techniques permettant de s’assurer de cette majorité d’âge.
La mise en place de procédés techniques de vérification de la majorité d’âge des utilisateurs est susceptible d’entrainer la mise en œuvre de traitements de données à caractère personnel. Ces traitements, qui présentent une sensibilité particulière au regard de leur finalité, sont soumis au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et relèvent de la compétence de la CNIL.
Conformément à son article 3.2-a, le RGPD s’applique aux traitements mis en œuvre par un éditeur de services de communication au public qui n’est pas établi dans l’UE lorsque ses activités de traitement sont liées à l’offre de biens ou de services aux personnes se trouvant sur le territoire de l’Union européenne. Ce cadre juridique inclut en particulier un principe de minimisation des données collectées, une information adaptée aux personnes concernées, une interdiction du détournement de finalité, une durée de conservation limitée des données ainsi que des mesures de sécurité régulièrement mises à jour.
Le Gouvernement a saisi la Commission du projet de décret afin que celle-ci rappelle les garanties que les procédés techniques de vérification de la majorité d’âge des utilisateurs devront respecter afin d’être conformes aux principes consacrés par le RGPD.
Sur le périmètre de l’obligation de mise en œuvre de la vérification de la majorité d’âge
L’appréciation du président du CSA prévue à l’article 3 du projet de décret a vocation à s’appliquer au périmètre défini par la loi, à savoir les éditeurs de services de communication au public en ligne. La Commission relève que cela recouvre principalement des éditeurs de services de communication au public en ligne dont l’activité unique ou principale consiste en la diffusion de contenus pornographiques, mais peut s’étendre à de très nombreux sites qui éditent des contenus pornographiques.
La Commission souligne que l’exigence de mise en place d’un dispositif de vérification de la majorité d’âge à des fins légitimes de préservation des mineurs, ne saurait justifier une obligation générale d’identification préalablement à la consultation de tout site proposant des contenus. Elle rappelle que le fait de pouvoir en principe bénéficier de services de communication au public en ligne sans obligation de s’identifier ou en utilisant des pseudonymes participe à la liberté de s’informer et à la protection de la vie privée des utilisateurs. Cela constitue un élément essentiel de l’exercice de ces libertés sur internet.
La Commission souligne donc qu’il revient aux autorités compétentes de veiller à ce que les obligations de mise en œuvre de dispositifs spécifiques de vérification de la majorité d’âge aux fins de lutte contre l’accès des mineurs aux contenus pornographiques, et de contrôle de ces dispositifs, ne soient pas étendues au-delà du périmètre défini par l’article 23 de la loi du 30 juillet 2020 combiné avec l’article 227-24 du code pénal.
Sur la nécessaire proportionnalité des procédés techniques mis en œuvre aux fins de vérification de la majorité d’âge des utilisateurs
En vertu de l’article 5.1-c du RGPD, les traitements de données à caractère personnel mis en œuvre aux fins de vérification de la majorité d’âge des utilisateurs souhaitant accéder aux contenus pornographiques doivent être proportionnés à la finalité poursuivie. Le Comité européen de la protection des données (CEPD), dans ses lignes directrices 5/2020 du 4 mai 2020 sur le consentement, indique, s’agissant des fournisseurs de services de la société de l’information à des mineurs, que Le caractère raisonnable d’une mesure, à la fois pour ce qui est de vérifier qu’un utilisateur est suffisamment âgé pour donner son propre consentement et que la personne donnant son consentement au nom d’un enfant est titulaire de la responsabilité parentale, peut dépendre des risques liés au traitement ainsi que des technologies disponibles .
La Commission estime que la vérification de la majorité d’âge par les éditeurs diffusant eux-mêmes des contenus pornographiques, ne doit pas les conduire à collecter des données directement identifiantes de leurs utilisateurs. Une telle collecte de données présenterait, en effet, des risques importants pour les personnes concernées dès lors que leur orientation sexuelle – réelle ou supposée – pourrait être déduite des contenus visualisés et directement rattachée à leur identité. Or, une telle collecte d’informations aussi sensibles par les sites concernés serait contraire au RGPD. De plus, la multiplication de ce type de bases de données poserait de sérieux risques en cas de compromission de celles-ci par un tiers qui pourrait utiliser ces données à son profit ou les diffuser, avec un impact très significatif pour les utilisateurs concernés.
La Commission relève la difficulté de concilier les principes relatifs à la protection des données à caractère personnel avec tout mécanisme de contrôle de l’âge des mineurs faisant appel à une identification préalable de ceux-ci. Elle estime préférable le recours à des dispositifs consistant en la fourniture d’une preuve de la majorité d’âge. Ces services pourraient par exemple reposer sur un organisme tiers de confiance qui devraient intégrer un mécanisme de double anonymat empêchant, d’une part, le tiers de confiance d’identifier le site ou l’application à l’origine d’une demande de vérification et, d’autre part, faisant obstacle à la transmission de données identifiantes relatives à l’utilisateur au site ou à l’application proposant des contenus pornographiques. Le moyen de preuve devrait ainsi être à la main de son porteur et se limiter à un seul attribut d’âge. L’organisme tiers de confiance doit par ailleurs intégrer toutes les garanties de protection des données à caractère personnel et en particulier l’information de la personne concernée, dans des termes simples et adaptés à chaque public, sur les risques et droits liés au traitement de ses données.
En tout état de cause, les dispositifs de vérification de la majorité d’âge doivent strictement respecter le principe de minimisation des données.
Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement. La même analyse peut être appliquée aux dispositifs destinés à estimer l’âge d’un utilisateur à partir d’une analyse de son historique de navigation, sans qu’en outre une telle collecte permette une estimation précise.
Enfin, la Commission considère que les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé.
Sur le rôle du CSA
La Commission souligne que le mécanisme prévu à l’article 5 du projet de décret, prévoyant un renvoi des utilisateurs des services de communication en ligne auxquels l’accès est empêché vers une page d’information sur le site web du CSA, ne devrait pas conduire ce dernier à collecter les données à caractère personnel des internautes concernés, et notamment leurs adresses IP.
La Commission souligne la nécessité de mettre en place des dispositifs de vérification de la majorité d’âge conformes aux règles de protection des données et estime dès lors nécessaire de poursuivre des travaux communs avec le CSA, dans une logique d’inter-régulation.
La Présidente
Marie-Laure DENIS