Publication 15 septembre 2022

Contrôle de l’âge en ligne : pour une approche proportionnée et européenne

AUTEURS

  • Jessica Galissaire, Responsable des études, Renaissance Numérique

  • Annabelle Richard, Avocate associée, Pinsent Masons

Les obligations légales en matière de contrôle de l’âge en ligne sont globalement peu respectées et font l’objet d'âpres débats en France et en Europe. Au-delà de son caractère urgent pour la protection des mineurs et de son omniprésence dans le débat public, le cas du contrôle de l’âge permet d’analyser la façon dont l’action publique et les divers acteurs concernés se saisissent de la politique de l’enfance en ligne. Dans cette publication, nous explorons les sources de dysfonctionnements du contrôle de l’âge et proposons des voies d’amélioration pour le rendre plus effectif, et plus globalement bâtir une politique de l’enfance en ligne respectueuse de l’équilibre entre les droits et libertés fondamentaux des internautes.

Un cadre juridique protecteur, qui instaure un contrôle de l’âge…

Si les usages numériques des mineurs sont porteurs d’immenses opportunités leur permettant d’exercer leurs droits (droit à l’éducation, à l’information, liberté d’expression…), ils sont également susceptibles de les exposer à des risques : cyberharcèlement, haine en ligne, grooming, exposition à des contenus illégaux ou préjudiciables, incitation à des comportements dangereux, addiction, exploitation de leurs données personnelles… Pour cette raison, des dispositions spécifiques à l’environnement numérique, qui introduisent la nécessité de contrôler l’âge des internautes, ont été pensées à la fois au niveau européen et national.

Alexandra Mielle

Cheffe du département « Protection des publics », Autorité de régulation de la communication audiovisuelle et numérique (Arcom)

« La vision médiatique des usages numériques des mineurs se concentre généralement sur les aspects les plus dangereux. On analyse souvent le pire de ces usages sans explorer également les aspects positifs. Il existe donc aujourd’hui un vrai besoin pour les jeunes et les adultes (y compris les enseignants) de s’approprier ces usages, qui se sont multipliés, tout en développant des modalités de protection efficaces. »

Le règlement général sur la protection des données (RGPD), par exemple, dispose que les enfants méritent une protection spécifique en ce qui concerne le traitement de leurs données à caractère personnel. En outre, conformément à son article 8(1), « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant ». En France, l’article 45 de la Loi informatique et libertés vient compléter cette disposition en plaçant la limite d’âge à 15 ans, et en introduisant le principe dit du « consentement dualiste » : lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.

RGPD, article 8(1)

« Le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant »

De son côté, la directive révisée sur les services de médias audiovisuels (dite « directive SMA ») introduit pour les États membres l’obligation de prendre « les mesures appropriées pour garantir que les services de médias audiovisuels […] qui pourraient nuire à l’épanouissement physique, mental ou moral des mineurs ne soient mis à disposition que dans des conditions telles que les mineurs ne puissent normalement pas les entendre ni les voir » (article 6 bis).

D’autres textes relatifs à l’environnement numérique, qui entreront prochainement en vigueur ou sont en discussion au niveau européen, à l’instar du Digital Services Act (DSA) et de la proposition de législation sur l’intelligence artificielle (AI Act), comportent des dispositions spécifiques aux mineurs, notamment relatives à l’interdiction d’utiliser leurs données personnelles à des fins commerciales.

En France, l’article 227-24 du Code pénal, l’article 45 de la Loi informatique et libertés, l’article 23 de la loi visant à protéger les victimes de violences conjugales, la loi sur les « enfants influenceurs », la loi visant à renforcer le contrôle parental sur les moyens d’accès à Internet et la loi visant à combattre le harcèlement scolaire, complètent l’arsenal juridique international et européen.

Michael Murray

Responsable de la stratégie de la régulation, Information Commissioner's Office (ICO)

« Il y a des craintes que, si le contrôle de l’âge est mal fait, il ne finisse par devenir les nouveaux "cookies", entraînant des frictions qui pourraient conduire les gens à renoncer aux services. »

…mais dont la mise en œuvre est insatisfaisante

Au regard du cadre juridique national, européen et international visant à protéger les mineurs dans l’environnement numérique, le cyberespace ne constitue ainsi pas une « zone de non droit » pour ce public. Toutefois, les obligations légales en matière de contrôle de l’âge en ligne, en particulier l’article 8(1) du RGPD et l’article 227-24 du Code pénal, sont globalement peu respectées. Nous sommes donc plutôt face à un manque de contrôle et de mise en application.

Nous identifions trois obstacles majeurs à l’effectivité des mesures existantes :

  • le délicat équilibre entre la protection des mineurs en ligne, et les autres droits, à l’instar du droit à la vie privée ;
  • les objectifs économiques de certains acteurs ;
  • et le relatif manque d’homogénéité du cadre légal au niveau des États membres de l’Union européenne, qui rend complexe la mise en conformité.

En outre, certaines des solutions techniques permettant d’effectuer un contrôle de l’âge s’avèrent particulièrement intrusives, et sont susceptibles d’entraîner un déséquilibre en matière de garantie des droits et libertés fondamentaux.

Mettre en place un cadre d’exigences commun au niveau européen

Afin de dépasser ces obstacles, nous préconisons de mettre en place un cadre d’exigences commun au niveau européen. Le principe de proportionnalité et la responsabilisation des fournisseurs de services en ligne sont au cœur de cette approche, qui repose en particulier sur trois axes :

RECOMMANDATIONS

#1 - Instaurer un code de conduite contraignant au niveau européen

Les conditions minimales permettant de contrôler l’âge des internautes de manière efficace et compatible avec nos droits et libertés fondamentaux doivent être précisées et harmonisées au niveau européen. Nous encourageons la Commission européenne, les États membres et l’ensemble des parties prenantes concernées à explorer la piste d’un code de conduite contraignant.

#2 - Privilégier les analyses d’impact plutôt que les analyses de risques

Les fournisseurs de services en ligne susceptibles d’être consultés par des mineurs ne peuvent se contenter de réaliser des analyses de risques. Les analyses d’impact permettent d’englober à la fois les opportunités et les risques auxquels s’exposent les mineurs, ainsi que d’autres variables clés comme l’impact d’éventuelles mesures sur les autres utilisateurs, la facilité de contournement des mesures envisagées, le coût pour les acteurs concernés, etc. Cette évolution doit également être intégrée par les autorités de contrôle chargées de superviser ces services. Il apparaît ainsi urgent de renforcer les ressources humaines et financières dont disposent ces dernières.

#3 - Imposer un contrôle de l’âge « strict » lorsque des dispositions légales visant une restriction ou une interdiction d’accès existent

Nous recommandons d’imposer un contrôle « strict » (via vérification) lorsque des dispositions légales visant une restriction ou une interdiction d’accès existent. Pour les opérateurs fournissant de tels produits ou services (contenus pornographiques, paris en ligne, vente d’alcool…), l’impératif de contrôle de l’âge est d’autant plus critique qu’il vise à déterminer si un individu a le droit d’accéder au produit ou service en question, ou non. Une telle mesure nécessite toutefois de disposer de techniques de vérification de l’âge à la fois efficaces, peu intrusives, accessibles à tous et respectueuses de l’équilibre entre les droits et libertés fondamentaux. Les travaux en cours au niveau français et européen visant à développer des solutions répondant à ces exigences doivent dès lors être soutenus.

Sur le même sujet