PPL visant à instaurer une majorité numérique : les points d’attention de Renaissance Numérique

N.B. Ces points d’attention sont principalement issus du rapport Contrôle de l’âge” : pour une approche proportionnée et européenne  publié par Renaissance Numérique au mois de septembre 2022. Ils se concentrent sur le contrôle de l’âge et le recueil du consentement parental.

Sur le contrôle de l’age en ligne

L’article 2 de la proposition de loi propose de fixer la « majorité numérique » à 15 ans. Ce seuil contraint les fournisseurs de services de réseaux sociaux à refuser l’inscription à leurs services des enfants de moins de 15 ans et, conséquemment, à mettre en place des solutions techniques pour vérifier l’âge de leurs utilisateurs.

La responsabilisation des fournisseurs de services en ligne est un point central de notre rapport. S’il n’existe actuellement pas de technique de vérification de l’âge pleinement satisfaisante (à cet égard, voir les récents travaux du Pôle d’expertise de la régulation numérique (PEReN)) certaines solutions apparaissent prometteuses. La solution à double anonymat développée par la Commission nationale de l’informatique et des libertés (CNIL) et le PEReN, par exemple, nous semble permettre un équilibre entre le respect de la vie privée des internautes (majeurs comme mineurs) et la nécessité d’effectuer un contrôle de l’âge pour certains usages en ligne. À ce sujet, nous préconisons que les fournisseurs de services en ligne laissent aux utilisateurs le choix de la solution technique qu’ils souhaitent employer pour vérifier leur âge, et proposent donc plusieurs options.

Néanmoins, cet article 2 soulève des interrogations. D’une part, il dispose qu’une autorisation parentale ne « peut pas être donnée pour les mineurs de treize ans, sauf pour les services de réseaux sociaux en ligne dûment labellisés à cet effet dans des conditions définies par décret en Conseil d’État ». La question se pose donc de savoir qui va labelliser ces services de réseaux sociaux accessibles aux moins de 13 ans, et selon quels critères.

D’autre part, il confie à l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) la responsabilité d’élaborer un référentiel des solutions techniques de vérification de l’âge. Or, les prérogatives de l’Arcom n’ont cessé se s’étendre ces dernières années. Très récemment, l’autorité a été désignée « coordinateur pour les services numériques » dans le cadre du Digital Services Act (DSA). Ainsi, il convient de veiller, face à l’inflation législative sur les sujets numériques, à ce que les moyens de contrôle de l’application des lois suivent en matière de recrutement, de formation, et de budget. À cet égard, les débats autour du prochain projet de loi de finances doivent être l’occasion d’augmenter significativement les moyens alloués aux autorités administratives indépendantes concernées.

Sur le recueil du consentement parental

En sus du contrôle de l’âge, l’article 2 de la proposition de loi introduit la nécessité de recueillir le consentement des titulaires de l’autorité parentale pour l’inscription des mineurs de moins de quinze ans aux services de réseaux sociaux en ligne. Si la responsabilisation des parents est un point central de l’accompagnement des usages des mineurs en ligne, nous percevons néanmoins plusieurs difficultés dans la mise en œuvre d’une telle mesure.

D’un point de vue opérationnel, comment recueillir ce consentement ? Si les technologies de contrôle de l’âge se sont particulièrement développées ces dernières années, on ne peut pas en dire autant des dispositifs de recueil du consentement parental. Alors que le programme de recherche européen Horizon 2020  “euConsent” œuvrait à l’élaboration d’un système pan-européen, sûr et certifié, de vérification de l’âge et du consentement parental, le financement de la Commission européenne pour ce projet est arrivé à échéance en 2022. Ainsi, après deux projets pilotes lancé auprès de plus de 2 000 personnes (adultes et enfants) dans cinq États membres, dont les résultats sont plutôt prometteurs, euConsent est devenu une organisation non-gouvernementale.  Ses dirigeants estiment à 2,5 millions d’euros le budget nécessaire au déploiement de la prochaine phase du projet.

Conformément à l’article 2 de la proposition de loi, le recueil du consentement parental s’applique également “aux comptes déjà créés et détenus par des mineurs de quinze ans”. Or, pour pouvoir recueillir le consentement parental pour ces comptes, il faut déjà avoir établi qu’ils appartiennent effectivement à des mineurs de moins de 15 ans. Cela signifie-t-il qu’il faudra vérifier l’âge de tous les détenteurs de comptes sur les réseaux sociaux existants en France ? Au-delà d’une difficulté certaine dans sa mise en œuvre, cette mesure pose la question du contrôle de l’âge tout au long du parcours utilisateur, au-delà du moment de l’inscription.

Sur la constatation du non-respect de l’article 2 

En cas de non-respect de l’article 2 de la proposition de loi, il est prévu que l’Arcom adresse une mise en demeure au fournisseur de service concerné. Encore une fois, il s’agit là d’une nouvelle responsabilité pour l’autorité, qui devra être accompagnée de moyens humains et financiers supplémentaires. En outre, le fait que ce mécanisme soit calqué sur celui de l’article 23 de la loi visant à protéger les victimes de violences conjugales, qui n’a pas fait la preuve de son efficacité, pose question. Fallait-il réitérer ces modalités, à savoir donner le pouvoir de saisir le président du tribunal judiciaire de Paris au seul président de l’Arcom, alors que les décisions sont historiquement prises de façon collégiale au sein de l’autorité ?

En cas d’inexécution de la mise en demeure, le président du tribunal judiciaire de Paris peut ordonner au fournisseur de mettre en œuvre une solution technique conforme. Mais le tribunal judiciaire de Paris a-t-il les moyens d’assurer ces fonctions, qui demandent une expertise pointue et technique ? A-t-il les moyens de se prononcer suffisamment rapidement ?

En termes de sanctions, les fournisseurs qui n’auraient pas respecté leurs obligations s’exposent à une amende pouvant aller jusqu’à 1 % de leur chiffre d’affaires mondial. Une telle sanction financière seule peut-elle être suffisamment dissuasive ou faut-il en imaginer d’autres ? Peut-on envisager un blocage du site si la non-conformité persiste ? Un réseau social labellisé pourrait-t-il perdre son label ?

Une question à appréhender dans une optique européenne, voire mondiale

En l’absence d’un cadre d’exigences commun, le contrôle de l’âge visant à protéger les mineurs en ligne peine à être assuré dans l’ensemble des pays européens. Ainsi, les logiques concurrentielles et marchandes des entreprises prennent souvent le dessus sur cet enjeu de protection (bien qu’il existe des exceptions). Dès lors, il apparaît indispensable de préciser au niveau européen les conditions minimales permettant de contrôler l’âge des internautes de manière efficace et compatible avec nos droits fondamentaux lorsque les situations l’exigent.

Puisque les exigences juridiques existent, il ne s’agit pas d’enrichir ou d’approfondir le cadre légal existant. En revanche, il s’agit de traduire, en des termes opérationnels et techniques, ces exigences. À cet égard, l’approche britannique devrait inspirer les acteurs européens. Le Children’s Code entré en vigueur le 20 septembre 2020, liste quinze principes que les fournisseurs de services en ligne susceptibles d’être consultés par des mineurs doivent respecter en matière de protection des données personnelles. Le code ayant une portée légale contraignante (il est basé sur le RGPD britannique), l’Information Commissioner’s Office (ICO, l’autorité de régulation des données britannique) peut infliger des amendes et sanctions en cas de non-respect des principes qui y sont énoncés. Afin de compléter et clarifier ces principes généraux, l’Information Commissioner a proposé, dans un avis du 14 octobre 2021 relatif au contrôle de l’âge en application du code, plusieurs lignes directrices.

La proposition de loi visant à instaurer une majorité numérique en France s’inspire en partie de la fameuse loi COPPA américaine (Children’s Online Privacy Protection Rule). Cette réglementation, relative à la collecte des données personnelles d’enfants de moins de 13 ans, instaure une sorte de mécanisme de co-définition de la régulation. Elle détaille comment vérifier le consentement parental avant de collecter, utiliser ou divulguer des données personnelles appartenant à des enfants, mais n’impose pas de méthode particulière pour ce faire. La Federal Trade Commission (FTC), équivalent américain de l’Autorité de la concurrence française, a toutefois identifié un certain nombre de méthodes de recueil du consentement jugées conformes aux critères de la COPPA Rule. Les opérateurs ont par ailleurs la possibilité de soumettre de nouvelles méthodes de consentement parental à l’examen et à l’approbation de la FTC. Dans une démarche de transparence, la FTC publie les propositions qu’elle a validées et invalidées. Les opérateurs disposent ainsi d’une liste des solutions jugées conformes et non conformes par le régulateur.

Si une harmonisation des règles afférentes au contrôle de l’âge et au recueil du consentement parental au niveau international paraît très (voire trop) ambitieuse, peut-être pouvons-nous, a minima, nourrir nos réflexions des quelques initiatives prometteuses observées à l’étranger à cet égard.