Perspectives d’acteurs : Michael Murray

 L’ « Age Appropriate Design Code » (ou « Children’s Code ») introduit des dispositions en matière de protection des données personnelles que les fournisseurs de services en ligne doivent respecter afin de protéger leurs jeunes utilisateurs. En septembre dernier, la phase de transition du Code s’est achevée et, par conséquent, ces fournisseurs doivent s’y conformer. Est-ce le cas, et comment est-ce que l’ICO vérifie l’application du Code ?

Le « Children’s Code » est entré en vigueur le 2 septembre 2021, ce qui veut dire que le Commissaire à l’Information (Information Commissioner) doit le prendre en compte lorsqu’il examine la conformité d’un fournisseur de services en ligne aux obligations de protection des données. Depuis cette date, lorsque cela est pertinent, les tribunaux doivent également prendre en compte les dispositions du Code.

Depuis que nous sommes entrés dans la phase de supervision (il y a six mois), le Code contribue concrètement à l’adaptation des services en ligne afin de mieux prendre en compte la protection des données des enfants. Des études menées par l’ICO montrent en effet que 2 entreprises concernées sur 5 ont d’ores et déjà opéré des changements dans la façon dont elles traitent les données des mineurs et dont elles conçoivent leurs services afin que ceux-ci collent au plus près des besoins des enfants. Nos enquêtes révèlent en outre que la plupart des acteurs ciblés s’intéressent désormais aux risques éventuels qu’ils pourraient poser aux enfants, revoient et modifient leurs politiques de confidentialité, et développent des études d’impact en matière de protection des données.

Dans les mois qui ont suivi l’entrée en vigueur du Children’s Code, nous avons passé en revue les différents secteurs dans lesquels les fournisseurs de services en ligne sont actifs, afin d’identifier ceux qu’il convenait de prioriser dans nos contrôles de conformité. Pour ce faire, nous avons procédé à des analyses de risques, et repéré les services les plus utilisés par les enfants et les plus susceptibles de leur causer préjudice. Les secteurs que nous avons identifiés comme cibles de supervision proactive à l’issue de ce processus sont les jeux en ligne, les réseaux sociaux, et les plateformes de streaming de musique et de vidéos.

L’ICO a ensuite contacté 40 fournisseurs opérant dans ces secteurs prioritaires afin de faire le bilan des efforts entrepris par ces derniers pour mettre en œuvre le Code. Nous les avons notamment interrogés sur d’éventuelles modifications apportées à leur politique de confidentialité afin d’en améliorer la compréhension, sur la manière dont ils font respecter leurs « règles communautaires » (community standards), et sur les mesures mises en œuvre afin de protéger les enfants du profilage. Parmi les 40 entreprises, nous jugeons que près d’un quart a globalement de bonnes pratiques en la matière. Pour 42% d’entre elles en revanche, nous avons soulevé quelques points d’inquiétude. Enfin, une sur cinq présentait d’importants problèmes de conformité. À l’heure actuelle, nous sommes toujours dans l’attente de réponses détaillées de la part de certains de ces acteurs, et continuons de travailler avec ceux qui rencontrent des problèmes de mise en conformité afin de les assister dans cet exercice. Lorsque des problèmes de conformité particulièrement graves et persistants sont identifiés, l’ICO est en mesure d’appliquer toute la gamme de ses pouvoirs réglementaires.

En complément de ce méticuleux travail de supervision, l’ICO propose des audits volontaires aux entreprises désireuses de tester les systèmes et les améliorations qu’elles ont mis en place afin de se conformer au Code. Pour l’heure, nous avons réalisé plusieurs audits dans le secteur des jeux en ligne. Des échanges plus poussés avec les grands groupes de réseaux sociaux sont par ailleurs menés par notre équipe dédiée à l’économie numérique.

Enfin, nous continuons de recevoir toute plainte qui pourrait émaner du public à propos d’une éventuelle non-conformité au Children’s Code, et portons une grande attention à l’analyse de la conformité au Code en cas de fuites de données pouvant appartenir à des enfants.

L’ICO rencontre-t-elle des difficultés dans le contrôle de l’application du Code ?

Pour l’heure, nos analyses montrent que plusieurs organisations ont entrepris des actions visant à assurer leur conformité au Children’s Code. Mais il existe des marges d’amélioration. C’est pourquoi nous attendons des acteurs concernés qu’ils soient en capacité de démontrer une progression en la matière, et de prouver qu’ils ont effectivement mis en place des mesures visant à protéger la vie privée et les données personnelles des mineurs. Les résultats de nos enquêtes montrent que plus de 60% de ces organisations doivent encore améliorer leur conformité au RGPD britannique (UK GDPR) et à l’acte sur la protection des données (Data Protection Act), ce qui suggère qu’il reste un long chemin à parcourir pour rendre effectives les 15 dispositions du Code.

Bien que nous soyons encore au début de la phase de supervision, les résultats recueillis jusqu’ici nous donnent un bon aperçu de la manière dont les différents fournisseurs de services en ligne intègrent ses dispositions dans leurs modèles d’affaires.

Je tiens toutefois à souligner que notre démarche ne consiste pas à remettre une médaille à toute entité qui serait jugée conforme au Code. Ce dernier doit être respecté de façon continue : ses dispositions doivent être prises en compte dès la conception et dans la gestion des services en ligne, et dans tout traitement de données appartenant à des enfants.

La plupart des parties prenantes, que ce soit du côté de l’industrie et ou de la société civile, soutiennent le Code et ses ambitions. L’idée que les enfants ont besoin d’une protection renforcée en ligne fait relativement consensus. Nos plus grands défis à l’heure actuelle sont de parvenir à sensibiliser davantage les petites entreprises, et à acquérir une connaissance plus fine de la façon dont un grand éventail de services en ligne traitent les données des enfants (ce qui suppose de comprendre comment ces données sont partagées, dans des écosystèmes qui sont souvent complexes et opaques).

Les principales leçons que nous pouvons tirer de notre expérience sont les suivantes : quelques acteurs de l’industrie ont du mal à réaliser que le Code s’applique à eux, dans la mesure où ils proposent des services « susceptibles d’être utilisés par des enfants » ;  d’autres sont particulièrement lents dans leur mise en conformité ; les entreprises en général ont du mal à appréhender les notions de “design approprié aux enfants” et de contrôle de l’âge. Nous constatons toutefois des progrès, synonymes de changements significatifs pour de nombreux acteurs de l’industrie. D’importants changements ont notamment été entrepris par les acteurs de la « Big Tech » en réaction au Code.

Dans le secteur des réseaux sociaux, nos analyses révèlent que des mesures de sécurité ont été développées afin de mieux répondre aux risques dont pourraient être victimes les enfants. Les « standards communautaires » et conditions générales d’utilisation (CGU) ont tendance à être transparents, et des outils existent afin d’éviter des potentiels préjudices physiques aux jeunes. Les outils de signalement sont également nombreux. Toutefois, des améliorations sont possibles dans ce secteur, notamment en ce qui concerne les mesures de contrôle de l’âge visant à faire respecter les CGU, le recours permanent au profilage à des fins de personnalisation des contenus et de monétisation, ou encore les configurations de partage de données avec des tiers (ce partage n’étant pas souvent désactivé par défaut).

Dans le secteur du streaming, les organisations que nous avons ciblées font globalement preuve de bonnes pratiques en ce qui concerne l’adoption de la « privacy by design » et la mise à disposition de politiques de confidentialité transparentes. Des efforts supplémentaires sont toutefois nécessaires afin de s’assurer que les profils des utilisateurs mineurs soient configurés en mode “privé” par défaut, et que les dispositifs de contrôle parental soient efficaces.

Quant au secteur des jeux en ligne, il fait preuve de bonnes pratiques en termes de mise à disposition d’outils visibles et efficaces pour signaler les commentaires ou contenus inappropriés, en termes de configuration en mode « privé » par défaut des profils des utilisateurs mineurs, et en termes de géolocalisation (qui est souvent désactivée par défaut). Certains aspects restent en revanche à améliorer, à l’instar de l’efficacité des dispositifs de contrôle parental (notamment pour les jeunes de 13 à 17 ans) et de vérification de l’âge (qui ont tendance à reposer sur l’auto-déclaration), ainsi que des informations relatives à la transparence, qui doivent être adaptées au niveau de compréhension des enfants qui utilisent ces services.

En France, le débat sur la protection des enfants en ligne se concentre sur la vérification de l’âge et sur la restriction de l’accès à certains contenus. Or, pour l’heure, aucune solution satisfaisante ne semble avoir été trouvée en la matière. Quel regard est-ce que l’ICO porte sur ce sujet ?

La disposition n^o 3 du Children’s Code stipule que les services en ligne susceptibles d’être utilisés par des enfants doivent adopter une approche basée sur l’analyse des risques, afin de vérifier l’âge de leurs usagers et de garantir une application efficace des dispositions du Code vis-à-vis de leurs utilisateurs mineurs. Cela signifie qu’ils doivent soit vérifier l’âge de leurs utilisateurs avec un niveau de certitude proportionné aux risques pour les droits et libertés induits par le traitement de leurs données, soit appliquer les dispositions du Code à l’ensemble des utilisateurs.

Nous ne sommes pas en faveur d’une exclusion totale des enfants de la part des services en ligne (excepté lorsque les services en question proposent des contenus auxquels les enfants ne devraient avoir accès sous aucune circonstance). Pour les services en ligne susceptibles d’être utilisés par les enfants et qui peuvent être adaptés aux mineurs, la meilleure façon de procéder à cette adaptation est d’appliquer les provisions du Code à l’ensemble des utilisateurs. Néanmoins, nous reconnaissons que cela n’est pas toujours possible, et qu’une certaine forme de vérification de l’âge peut être nécessaire pour assurer que les enfants puissent accéder à des services qui leur conviennent, tout en protégeant leurs données.

Pour l’heure, notre expérience montre que la solution adoptée en matière de contrôle de l’âge par la plupart des acteurs concernés consiste à l’auto-déclaration. Dans certains cas, où les risques encourus par les enfants sont faibles, l’auto-déclaration peut constituer un outil de contrôle de l’âge acceptable. Mais lorsque les risques sont plus élevés, l’ICO attend des fournisseurs de services en ligne qu’ils utilisent des outils plus efficaces. Certes, les méthodes de contrôle de l’âge actuelles nécessitent sans doute d’être perfectionnées afin de gagner en efficacité. Mais nous attendons également des services en ligne qu’ils identifient, dans leurs analyses d’impact relatives à la protection des données, les risques pour les données des enfants, ainsi que la manière dont ils prévoient de minimiser ces risques. Il s’agit là d’un domaine où nous souhaitons voir des progrès dans la pratique. Nous travaillons donc avec les acteurs clés du secteur, afin d’approfondir notre compréhension de ce qu’il est possible de faire avec les technologies existantes. L’objectif de cette démarche est de pouvoir appliquer ces connaissances à la supervision du Code. L’ICO a récemment publié un avis du Commissaire à l’information relatif au contrôle de l’âge, qui détaille nos attentes vis-à-vis des services en ligne en matière de conformité au Code.

L’Information Commissioner’s Office est bien consciente que les systèmes de contrôle de l’âge sont des technologies en voie de développement, et que de nombreuses organisations souhaitent adopter une approche internationale plutôt que des approches nationales en la matière. Sans doute les initiatives telles que le projet euCONSENT et l’élaboration de normes internationales contribueront-elles à ces démarches.

Pour l’heure, que savons-nous de la future réforme de la protection des données au Royaume-Uni et de l’impact qu’elle pourrait avoir sur les activités de l’ICO ?

C’est une bonne chose que le gouvernement britannique examine le cadre législatif relatif aux données personnelles, et réfléchisse à des manières de l’améliorer tout en maintenant des standards de protection élevés. Nous travaillons en étroite collaboration avec le gouvernement afin de partager nos retours et conseils en tant que régulateur indépendant, sur la manière dont la réforme pourrait contribuer à la protection des droits à l’information, auxquels le public britannique tient, tout en soutenant la croissance économique, les entreprises et les services publics.

Vous trouverez de plus amples informations à ce sujet dans la contribution de l’ICO à la consultation lancée par le ministère du Numérique, de la Culture, des Médias et des Sports (Department for Digital, Culture, Media & Sport, DCMS) ici. Le gouvernement analyse actuellement les réponses à la consultation et nous serons informés des prochaines étapes en temps voulu.