La publication du référentiel de l’ARCOM concernant l’accès aux sites pornographiques pour les mineurs : une nouvelle piste dans la vérification de l’âge en ligne ?

Publié par le dans , | Consulté 73 Fois

Par Aurore LUNEL, étudiante en Master 2 Droit des communications électroniques

Cette année 2024 a connu une certaine avancée en termes de protection des mineurs contre l’accès à la pornographie en ligne. En effet, après plusieurs mois d’attente, l’ARCOM a adopté et publié son référentiel le 9 octobre dernier, après un avis favorable rendu par la CNIL ainsi que par la Commission européenne quelques semaines auparavant.

En application de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique, dite loi « SREN », l’ARCOM a eu pour mission de déterminer des exigences techniques minimales à adopter pour tout service diffusant du contenu à caractère pornographique. Le référentiel impose désormais un certain nombre de mesures, dont le recours à un tiers indépendant vérificateur. Par ailleurs, il se doit également de respecter la protection de la vie privée et des données personnelles des utilisateurs, point qui ne s’assure pas gagné d’avance.

Bien que le référentiel demeure encore fraichement publié, cela ouvre une nouvelle porte dans la protection plus qu’essentielle des mineurs devant un constat tout de même relatif : une sanction pénale déjà mise en place mais insuffisante face à un Internet devenu le support privilégié de la diffusion des contenus à caractère pornographique, notamment pour les mineurs.

Une exposition à la pornographie de plus en plus précoce pour les mineurs : un danger grandissant

L’avènement des nouveaux médias et la démocratisation de l’accès à Internet et au téléphone ont participé à la naissance d’un phénomène : l’accès à la pornographie partout et pour tous, y compris pour les mineurs. Pour rappel, il est pourtant interdit d’exposer des mineurs à un contenu à caractère pornographique depuis le 1er mars 1994 et ce, en application des dispositions de l’article 227-24 du code pénal. Ainsi, les services de communication au public en ligne proposant ce type de contenus sont en principe réservés aux majeurs. Malgré cela, l’exposition des mineurs aux contenus pornographiques est en nette progression ces dernières années et aboutit à des conséquences parfois graves, notamment sur leur épanouissement mental et dans leurs rapports entre individus.

Dans un rapport publié en mai 2023, l’ARCOM expliquait déjà que 2,3 millions de mineurs se rendent sur des sites à caractère pornographique, avec une augmentation de la fréquentation de plus de 36% de 2017 à 2022. Elle précise que « quotidiennement, près d’un mineur sur dix se rend sur les sites à destination des adultes. ».  Cet état des lieux nous amène à constater que les mesures déjà mises en place, telle que l’obligation pour les hébergeurs de prévoir un mécanisme de vérification de l’âge des internautes en application de l’article 227-23 du code pénal, s’avèrent être un échec. En effet, la plupart d’entre eux se cantonnent seulement à une déclaration de majorité confirmée par un simple clic sur la mention « Je suis majeur ». Face à ce constat, une conscientisation de l’urgence de la situation s’est produite, donnant lieu à une réaction de la part de certains acteurs, dont le législateur.

La loi SREN, dont le volet principal repose sur la protection des mineurs, a en effet confié à l’ARCOM un pouvoir de blocage administratif des sites diffusant des contenus à caractère pornographique qui resteraient accessibles aux mineurs après avoir été mis en demeure de se conformer à l’article 227-24 du Code pénal et ce, sous contrôle du juge administratif et en complément de l’action du juge judiciaire. Afin de faire face à ce défi incontestable, le législateur ne s’est pas arrêté là et a effectivement chargé l’Autorité d’établir un référentiel déterminant les exigences techniques minimales applicables afin d’apporter un nouvel éclairage à ce chantier particulièrement complexe à l’égard des sites pour adultes.

Une mise en balance essentielle des intérêts à travers la mise en place de ce référentiel

Souhaitant accompagner le secteur dans la protection renforcée des mineurs, le référentiel impose aux services de communication au public en ligne de prévoir des systèmes de vérification de l’âge. À cette fin, une période transitoire de 3 mois à compter de la publication du référentiel a été mise en place pour leur permettre de se conformer. Or, si le système de vérification de l’âge n’est pas fiable ou qu’il n’offre pas un degré suffisant de protection de la vie privée, il ne sera pas admissible. Ces services de communication au public en ligne pourront alors s’attendre à recevoir une mise en demeure et à défaut, une sanction pécuniaire importante accompagnée d’un blocage de leur site effectué par les fournisseurs d’accès à Internet. Les conséquences d’une mauvaise conformité s’avèreraient donc considérables pour eux, constitutives d’une perte de l’accès au marché français et donc à un impact commercial majeur.

En outre, afin d’assurer son adaptation, l’ARCOM précise que le référentiel pourra être revu et actualisé si nécessaire et rappelle qu’il s’agit d’une « solution transitoire, dans l’attente d’une solution européenne efficace. ». À cela s’ajoute le fait que les sites visés doivent privilégier la solution la plus protectrice pour les mineurs et ce, sans méconnaitre les exigences techniques du référentiel. Par ailleurs, ces sites demeurent libres de choisir le moyen technique pour y parvenir. Il s’agit là d’une véritable difficulté car par exemple, un système de vérification portant atteinte à la vie privée d’un utilisateur sera rejeté. Or, afin de véritablement déterminer l’âge de ce dernier, une atteinte à sa vie privée est vite arrivée.

Dans une communication publiée en 2022, la CNIL expliquait déjà que « La vérification de l’âge de l’internaute se heurte à la difficulté, pour les différents acteurs techniques d’Internet, de savoir vraiment qui est la personne derrière l’ordinateur ou le smartphone. Cette nécessité d’identifier les internautes est, de fait, un enjeu pour la protection de la vie privée et des données personnelles, puisque la connaissance de l’identité d’une personne peut alors être reliée à son activité en ligne. Or, celle-ci renferme des informations particulièrement sensibles et intimes. ». La protection de ces informations particulièrement sensibles a, comme on le sait, été renforcée depuis 2016 par le RGPD. Mais la CNIL avait aussi rappelé dans sa communication que « contrairement à ce qui est parfois dit, le RGPD n’est pas incompatible avec un contrôle de l’âge pour l’accès aux sites pornographiques, qui est prévu par la loi. ».

Consciente de la difficulté de la tâche, l’ARCOM accorde aux sites concernés la possibilité de vérifier l’âge de leurs utilisateurs grâce à la fourniture d’une carte bancaire, à condition que cela demeure à titre exceptionnel et temporaire. La vigilance est tout de même de mise car les principes du RGPD doivent être respectés. Selon le référentiel, il est donc nécessaire d’assurer : « exactitude, proportionnalité et minimisation des données collectées ; information des utilisateurs concise, transparente, compréhensible et facilement accessible ; durées de conservation des données appropriée ; possibilité pour les personnes d’exercer leurs droits (…) ». Il s’agit donc d’une mise en balance importante à faire afin de respecter la législation en vigueur. Mais une question reste donc en suspens : comment assurer l’efficacité d’un système de vérification ?

Des exigences minimales applicables à tous les systèmes de vérification de l’âge reposant sur le recours à un tiers vérificateur indépendant et au mécanisme du double anonymat

Pour assurer la mise en œuvre de ces systèmes, le référentiel requiert plusieurs éléments tels que le recours à un tiers vérificateur indépendant et au mécanisme du « double anonymat ».

À cette fin, le référentiel prévoit que la vérification de l’âge doit être effectuée par un prestataire indépendant du site pornographique. Cette solution avait déjà été envisagée par la CNIL dans sa communication de 2022 afin de poursuivre un double objectif : « empêcher les mineurs de consulter des contenus inadaptés à leur âge, tout en minimisant les données collectées sur les internautes par les éditeurs de sites à caractère pornographique. ». Par ailleurs, son action est tout de même encadrée par un certain nombre de règles. En effet, en s’inscrivant dans le champ de l’article 22 du RGPD, le tiers soumet l’utilisateur à une décision automatisée pouvant l’impacter. Pour éviter cela, il doit donc prévoir un certain nombre de mesures assurant la sauvegarde des droits et libertés et des intérêts légitimes des utilisateurs. Parmi les mesures envisagées, le prestataire se doit d’être indépendant à l’égard des hébergeurs de sites pornographiques. Cela les empêche ainsi d’accéder aux données utilisées par le tiers et donc d’aboutir à une potentielle collecte. De plus, il est interdit au prestataire indépendant d’aboutir à une conservation des données collectées, même lorsque le système de vérification de l’âge ne permet pas d’obtenir l’identité numérique du mineur ou d’obtenir une preuve d’âge réutilisable. Le référentiel impose également aux prestataires mais aussi aux autres tiers impliqués une confidentialité pour toute génération d’âge qui pourrait servir de preuve.

En outre, le référentiel met en lumière un nouveau mécanisme plus protecteur de la vie privée : le recours au principe du « double anonymat ». Mais en quoi cela consiste-t-il ?

Le système de vérification de l’âge ne doit permettre ni aux services de communication, ni aux tiers impliqués, de reconnaitre un utilisateur ayant déjà utilisé le système grâce à des données générées par une précédente collecte. Le fait de pouvoir connaitre ou déduire la source et/ou la méthode d’obtention de la preuve de l’âge n’est pas non plus admis. À cette fin, plusieurs prestataires de génération de preuve d’âge doivent être proposés. L’entreprise Opale.io fait d’ailleurs partie des nouveaux prestataires de vérification de l’âge en ligne se basant sur le principe du « double anonymat ». Ces prestataires doivent également avoir recours à au moins 2 méthodes de génération de preuve d’âge en double anonymat. Pour illustrer cela, le référentiel explique qu’il peut s’agir d’une solution basée sur des documents d’identité mais aussi sur l’estimation de l’âge. Il est ainsi nécessaire d’aboutir à un « système de vérification de l’âge respectueux du double anonymat », afin de garantir un certain niveau de protection de la vie privée des utilisateurs consultant des sites pornographiques.

Ainsi, la mise en lumière des risques liés au visionnage de contenus pornographiques par des mineurs et l’enjeu central qu’est l’intérêt supérieur de l’enfant justifient l’ensemble de ces moyens prévus par le référentiel. Il s’agit effectivement d’une considération primordiale pour toute décision concernant un mineur et ce, en application de l’article 3 de la Convention internationale des droits de l’enfant. Dans l’attente d’une solution européenne, les services de communication au public en ligne diffusant du contenu à caractère pornographique en France disposent désormais de quelques semaines pour se conformer aux exigences techniques minimales du référentiel publiées par l’ARCOM qui, espérons-le, se conclura par un succès.

Sources complémentaires :