La loi SREN promulguée en mai dernier a donné la mission à l’Arcom d’établir un référentiel contraignant pour la vérification d’âge des sites pornographiques. Celui-ci, qui devait être publié avant la fin juillet et maintenant finalisé. Nos confrères de l’Informé en ont obtenu une copie qui prévoit notamment un test temporaire de ce contrôle via la carte bancaire de l’internaute.
C’est en mai que la loi SREN (Sécuriser et réguler l’espace numérique) a finalement été promulguée, après un passage devant le Conseil constitutionnel. Si celui-ci a censuré le délit d’outrage en ligne et quatre cavaliers législatifs, le texte confie toujours à l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) l’établissement d’un référentiel qui fixe les exigences techniques minimum auxquelles doivent se conformer les sites pornographiques pour mettre en place une vérification de l’âge de l’utilisateur.
Si ce référentiel n’est pas suivi, l’autorité peut imposer des sanctions financières allant jusqu’à 2 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, et 4 % en cas de récidive.
Notre confrère de l’Informé, Marc Rees, a pu obtenir une copie de la version définitive de ce document qui a ensuite été publié aujourd’hui par l’Arcom [PDF]. Celui-ci a été adopté mercredi 09 octobre 2024 par le collège de l’Arcom.
La loi encadre ce référentiel en demandant que les exigences du référentiel « portent sur la fiabilité du contrôle de l’âge des utilisateurs et sur le respect de leur vie privée ».
Dans le document, l’Arcom prévoit d’abord, comme le texte de la loi SREN, un délai de trois mois avant que les sites pornographiques aient l’obligation de mettre en place une vérification d’âge.
Un cahier des charges de fiabilité et de respect de la vie privée
Le référentiel aborde dans ses deux premières parties une sorte de cahier des charges de ces systèmes de vérification d’âge concernant d’abord leur fiabilité et ensuite la vie privée.
L’utilisateur qui n’a pas passé cette vérification ne devra pouvoir accéder à aucun contenu pornographique. Un floutage pourra être mis en place.
Le référentiel demande aux acteurs impliqués d’être « particulièrement attentifs à la protection de la vie privée de leurs utilisateurs et à la sécurité des systèmes d’information concernés, principes au respect desquels la CNIL est chargée de veiller en application notamment du règlement général sur la protection des données (RGPD) ».
Il impose aussi que le prestataire du service de vérification d’âge soit indépendant du site porno et qu’il mette en place un système qui soit « conforme aux standards de protection de la vie privée en « double anonymat » ». Celui-ci doit permettre que l’un comme l’autre ne puisse pas faire de lien entre les données de vérification d’âge et la navigation sur le site.
Une période transitoire avec carte bancaire
Mais dans une troisième partie, l’Arcom prévoit d’accepter, pendant une période transitoire de trois mois, des « solutions de génération de preuve dérogatoires » utilisant la carte bancaire. Ces solutions doivent, par contre, respecter certaines conditions :
- ne doivent pas être mis en œuvre directement par les services visés diffusant des contenus à caractère pornographique, mais par un tiers indépendant du service ;
- devront veiller à la sécurité de la vérification, afin de prévenir les risques d’hameçonnage qui y seront associés. Il convient donc de s’assurer que les informations de paiement sont bien saisies sur des sites de confiance. Il serait souhaitable à cet égard que les services visés diffusant des contenus à caractère pornographique et les fournisseurs de solutions lancent de manière coordonnée une campagne de sensibilisation aux risques d’hameçonnage, tenant notamment compte de cette nouvelle pratique ;
- devront permettre au minimum de s’assurer de l’existence et de la validité de la carte, ce qui exclut une simple vérification de la cohérence du numéro de la carte ;
- mettent en œuvre l’authentification forte prévue par la directive européenne (UE) 2015/2366 relative aux services de paiement (dite « DSP2 »), par exemple en s’appuyant sur le protocole 3-D Secure, dans sa deuxième version en vigueur, pour s’assurer que l’utilisateur du service est le titulaire de la carte au moyen d’une authentification à double facteur.
L’Arcom souligne que, sous réserve du respect de ces exigences, « cette solution permettrait dans un premier temps de protéger les mineurs les plus jeunes ». Selon l’Informé, cette période transitoire doit permettre de laisser du temps au marché pour s’adapter à cette nouvelle loi.
Ce n’est donc que dans six mois que les solutions de vérification d’âge se basant éventuellement sur d’autres systèmes devront être prêtes.
La SREN prévoit aussi que ce référentiel soit actualisé tant qu’il est nécessaire par l’Arcom. L’autorité pourrait donc le modifier pour élargir la période transitoire de l’utilisation de la carte bancaire.
Une difficulté avec les sites hébergés ailleurs en Europe
L’Informé précise que l’Arcom ne va pas pouvoir imposer son référentiel à tous les sites pornographiques. En effet, pour qu’il soit applicable aux sites situés dans des pays de l’Union européenne mais en dehors de la France (comme YouPorn et PornHub à Chypre ou Xnxx en République tchèque), les ministères de la Culture et du numérique doivent d’abord les lister dans un arrêté.
Et encore, ça sera ensuite au pays dans lequel se situe le site d’agir avant que l’Arcom puisse prendre des mesures si la Commission européenne considère que le pays n’a pas réagi suffisamment. « Une procédure d’urgence devrait tout de même permettre à Paris d’agir directement à l’encontre de ces plateformes, en ne procédant à ces étapes qu’a posteriori », explique notre collègue.
Un avis de la CNIl favorable
De son côté, la CNIL a publié son avis officiel [PDF] sur ce référentiel. Dans son communiqué, l’autorité « constate que l’ARCOM a suivi ses préconisations pour garantir que les dispositifs de vérification d’âge respectent la vie privée des internautes ».
Elle suggère quand même « d’expliciter que les vérifications à effectuer sur les titres d’identité utilisés à des fins de vérification de l’âge ne devraient pas incomber aux services visés mais aux tiers collectant ces documents ».
Elle recommande aussi qu’une future actualisation du référentiel rende obligatoire l’audit des systèmes de vérification de l’âge et de leur bonne mise en place par les services concernés. Celui-ci devrait, selon elle, s’attacher « à vérifier notamment la bonne prise en compte des exigences relatives à la protection des données et de la vie privée ».