L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lecturePorno : les internautes vont devoir prouver leur âge avec leur carte bancaire
L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) a rédigé le référentiel attendu pour accompagner les sites X à empêcher les mineurs d’accéder à leurs contenus. L’Informé dévoile ce document.
« Veuillez saisir votre numéro de carte bancaire pour entrer sur ces pages. » Voilà le message qui risque de fleurir sur l’ensemble des sites pornos dans les prochaines semaines. Une conséquence d’une brique maîtresse de la future loi visant à sécuriser et à réguler l’espace numérique (SREN) destinée à protéger les mineurs de l’exposition à ces contenus réservés aux adultes. Un texte tout juste adopté par l’Assemblée nationale. Les sites X devront respecter ces préconisations à la lettre s’ils veulent rester accessibles en France.
Au premier plan, cela concernera tous les sites dont le siège est en France, comme Jacquie et Michel ou Dorcel et tous ceux installés hors UE comme Blacked ou Vixen. Pour ceux établis dans d’autres États membres, comme YouPorn et PornHub (basés à Chypre), Xnxx et Xvideo (République tchèque) ou encore Tukif (Portugal), la France devra d’abord demander à son homologue d’agir avant d’intervenir elle-même trois mois plus tard si elle n’obtient pas gain de cause. Comme le lui a fermement rappelé la Commission européenne.
Les sites concernés pourront être mis en demeure par l’Arcom d’appliquer ses règles dans les 30 jours, sous la menace d’une lourde amende, jusqu’à 150 000 euros ou 2 % du chiffre d’affaires mondial, plafonds doublés en cas de récidive dans les cinq ans. Ils seront toujours libres d’opter pour la solution de leur choix pour autant qu’elle respecte les exigences minimales : être fiable et respectueuse de la vie privée des internautes. Sans attendre la publication de la loi SREN au Journal officiel, ni même le contrôle préalable du Conseil constitutionnel, l’Arcom a détaillé ces prescriptions dans un projet de référentiel bientôt soumis à consultation publique mais que l’Informé dévoile en exclusivité. On y découvre donc que le gendarme du contrôle d’âge se contentera d’abord d’une vérification par carte bancaire avant d’exiger des solutions beaucoup plus robustes dans six mois.
Sous l’égide de l’ancienne législation, le site pour adultes Jacquie et Michel avait déjà tenté de mettre en œuvre un contrôle par CB, mais la solution n’avait pas été jugée alors suffisamment efficace par l’autorité puisqu’un jeune de 16 ou 17 ans peut être titulaire d’une telle carte. L’Arcom a finalement décidé de lâcher du lest afin de laisser une marge aux sites pour se mettre au diapason de la nouvelle régulation. Pour une durée estimée à six mois, « les solutions utilisant la carte bancaire seront réputées conformes aux caractéristiques techniques du référentiel », écrit-elle, mais seulement si elles respectent plusieurs conditions cumulatives : une vérification par un tiers indépendant, une certification de l’existence de la carte, mais aussi sa validité et enfin l’usage d’une authentification forte (par exemple via le protocole 3-D Secure).
L’autorité anticipe déjà des arnaques en ligne profitant de ce nouveau cadre, pour inviter les sites et les fournisseurs de solutions à lancer « une campagne de sensibilisation aux risques d’hameçonnage ». Une fois le délai de six mois passé, les éditeurs devront respecter les préconisations égrainées au fil d’une vingtaine de pages.
Quelle fiabilité pour le contrôle d’âge ?
Dans ce projet de référentiel, l’autorité ne rentre pas dans des méandres de la technique mais détaille une série de principes que chaque site devra à terme impérativement respecter. Le critère légal de la « fiabilité » impliquera ainsi une « étanchéité du contrôle d’âge », en ce sens où la vérification devra être effectuée dès la page d’accueil, sans affichage du moindre contenu pornographique (ou à la rigueur une photo floutée). Cette contrainte obligera de nombreux sites à revoir leur organisation pour « garantir qu’aucun utilisateur n’accède à un contenu à caractère pornographique tant qu’il n’a pas prouvé sa majorité ». La solution choisie devra aussi être « efficace » afin de « permettre de distinguer de façon certaine les utilisateurs mineurs des utilisateurs majeurs » même lorsque la détection de l’âge repose sur une simple estimation des traits du visage par webcam. L’Arcom leur impose ainsi une obligation de résultat, tout en exigeant de « meilleurs efforts » pour prévenir les tentatives de contournements. À ce titre, le partage de preuves d’âge avec d’autres personnes devra être bloqué et ces mesures devront prévenir l’utilisation de masque, photo, vidéo préenregistrées et même de solutions d’hypertrucage (deepfake). Ces systèmes pourront être fondés sur la présentation d’une pièce d’identité physique, à condition de bien vérifier « que le document est réel, et qu’il ne s’agit pas d’une simple copie, que l’utilisateur est bien le détenteur du document d’identité renseigné ». Le contrôle d’âge devra se faire à chaque consultation d’un site et évidemment être non discriminatoire (« l’efficacité de la solution technique de vérification d’âge doit être la même quelles que soient les caractéristiques physiques de l’utilisateur »).
La double peine passera-t-elle le Conseil constitutionnel ?
La nouvelle régulation des sites pornos régime passera-t-elle le cap du Conseil constitutionnel ? Sur le papier, le fait pour un site ne pas empêcher qu’un contenu pour adultes ne soit à portée de clic d’un mineur pourra entrainer un déluge de mesures de rétorsion : une lourde sanction administrative pour défaut d’application du référentiel au titre de l’article 1 du projet de loi SREN, une sanction financière encore plus importante pour défaut de réponse à la mise en demeure de l’Arcom au titre de son article 2, sans compter une procédure de blocage et de déréférencement chez les intermédiaires techniques, mais aussi par une amende au titre de l’article 227-24 du Code pénal, lequel interdit déjà de laisser une vidéo, une photo, un texte accessible aux jeunes. Cette superposition de peines questionne le respect d’un droit fondamental, celui de ne pas être jugé et puni plus d’une fois pour les mêmes faits. (« non bis in idem », dans le jargon des juristes).
Le respect du RGPD
Quelle que soit la technologie utilisée, les sites pornos devront évidemment respecter tous les standards de protection de la vie privée. Un passage du document corédigé en coulisses avec la CNIL rappelle que les éditeurs devront suivre les grandes règles du règlement général sur la protection des données à caractère personnel (RGPD). Par exemple, les responsables prévoiront la possibilité pour les internautes d’exercer leurs droits, comme le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la limitation du traitement, le droit à l’effacement, etc. Plus concrètement, chaque site porno devra disposer d’au moins deux méthodes de génération de preuve d’âge différentes, par exemple l’une reposant sur les documents d’identité, l’autre sur une estimation de l’âge. Au moins l’une des deux devra reposer sur « un dispositif de vérification de l’âge conforme aux standards de protection de la vie privée en double anonymat ».
Dans un tel système, déjà envisagé en 2022 par la CNIL, un tiers de confiance émettra un attribut d’âge (mineur/majeur) sous forme de jeton numérique que l’internaute pourra utiliser au moment de la consultation de son site fétiche. Ce tiers devra être indépendant « juridiquement et techniquement » des sites visités et l’univers du porno n’aura aucun accès aux données ayant servi à vérifier l’âge de l’utilisateur (identité, date de naissance ou d’autres informations à caractère personnel de ces utilisateurs). Cette vérification en double anonymat devra être disponible pour une grande majorité de la population majeure en France (au moins 80 %, en l’état du document). Enfin, s’agissant d’une décision automatisée ayant des impacts sur les droits des personnes, le RGPD implique que les internautes aient possibilité de contester l’analyse de leur attribut d’âge. Le secteur devra assurer un haut niveau de confidentialité, ces informations étant éminemment sensibles. Au-delà de ces exigences, les éditeurs sont conviés à suivre plusieurs objectifs, comme l’utilisation de solutions de chiffrement « possédant des propriétés de résistance aux attaques les plus complexes, y compris dans le futur » ou des systèmes pouvant générer une preuve d’âge localement.
Un risque de blocage d’accès
En plus du référentiel - prévu à l’article 1 de la loi SREN - et de manière assez étrange (lire notre encadré), les sites X français seront soumis à l’article 2 de la loi SREN pour les mêmes faits mais sous la menace de sanctions différentes. S’ils rendent accessibles des contenus pour adultes à des mineurs, en infraction avec le Code pénal, ils risqueront une procédure de blocage administratif décidée par la même Arcom. L’autorité leur adressera dans un premier temps des observations motivées. Chaque site aura 15 jours pour y répondre s’il le souhaite. L’institution publique pourra dans un second temps adresser une mise en demeure d’empêcher l’accès des mineurs par n’importe quel moyen (par exemple par un contrôle d’âge ou un retrait pur et simple du contenu épinglé). À défaut, quinze autres jours plus tard, l’Arcom décidera à son encontre d’une sanction maximale de 250 000 euros ou 4 % du chiffre d’affaires mondial hors taxes (ou 500 000 euros ou à 6 % du C.A. en cas de réitération dans les cinq ans). Cette mesure tiendra compte de la nature, la gravité et la durée du manquement, mais aussi des avantages tirés par le site.
Vers un bug calendaire ?
Selon le législateur, le référentiel ouvert bientôt à consultation devra être finalisé et publié dans les deux mois de la promulgation de la loi SREN. Ce délai est crucial : il permettra de calculer le moment à partir duquel les sites devront se conformer, soit dans les 90 jours plus tard. Seulement, un problème calendaire se pose. Avant publication, les mêmes lignes techniques devront être impérativement notifiées à la Commission européenne qui l’examinera pendant trois mois (délai dit de statu quo), où tout sera gelé en France. Résultat : soit ces lignes sont publiées dans les deux mois suivant la promulgation, en contrariété avec le droit de l’UE soit elles sont publiées dans les trois mois de la notification à Bruxelles, en contrariété cette fois-ci avec la loi française. Une seule alternative possible : que la promulgation de la loi SREN intervienne plus tardivement, afin de laisser le temps nécessaire aux autorités européennes.
Surtout, en plus de cette amende, elle pourra ordonner le blocage pur et simple du nom de domaine chez les fournisseurs d’accès et les opérateurs de noms de domaine. En lieu et place de la page d’accueil, les internautes tomberont sur une page expliquant les motifs de sa décision. De même, les moteurs comme Google ou Bing pourront être astreints à déréférencer l’ancienne adresse, tout comme l’App Store et Google Play. Toutes ces mesures seront prises pour une durée de deux ans et les intermédiaires qui n’obéiraient pas risqueront eux aussi de lourdes sanctions (jusqu’à 75 000 euros ou 1 % du chiffre d’affaires mondial, voire 150 000 euros et 2 % du chiffre d’affaires mondial en cas de récidive dans le délai de cinq ans et 1 % du C.A. pour les boutiques d’application). Pour contester ces restrictions d’accès, les éditeurs concernés devront saisir le président du tribunal administratif dans un temps très court de cinq jours. Le magistrat se prononcera dans le délai d’un mois.
Le rendez-vous raté de la loi contre les violences conjugales
En 2020, dans la loi contre les violences conjugales, le législateur avait déjà donné compétence au président du conseil supérieur de l’audiovisuel (CSA), ancêtre de l’Arcom, d’être saisi par quiconque afin de constater qu’un site diffuse du contenu pornographique sans contrôle d’âge. Si l’éditeur ignorait ses injonctions, l’autorité pouvait saisir le tribunal judiciaire de Paris aux fins de blocage du site. À cette occasion, un décret sur les modalités d’application de ce régime avait déjà offert la possibilité pour le même CSA de rédiger des « lignes directrices » destinées à aiguiller les éditeurs sur un procédé de vérification de majorité idéal, efficace, respectueux des données personnelles et techniquement solide. Pour ce chantier, le texte invitait le CSA à se rapprocher de l’autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) et de la Commission nationale de l’informatique et des libertés (CNIL). Le référentiel technique n’était qu’une option ouverte au régulateur, des travaux ont été menés notamment avec la CNIL en coopération avec le PEReN et un professeur de l’École polytechnique, mais ce projet n’a jamais été à son terme après quatre années.
