Pour vérifier l’âge des internautes qui consultent des sites pornographiques, le gouvernement avance sa parade : le recours au « double anonymat ». Le ministre de la transition numérique, Jean-Noël Barrot, en a évoqué « le principe », mardi 14 février, au cours d’une audition devant les députés de la délégation aux droits des enfants : « celui qui fournit l’attestation de majorité ne sait pas ce pour quoi elle va être utilisée. Ce peut être un opérateur télécoms, un fournisseur d’identité numérique ou tout autre organisme susceptible d’attester de la majorité d’une personne. Et le site sur lequel l’attestation est utilisée ne connaît pas l’identité de la personne », résume le ministre.
Les premiers tests grandeur nature du système sont attendus pour le mois de mars et la Commission nationale de l’informatique et des libertés (CNIL) et l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) doivent rendre leurs avis sur le dispositif technique retenu pour mettre en œuvre cette approche.
Le ministre a aussi fait savoir que ce dispositif pourrait à l’avenir s’appliquer à toutes les plates-formes diffusant des contenus pornographiques, et pas simplement les sites consacrés. Des réseaux sociaux comme Twitter pourraient aussi avoir à déployer ces outils.
Cette approche tranche avec les solutions généralement employées pour vérifier si un internaute est majeur : cette preuve est souvent conditionnée à la possession d’une carte de paiement, ou au recours à un tiers de confiance, avec à la clé un risque certain pour le respect de la vie privée.
Au Royaume-Uni, la loi a tenté d’imposer en 2017 une solution robuste, mais face aux difficultés et aux critiques, le projet a été abandonné en 2019. Réintroduit en 2021, le projet de loi n’a toujours pas été finalisé. Aux Etats-Unis, la réflexion est en cours : plusieurs Etats ont voté en faveur d’une vérification de l’age des internautes, mais le débat sur la méthode à employer reste ouvert.
Tests en amont
Le laboratoire de recherche de la CNIL avait présenté en 2022 une première preuve de faisabilité reposant sur le principe de « double anonymat ». Celle-ci a été conçue en collaboration avec Olivier Blazy, spécialiste en cryptographie et enseignant à Polytechnique, interrogé par Le Monde : « Le mécanisme que nous avions présenté s’appuie sur un jeton numérique qui sera émis par les sites soumis à une restriction d’age. Celui-ci est “tamponné” par une autorité capable de certifier que la personne est majeure. » Cette approche offre une confidentialité plus grande que les autres méthodes généralement envisagées : le site n’a pas besoin de connaître l’identité ou l’âge de l’utilisateur et se contente de lui attribuer un jeton, et l’autorité qui se charge de certifier n’a pas besoin de savoir de quel site provient cette demande de majorité.
« Dans notre prototype, nous avons envisagé d’avoir un groupe d’autorités chargées de certifier la majorité, parmi lesquelles on pourrait envisager par exemple France Connect, les banques qui connaissent déjà votre âge ou les fournisseurs d’accès à Internet. L’intérêt, c’est de limiter la collecte de données en confiant cette tâche à des autorités qui ont déjà ces informations, tout en s’assurant que ce compte est suffisamment personnel pour qu’il ne soit pas trop partagé, par exemple avec d’autres membres de la famille », précise Olivier Blazy.
Cette approche de « double anonymat » n’est pas tout à fait neuve : elle repose sur des outils cryptographiques définis et étudiés depuis plus de vingt ans, connus sous le nom de preuve à divulgation nulle de connaissance. Le principe de ce protocole est de permettre à une entité de prouver mathématiquement qu’une proposition est vraie sans révéler d’information supplémentaire : par exemple, prouver que l’on connaît un mot de passe sans rien révéler de celui-ci. « C’est un domaine qui est étudié depuis longtemps, et qu’on voit notamment dans des mécanismes de certification anonyme, mais aussi plus récemment dans le secteur des cryptomonnaies par exemple. Mais c’est assez novateur de l’utiliser pour la preuve de majorité sur Internet », ajoute le chercheur.
La CNIL et l’Arcom doivent encore dévoiler les détails de la méthode retenue par le gouvernement pour mettre en œuvre cette solution : il leur faudra désigner clairement les autorités qui seront chargées de délivrer les preuves de majorité, ainsi que les outils que devront déployer les éditeurs de sites pornographiques pour se mettre en règle et émettre les jetons numériques au cœur du dispositif. Ainsi que les éventuelles mesures supplémentaires pour verrouiller le système, dont certaines faiblesses sont connues : « par exemple, si l’utilisateur a recours à un VPN qui change sa géolocalisation et le place hors de France. Dans ce cas, le site ne détecte pas un utilisateur français et n’a donc pas à appliquer la mesure de contrôle de l’âge », estime Olivier Blazy.