Déclaration 1/2025 adoptée le 12 février 2025
La protection des mineurs dans l’environnement numérique soulève des défis majeurs en matière de régulation. Dans ce contexte, le Comité Européen de la Protection des Données (« CEPD ») a publié une déclaration sur les méthodes de vérification de l’âge au regard des enjeux de protection des données personnelles. Cette déclaration s’inscrit dans un cadre réglementaire européen plus large comprenant le RGPD, la directive sur les services de médias audiovisuels et le Digital Services Act (DSA). Elle n’a pas de valeur contraignante et constitue un document d’orientation générale permettant aux organismes de mieux appréhender l’ensemble des obligations qui s’imposent à eux lorsqu’ils mettent en œuvre des traitements de vérification de l’âge.
Le CEPD part d’un constat simple : la protection des mineurs est devenue un impératif européen, et la vérification de l’âge un outil d’implémentation privilégié. A titre d’exemple, le RGPD oblige les responsables de traitement à respecter un âge minimal (entre 13 et 16 ans selon les États membres) pour la validité du consentement des mineurs et le DSA mentionne la vérification de l’âge comme mesure de lutte contre l’exposition des enfants à des contenus inappropriés ou illicites (pour les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne – article 35(1)(j) du DSA).
En France, cette problématique est particulièrement prégnante, notamment au travers des obligations imposées aux fournisseurs de services numériques en matière de vérification de l’âge pour l’accès aux contenus pour adultes (loi SREN du 21 mai 2024) et l’instauration de systèmes de contrôle parental obligatoires sur certains terminaux permettant d’accéder à internet (loi du 2 mars 2022).
La vérification de l’âge implique de collecter et de traiter des données potentiellement sensibles (comme des documents d’identité ou des données biométriques) et de mettre en œuvre des technologies parfois intrusives (analyses algorithmique, reconnaissance faciale, etc.). C’est la raison pour laquelle les méthodes de vérification soulèvent de nombreuses questions de conformité à la règlementation sur les traitements de données à caractère personnel, que le CEPD passe en revue dans sa déclaration.
1. Respect des droits fondamentaux et intérêt supérieur de l’enfant
Le CEPD rappelle que l’intérêt supérieur de l’enfant doit être au centre de toute démarche de vérification de l’âge. Cette exigence découle notamment de la Convention internationale des droits de l’enfant, et se retrouve dans différents instruments de l’UE. Le Comité fait notamment référence au droit à la protection des données personnelles, mais également à d’autres droits fondamentaux tels que la protection contre la violence ou d’autres formes d’exploitation, en précisant qu’il ne doit pas y avoir de hiérarchie entre ces différents impératifs.
2. Approche fondée sur les risques et proportionnalité
La proportionnalité est au cœur du discours du CEPD. La décision de mettre en place un mécanisme de vérification de l’âge doit être motivée par l’existence d’un risque effectif pour les enfants, tel que l’exposition à des contenus préjudiciables (contenus violents, pornographiques, etc.).
Le Comité insiste sur l’importance de réaliser une analyse d’impact sur la protection des données (AIPD) après avoir noté que la vérification de l’âge peut présenter un risque élevé pour les droits et libertés des personnes concernées « dans de nombreux cas ». L’AIPD servira à guider la conception et la mise en œuvre des mesures techniques et organisationnelles appropriées, notamment afin d’assurer que le mécanisme de vérification de l’âge est strictement nécessaire et est efficace. Le CEPD suggère également d’intégrer dans l’AIPD l’analyse de risque évoquée au paragraphe précédent.
3. Limitation des finalités et minimisation des données
En lien direct avec le point précédent, le CEPD met l’accent sur le respect de deux principes fondamentaux du RGPD : la limitation des finalités (article 5(b) du RGPD) et la minimisation des données (article 5(c) du même texte).
Limitation des finalités : la nécessité de vérifier l’âge d’une personne concernée, que cela soit imposé par la loi ou décidé par le responsable de traitement en fonction des risques que son activité présente, ne peut donner lieu ni être un prétexte à de nouveaux traitements sans lien avec cette finalité. Les responsables de traitement doivent donc mettre en place des garanties afin de prévenir les risques de réutilisation des données utilisées non compatibles (et non anticipée par les personnes concernées), ayant par exemple pour objet de déterminer l’identité ou la localisation géographique précise de la personne concernée, ou de contrôler, évaluer ou déduire des aspects personnels de son identité. Ces garanties pourront notamment prendre la forme de mesures organisationnelles, telles que des politiques internes ou des obligations contractuelles avec les tiers.
Minimisation des données : seules les données strictement nécessaires à la vérification de l’âge doivent être collectées à cette fin. Dans de nombreux cas, le CEPD note que le fournisseur d’un service en ligne a uniquement besoin de savoir si la personne concernée a atteint ou non un certain seuil d’âge (ex : 18 ans). Le principe de minimisation des données devrait ainsi conduire ces fournisseurs à ne pas collecter l’âge exact de la personne concernée, mais uniquement l’information selon laquelle le seuil d’âge est atteint ou non. Cela pourrait être réalisé avec le recours à des tiers vérificateurs, intermédiaires entre la personne concernée et le fournisseur du service (le tiers vérificateur a accès à l’âge de la personne concernée mais ne transmet au fournisseur du service que l’information relative à l’atteinte ou non du seuil d’âge).
Le CEPD rappelle que ces principes, ainsi que les autres principes fondamentaux de la protection des données, doivent être pris en compte dès la conception des méthodes de vérification de l’âge (privacy by design), qui doivent assurer par défaut la plus haute protection possible des données (privacy by default). Dans sa déclaration, le CEPD donne des exemples de technologies et architectures existantes assurant une haute protection de la vie privée (ex : technologies permettant un traitement local des informations ou la divulgation sélective d’informations relative à l’identité, sous le contrôle de la personne concernée, le recours à certains protocoles cryptographiques, etc.). Le Comité insiste également sur la nécessité de régulièrement revoir les choix effectués et de les mettre à jour si nécessaire en fonction de l’évolution de l’état de l’art.
4. Efficacité des mesures de vérification de l’âge
Le CEPD rappelle, de manière pertinente, que s’assurer de l’efficacité de la mesure de vérification de l’âge est primordial puisqu’il s’agit d’une condition préalable pour satisfaire aux principes de nécessité et de proportionnalité du traitement.
En l’occurrence, l’efficacité de la mesure d’âge devra être évaluée selon au moins trois critères :
- Son accessibilité : La procédure doit être largement accessible à tous, en conformité avec la législation en matière d’accessibilité, et prévenir l’exclusion de certaines catégories de personnes concernées (ex : personnes ne disposant pas d’un document d’identité, personnes affectées par un handicap) en offrant des alternatives pertinentes lorsque cela est nécessaire.
- Sa fiabilité : Le mécanisme doit offrir un niveau d’exactitude conforme à l’article 5(d) du RGPD et offrir un moyen de recours aux personnes concernées en cas d’erreur – ou en tout état de cause si le mécanisme de vérification s’inscrit dans un process de prise de décision entièrement automatisé au sens de l’article 22 du RGPD.
- Sa robustesse : La méthode de vérification doit, dans la mesure du possible, être résistante aux tentatives de tromperie ou de contournement du système.
5. Transparence, loyauté et information des utilisateurs
L’information des personnes concernées est un des piliers de la conformité au RGPD. En matière de vérification de l’âge, le CEPD insiste sur la nécessité d’assurer que l’information est suffisamment accessible et claire, puisque dans de nombreux cas les personnes concernées comprendront des enfants.
Le Comité indique également que, lorsque plusieurs mécanismes de vérification de l’âge sont proposés, le fournisseur doit expliquer de manière transparente l’impact de chaque méthode du point de vue de la protection des données.
6. Prise de décision automatisée
Selon le CEPD, qui rappelle que la CJUE a récemment adoptée une conception large de la notion de prise de décision entièrement automatisée (notamment via son arrêt SCHUFA du 7 décembre 2023), la vérification de l’âge peut aboutir à la prise d’une telle décision à différentes étapes du processus, par exemple au moment de permettre l’accès au contenu ou au travers des méthodes déployées pour prouver l’âge. Par ailleurs, cette décision peut parfois produire des effets juridiques ou affecter significativement les personnes concernées en fonction du type de service auxquels ils souhaitent avoir accès (par exemple, cela peut porter préjudice à leur liberté d’expression).
Le responsable de traitement doit dès lors se conformer à l’article 22 du RGPD, notamment en permettant à la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue ou de contester la décision lorsque le traitement est nécessaire à la conclusion d’un contrat ou est fondé sur le consentement explicite de la personne concernée.
7. Sécurité
Le CEPD souligne l’importance d’assurer la sécurité des traitements liés à la vérification de l’âge au regard des risques spécifiques que ces traitements peuvent comporter (en particulier si la vérification se fait par transmission de documents officiels d’identité, par biométrie, etc.).
Le Comité prévient à ce titre que, compte tenu de la multiplication des obligations légales de vérification de l’âge, et donc de la multiplication des systèmes, il faut s’attendre à ce que des violations de données se produisent. La capacité de détecter et de réagir à ces violations est donc tout aussi importante que la capacité de les prévenir.
8. Responsabilité et gouvernance
La déclaration insiste sur la notion d’accountability (responsabilisation) consacrée par le RGPD. Pour être en mesure de prouver leur conformité, les responsables de traitement (ainsi que leurs sous-traitants) doivent adopter une gouvernance adaptée :
- Cartographie précise des traitements de vérification de l’âge (qui collecte?? quelles données?? pour quelle finalité??)?;
- Politiques internes claires décrivant le cycle de vie des données (durée de conservation, transferts éventuels en dehors de l’UE, mécanismes de sécurisation, etc.)?;
- Audits réguliers pour s’assurer de la conformité technique et organisationnelle?;
- Traçabilité : documenter les choix technologiques, justifier la proportionnalité et la minimisation des données, etc.
* * *
La vérification de l’âge constitue indéniablement un levier essentiel pour assurer la sécurité des mineurs en ligne, que ce soit pour restreindre l’accès aux contenus réservés aux adultes ou pour adapter des services en fonction des capacités de l’enfant. Toutefois, comme le souligne la déclaration duCEPD du 11 février 2025, cet objectif ne peut être poursuivi au détriment de la protection des données et du respect de la vie privée.
La déclaration du CEPD constitue un cadre général utile pour tout organisme mettant en place un système de vérification de l’âge. En France, il faudra également tenir compte des positions de la CNIL, qui a publié sur ce thème depuis plusieurs années et, s’agissant des vérifications de l’âge en ligne pour les sites pornographiques, du référentiel technique publié par l’ARCOM en octobre 2024.
