Vérification d’âge en ligne : Ursula von der Leyen annonce le lancement d’une application universelle et anonyme, nous dit-on. Cette solution européenne (hip hip hip hourra) vise à restreindre l’accès des mineurs aux contenus sensibles en ligne, ce via un outil, basé sur la preuve à divulgation nulle de connaissance - la ZK proof, zero-knowledge proof. Grâce à cette technologie cryptographique, les utilisateurs pourront faire vérifier leur âge sans partager leurs données personnelles avec les plateformes.

Il est notoire de constater que sur le sujet, celui de la protection des enfants et des adolescents dans leurs activités en ligne et la lutte contre les contenus pédopornographiques ou sensibles auquel ce nouveau dispositif est censé apporter sa pierre, Bruxelles va d’échec en échec. Echecs courrus d’avance soit dit en passant.

Rappelons l’échec de ChatControl (dans sa première version), ce projet de règlement visant à obliger les plates-formes à passer au cribble toutes les conversations publiques et privées.

[ Analyse ] Chat Control... chat perché

Patricia Cerinsek

·

Mar 27

Read full story

Rappelons aussi le succès retentissant de l’idée de contraindre les plates-formes, et notamment les sites pornographiques, à vérifier l’âge de leurs utilisateurs. La disposition, adoptée par tout un tas de pays, s’est heurtée aux plates-formes, pas toujours consentantes, et a conduit à des batailles juridiques mais aussi à une explosion des VPN pour contourner le dispositif dans les pays où il est appliqué.

Bref si la volonté de réglementer ou légiférer y est, la mise en pratique est une autre paire de manches, qui vient se fracasser sur tout un tas de considérations, et d’abord techniques et juridiques.

Rappelons ainsi que le Parlement européen a adopté une résolution appelant à fixer à 16 ans l'âge minimum pour accéder aux réseaux sociaux. Sans pour autant proposer de solutions pour contraindre plates-formes et/ou utilisateurs. Et que de nombreux pays ont testé toutes sortes de solutions, sans beaucoup de succès.

L’application annoncée par la Commission européenne, et qui n’est rien d’autre qu’un passe numérique copié-collé sur le passe sanitaire expérimenté pendant la crise Covid, se pose donc là. Comme une troisième voie pour la Commission et les Etats membres de tenter de contourner les écueils et les accusations de verser dans la surveillance de masse, sans déléguer aux plates-formes qui ne jouent pas le jeu. La France a d’ores et déjà prévu de l’intégrer dans son porte-feuille national d’identité numérique - quand on vous dit que la France de Macron est à la pointe des libertés…

Avec cette application, la charge est donc renversée. Ce sera à l’utilisateur, majeur, de prouver sa bonne foi en entrant une pièce d’identité dans l’application. Laquelle sera vérifiée auprès de l’autorité émettrice (l’État via sa base de données ou sa puce électronique) puis validée par l’utilisateur au moyen d’une photo, ou d’une vidéo, prise en temps réel de son visage. “Si tout concorde, l’application retient seulement la preuve de la majorité mais ne stocke pas les données d’identité. Elle prodigue un QR code qui permet d’obtenir l’accès aux contenus adultes”, nous dit Le Point.

Passons outre le fait qu’aucun système mobile n’est infaillible, et que cette application n’échappe pas à la règle. Quand bien même la sécurité a été renforcée, des internautes n’ont pas mis 2 minutes pour la faire sauter.

Passons outre le fait que le système peut là aussi être contourné par un VPN - interdiction à suivre en France, voir les propos, vite démentis, d’Anne Le Hénanff, la ministre chargée de l’Intelligence artificielle et du numérique le 30 janvier sur France Info ?

La question n’est pas seulement là.

La tentation d’un contrôle social, à l’européenne

Le dispositif promet de ne pas transmettre l’identité de l’utilisateur aux plates-formes. Ni son nom, ni sa date de naissance, pas plus que sa photo. Il est là l’anonymat promis par Ursula von der Leyen. Ce que la communication de la présidente de la Commission européenne dit moins, ce n’est pas tant ce que les plates-formes ne disposent pas mais ce dont ceux qui sont derrière l’architecture d’un tel système, en l’occurence les Etats, ou les autorités nationales, conservent. Car oui, l’anonymat garanti, ce n’est que vis à vis des Gafam.

Outre les données d’identité, régaliennes, l’Etat est avec ce système en mesure de connaitre le nombre d’attestations d’âge demandés. En théorie, pas pour quels sites consultés. Sauf s’il croise ses données avec celles des plateformes. Et on a vu avec le DSA à quel point les Gafam pouvaient être souples sur le sujet. Le risque n’est pas seulement dans un traçage ou une surveillance étatique accrue en cas d’enquête ou de demande judiciaire mais aussi dans une normalisation de la surveillance. Voir la mise en place en Italie, lors des Jeux Olymiques, d’un pass numérique pour circuler.

Il soit prest aussi dans l’effet dissuasif sur la liberté d’expression et d’information. Le chilling effect. Et on ne parle pas des risques que font peser les cyberattaques sur un système aussi centralisé que l’EU Wallet - le porte-feuille numérique.

Tout ceci ne relève pas de la paranoia. C’est là un risque structurel reconnu et pointé par de nombreux experts en cybersécurité qui pour la plupart s’accordent à dire que la vérification par l’âge n’est pas la solution. Et s’avère même aussi inefficace que dangereuse avec le risque que cet outil de vérification par l’âge soit progressivement utilisé et étendu à d’autres usages.

Il n’y a rien de complotiste là dedans. La Commission européenne le dit clairement : “la solution est conçue pour être évolutive et s'étendre à d'autres tranches d'âge (par exemple, 14 ans et plus ou 65 ans et plus), sous réserve de la disponibilité de modalités d'inscription appropriées.”

Le pass numérique un outil pour protéger les enfants contre les contenus pour adultes ? Ou un pied dans la porte pour s’ouvrir un contrôle social plus large ? Protéger les plus fragiles est certes louable. Mais la pente est glissante.