Archives par mot-clé : Internet

Jean-Noël Barrot, ministre tous azimuts du digital

Publié le par

En fait. Le 4 septembre, cela fait deux mois que Jean-Noël Barrot – fils de feu Jacques Barrot, ancien ministre et commissaire européen – est ministre délégué du gouvernement Borne, chargé de la Transition numérique et des Télécommunications. Son été fut studieux, entre sobriété et déploiement du numérique.

En clair. 4 juillet-4 septembre 2022 : les deux mois estivaux que vient de passer le nouveau ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot (39 ans), reflète la multitude de ses attributions qu’un décret daté du 29 juillet dernier est venu préciser. Etant entendu qu’il n’aura pas à s’occuper ni à connaître des dossiers concernant le groupe Uber, comme l’avait spécifié un décret précédent daté du 21 juillet. Et ce, afin d’écarter tout conflits d’intérêt (1) puisque sa soeur cadette – Hélène Barrot – y travaille depuis près de dix ans, actuellement comme directrice de la communication pour l’Europe de l’Ouest et du Sud (2).
Selon le décret de ses attributions, « JNB » traite de « toutes les affaires en matière de numérique et de télécommunication ». Ainsi, par délégation du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, il s’occupe du numérique tous azimuts : de la « souveraineté numérique » à la « transformation numérique des entreprises », en passant par les « communications électroniques », les « objectifs de transition écologique et de souveraineté technologique » ou encore au « cadre juridique relatif au numérique ». En outre, « il veille aux droits et libertés fondamentaux dans le monde numérique, à l’éthique des technologies, à l’inclusion, l’accessibilité et la médiation numériques ». Les « communs numériques » et la « gouvernance de l’Internet » entrent aussi dans ses nombreux champs de compétences, dont font partie aussi « l’éducation et la formation au numérique » ainsi que les « mutations numériques du travail », le « déploiement des infrastructures numérique » et l’« inclusion numérique » (3).
Bref, Jean-Noël Barrot est un véritable couteau suisse du digital pour le gouvernement Borne. Sur le terrain, il s’est rendu le 26 août au chevet de l’hôpital CHSF de Corbeil-Essonnes victime d’une cyberattaque. Trois jours plus tôt, il était dans le Cantal pour parler « ruralité et numérique » (4). Fin juillet, il participait au lancement du « groupe de travail “numérique et télécommunication” » dans le cadre du plan « sobriété énergétique ». Cela débouchera fin septembre sur un « plan d’actions de mesures simples et opérationnelles ». Economiste de formation, JNB n’avait pas d’expériences dans le numérique ; il devra savoir vite où donner de la tête. @

Plus personne ne parle de la société Trident Media Guard (TMG), 20 ans cette année, et pour cause

Publié le par

Spécialisée dans « la recherche de contenu et l’anti-piratage sur Internet », l’entreprise nantaise TMG – créée il y a 20 ans – avait défrayé la chronique après que les SACEM, SDRM, SCPP, SPPF et Alpa l’aient retenue en 2010 pour traquer les internautes « pirates » sur les réseaux peer-to-peer.

Cofondée en mars 2002 par Alain Guislain et Bastien Casalta sous le nom de Mediaguard, la société nantaise TMG – Trident Media Guard – compte depuis 2007 à son capital (1) et dans son conseil d’administration l’acteur-producteur Thierry Lhermitte. C’est elle qui fut choisie fin 2009 par quatre organisations des droits d’auteur de la musique et du cinéma (2) réunis en « consortium » : côté musique, la SACEM et sa SDRM, la SCPP et la SPPF ; côté audiovisuel, l’Alpa.

Des millions d’adresses IP identifiées
Ces organisations des ayants droits des industries de la musique et de l’audiovisuel piègent depuis lors les internautes en les amenant à télécharger sur les réseaux peer-to-peer des fichiers musicaux ou cinématographiques protégés par le droit d’auteur. Mais pas n’importe quel fichier. TMG, aujourd’hui présidé et dirigé par Alain Ghanimé (photo), s’infiltre en effet sur les réseaux peer-to-peer comme BitTorrent, eMule ou encore μTorrent pour y déposer des œuvres protégées (musiques ou films), mais leurs fichiers sont banalisés et surveillés à distance. Autrement dit, il s’agit de sorte de leurres ou d’appâts pour « flasher » les internautes pris en flagrant délit de piratage. C’est là que Trident Media Guard porte bien son nom : un trident – du latin tridens – est une fourche à trois pointes servant à harponner les poissons ! Une fois que l’un d’eux a « mordu », son adresse IP est transmise à l’Hadopi (désormais l’Arcom) dans le cadre du « traitement automatisé de données à caractère personnel » qui avait été officialisé le 7 mars 2010. Ce cadre permet à la commission de protection des droits (CPD) de collecter auprès de ces organismes représentant les ayants droit les pseudonymes et adresses IP – y compris le protocole peer-to-peer utilisé – de chaque abonné incriminé (3).
Bref, ce trident – attribut de nombreuses divinités marines… – évolue depuis une douzaine dans les eaux profondes du Net. Le pic du volume d’adresses IP « pirates » livrées à l’Hadopi par les ayants droit (SACEM/SDRM, SCPP, SPPF et Alpa) fut atteint en 2017 avec plus de 18,7 millions dont 15,6 millions adresses IP ont pu être identifiées. C’est d’ailleurs ce qui motive l’action en justice lancée en 2019 par La Quadrature du Net – avec la FFDN (4), la FDN (5) et Franciliens.net – pour demander l’abrogation du décret « Traitement automatisé de données à caractère personnel » (6). L’affaire suit son cours (7) devant la Cour de justice de l’Union européenne (CJUE). Pour les autres adresses IP qui n’ont pu être identifiées, la raison en est qu’il y a un recours croissant aux VPN (8), mais aussi à la pratique du partage d’adresses IP. Même les fournisseurs d’accès à Internet (FAI) recourent eux aussi au partage d’adresses IP entre plusieurs abonnés pour faire face à la pénurie des adresses IPv4 (9). Pour y remédier, l’Hadopi a obtenu qu’un décret pris fin 2021 – en vigueur depuis le 1er janvier 2022 – conserver et traiter le « port source » (« port associé ») que lui communiquent les ayants droit, au même titre que l’adresse IP, puis de le transmettre pour identification aux FAI (10).
Ainsi, alimentée par TMG, l’Hadopi a pu de 2010 à fin 2021 envoyer à des abonnés Internet plus de 13,3 millions d’emails d’avertissement (appelées « recommandations »), dont le deuxième envoi (soit 10 % de ce total) est doublé d’une lettre recommandée avec accusé de réception. Il leur est reproché des « téléchargements et mises à disposition illicites constatés à partir de leur connexion ». Et selon l’Hadopi, au moins sept personnes sur dix averties prennent des mesures pour éviter tout renouvellement d’actes de piratage (11). Concernant les autres, plus de 23.000 dossiers – toujours en cumulé sur plus de dix ans – ont fait l’objet d’un « constat de négligence caractérisée », envoyé par e-mail et courrier remis contre signature. Parmi eux, 8.476 dossiers ont été transmis à la justice (au parquet alias le procureur de la République) puis, selon les calculs de Edition Multimédi@, 3.148 suites judiciaires portées à la connaissance de l’Hadopi ont été engagées. Mais entre les relaxes, les classements sans suite, les rappels à la loi, les mesures alternatives aux poursuites et les régularisations sur demande du parquet, très peu de sanctions pénales sont in fine prononcées : quelques centaines tout au plus depuis douze ans.

Le P2P n’est pas mort ; il bouge encore
La pédagogie de l’Hadopi aurait largement triomphé sur le répressif. Si TMG continue à alimenter la réponse graduée en adresse IP, force est de constater que l’usage du peer-topeer s’est effondré au profit du streaming, du téléchargement direct et du live streaming. « Le nombre d’utilisateurs illicites des réseaux pair-à-pair est passé de 8,3 millions d’internautes par mois en 2009 à environ 3 millions par mois aujourd’hui, soit une baisse de plus de 60 % », s’est félicitée l’Hadopi dans son dernier rapport annuel. @

Charles de Laubier

Souveraineté numérique : l’Europe en quête de fonds

Publié le par

En fait. Les 21 et 22 juin, s’est tenue l’Assemblée numérique (Digital Assembly) qui est organisée chaque année – depuis juin 2011 – par la Commission européenne et la présidence de l’Union européenne. Cette année, sous présidence française (1er semestre 2022), ce rendez-vous s’est déroulé à Toulouse et en ligne. Et après ?

En clair. C’est la première fois que Bruno le Maire intervenait publiquement (en vidéo préenregistrée cependant) en tant que ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique (sa nouvelle dénomination depuis le 20 mai). C’est aussi la dernière fois que le locataire de Bercy depuis plus de cinq ans prononçait un discours sous la présidence française de l’Union européenne qui s’achève le 30 juin pour passer le relais semestriel à la Tchéquie. « Chers représentant de l’écosystème numérique européen… », a-t-il commencé en guise d’ouverture de l’Assemblée numérique (Digital Assembly) qui s’est tenue les 21 et 22 juin.
Ce rendez-vous annuel, organisé depuis plus de dix ans maintenant (1) (la première édition a eu lieu en juin 2011) par la Commission européenne et la présidence de l’Union européenne (UE), fut, selon lui, « l’occasion de poser la question de l’avenir numérique de notre Continent » car « la souveraineté numérique de l’Europe est stratégique (…) et doit reposer sur quatre grands principes : l’innovation, la régulation, la protection et la résilience ». Face aux GAFAM américains que les Vingt-sept ont tendance depuis des années à accuser de les avoir « colonisés » (2) et les BATX chinois en embuscades malgré les contraintes imposées par Pékin, l’Europe entend notamment « faire grandir [ses] champions » : « Il ne peut pas y avoir de souveraineté numérique sans entreprises de technologie européennes, puissantes de rang mondial », prévient le locataire de Bercy. Cela suppose, a-t-il rappelé, de « financer la croissance de [ces] entreprises », notamment par le biais du plan « Scale-up Europe » lancé en mars 2021 par Emmanuel Macron en lien avec la Commission européenne et les autres Etats membres. Objectif : « Créer plus de dix géants technologiques valorisés à plus de 100 milliards d’euros au sein de l’Union européenne avant 2030 » (3). L’Europe manquant de fonds de taille suffisante pour financer des start-up en phase de croissance et les investisseurs institutionnels étant plus frileux vis-à-vis d’elles, l’idée est, a expliqué Bruno le Maire, de « faire émerger dix à vingt fonds de plus de 1 milliard d’euros [chacun, ndlr] capables de rivaliser avec nos concurrents américains ou asiatiques ». Et d’annoncer devant l’écosystème numérique européen de la Digital Assembly : « Le financement, c’est la clé. Ce projet a déjà reçu le soutien de 22 Etats membres ». @

Violation de données personnelles sur Facebook : « Zuck »paiera-t-il des dommages et intérêts ?

Publié le par

Depuis le 23 mai, le PDG cofondateur de Facebook – Mark Zuckerberg – est accusé d’avoir pris directement la décision qui a porté atteinte à la protection des données, provoquant le scandale « Cambridge Analytica » de 2016. Le procureur de Washington D.C. lui demande des dommages et intérêts.

Six ans après le scandale « Cambridge Analytica » qui a cloué au pilori la société britannique du même nom pour fuite massive en 2016 de données personnelles dans la campagne présidentielle de Donald Trump, voici que Mark Zuckerberg fait lui-même l’objet d’une plainte. Après le refus d’un juge en mars dernier que le PDG de Facebook soit cité comme témoin (1) dans la procédure engagée en 2018 contre le numéro un des réseaux sociaux (2), le procureur général du District de Columbia (Washington), Karl Racine (photo), remonte au créneau en poursuivant cette fois « Zuck » en l’accusant d’être directement responsable. Il demande à la justice de le condamner à verser des dommages et intérêts.

Dommages et intérêts demandés à « Zuck »
L’affaire retentissante « Cambridge Analytica », qui avait notamment porté sur l’utilisation illégale de 70 millions de comptes de Facebook aux Etats-Unis pour influencer en 2016 l’élection présidentielle américaine, a déjà valu à la firme de Menlo Park (Californie) 5 milliards de dollars d’amende infligés en juillet 2019 par la FTC (3). Cambridge Analytica a aussi manipulé des données personnelles lors de la campagne pour ou contre le Brexit au Royaume-Uni.
Cette nouvelle plainte à Washington D.C. s’attaque pour la première fois à Mark Zuckerberg en personne, en tant que PDG du groupe Meta Platforms (maison mère de Facebook depuis octobre 2021). Cette assignation en justice, déposée le 23 mai dernier par le procureur Karl Racine, démontre – preuves à l’appui – que le patron de Facebook était décisionnaire dans la tromperie des utilisateurs et la violation de loi américaine sur la protection des consommateurs. « Le District de Columbia est en possession d’éléments de preuve qui démontrent à la fois le bien-fondé de (…) la responsabilité personnelle de M. Zuckerberg et de ses violations de la CPPA [à savoir le California Consumer Privacy Act (CCPA) de 2018]», assure l’auteur de la plainte, qui demande au tribunal « réparation » en condamnant le PDG à « verser un dédommagement ou des dommages et intérêts » (4). Karl Racine, qui demande en outre de lui « infliger des sanctions civiles », explique que le groupe Facebook – « sous la direction » de Mark Zuckerberg – a modifié son business model parce qu’il a reconnu que son réseau social au « F » blanc sur fond bleu pourrait être encore plus rentable s’il pouvait exploiter et vendre – « auprès de tiers » – la capacité d’influencer de manière fiable le comportement de ses utilisateurs. Facebook a encouragé – « et, parfois, en collaboration avec (eux) » – des développeurs et des chercheurs afin de recueillir et d’analyser les données des utilisateurs de Facebook pour qu’ils puissent mieux apprendre à manipuler les humeurs de ces 2,9 milliards « d’amis » (à ce jour) et influencer leurs achats et même la manière dont ils votent. « Plus le Facebook de Zuckerberg attise la division et la polarisation, déstabilise les démocraties, amplifie les génocides et a une incidence sur la santé mentale des utilisateurs, plus Facebook et ses dirigeants gagnent de l’argent. Compte tenu des milliards de dollars en jeu, et n’ayant aucun égard envers les personnes qu’il prétend servir, Facebook – sous la direction de Zuckerberg – a décidé de cacher ces problèmes le plus longtemps possible, y compris en induisant intentionnellement en erreur les utilisateurs de Facebook ainsi que le public, la presse et les dirigeants politiques », dénonce le procureur général. A l’origine du mal : la décision prise en 2010 par Facebook – « encore une fois une idée de Zuckerberg » – d’ouvrir la plateforme Facebook à des tiers. C’est à partir de là que tout commence, Facebook ayant persuadé des développeurs externes de créer des applications accrocheuses pour le réseau social, « en dirigeant encore plus d’utilisateurs et de données d’utilisateurs vers la plateforme ». Ce détournement de user data s’est fait par des « portes latérales » (side doors) au sein des applications elles-mêmes. Et Karl Racine d’enfoncer le clou : « Etant donné que la plateforme de Facebook a été conçue pour permettre les abus, la société de Zuckerberg a fonctionné en grande partie sans mesures de protection appropriées pour protéger les utilisateurs : l’application des règles était laxiste, l’examen des violations des applications était incohérent ou subjectif, et les règles elles-mêmes étaient floues et déroutantes. Mais en 2018, le monde a appris cette imposture ».

Wylie et Kaiser : lanceurs d’alerte en 2018
La politique laxiste de « Zuck » dans la soi-disant protection des données personnelles éclate au grand jour en mars 2018 (voir encadré page suivante). « Ce qui est le plus troublant, c’est que Facebook s’est penché sur (l’activité de) Cambridge Analytica et a déterminé qu’elle présentait un risque pour les données des consommateurs, mais a choisi d’enterrer ces préoccupations plutôt que de les arrêter, car cela aurait pu nuire au résultat net de Facebook (et de Zuckerberg) », fustige encore le procureur général. Karl Racine appelle la justice à tenir pour responsable Mark Zuckerberg en personne dans la violation des lois américaines sur la protection des données des utilisateurs de Facebook. Le cofondateur de Facebook, dont il est le PDG (membre du conseil d’administration), est citoyen américain résidant à Palo Alto (en Californie). Tandis que le siège social du groupe Meta (Facebook jusqu’en octobre 2021) est situé à Menlo Park, dans le même Etat. « Depuis 2012, Zuckerberg est président du conseil d’administration de Facebook et contrôle environ 60 % des actions avec droit de vote », est-il rappelé.

La responsabilité du PDG est engagée
Selon Forbes, et au moment où nous écrivons ces lignes, « Zuck » est la 15e personne la plus riche du monde avec un patrimoine professionnel de 70,1 milliards de dollars (5). Depuis la création de « TheFacebook » le 4 février 2004 à l’université d’Harvard et le lancement de Facebook le 1er août 2005, l’encore jeune homme – 38 ans depuis le 14 mai 2022 – est le responsable en chef des opérations quotidiennes de Facebook, de sa stratégie produit et de ses pratiques – « y compris les actes et les pratiques énoncés dans la présente plainte ». Lorsqu’il sera entendu à Washington D.C. dans le cadre de cette nouvelle procédure judiciaire, ce ne sera pas la première fois qu’il répondra aux allégations de ce district, comme il a pu le faire aussi devant les agences fédérales (FTC et FCC) ou le Congrès américain.
Si l’affaire « Cambridge Analytica » porte sur l’année 2016, avant d’être révélée en 2018, elle trouve ses origines dès 2013 : en novembre de cette année-là, Aleksandr Kogan – chercheur scientist affilié à l’Université de Cambridge – et son entreprise Global Science Research (GSR) ont lancé une application-tierce sur la plateforme Facebook, appli ludique de quizz baptisée « This is Your Digital Life » et capable de collecter des données personnelles pour générer un profil de personnalité. L’année suivante, le jeune Américain d’origine moldave (36 ans aujourd’hui) a conclu un accord avec Cambridge Analytica – cabinet d’experts-conseils politiques basé à Londres, auprès de candidats américains ou d’ailleurs – pour lui vendre les données recueillies par son application : 87 millions de consommateurs Facebook, dont près de la moitié résidents du district de Washington. « Plutôt que de faire de telles divulgations significatives [sur ces agissements dont ils avaient connaissance, et en violation de leurs propres règles], Facebook et Zuckerberg ont plutôt profité de Kogan et de Cambridge Analytica – utilisant abusivement des données de consommation volées – en vendant des millions de dollars d’espaces publicitaires à Cambridge Analytica et pour les campagnes des candidats à la présidence lors des élections de 2016 », accuse le procureur général Karl Racine. Mark Zuckerberg est même allé jusqu’à prétendre que la vie privée n’est plus une « norme sociale » parce que « les gens se sont vraiment mis à l’aise non seulement (avec le fait) de partager plus d’informations et d’autres types de renseignements, mais aussi de communiquer plus ouvertement et avec plus de monde » (6). La responsabilité et la culpabilité du patron actionnaire de Facebook – maintenant de Meta – ne fait aucun doute, d’après les détails donnés par le procureur : « Au sein de Facebook, Zuckerberg a supervisé directement le développement de produits et les travaux d’ingénierie qui exposaient les données des consommateurs à des abus : Zuckerberg est responsable de la plateforme Facebook et est en mesure d’annuler toute décision prise par l’entreprise. (…) Et, contrairement à ses déclarations publiques, Zuckerberg avait l’intention de trouver un moyen de tirer parti des changements apportés à la plateforme pour amasser plus de données — et donc plus d’argent — pour Facebook ». Le raisonnement est implacable et accablant pour le geek devenu très tôt multimilliardaire. Pour illustrer la responsabilité de « Zuck », Karl Racine cite longuement un de ses e-mails internes – daté celui-là du 19 novembre 2012 – près de dix ans déjà – où le patron conclut : « Le but de la plateforme est de lier l’univers de toutes les applications sociales ensemble afin que nous puissions permettre beaucoup plus de partage et rester toujours le hub social central. Je pense que cela trouve le juste équilibre entre l’ubiquité, la réciprocité et le bénéfice ».

10 ans de mensonges et de tromperies
Cela fait au moins depuis dix ans que Mark Zuckerberg était au courant des « risques » de sa plateforme « ouverte » sur la vie privée des « amis », où les amis de mes amis sont mes amis – «mais il n’a pas agi », alors qu’« il était conscient des risques posés (mais) il a activement ignoré ces risques ». Car le partage de données est au cœur du business model et la principale source de revenus (y compris publicitaire) de Facebook. « En tant que tel, Zuckerberg a participé, dirigé, géré, ou autrement connu – et avait le pouvoir de contrôler – les actions incohérentes de Facebook concernant la vie privée, y compris les pratiques commerciales trompeuses, les fausses déclarations et les ambiguïtés qui contreviennent à la loi sur la protection des consommateurs », conclut le procureur. La parole est maintenant à la défense. @

Charles de Laubier

ZOOM

L’affaire « Facebook » éclate au grand jour en mars 2018
Le scandale «Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur (7). Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie, qui s’est présenté alors comme le lanceur d’alerte de cette affaire (8). Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser a elle aussi fait des révélations (9) qui ont aussi fait l’effet d’une bombe (10). @

Mineurs, réseaux sociaux et sites pornos : contrôle de l’âge et risques sur la vie privée

Publié le par

Alors qu’une procédure de l’Arcom s’éternisent devant la justice contre cinq sites web pornographiques (Pornhub, Ttukif, xHamster, Xnxx, et Xvideos), le contrôle de l’âge – pour interdire aux mineurs l’accès à ces contenus pour adultes ou l’inscription sur les réseaux sociaux – pose problème.

Cela fait un an que la Commission nationale de l’informatique et des libertés (Cnil) a publié – le 9 juin 2021 – huit recommandations pour « renforcer la protection des mineurs en ligne » (1), dont une – la septième – s’intitule « Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ». Car la question du contrôle de l’âge est complexe et difficile à mettre en œuvre au regard de la protection de la vie privée et du principe de l’anonymat. Or, 44 % des 11-18 ans déclarent avoir déjà menti sur leur âge pour utiliser les réseaux sociaux (2). Et quelle proportion des mineurs ont déclaré être majeurs sur les sites web à caractère pornographique ?

Vérifier l’âge : pas de procédé fiable (PEReN)
Vérifier l’âge de l’internaute reste encore à ce jour un problème car les solutions de contrôle sont soit facilement contournables (déclaration qui peut être mensongère, vérification par e-mail inefficace, …), soit portant atteinte à la protection des données et à la vie privée (reconnaissance faciale jugée disproportionnée, utilisation des données recueillies à des fins commerciales ou publicitaires, …). A ce jour, les réseaux sociaux – le plus souvent interdits aux moins de 13 ans (voire moins de 16 ans dans certains autres pays européens comme l’Allemagne), et les sites web pornographiques interdits aux moins de 18 ans – ne savent pas vraiment comment procéder pour être irréprochables dans le contrôle de l’âge de leurs utilisateurs.
A Bercy, le Pôle d’expertise de la régulation numérique (PEReN) – rattaché à la Direction générale des entreprises (DGE) et placé sous l’autorité conjointe des ministres chargés de l’Economie, de la Culture et du Numérique (3) – a publié le 20 mai dernier une étude à ce sujet. « Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ? », s’interroge cette entité interministérielle. Son constat : « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ». Le PEReN, qui est dirigé par Nicolas Deffieux (photo), fait aussi office de task force au service notamment de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), au moment où celle-ci – du temps du CSA (Conseil supérieur de l’audiovisuel) – a mis en demeure le 13 décembre 2021 cinq sites web pornographiques et les a enjoints de se mettre en conformité avec les nouvelles dispositions du code pénal. Faute d’avoir obtempéré dans les temps (ultimatum de quinze jours), les cinq plateformes incriminées – Pornhub, Ttukif, xHamster, Xnxx, et Xvideos – se retrouvent devant la justice, à l’initiative de l’Arcom, dans le cadre d’une procédure « accélérée » qui s’éternise (4).
Selon NextInpact, la présidente du tribunal judiciaire de Paris a considéré le 24 mai dernier comme « caduque » l’assignation adressée par l’Arcom aux fournisseurs d’accès à Internet (FAI) afin qu’ils bloquent les cinq sites pornos. Raison de cette annulation : l’Arcom n’a informé le tribunal de cette assignation que le jour même de l’audience, au lieu de la veille au plus tard (5). L’Arcom doit donc réassigner les FAI, ce qui reporte l’audience de quelques semaines. Toujours selon NextInpact, les avocats des sites pornos réclament le dépôt d’une question prioritaire de constitutionnalité devant le Conseil constitutionnel et d’une question préjudicielle à la Cour de justice de l’Union européenne (CJUE).
Tandis que le Conseil d’Etat, lui, a été saisi de l’annulation du décret d’application du 7 octobre 2021 portant sur les «modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » (6). Ce décret menace les FAI contrevenants à des sanctions pénales de « trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message [à caractère violent, incitant au terrorisme, pornographique] est susceptible d’être vu ou perçu par un mineur » (7). Surtout que « les infractions (…) sont constituées y compris si l’accès d’un mineur aux messages (…) résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans » (8). Cette dernière disposition introduite dans le code pénal découle de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Vie privée : ne pas enfreindre le RGPD
Il y a donc péril judiciaire dans le porno. D’autant qu’une deuxième procédure, distincte de celle de l’Arcom, suit son cours en référé déposé devant le tribunal judiciaire par deux autres associations – La Voix de l’enfant et e-Enfance – sur la base de la loi « Confiance dans l’économie numérique » (loi LCEN de 2004). Son visés les mêmes sites pornos que dans la première affaire, mais avec MrSexe, IciPorno, YouPorn et RedTube (soit neuf au total). Or, à ce jour, l’absence de procédés fiables pour contrôler l’âge des internautes sans porter atteinte à la vie privée – et en respectant au niveau européen le règlement général sur la protection des données (RGPD) – rend la situation compliquée pour les réseaux sociaux et les sites pornos. « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé », avait mis en garde la Cnil dans son avis du 3 juin 2021 sur le projet de décret « Protéger les mineurs » (devenu le décret du 7 octobre 2021).

Double anonymat préconisé par la Cnil
Dans sa délibération parue au J.O. le 12 octobre de la même année (9), la Cnil écarte aussi le recours à la carte d’identité : « Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».
Quoi qu’il en soit, l’article 8 du RGPD interdit l’utilisation de données personnelles des enfants âgés de moins de 13 à 16 ans, selon les Etats membres. La France, elle, a retenu l’âge de 15 ans. Ainsi, en-dessous de cet âge légal, la loi « Informatique et Libertés » impose – conformément au RGPD – le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale (10). Si la préoccupation première était de ne pas exposer les mineurs de 13 à 16 ans à de la publicité ciblée sur les réseaux sociaux, lesquels sont censés avoir mis en place des procédés de vérification de l’âge (11), cette obligation concerne désormais les sites web à caractère pornographique.
A noter que les jeux d’argent et de hasard en ligne (comme les paris sur Internet) sont également soumis au contrôle préalable de l’âge. Au niveau européen, la Commission européenne soutient l’initiative euConsent qui vise à mettre en place des systèmes de vérification de l’âge et de consentement parental qui soient interopérables, sécurisés et ouverts à l’échelle paneuropéenne – conformes à la certification eIDAS (12). Dans le consortium euConsent se côtoient Facebook, Google, les associations européennes respectivement des opérateurs télécoms historiques Etno et des fournisseurs d’accès à Internet EuroIspa, ou encore des organisations de protection de l’enfance. Le futur Digital Services Act (DSA), législation sur les services numériques, va introduire à son tour une interdiction de la publicité ciblée pour les mineurs.
Le contrôle de l’âge va se renforcer sur Internet, mais les méthodes de vérifications laissent à désirer. Le PEReN a classé dans son étude les solutions selon le mode de preuve employé (voir aussi tableau ci-dessous) :
• Le contrôle de l’âge, à l’aide d’un document portant l’identité et la date de naissance de la personne, à l’aide d’un document dont toutes les parties identifiantes auraient été supprimées avant tout traitement, ou enfin par les parents (contrôle parental) ;
• L’estimation algorithmique de l’âge sur la base du contenu publié ou utilisé par l’utilisateur sur le site ou bien à partir de données biométriques (voix, images, vidéos, …) ;
• Le déclaratif se basant uniquement sur les déclarations des internautes.
Le PEReN estime « primordial que la vérification de l’âge ne soit pas directement opérée par la plateforme ou le service en ligne afin de réduire le risque de croisement ou de réutilisation des données collectées lors de la vérification ». Il préconise alors « un mécanisme de tiers, voire de double tiers, [qui] peut être mis en place pour la transmission du résultat de la vérification précisément afin de minimiser ce risque ». Ainsi, ce mécanisme de doubletiers constitue une mise en œuvre possible du double anonymat recommandé par la Cnil, laquelle – en partenariat avec un laboratoire de l’Ecole polytechnique et le PEReN – a développé un prototype de ce mécanisme de vérification de l’âge par double anonymat pour en démontrer la faisabilité technique. D’après le PEReN « cette preuve de concept [devait] être rendue disponible fin mai ».
Contacté par Edition Multimédi@, son directeur général Nicolas Deffieux nous indique que la Cnil est maître des horloges. Le prototype est en effet entre les mains de Vincent Toubiana, qui y dirige le laboratoire d’innovation numérique (Linc). « Notre calendrier a été décalé et je n’ai actuellement aucune date de publication prévue », nous précise ce dernier. @

Charles de Laubier