Comment vérifier l’âge de vos utilisateurs ? La CNIL recommande une méthode fiable
Depuis la création d’Internet, le contrôle de l’âge des utilisateurs pose une réelle problématique, notamment aux géants du web. Véritable dilemme entre intrusion dans la vie privée et besoin d’efficacité, plusieurs dispositifs ont été créés, sans véritable succès. Mais la CNIL semble avoir trouvé le point d’équilibre, et encourage les sites web à rapidement utiliser ce nouveau dispositif quelque peu révolutionnaire. On vous explique tout ça dans cet article.
Sommaire :
Une réelle problématique d’identification liée aux enjeux de sécurité
Pour certaines offres et certains services, il est essentiel d’identifier l’âge de l’utilisateur. On pense notamment aux plateformes de jeu d’argent, d’achat d’alcool en ligne et les sites pornographiques. Sauf que ce qui peut être brièvement identifié par un contrôle visuel d’une carte d’identité dans la vraie vie, ne peut pas l’être sur Internet.
En effet, si l’on demandait à tout utilisateur de scanner sa carte d’identité pour prouver sa majorité, on risquerait en cas de violation de données de voir des cartes d’identité, contenant de nombreuses données personnelles être publiées sur Internet. En plus d’une publication des données personnelles, l’hébergement fait par une seule entité, qui sait donc quel site vous consultez et votre réelle identité est un réel risque. Le risque est ici trop grand comparé au besoin.
Besoin d’aide pour appréhender la notion de donnée personnelle et ses enjeux ? Cet article est fait pour vous : Données personnelles : définition, exemples & quiz
Et à l’inverse, il est prouvé que demander à quelqu’un d’attester sur l’honneur ne permet pas une identification réelle de l’âge de la personne. Cocher une simple case “J’ai plus de 18 ans” s’est révélé être inefficace. La création de compte n’est également pas un frein suffisant, considérant que tout le monde peut mentir, et ce sans conséquences, sur son âge lors de la création d’un compte.
Quelle solution ?
Plusieurs fois saisie de la problématique, la CNIL vient de présenter une solution qui serait un réel point d’équilibre entre le besoin d’identification et d’efficacité et les enjeux liés à la sécurité d’un tel traitement.
La CNIL, après consultation de spécialistes issus notamment de Polytechnique, propose aux sites web de dissocier l’identification et la réception de l’information.
En effet, la CNIL constate que faire identifier l’âge par un site tiers, et ensuite récolter l’information permet de dissocier l’identité de la personne de ses activités en ligne.
Deux principes résument cette solution :
- A connaît mon âge véritable et peut certifier mon âge
- B consulte A pour connaître mon âge
- A ne sait pas quel site je consulte
- B obtient une information fiable et véridique concernant mon âge sans avoir besoin à s’inquiéter de questions liées à la sécurité
La Poste propose ce service ! Introduit en 2020, l’identité numérique de La Poste permet aux utilisateurs d’attester de leur âge et de leur majorité notamment, en enregistrant leur pièce d’identité. La Poste pourrait alors constituer un tiers (dans notre exemple, A), attestant de l’âge des utilisateurs.
Les autres solutions admises pour le moment
Pour les sites pour lesquels un tel processus serait compliqué à mettre en place, la CNIL rappelle que 2 autres dispositifs sont tolérés.
L’utilisation de l’analyse faciale sans reconnaissance faciale
L’analyse faciale et la reconnaissance faciale sont deux processus à distinguer. L’analyse faciale consiste à l’analyse et l’interprétation des expressions faciales d’un individu, sans pour autant l’identifier, dévoiler son identité. Cette méthode consiste à utiliser des algorithmes sophistiqués pour scanner et mesurer les traits du visage, les mouvements musculaires et les émotions exprimées par la personne analysée. Aucune donnée personnelle n’est sollicitée, collectée par ce processus, mais il présente cependant des risques d’erreur, de discrimination, de stigmatisation et d’efficacité.
L’utilisation de données de paiement pour identifier l’âge
Ce processus consiste en l’utilisation de données bancaires (cartes de crédit, données de paiement) afin de vérifier si la personne concernée est majeure. Ce système n’est pas forcément fiable, pour plusieurs raisons : il implique le traitement de données bancaires, et même si la personne n’effectue pas d’achat, elle peut refuser pour des questions évidentes de sécurité. La personne peut également ne pas avoir de carte de crédit. Un mineur peut également utiliser la carte d’un adulte.
En conclusion, il est primordial de protéger les données personnelles des utilisateurs, conformément aux obligations créées par le RGPD et les recommandations de la CNIL. Être conforme au RGPD est une obligation et un avantage concurrentiel non négligeable. Pour en savoir plus sur la mise en conformité RGPD, et comment initier la vôtre, consultez notre Guide Complet de la conformité.
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Articles de loi RGPD
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Le DPO ou Data Protection Officer – Délégué à la Protection des Données en français (DPD) conseille et accompagne les organismes dans leur processus de mise en conformité RGPD. Dans certains cas, sa désignation est obligatoire, au risque de sanctions (jusqu’à 2% du CA annuel !).
Il n’existe pas de profil type du DPO. Le DPO peut être un juriste, avocat, informaticien… Il doit cependant être expert du RGPD et bien connaître son secteur d’activité. Il existe également des DPO certifiés.
Pour désigner le DPO le plus adapté, il faut étudier son domaine d’activité et d’expertise. Il faut également vérifier sa disponibilité, et enfin son expérience dans la fonction.
Un DPO externe peut manquer d’information sur l’entreprise, ce qui peut l’empêcher d’exercer correctement sa fonction. Il peut également exister des conflits d’intérêt avec d’autres entreprises. Enfin, le manque de disponibilité et d’implication peuvent freiner le processus de conformité RGPD.
Le coût d’un DPO externe prend en compte plusieurs facteurs : son modèle de facturation (forfait ou temps passé), son niveau d’expertise et de compétences, et les besoins de l’entreprise.
