Garbage Collector


It's all in the title !

📑 Table of Contents

🏷️ All Tags 📄 All Posts

Les lois françaises sur l'interdiction d'accès à la pornographie aux mineurs sont-elles bien écrites ?

- 10 minutes reading time
Les lois françaises sur l'interdiction d'accès à la pornographie aux mineurs sont-elles bien écrites ?
Une pêche.

C’est le cheval de bataille des groupes politiques et associatifs depuis toujours et un bon vieux démon qu’on aime haïr tout en refusant d’avouer qu’on en a tous consommé : la pornographie. Pourquoi j’en parle en ce début d’année ? Car depuis quelques mois, des procédures ont été initiées en France par le Conseil Supérieur de l’Audiovisuel pour bloquer 5 sites web pornographiques si ceux-ci ne se mettent pas en conformité avec la loi française. La raison de cette procédure est simple : ils ne disposent pas d’une vérification d’âge du visiteur suffisamment robuste.

Le contexte légal

En effet, historiquement dans la loi française, l’interdiction d’exposer des mineurs à la pornographie était assez simpliste. L’article 227-24 du Code Pénal punissait de 3 ans d’emprisonnement et 75 000 euros d’amende le fait d’exposer un mineur à de la pornographie. La lecture du texte légale étant peu abordable, décortiquons celui-ci dans le détail.

Le texte punit donc de 3 ans d’emprisonnement et 75 000€ d’amende le fait de :

Sans distinction de moyen et de support d’un message à caractère :

Si celui-ci est susceptible d’être vu ou perçu par un mineur.

Cependant, cette loi a été durcie en juillet 2020 par le groupe parlementaire de la majorité présidentielle pour ajouter que la simple déclaration du “je certifie avoir plus de 18 ans” qu’on retrouve sur la quasi totalité des sites pour adultes n’est plus suffisante. Cette même loi a également donné autorité au CSA pour réguler le secteur.

Les infractions prévues au présent article sont constituées y compris si l’accès d’un mineur aux messages mentionnés au premier alinéa résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans.

Le 13 décembre 2021, le CSA a donc mis en demeure 5 sites pornographiques de se mettre en conformité avec la loi français sous peine de blocage.

Là où le bât blesse, c’est que la loi amendée en 2020 est horriblement mal écrite. De mon interprétation (sachant qu’elle est inscrite dans le Code Pénal qui est appliqué de manière stricte, mais que je n’ai pas prétention d’être juriste pour autant), n’importe quel site aujourd’hui peut être mis en demeure par le CSA s’il ne vérifie pas correctement que le visiteur a la majorité légale et qu’il diffuse du contenu pornographique (dans le cas qui nous intéresse, rappelons que la loi concerne d’autres sujets comme la violence ou le terrorisme).

Autre point dérangeant : A aucun moment la loi ou le décret d’application associé ne spécifient ce qu’est un moyen de vérification de l’âge du visiteur. Le décret donne simplement autorité au CSA pour tenir “compte du niveau de fiabilité du procédé technique mis en place par cette personne afin de s’assurer que les utilisateurs souhaitant accéder au service sont majeurs.”. Le même CSA est également habilité à spécifier des lignes directrice, avec le concours de la CNIL et de l’ARCEP, mais il n’en a aucunement l’obligation. La CNIL avait par ailleurs été consultée en juin 2021 et avait rendu un avis rappelant que le moyen de vérification de l’âge se devait de respecter le principe de minimisation de collecte de données et qu’il serait contraire aux textes en vigueur de contraindre l’accès au service à une identification systématique. Elle a également émise de fortes inquiétudes concernant une telle base de données qui pourrait contenir bon nombre d’informations extrêmement personnelles en cas de compromission et recommande le principe du tiers de confiance (lui même soumis aux mêmes obligations) comme base de travail. J’y reviendrai après justement.

Résultat : Le CSA est capable de sanctionner une absence de moyen sans que ceux-ci n’aient jamais été spécifiés. Cela rappelle la loi Hadopi qui sanctionnait le “défaut de non sécurisation de connexion Internet” à la place du piratage, et qui n’a jamais spécifié comment sécuriser la-dite connexion.

Faisons le tour du Web

Que les yeux prudes se rassurent, il n’y aura aucun contenu explicite, je respecte la loi. 😉

Contexte de réalisation de ces tests : Dans une machine virtuelle exécutant un live-CD de Fedora avec Firefox en navigation privée. Donc ne reposant pas sur un historique de navigation ou profilage qui pourrait fausser le résultat (enfin, je l’espère, vu combien le profilage abusif sur le Web est la norme).

Je recherche “hardcore pornography”, clique sur “images”, et le résultat n’est absolument pas filtré ! Pire encore, j’ai l’impression que SafeSearch n’est même pas actif par défaut ?

googlesearch

Constat : Google n’est pas en conformité avec la loi française car il diffuse un message à caractère pornographique et n’empêche pas l’accès à un mineur à ceux-ci.

Bing

Je note que la section Images ne renvoie aucun résultat et mentionne bien la mise en oeuvre d’un filtre Adulte à désactiver.

googlesearch

Les résultats Web sont par contre bien affichés. En désactivant le filtre Adulte, j’ai un avertissement similaire aux sites pornographiques dont la validité a été rendue caduque par l’article 227-24 modifié du code pénal. Par conséquent, Bing est aussi hors la loi en France.

googlesearch

Twitter

Je vais consulter le fil Twitter d’un studio pornographique assez connu : Brazzers.

twitter

Je suis vaguement alerté que le contenu est “sensible”, et uniquement “sensible”, Twitter n’indique donc pas que le contenu est réservé à un public majeur. On me demande donc de faire attention… Je clique sur “Oui, voir le profil”. Les différents médias restent masqués, mais rien ne me demande de justifier de ma majorité légale pour les afficher. Cliquer sur “Voir” les débloque immédiatement avec des résultats pornographiques.

twitter twitter

Constat : au regard de la loi, Twitter est aussi en défaillance car il ne vérifie pas l’âge du visiteur.

Si on pousse le vice un peu plus loin, en étant dans l’application stricte de la loi : Wikipedia ne demande aucune validation de la majorité légale pour consulter les articles relatifs au sexe et à la pornographique, qui peuvent contenir des images explicites. Le site doit-il être bloqué ?

Je reconnais que ce dernier exemple est un peu absurde, Wikipedia pouvant faire l’objet d’exception au regard du droit à l’information au même titre que la presse en raison de sa nature encyclopédique (et la loi précise que la responsabilité est évaluée par l’autorité de régulation du secteur concerné). Mais allez consulter les discussions associées à ces fiches et vous verrez que tout ne monde n’est pas d’accord sur le fait qu’il faille laisser une photo de pénis en érection sur l’article consacré à l’appareil génital mâle humain.

L’idée du tiers de confiance pour justifier de la majorité

Dans sa délibération du 3 juin 2021, la CNIL avait donc émis comme recommandation de recourir à un “tiers de confiance” pour justifier de la majorité légale pour la consultation de contenu pornographique.

La Commission relève la difficulté de concilier les principes relatifs à la protection des données à caractère personnel avec tout mécanisme de contrôle de l’âge des mineurs faisant appel à une identification préalable de ceux-ci. Elle estime préférable le recours à des dispositifs consistant en la fourniture d’une preuve de la majorité d’âge. Ces services pourraient par exemple reposer sur un organisme tiers de confiance qui devraient intégrer un mécanisme de double anonymat empêchant, d’une part, le tiers de confiance d’identifier le site ou l’application à l’origine d’une demande de vérification et, d’autre part, faisant obstacle à la transmission de données identifiantes relatives à l’utilisateur au site ou à l’application proposant des contenus pornographiques. Le moyen de preuve devrait ainsi être à la main de son porteur et se limiter à un seul attribut d’âge. L’organisme tiers de confiance doit par ailleurs intégrer toutes les garanties de protection des données à caractère personnel et en particulier l’information de la personne concernée, dans des termes simples et adaptés à chaque public, sur les risques et droits liés au traitement de ses données.

Ce genre de service existe déjà : par exemple My18Pass et AgeVerif. Je n’ai pas spécialement cherché à en trouver d’autres.

My18Pass

My18Pass se présente comme un moyen de valider sa majorité pour diverses services réservés aux majeurs : jeux d’argent, pornographie, achat d’alcool et cigarettes électroniques. Le principe repose derrière sur le protocole OpenID où My18Pass et l’éditeur du service accéder ne font qu’échanger un jeton et ainsi le visiteur n’est pas identifié.

Mais personnellement, il m’inquiète. Déjà, le site est horriblement minimaliste et n’affiche aucune information légale. Le numéro de SIRET de l’entreprise n’est pas indiqué tout comme son adresse, et son nom affreusement générique “société ABC” rend difficile la recherche d’information. Pour s’y inscrire, il faut simplement spécifier une adresse e-mail (ou via un compte chez un gros service en ligne comme Google et compagnie) et sa date de naissance.

my18pass

Le service propose ensuite de vérifier la majorité légale par deux moyens :

Vérification de la validité de sa carte bancaire : Alors d’un, un mineur a parfaitement le droit de détenir un compte courant avec une carte bancaire dès 16 ans, de deux, ce n’est pas un document d’identité officiel, de trois, rien ne garantie que la carte n’est celle d’un majeur usurpée.

En vérifiant un document d’identité : Qu’est-ce qui atteste que le document d’identité est celui de la personne qui s’inscrit ? Il n’y a aucune vérification de celle-ci, leur scanner va juste regarder la date de naissance. Donc parfaitement falsifiable.

Personnellement, je fuirai un tel service à cause de son opacité.

AgeVerif

AgeVerif est un peu plus verbeux pour le coup. On apprend que l’entreprise est portugaise et celle-ci présente bien ses informations légales ainsi que la politique de confidentialité.

ageverif

Cependant, elle tombe dans le même problème que My18Pass : la vérification d’âge n’est aucunement robuste. Elle dispose des deux mêmes moyens que My18Pass auquel s’ajoute la vérification par selfie. En gros on envoie une photo et l’IA détermine si on est majeur … Sérieusement ? J’ai de profonds doutes quant à la validité de cette approche pour une personne étant proche des 18 ans. Y a-t-il des changements aussi perceptibles entre 18 ans actés et 17 ans, 11 mois et 30 jours ?

D’ailleurs les conditions d’utilisation démontrent bien de la supposée fiabilité du service…

  1. 4.9. A la fin de chaque différente Méthode de vérification de l’âge, le résultat de l’analyse est envoyé sur les serveurs de AgeVerif. En cas de résultat négatif (moins de 18 ans) l’Utilisateur est invité à recommencer le processus de vérification de son âge dans l’hypothèse où une erreur se soit produite. Lorsque la réponse est positive (plus de 18 ans) l’Utilisateur est invité à stocker le résultat sur son Appareil pour une durée déterminée et à facultativement créer un compte.

Si ça ne marche pas, réessayez jusqu’à ce que ça marche… Magnifique !

Si AgeVerif est plus propre sur les informations légale, j’émets quand même de sérieux doutes quant à sa fiabilité. Et je note qu’ils se basent aussi sur un moyen qui ne prouve aucunement la majorité avec la carte bancaire.

Conclusion

Avec une loi aussi vague et mal écrite, la France est en capacité de mettre en demeure et, à défaut, bloquer le moindre site Web qui diffuserait (quand bien même si ce n’est pas son coeur de métier) du contenu pornographique. Vu les résultats que j’ai obtenu avec seulement 3 sites très connus, le CSA risque d’avoir du pain sur la planche pour éradiquer l’accès non contrôlé à la pornographie sur Internet. Quant aux “tiers de confiance” de vérification de l’âge, les deux que j’ai trouvé ne m’inspirent pas plus confiance que ça.

D’une manière générale, ce sujet montre combien le législateur en France ne prend pas au sérieux son rôle en écrivant des lois hasardeuses privilégiant l’effet d’annonce émotionnelle à l’applicable. Le problème, c’est que faisant ça, ils créent de l’insécurité juridique pour de nombreux acteurs.