- Les projets de loi sur la vérification de l’âge, qui ont commencé par restreindre l’accès à la pornographie en ligne, s’étendent au début des sessions législatives 2025-2026 des États aux produits de soin de la peau, aux applications de rencontre et aux produits de régime, devenant un enjeu de vie privée pour tous les utilisateurs
- Contrairement au motif de protection des enfants, leur application concrète pourrait exiger de tous les utilisateurs une vérification d’identité pour accéder à des contenus ou produits de base, et créer des systèmes de collecte massive de données personnelles
- La AB-728 en Californie, la A3323 à New York et la SB 5622 dans l’État de Washington illustrent l’élargissement de la vérification de l’âge aux ingrédients cosmétiques, aux services de rencontre en ligne et à l’achat de produits de régime
- Les vérifications fondées sur une pièce d’identité officielle, un scan du visage, une carte bancaire ou un numéro de téléphone collectent des informations personnelles sensibles et des données biométriques ; le risque de fuite de données est bien réel, comme l’ont montré des piratages d’entreprises de vérification de l’âge
- Il n’existe pas de méthode de vérification de l’âge à la fois totalement exacte et respectueuse de la vie privée ; les législateurs devraient donc chercher des moyens de protection en ligne moins intrusifs que des systèmes de vérification qui reportent le risque sur les individus
De la restriction du porno aux produits du quotidien : l’extension de la vérification de l’âge
- Les projets de loi sur la vérification de l’âge ont d’abord été défendus au nom de la protection des mineurs en ligne contre la pornographie et d’autres dangers
- Leur champ d’application s’étend désormais aux produits de soin de la peau, aux applications de rencontre et aux produits de régime
- Le problème central dépasse le blocage de certains contenus : il crée une structure dans laquelle tous les utilisateurs cherchant à accéder à des contenus ou produits ordinaires doivent fournir des données personnelles
- Le promoteur d’un projet de loi sur la vérification de l’âge en Alabama a déclaré vouloir d’abord cibler la pornographie, puis passer aux problèmes liés aux réseaux sociaux lors de la session suivante
- Cela révèle une stratégie consistant à introduire des systèmes de vérification de l’âge dans des domaines émotionnellement plus faciles à faire adopter, comme la pornographie, avant de les étendre à des champs plus larges
Trois exemples de projets de loi au début des sessions 2025-2026
- AB-728 impose en Californie une vérification de l’âge aux acheteurs de produits de soin de la peau ou de cosmétiques contenant certaines substances chimiques
- Les ingrédients visés incluent la Vitamin A et les alpha hydroxy acids
- Même une personne qui veut acheter une crème pour le visage pourrait devoir passer par un « système de vérification de l’âge » et fournir des données personnelles sensibles
- L’achat d’un produit apparemment anodin pourrait conduire à une architecture de suivi continu et de collecte de données
- A3323 impose aux services de rencontre en ligne de New York de vérifier l’âge, l’identité et la localisation de leurs utilisateurs
- Avant d’accéder à la plateforme, les utilisateurs pourraient devoir fournir des informations sensibles comme une pièce d’identité officielle et des données de localisation
- Ces informations créent des risques d’usage abusif, de vente et d’exposition lors de violations de données
- SB 5622 limite dans l’État de Washington la vente de pilules amaigrissantes et de compléments alimentaires aux moins de 18 ans
- L’objectif est de protéger les adolescents de produits de régime potentiellement dangereux
- Mais son application pourrait nécessiter une collecte intrusive de données personnelles, aussi bien pour les achats hors ligne qu’en ligne
- Le risque d’exploitation abusive des informations sensibles augmenterait lui aussi
Il n’existe pas de méthode de vérification de l’âge sûre et exacte
- Il n’existe pas de méthode de vérification de l’âge totalement exacte tout en protégeant la vie privée
- Les méthodes de vérification de l’âge ne se divisent pas proprement entre « plus sûres » et « moins sûres » : chacune présente des risques différents
- Ce fardeau retombe aussi sur les adultes
- Même les personnes qui veulent simplement naviguer sur Internet ou acheter des produits du quotidien deviennent la cible d’une collecte massive de données
Risques pour la vie privée selon les moyens de vérification
- Les systèmes qui exigent une pièce d’identité officielle ou un scan du visage collectent des données personnelles ou biométriques sensibles, parfois impossibles à modifier
- Les méthodes qui s’appuient sur des informations de carte bancaire, des numéros de téléphone ou des données de tiers accumulent elles aussi de grandes quantités de données personnelles
- Les données collectées peuvent être utilisées abusivement comme n’importe quelles autres données, et créent des vulnérabilités au vol d’identité et aux violations de données
- Les entreprises de vérification de l’âge peuvent être piratées, et certaines l’ont déjà été
- Ces inquiétudes ne sont pas de simples possibilités théoriques, mais des risques réels et actuels pour les utilisateurs soucieux de leur vie privée
Ce que devraient faire les législateurs
- Il faut s’opposer aux projets de loi sur la vérification de l’âge qui créent des systèmes de surveillance et affaiblissent les libertés civiles
- Même lorsqu’ils sont motivés par la protection des enfants, ils peuvent finir par éroder fortement la vie privée, la sécurité et la liberté d’expression de tous en ligne
- Les législateurs devraient chercher des moyens de protection en ligne meilleurs et moins intrusifs que des systèmes limités de vérification de l’âge
- Ils ne doivent pas faire peser l’ensemble du risque sur les individus
- Ils ne doivent pas menacer les droits fondamentaux
- Internet doit rester un espace d’apprentissage, de connexion et de création ; des gestes quotidiens comme acheter une crème pour le visage, utiliser une application de rencontre ou consulter des produits de régime ne devraient pas être associés à des menaces de surveillance ou de censure
1 commentaires
Avis de Hacker News
Internet est par défaut non classé, et devrait donc être réservé aux adultes. Comme l’espace public.
C’est un peu comme se demander si l’on peut laisser un enfant de 8 ans se promener seul dans New York ; on peut aussi discuter d’espaces plus contrôlés.
Si un site web veut être visible par les enfants, il peut l’annoncer dans ses en-têtes en indiquant qu’il est modéré et vise une certaine classification, et différents services d’indexation peuvent lire cette information.
Les plaintes pour fausse déclaration, par exemple, pourraient être transmises à l’autorité compétente, comme la FTC pour les sites américains, tandis que les crimes plus graves seraient traités par d’autres agences comme aujourd’hui.
Les parents pourraient marquer les comptes informatiques comme comptes enfant, et configurer le navigateur pour qu’il suive des règles de filtrage fondées sur des listes choisies par les parents ou le tuteur actuel (par exemple l’école).
Autrement dit, Internet devrait être une zone libre non classée, et le mode enfant devrait correspondre à du contenu filtré sur liste blanche.
Dans la plupart des régions des États-Unis, on ne peut pas mettre de la pornographie sur un panneau publicitaire, ni en vendre dans un supermarché, ni l’imprimer sur un t-shirt et se promener avec.
On ne peut pas non plus se promener nu ni avoir des actes sexuels dans l’espace public.
Pour acheter de la pornographie ou entrer dans un strip-club, il faut montrer une pièce d’identité, entrer dans un lieu derrière des portes closes qui n’est clairement pas un espace public, et il n’y a souvent même pas de fenêtres donnant sur la rue.
Ces lois sont donc écrites à partir de l’analogie avec de vrais espaces publics et de vrais lieux réservés aux adultes.
Si la question est celle d’un enfant de 8 ans qui se promène seul dans New York, le vrai danger est surtout d’être arrêté par la police ou enlevé.
C’est une névrose propre à l’Amérique du Nord ; dans d’autres pays, des enfants prennent tous les jours le métro pour aller à l’école ou au travail, ou s’y rendent à pied.
Je trouve ces lois complètement délirantes.
Il devrait suffire de limiter la façon dont les entreprises peuvent traiter les données des enfants et de rendre clair qu’un compte est celui d’un mineur.
Les grands panneaux publicitaires pornographiques ne sont pas autorisés, il faut une pièce d’identité pour entrer dans un bar, il faut une pièce d’identité pour acheter du tabac, et dans de nombreux États, le tabac doit être rangé dans des armoires opaques.
On ne peut pas non plus se promener nu, ni être ivre sur la voie publique.
L’application des règles est certes irrégulière, mais la société fait pas mal de choses, dans le monde physique, pour créer des environnements adaptés aux enfants.
Ce cas montre de manière très parlante que l’argument de la pente glissante n’est pas intrinsèquement fallacieux.
Ce n’est qu’une forme d’argumentation qui tend à devenir fallacieuse lorsque la cause et l’effet sont déconnectés ; mais les gens sont devenus tellement méfiants qu’ils éteignent souvent leur réflexion à la seule vue de la prémisse de la conclusion, avant même d’analyser à quel point la pente est raide.
Dans le cas des atteintes à la vie privée, le point essentiel est qu’une petite mesure aide réellement une mesure plus importante, au-delà du symbole.
La vérification de l’âge fondée sur une pièce d’identité, même utilisée pour de bonnes raisons, fournit à l’État et au gouvernement l’historique d’accès des citoyens à des contenus soumis à restriction d’âge.
Si, plus tard, le gouvernement décide de punir les personnes qui ont regardé, acheté ou consommé un certain X, ce sera beaucoup plus facile qu’avec un gouvernement dépourvu de système de vérification de l’âge.
En revanche, le fait que le gouvernement impose une restriction d’âge à un X raisonnable (par exemple la pornographie), puis étende ensuite cette restriction à un Y injustifié (par exemple des livres d’histoire), peut encore relever assez largement du sophisme.
Car cela susciterait probablement presque la même opposition et les mêmes contournements que si la restriction avait été imposée directement à Y.
Dans cet article, X est la pornographie et Y les crèmes pour le visage, les applis de rencontre et les pilules amaigrissantes ; dans une certaine mesure, ces choses peuvent aussi relever de restrictions d’âge.
La vraie pente glissante tient au fait que ces restrictions fournissent au gouvernement les données d’un plus grand nombre de personnes, en particulier celles qui ne regardent pas de pornographie.
Presque tout est possible, mais la vérification de l’âge pour X n’impliquait pas nécessairement la vérification de l’âge pour Y.
La valeur de l’argument de la pente glissante est donc de dire : « prenez en compte les possibilités que X peut ouvrir ».
À l’ère de l’IA, les arguments rhétoriques sont plus importants que jamais.
L’IA probabiliste prédit de manière probabiliste les comportements futurs — plus précisément le prochain token — à partir des connaissances passées, et imite maladroitement la rhétorique.
Cela ne veut pas dire que les arguments logiques ne sont pas importants ; je préfère la certitude, mais lorsque tout n’est pas certain, il faut prendre des décisions à partir de probabilités et d’inconnues.
Ce n’est pas une erreur déductive, mais un sophisme informel, qui exige donc d’évaluer les preuves, et pas seulement la forme de l’argument.
Par ailleurs, qu’il s’agisse d’une erreur déductive ou d’un sophisme informel, cela ne signifie pas que la conclusion soit fausse.
Un sophisme porte non pas sur la vérité de la conclusion, mais sur la mesure dans laquelle le raisonnement et les preuves présentés soutiennent cette conclusion.
Le fait qu’un argument puisse être un sophisme logique ne signifie pas que son affirmation soit fausse.
Il est dit que les cartes eID délivrées par notre État devraient avoir une fonction permettant de confirmer anonymement l’âge auprès de parties de confiance.
Si le demandeur envoie à la carte d’identité une requête signée avec un certificat délivré par l’État, la carte vérifie l’authenticité de la requête et renvoie une confirmation signée indiquant si l’âge légal requis est atteint ; le demandeur vérifie ensuite cette signature.
Aucune donnée personnelle n’est partagée.
Je ne suis pas d’accord avec des restrictions d’âge généralisées, mais c’est une bonne solution technique pour une vérification de l’âge préservant la vie privée.
Si la partie qui demande la vérification interagit directement avec l’État qui fait office d’autorité de vérification, l’identité du tiers qui a fait la demande fuit vers l’État.
Le bon flux pour préserver l’anonymat consiste à ce que le demandeur émette un jeton de challenge à l’utilisateur, avec dans l’en-tête du jeton le type de requête (plus de 18 ans ?) et un corps entièrement aléatoire.
Si l’utilisateur fait valider ce challenge de son côté et renvoie le jeton signé au demandeur, l’État ne peut pas savoir qui est l’émetteur du challenge.
Cela dit, cette méthode exige que l’émetteur du challenge soit de bonne foi et que le corps du jeton soit réellement aléatoire ; un simple mécanisme de clés DH semble pouvoir corriger cette faiblesse.
Si, comme dans l’approche d’Apple, on peut vérifier un âge arbitraire, quelques requêtes suffisent à déterminer l’âge ; et s’il faut vérifier à chaque visite, on peut finir par obtenir la date de naissance exacte.
Si le vérificateur doit transmettre des données au site de vérification, ou si la requête de vérification contient un identifiant propre au site, à l’application ou à l’entreprise, la destination visitée fuit vers le vérificateur.
En plus, tant qu’il existe dans le monde des juridictions qui n’exigent pas de vérification d’âge, les enfants peuvent facilement contourner le système avec un VPN ou un proxy gratuit ; il faut donc commencer par se demander pourquoi on le fait.
Cela ajoute maintenant de la complexité à ce flux.
https://apnews.com/article/utah-app-store-age-verification-7...
https://le.utah.gov/~2025/bills/static/SB0142.html
Ou au test « à quel point est-il difficile pour un mineur d’acheter de la bière ».
Si la carte eID se contente de dire « oui, cette personne est assez âgée », n’importe quel adolescent peut prendre discrètement un appareil disposant d’une carte eID et commencer à l’utiliser.
Il est étrange d’exiger une vérification d’âge pour les acheteurs de produits de soin ou de cosmétiques contenant des ingrédients comme la vitamine A ou des acides alpha-hydroxylés.
Pourquoi faudrait-il protéger les mineurs des « substances chimiques nocives », mais pas les adultes ?
Si une crème pour la peau contenant de la vitamine A ou des acides alpha-hydroxylés est dangereuse — ce qui n’est pas du tout convaincant aux concentrations appropriées — alors il vaudrait mieux simplement la retirer.
Ici, « enfants » désigne des préadolescents et jeunes adolescents, dont certains deviennent eux-mêmes influenceurs.
Dans le même temps, les signalements de lésions cutanées dues à l’utilisation, ou à la mauvaise utilisation, de ces produits ont augmenté.
La vitamine A et les AHA sont excellents, mais délicats à manier, et peuvent facilement provoquer des brûlures chimiques ou des brûlures au rétinol.
Il ne semble pas y avoir de bonne raison de laisser des enfants manipuler seuls ce type de produits, et des substances comme le rétinol commencent de toute façon à être réglementées pour tout le monde.
Les produits contenant des substances chimiques doivent porter l’étiquette Prop 65.
Je me demande si des lois de ce type pourraient favoriser l’adoption de technologies comme les Verifiable Credentials.
Il me semble qu’il existe des cas d’usage légitimes pour dire « une autorité tierce peut attester ____ à mon sujet », sans révéler qui est le tiers ayant demandé la vérification, et sans divulguer à la partie qui exige la vérification d’autres informations que l’affirmation précise nécessaire (par exemple l’âge).
[0]https://en.wikipedia.org/wiki/Verifiable_credentials
Une loi a récemment été adoptée pour obliger les sites porno à vérifier l’âge des visiteurs, et une authentification via France Connect aurait semblé acceptable.
L’État saurait quels sites web vous avez visités, comme un fournisseur DNS, mais pas quels contenus vous avez consultés ; le site web saurait quels contenus ont été vus, mais pas par qui, ce qui combine les avantages des deux côtés.
Or, dans la pratique, il faut envoyer une copie de sa pièce d’identité au site web, ce qui est absurde.
Parce que le site web sait alors à la fois qui je suis et ce que je regarde.
Les forces qui poussent ces lois de vérification de l’âge façon « sauvons les enfants » sont financées par des entreprises de vérification qui espèrent décrocher des contrats.
Russell Vought, de Project 2025, est lui aussi très actif dans l’utilisation du porno comme prétexte à davantage de surveillance.
Je ne suis pas favorable à la vérification de l’âge, et je ne pense pas qu’elle résolve quoi que ce soit.
Cela dit, parmi les catégories de produits visées, les soins de la peau et les aliments et compléments pour régime font aujourd’hui l’objet de dépenses publicitaires particulièrement importantes et dégagent aussi une assez forte odeur d’arnaque.
Les compléments sont très peu réglementés, et comme le directeur de la FDA est un amateur de compléments qui possède aussi une entreprise de compléments, ils pourraient bientôt ne plus être réglementés de fait.
Si les compléments étaient correctement réglementés, une grande partie des problèmes dans ce domaine pourrait être résolue.
Qui aurait pu prévoir une telle chose ?
Si seulement un dieu-entreprise bienveillant s’était tenu prêt à fournir un service d’identité mondial fiable adapté à ce genre de situation.
Si cela n’était pas arrivé soudainement, peut-être qu’il y aurait déjà quelqu’un pour créer une identité comparable à une empreinte numérique authentique et à un passeport, qui vous suivrait partout sur Internet, afin de ne pas avoir à prouver qui vous êtes encore et encore.
Ce serait une solution si transparente qu’on ne la verrait même pas et qu’on ne pourrait pas y accéder, en quête d’un problème à résoudre.
À croire que, soudain, Internet ne peut plus me suivre avec ce degré de précision.
Discord connaît mon âge, soi-disant sans le connaître, et je ne lui ai jamais donné ma date de naissance.
La vérification de l’âge devrait être intégrée au navigateur, pas aux sites web.
Les parents devraient pouvoir accéder, dans n’importe quel navigateur, à des paramètres protégés par mot de passe pour exclure certains types de sites web, comme le porno.
Le gouvernement n’aurait qu’à sanctionner les sites qui ne respectent pas ces paramètres.
Mais imposer la vérification de l’âge aux sites web est stupide.
Mais si l’on veut permettre aux tuteurs de choisir, par exemple, « drogues autorisées, porno bloqué, actualités bloquées, armes bloquées », qui va créer une taxonomie pour tous les domaines et sites d’Internet ?
Ou bien comment un site quelconque signale-t-il au navigateur sa propre limite d’âge ?
Dès qu’on dépasse un simple drapeau « ce domaine nécessite l’accord parental », on se rapproche vite des logiciels classiques de contrôle parental.
Je ne dois pas être le seul ici à m’être fait de l’argent de poche, à l’école, en aidant à contourner des contrôles parentaux trop stricts.
L’obligation des sites devrait se limiter à publier des métadonnées de base, du type « ce site peut contenir X ».
Les avantages : le gouvernement ne crée pas un panoptique orwellien connaissant tout l’historique de création des comptes ; les coûts de construction et de maintenance du système sont assumés par ceux qui le veulent vraiment et l’utilisent ; dans la réalité physique, les parents peuvent voir directement si l’enfant utilise le téléphone de papa ; et ils peuvent facilement autoriser ou révoquer des exceptions, comme une page Wikipédia nécessaire pour les devoirs.
Si une religion considère qu’une cheville découverte relève de la pornographie, cette Église peut créer son propre service de notation des sites et ses fidèles le configurer sur les appareils familiaux.
Comme toujours, l’éducation commence et se termine avec les parents.
Internet doit rester ouvert, et si un enfant voit quelque chose de dérangeant, ou qui le pousse à remettre en cause ses présupposés, les parents doivent créer un environnement dans lequel il se sente à l’aise pour en parler.
C’est à peu près le seul endroit où elle a une chance de produire l’effet voulu, avec en plus l’avantage de ne pas permettre la surveillance de masse.
Les données existent déjà, et il me semble que ce sont aussi ces données qui sont utilisées quand un bar scanne une pièce d’identité avec un lecteur portable.
Internet devrait être libre, ouvert et non censuré.
Ensuite, les parents doivent assumer la responsabilité de s’occuper de leurs enfants.
Autrement dit, il ne faut pas acheter un smartphone à un enfant de 3 ans et le lui mettre entre les mains.
Il me semble que le monde commence lentement à s’en rendre compte.
En revanche, l’idée que le monde s’en rende compte me paraît peu probable.
Tu serais surpris de connaître la proportion de parents qui voudraient externaliser l’éducation de leurs enfants auprès de l’État.
Mais à quel âge une personne devrait-elle pouvoir posséder un téléphone portable et l’utiliser sans supervision ?
21 ou 18 ans ne sont pas raisonnables, et même 16 ans paraît assez puritain.