Bloqué sur un écran de vérification d’âge : que faire maintenant ?

• Alors que les services en ligne rendent la vérification d’âge (age gate) obligatoire, les utilisateurs sont forcés de choisir en s’exposant à des risques pour leurs données personnelles
• L’EFF s’oppose à ces obligations légales et propose des conseils pratiques pour protéger au maximum les droits des utilisateurs même là où ces dispositifs sont déjà en vigueur
• L’article met l’accent sur le principe de minimisation des données et compare les risques et limites des différentes méthodes, comme la reconnaissance faciale, l’envoi d’une pièce d’identité ou la vérification par carte bancaire
• Il analyse en détail les politiques de détection de l’âge, de vérification par des tiers et de conservation des données des grandes plateformes comme Meta, Google et TikTok
• Aucune méthode ne garantit une protection totale de la vie privée ; il est donc indispensable de fournir le moins d’informations possible et de vérifier les procédures de suppression

La réalité et les risques des dispositifs de vérification d’âge

• L’EFF affirme que les age gates et l’obligation de vérification d’âge portent atteinte à la liberté d’expression et à la protection de la vie privée
  • Des lois sont déjà en vigueur dans plusieurs États et pays, et les utilisateurs se voient demander de prouver leur âge sur l’ensemble du Web
  • De nombreux cas de fuite de données sensibles ont déjà eu lieu au cours du processus de vérification
• Les utilisateurs doivent décider eux-mêmes s’ils souhaitent continuer à utiliser le service et comment limiter au maximum l’exposition de leurs données personnelles
  • L’EFF propose pour chaque méthode de vérification une liste de questions à se poser : type de données collectées, personnes pouvant y accéder, durée de conservation, existence d’audits, périmètre de l’exposition
• Elle recommande le principe de minimisation des données, en insistant sur le fait qu’il faut fournir le moins d’informations possible
  • Les estimations basées sur la reconnaissance faciale sont moins précises pour certains utilisateurs (personnes racisées, transgenres, en situation de handicap, etc.)
  • Les systèmes d’identité numérique ne sont possibles que sur certaines plateformes et présentent un risque d’exposition d’informations

Méthodes de vérification d’âge selon les principales plateformes

Meta (Facebook, Instagram, WhatsApp, Messenger, Threads)

• Meta estime l’âge des utilisateurs à partir des publications, messages, etc.
  • Si l’estimation est impossible ou si la personne est jugée trop jeune, une vérification est demandée
• En cas de vérification par reconnaissance faciale, la photo est envoyée aux serveurs de Yoti pour traitement
  • Yoti affirme la supprimer immédiatement, mais la présence de trackers expose à un risque de fuite vers des tiers
  • Il faut aussi faire attention aux éléments d’arrière-plan, qui peuvent révéler des informations de localisation
• En cas d’envoi d’une pièce d’identité, Meta et Yoti promettent tous deux de conserver puis supprimer les données
  • Meta les conserve 30 jours, Yoti indique les supprimer immédiatement
  • Une pièce d’identité contient des données sensibles comme le nom réel et l’adresse, ce qui présente un risque

Google (Gmail, YouTube)

• Google estime l’âge à partir de la date de création du compte, de l’historique de visionnage, etc.
  • En cas d’échec, l’utilisateur peut choisir entre pièce d’identité, reconnaissance faciale, e-mail, carte bancaire ou identité numérique
• La reconnaissance faciale via Private ID est relativement plus sûre, car le traitement se fait sur l’appareil
  • Toutefois, dans le cadre d’attaques ciblées, un envoi d’image reste possible
• La vérification par e-mail est effectuée par VerifyMy, qui compare l’adresse e-mail à des bases de données tierces
  • La liste de ces tiers n’est pas publique
• La vérification par carte bancaire passe par Google Payments et est relativement plus sûre
  • Un petit montant est débité puis remboursé, et il est possible de remplacer la carte
• L’identité numérique n’est disponible que dans certaines régions et peut impliquer des communications avec des systèmes gouvernementaux
• En cas d’envoi d’une pièce d’identité, Google indique supprimer les données après vérification, mais on ne sait pas clairement si cela fait l’objet d’un audit externe

TikTok

• TikTok estime automatiquement l’âge à partir des vidéos et de la voix mises en ligne
  • Si l’utilisateur est jugé trop jeune, le compte peut être restreint ou supprimé, avec une période limitée pour faire appel
• La reconnaissance faciale via Yoti présente la même structure de risque que chez Meta
• La vérification par carte bancaire repose sur un micro-paiement remboursé, mais on ne sait pas clairement comment le traitement sécurisé est assuré
• Il existe aussi une vérification par carte d’un parent ou tuteur ou une photo prise avec un adulte, mais
  • les cas d’usage concrets sont rares et la procédure de vérification manque de transparence
• La méthode pièce d’identité + comparaison faciale via Incode ne prend pas en charge la suppression automatique des données
  • TikTok indique lancer une demande de suppression, mais une demande directe à Incode est nécessaire
  • La pièce d’identité contient des données sensibles comme le nom réel et l’adresse

Autres services et principes communs

• Spotify et OnlyFans utilisent Yoti, tandis que Quora et Discord utilisent k-ID
• Aucune méthode ne garantit une protection complète de la vie privée
  • Fournir le minimum de données, limiter les accès et obtenir une suppression rapide sont les principes essentiels
• L’EFF souligne que ces dispositifs portent atteinte à la vie privée et à la liberté d’expression des utilisateurs,
  et poursuit dans le monde entier sa campagne pour le retrait des obligations de vérification d’âge