Le piège de la vérification de l’âge : la validation de l’âge affaiblit la protection des données de tous les utilisateurs

• Alors que le durcissement des limites d’âge sur les réseaux sociaux progresse dans toute la société, la vérification de l’âge exige en pratique inévitablement la collecte et la conservation de données personnelles
• Les plateformes s’appuient sur deux approches principales, la vérification à partir d’une pièce d’identité ou l’estimation faciale par IA, avec à la clé des risques de faux positifs, d’erreurs de jugement et de fuite de données
• De grandes entreprises comme Meta, TikTok, Google, Roblox ont déjà déployé divers systèmes d’estimation de l’âge, mais les vérifications répétées et les dysfonctionnements accroissent la gêne pour les utilisateurs
• Ces systèmes entrent en conflit avec les principes fondamentaux du droit moderne de la protection des données (collecte minimale, limitation des finalités, limitation de la durée de conservation) et, dans les pays en développement en particulier, renforcent la surveillance
• Le texte souligne l’absence d’équilibre entre protection de l’enfance et protection de la vie privée et avertit que la vérification de l’âge est en train de reconfigurer les structures d’identité et d’accès de l’Internet dans son ensemble

Le dilemme technique créé par la vérification de l’âge

• La société tend à considérer les réseaux sociaux comme un objet de régulation comparable aux jeux d’argent ou à l’alcool, et cherche à restreindre leur usage aux moins de 13 ou 16 ans
• Or, prouver son âge réel nécessite la collecte de données d’identité personnelle, et démontrer cette preuve suppose de conserver les données sur le long terme
• En conséquence, une régulation stricte de l’âge produit une contradiction structurelle qui affaiblit la protection de la vie privée

Les principales méthodes de vérification de l’âge

• Premièrement, la vérification fondée sur une pièce d’identité : présentation d’un ID officiel, d’une identité numérique ou d’autres documents
  • Dans certaines régions, les adolescents ne possèdent pas de pièce d’identité, ou les formats numériques sont insuffisants
  • Le stockage de copies de pièces d’identité entraîne des risques de sécurité et de détournement
• Deuxièmement, la vérification par inférence : estimation de l’âge à partir du comportement de l’utilisateur, des signaux de l’appareil, d’une IA de reconnaissance faciale, etc.
  • Des erreurs probabilistes existent, ce qui implique une possibilité de mauvaise classification plutôt qu’une certitude
• En pratique, les deux approches sont souvent combinées, avec une escalade du type auto-déclaration → estimation par IA → vérification par pièce d’identité

Cas d’usage sur les grandes plateformes

• Meta (Instagram) : mise en place d’une estimation de l’âge du visage à partir d’un selfie vidéo via un partenaire tiers
  • En cas de soupçon de minorité, le compte peut être restreint ou verrouillé, et un recours exige une vérification supplémentaire
• TikTok : estimation de l’âge par analyse des vidéos publiques
• Google/YouTube : estimation fondée sur l’historique de visionnage et l’activité, puis, en cas d’incertitude, demande d’envoi d’une pièce d’identité ou d’une carte bancaire
• Roblox : après l’introduction d’un système d’estimation de l’âge par IA, des cas de commerce et de détournement de comptes d’enfants sont apparus
• Pour les utilisateurs, la vérification de l’âge se transforme en processus répété plutôt qu’en formalité ponctuelle

Défaillances du système et risques pour la vie privée

• Faux positifs : des adultes sont classés comme mineurs et voient leur compte verrouillé
• Angles morts : des adolescents contournent la vérification via un VPN, la pièce d’identité d’un tiers, etc.
• Lors de la procédure de recours, les plateformes doivent conserver durablement des données biométriques, images de pièces d’identité et journaux, ce qui crée un risque intrinsèque de violation de données
• À l’échelle de millions d’utilisateurs, cette architecture intègre le risque sur les données personnelles au fonctionnement même des plateformes

Conflit avec le droit de la protection des données

• Les principes modernes de protection des données reposent sur la collecte strictement nécessaire, la limitation des finalités et la limitation de la durée de conservation
• Or, la vérification de l’âge exige conservation des logs, maintien des preuves et surveillance continue, ce qui entre en contradiction avec ces principes
• Les autorités de régulation jugent peu convaincante l’affirmation selon laquelle « moins de données ont été collectées », et les entreprises réagissent en collectant davantage de données pour réduire le risque contentieux

Renforcement de la surveillance dans les pays en développement

• Brésil : le Statut de l’enfant et de l’adolescent (ECA) coexiste avec le droit de la protection des données
  • L’infrastructure d’identité étant inégale, la dépendance à l’estimation faciale et à des prestataires tiers de vérification augmente
• Nigeria : faute de pièces d’identité officielles largement disponibles, recours à l’analyse comportementale, à l’inférence biométrique et à des services de vérification étrangers
  • Les flux de données s’élargissent et le contrôle des utilisateurs s’affaiblit
• Plus les capacités administratives d’un pays sont faibles, plus la vérification de l’âge débouche sur un renforcement de la surveillance

Le cercle vicieux créé par l’application réglementaire

• Le critère flou de « mesures raisonnables » tend, avec le temps, à se transformer en mesures de plus en plus intrusives
• Les scans faciaux répétés, les contrôles de pièce d’identité et la conservation longue des logs se figent en procédure standard
• Les architectures moins intrusives sont écartées car perçues comme insuffisantes sur le plan de la conformité réglementaire
• Cela rappelle la manière dont, par le passé, les systèmes de suivi de la taxe sur les ventes en ligne en sont venus à exiger des journaux de transactions continus

Choix évités et problème structurel

• Le problème n’est pas la protection de l’enfance en soi, mais le déni du compromis à assumer
• Même les preuves d’âge préservant la vie privée (avec intervention d’un tiers public, par exemple) ne résolvent pas le problème des personnes sans pièce d’identité
• Dans certains pays, l’âge auquel une pièce d’identité est délivrée est supérieur à l’âge autorisant l’usage des réseaux sociaux, ce qui impose de choisir entre exclure des utilisateurs légitimes ou surveiller tout le monde
• Les entreprises répondent aujourd’hui en construisant des systèmes qui privilégient la minimisation du risque juridique
• En conséquence, les législations sur la limite d’âge reconfigurent les structures d’identité, de vie privée et d’accès de l’Internet dans son ensemble

Conclusion

• Le piège de la vérification de l’âge ne relève pas d’une simple erreur technique : c’est une structure inévitable qui apparaît lorsque la régulation rend le contrôle de l’âge obligatoire et traite la vie privée comme une option
• Cela met en lumière le paradoxe selon lequel des politiques menées au nom d’une forte protection de l’enfance affaiblissent le dispositif de protection des données de tous les utilisateurs