La reconnaissance faciale, un outil au service de la protection des mineurs sur Internet ?

Publié le 8 octobre 2020 Mis à jour le 3 novembre 2020

Par Jérémie CAFFIN Brèves spéciales Reconnaissance Faciale Sous la direction scientifique de Caroline LEQUESNE ROTH

Afin de protéger les mineurs, le gouvernement australien souhaite conditionner l’accès aux sites pornographiques, et aux sites de jeux d’argent en ligne, à une authentification par voie de reconnaissance faciale.[1] Le ministère de l’Intérieur aurait en effet développé une intelligence artificielle capable d’extraire les données biométriques d’une photographie pour la comparer avec celle d’un titre d’identité. L’intelligence artificielle identifiant l’internaute mineur, l’accès au site pornographique ou de paris en ligne serait bloqué[2]. La procédure de collecte de l’image faciale des internautes avant chaque session n’a pas été communiquée[3]. Le ministère de l’Intérieur a cependant indiqué qu’il souhaitait que cette technologie soit disponible pour les agences gouvernementales comme pour le secteur privé.[4] Précisons que ce système de vérification d’âge fondé sur la reconnaissance faciale n’est pas encore opérationnel : il est conditionné à l’adoption de la proposition de loi visant à créer une base de données de titres d’identité centralisée[5]. Celle-ci a pour l’heure été rejetée par le comité parlementaire mixte sur le renseignement et la sécurité : il demande sa révision car juge la proposition insuffisamment détaillée et dépourvue de garde-fous[6].
 
Cette affaire conduit à s’interroger sur la régulation des contenus en ligne : la reconnaissance faciale est-elle un outil pertinent au service de la protection des mineurs sur Internet ? Plusieurs pistes peuvent être envisagées. Il s’agit ici de distinguer la question du filtrage de certains contenus préjudiciables (I) de celle de la protection de la vie privée (II).
 
I. La reconnaissance faciale, un outil au service du filtrage de certains contenus préjudiciables sur Internet
 
La reconnaissance faciale peut être perçue comme un outil pertinent au service du filtrage de certains contenus préjudiciables sur Internet, notamment les contenus pornographiques. D’une part, cette nouvelle technologie permet d’identifier les mineurs dans le cyberespace (A). D’autre part, elle offre aux États les moyens d’affirmer leur puissance publique sur les réseaux (B). Toutefois, la reconnaissance faciale pourrait se révéler inadaptée, en certaines circonstances, au filtrage des contenus pornographiques (C).
 
A. Une technologie permettant l’identification des mineurs dans le cyberespace
 
L’identification des mineurs dans le cyberespace est complexe ; l’utilisation de technologies d’identification, telles que la reconnaissance faciale, pourrait toutefois contribuer à surmonter la difficulté.
 
Dans The Law of Horse : What Cyberlaw Might Teach, Lawrence Lessig explique que les mineurs sont, dans l’espace réel, a priori protégés de l’accès à la pornographie[7]. Les lois et les normes sociales condamnent la vente de contenus pornographiques aux mineurs, tandis que le marché conditionne l’accès au contenu à un paiement. Ces réglementations parviennent à jouer leur plein effet car, dans l’espace réel, l’âge est un fait auto-identifiant. Le vendeur de contenu pornographique est en mesure d’identifier un mineur comme tel, et de refuser toute relation commerciale avec lui. Dans le cyberespace, l’identification des personnes mineures est plus complexe[8]. Pour un site web acceptant du trafic, toutes les demandes sont égales. En dehors des contrôles parentaux et des attestations sur l’honneur, dont le contournement est aisé, il n’y a pas de moyen pour un site internet de distinguer les personnes majeures des personnes mineures[9]. En conséquence, les personnes mineures peuvent accéder plus facilement à du contenu pornographique sur Internet que dans le monde réel[10].
 
À partir de ce constat, la mise en place de moyens d’identification des mineurs apparaît comme nécessaire à leur protection contre de contenus pornographiques en ligne. Cela implique une régulation du cyberespace par les pouvoirs publics. Lawrence Lessig ne partage pas, à cet égard, la position selon laquelle la régulation du cyberespace est impossible[11]. Cette thèse implique en effet que l’architecture du cyberespace soit figée ; or, certaines « versions » du cyberespace n’échappent pas à la régulation. Il estime donc que l’action des autorités peut aboutir à une modification de l’architecture du cyberespace, de façon à permettre la régulation des comportements sur Internet. Son code pourrait ainsi être modifié afin d’y inclure des technologies d’identification. Lawrence Lessig soutient ainsi que « si les technologies d’identification étaient couramment utilisées sur Internet, la régulation des comportements dans le cyberespace augmenterait ». La proposition australienne visant à contrôler l’accès à des sites pornographiques via la reconnaissance faciale apparaît alors comme l’exemple « phare » de l’insertion de technologies d’identification[12] au sein de l’architecture du cyberespace. Grâce à la comparaison de l’image faciale des internautes à celle figurant sur les titres d’identité, il serait en théorie possible pour un site internet pornographique de vérifier la majorité de l’internaute. Nous assumons dès lors que l’intelligence artificielle peut à priori distinguer les majeurs des mineurs à des fins de filtrage des accès à cette catégorie de contenu préjudiciable. Il n’en demeure pas moins que la mise en oeuvre d’un dispositif de cette nature est exempte d’une efficacité absolue : la pratique de la reconnaissance faciale connaît des correspondances erronées.
 
Cette seule initiative ne permet toutefois de résoudre le problème énoncé. Elle s’inscrit dans un contexte plus large, englobant les réflexions sur l’identité numérique ou la désanonymisation de la navigation en ligne. Comme l’a déclaré le ministre de l’Intérieur français, dans le rapport 2019 sur les cybermenaces que « l’anonymat protège tous ceux qui répandent des contenus haineux […]. Nous devons donc relever le défi de l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment »[13]. Le journaliste Florian Debes en conclut que désormais « l’identité numérique est associée à la lutte moderne contre l’usurpation d’identité et contre le terrorisme ».[14]
 
B. Une technologie au service de l’affirmation de la puissance publique étatique dans le cyberespace
 
Le recours à la reconnaissance faciale illustre la volonté des États d’affirmer leur puissance sur le cyberespace, à l’image de la Russie et la Chine[15]. Les États européens multiplient les initiatives en ce sens, notamment sur le terrain de la protection des mineurs. L’Italie et le Danemark ont, à titre d’exemple,  imposé un dispositif efficace de vérification de l’âge sur les sites de jeux en ligne[16] grâce à des systèmes d’identité électronique[17]. Le rapport « Effective age verification techniques: Lessons to be learnt from the online gambling industry » indique que ces deux pays ont mis au point une interface standard que les opérateurs de jeux en ligne doivent inclure dans les processus d’inscription. En Italie, les futurs joueurs doivent renseigner leur « codice fiscale » au moment de la création d’un compte en ligne auprès de ces plateformes. Il s’agit d’un identifiant fourni par l’Agenzia delle Entrate, l’agence fiscale italienne, nécessaire à la création d’un compte en banque, la passation de contrats locatifs ou encore l’enregistrement d’un curriculum vitae sur une base de données[18]. Les informations personnelles fournies par le joueur potentiel sont par la suite mises en relation avec celles qui figurent dans les bases de données étatiques. La majorité du joueur est de cette façon vérifiée.[19]
Le Royaume-Uni a également tenté d’imposer aux sites pornographiques la mise en place d’un tel système. Plusieurs modes d’authentification ont été envisagées par les pouvoirs publics et les entreprises : carte achetée chez un commerçant physique[20], saisies de données bancaires, utilisation des titres d’identité ou de la reconnaissance faciale[21]… Le Digital Economy Act de 2017 prévoyait ainsi que l’autorité de contrôle compétente puisse prendre des sanctions[22]. Le British Board of Film Classification[23] avait le pouvoir d’imposer aux fournisseurs d’accès à internet la restriction d’accès aux sites qui ne coopéreraient pas par voie de géoblocage. La Secrétaire d’État britannique au numérique, Nicky Morgan, a cependant fait savoir que ces dispositions législatives ne seraient pas appliquées au profit d’un cadre juridique plus adapté aux réseaux sociaux. Ils souhaitent en outre que le régulateur soit doté d’un pouvoir discrétionnaire quant au choix des moyens à mettre en oeuvre afin que les acteurs privés visés s’acquittent de leur devoir de vigilance.[24] L’initiative britannique inspire pour autant la France. Le Président de la République Emmanuel Macron a annoncé[25] qu’il sera prochainement inscrit dans le Code pénal que « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante contre l’accès à la pornographie des mineurs de moins de 15 ans ». Il a également fait part de sa volonté de « généraliser des dispositifs de vérificateurs d’âge efficaces », tout en laissant aux sites visés le choix des moyens qui devront être mis en place tant qu’ils sont « efficaces et réels ».
 
 C. La reconnaissance faciale, un outil occasionnellement inadapté au filtrage des contenus pornographiques
 
La reconnaissance faciale n’en demeure pas moins, dans certaines circonstances, inadaptée au filtrage des contenus pornographiques. Trois arguments vont en ce sens. Premièrement, cette technologie comporte des défauts de fiabilité. Des études ont montré que l’identification des femmes – a fortiori de couleur – par l’intelligence artificielle connaît les plus hauts taux d’échec du fait de biais résultant de la constitution des bases de données.[26] [27]  Dans l’hypothèse où les femmes non-blanches, en minorité au sein de la population australienne [28] [29] , seraient sous-représentées dans la future base de données du gouvernement australien, le système de vérification des âges serait possiblement défaillant. Deuxièmement, des études démontrent que les personnes à la peau très claire et très foncée éprouvent des difficultés à fournir une photographie d’identité suffisamment acceptable pour son traitement. Or, une donnée de qualité médiocre implique des taux d’erreurs conséquents pour les minorités comme l’illustre la pratique britannique[30]. Troisièmement, l’Institut national des normes et de la technologie aux États-Unis a constaté que sur cent algorithmes de reconnaissance faciale testés, la grande majorité d’entre eux présentait un taux plus élevé de correspondances erronées chez les enfants.[31] [32] Les journalistes Joseph Goldstein et Ali Watkins rapportent que le taux d’erreur était le plus prononcé chez les jeunes enfants bien que des associations inexactes aient également été constatées chez les adolescents de 10 à 16 ans. L’apparence des enfants et des adolescents peut changer radicalement pendant leur croissance : l’étirement et le déplacement des os modifient la structure de leur visage. Sur la base de ces arguments, nous estimons qu’il est probable que certains mineurs – notamment ceux de couleur ou de sexe féminin – puissent accéder à des sites pornographiques malgré la mise en place d’un algorithme.
 
Par ailleurs, visionner un tel contenu en dehors des plateformes visées est possible dans les faits. En effet, du contenu pornographique est présent sur les forums et les réseaux sociaux tels que Reddit ou Twitter en dépit des efforts de modération[33]. Les publicités présentes sur des sites de streaming illégaux affichent également cette catégorie de contenu préjudiciable. En outre, les injonctions de géoblocage des sites non coopératifs peuvent être contournées par l’utilisation de réseaux privés virtuels[34]. Leur utilisation est d’autant plus facile qu’ils sont désormais intégrés à certains navigateurs internet comme Opera. Enfin, les déboires rencontrés par le gouvernement britannique dans l’exécution de la troisième partie du Digital Economy Act 2017 illustrent comment le principe de territorialité des lois entrave une régulation efficace d’Internet. La presse spécialisée avait souligné l’impossibilité pour le Royaume-Uni de faire appliquer son droit national aux sites pornographiques appartenant à des sociétés installées à l’étranger[35].
 
La protection des mineurs sur Internet peut également être analysée sous le prisme de la protection de la vie privée.
 
II. La reconnaissance faciale, un outil controversé susceptible de menacer la vie privée des individus
 
La reconnaissance faciale est, en tout état de cause, un outil controversé susceptible de menacer la vie privée des individus. Les faiblesses du droit australien (A), la nécessité de l’ingérence (B) et l’insuffisance des garanties (C) peuvent être interrogées en l’espèce.
 
A. La mise en lumière des faiblesses du droit australien de la protection de la vie privée
 
La proposition d’utiliser la reconnaissance faciale comme technologie conditionnant l’accès au contenu pornographique met en lumière les faiblesses du droit australien de la protection de la vie privée. D’une part, le droit à la vie privée n’est ni protégé par la Constitution[36] ni par des textes internationaux ou régionaux aussi efficaces que le Règlement Européen sur la Protection des Données (RGPD) et la Convention Européenne des Droits de l’Homme (Convention EDH). L’Australie est uniquement liée, sur cette question, par le Pacte International des Droits Civils et Politiques (PIDCP) dont la portée est limitée[37]. D’autre part, il n’existe pas de façon univoque en droit australien de « tort » en cas d’atteinte à la vie privée[38]. L’arrêt Victoria Park and Recreation Grounds Co Ltd v. Taylor a en ce sens établi qu’il n’existe aucune cause d’action générale pour violation de la vie privée en Australie[39]. Il est toutefois possible pour un individu de se référer à des législations spécifiques. La protection des données personnelles repose, ainsi, au niveau fédéral, principalement sur le Privacy Act de 1988 dont la valeur est seulement législative. Or, ce que le législateur a fait peut être défait. Le maintien d’une législation protectrice repose donc essentiellement sur la sagesse des parlementaires.
 
B. La discussion autour de la nécessité de l’utilisation de la reconnaissance faciale
 
L’utilisation de la reconnaissance faciale dans ce contexte pourrait soulever des difficultés au regard du Privacy Act de 1988. Des ingérences sont possibles afin de poursuivre un but légitime comme celui de la protection des personnes vulnérables[40]. Le troisième Australian Privacy Principle (APP) fait cependant de l’interdiction de la collecte des données sensibles le principe, et de son autorisation, l’exception. Il exige que la collecte de données personnelles sensibles, telles que les données biométriques[41], repose sur le consentement de la personne concernée, sauf exception légale et nécessité [42]. Une réflexion sur le principe de nécessité semble pertinente dans le sens où cette exigence est commune à de nombreux instruments juridiques tels que le RGPD[43] ou encore la Convention EDH[44]. Pour le gouvernement australien, l’usage de la reconnaissance faciale se justifie par l’insuffisance d’un contrôle effectué sur la base de documents d’identité. Le ministère de l’Intérieur considère qu’il est possible qu’un mineur puisse contourner les systèmes de vérification de l’âge en utilisant les documents d’identité de ses parents[45]. De l’autre côté de la balance, Eros Association, un lobby de l’industrie pornographique laisse entendre que l’utilisation de cette technologie va au-delà du raisonnable et suggère que les fournisseurs d’accès à internet mettent à disposition des contrôles parentaux plus performants[46].
 
Bien que défavorable à l’action des pouvoirs publics [47], Lawrence Lessig propose une solution semblable afin de garantir au mieux l’équilibre entre la liberté d’expression et l’objectif de protection des mineurs [48]. Celle-ci ne repose cependant pas sur les fournisseurs d’accès à internet mais sur les fabricants de navigateurs internet. Dans The Law of The Horse : What Cyberlaw Might Teach, il suggère en effet que les autorités publiques légifèrent afin que les navigateurs soient équipés d’un mode enfants qui ne collecte aucune donnée autre que celles nécessaires au traitement. Ce mode activé, le navigateur signalerait aux serveurs que l’utilisateur est mineur. Ces derniers, au moment de la détection d’une demande de connexion provenant d’un navigateur en mode enfants, bloqueraient la connexion dès lors que le site serait réputé préjudiciable pour les mineurs. Il indique en outre que cette réglementation serait compatible avec la Constitution américaine : conformément à la jurisprudence Reno v. ACLU de la Cour Suprême américaine, elle constituerait l’ingérence la moins restrictive pour atteindre efficacement le but poursuivi.[49] La Constitution australienne ne protégeant que la liberté de communication politique[50], le droit national ne devrait pas s’opposer à une intervention étatique respectueuse de standards plus élevés.
 
Lawrence Lessig estime également qu’une telle réglementation serait réalisable puisque 90% des navigateurs internet utilisés seraient produits par deux sociétés : Microsoft et Netscape.[51] Il faut cependant replacer l’affirmation dans son contexte, l’article ayant été écrit en 1999. Cette position est désormais contestable au regard de l’évolution du marché des navigateurs internet[52]. NetScape a désormais disparu[53] tandis que les navigateurs de Microsoft, Internet Explorer et Microsoft Edge, se partagent à eux deux seulement 5.4% du marché. Certes, les 90% du marché sont dorénavant répartis entre quatre sociétés : Google, Apple, Mozilla et Microsoft. Or, il existe dorénavant des dizaines de fabricants de navigateurs internet établis dans des pays différents et présents sur une multitude de plateformes : ordinateurs, smartphones, tablettes, consoles de jeu, box internet… Leur business modèle a également évolué depuis la fin des années 1990. À cette époque, NetScape coûtait 39,95$[54]. Aujourd’hui, les navigateurs sont intégrés gratuitement dans les écosystèmes et le téléchargement de navigateurs alternatifs est généralement gratuit, ce qui démocratise l’accès à internet. Si ces derniers facteurs ne rendent pas impossible l’adoption d’une réglementation appropriée, ils viendraient néanmoins complexifier sa mise en œuvre.
 
C. L’insuffisance des garanties proposées
 
Cette proposition de filtrage du contenu par l’intermédiaire de la reconnaissance faciale met également en perspective l’insuffisance des garanties proposées. De nombreux acteurs du numérique font part de leur inquiétude quant à la politique de conservation, d’accès et de sécurité des données qui demeure encore inconnue.[55] Lecio de Paula Jr., Data Privacy Director chez KnowBe4, craint ainsi que les mineurs qui tentent de se connecter à des sites pornographiques soient sujets au profilage. En outre, Harrison Van Riper, Strategy and Research Analyst pour Digital Shadows alerte qu’un piratage de la base de données similaire à celui du site Ashley Madison provoquerait selon les individus des réactions allant de l’embarras jusqu’au suicide.[56] En partant du principe selon lequel les sites pornographiques hébergent fréquemment des programmes malveillants, Van Riper avance également que ces derniers sont susceptibles de collecter les données biométriques des individus.[57] En effet, si ces données sensibles ont des fonctions d’identification à l’instar des mots de passe, elles s’en distinguent sur un point essentiel. Lorsque les mots de passe sont révélés au public, ils demeurent facilement modifiables.[58] À l’inverse, lorsque les données biométriques fuient, il n’y a pas de retour en arrière possible. La biométrie ne se réinitialise pas.[59] L’utilisation à des fins criminelles des données biométriques volées serait dès lors un véritable drame.
 
 
Conclusion
 
Force est de constater qu’en souhaitant permettre l’identification des mineurs sur Internet afin de leur bannir l’accès à du contenu pornographique en ligne, les décideurs politiques poursuivent des chimères. Au regard de ces faiblesses techniques et de ces risques potentiels, la reconnaissance faciale n’apparaît pas comme une solution convenable. Elle est au contraire périlleuse pour la vie privée et la sécurité des données des personnes concernées. Dans le contexte de la vérification des âges, son interdiction serait préférable. Le développement de contrôles parentaux plus performants ainsi que la production de campagnes de sensibilisation sont en revanche des préconisations plus respectueuses des libertés. À titre d’ouverture, il est intéressant de signaler que l’utilisation de la reconnaissance faciale à des fins de filtrage du contenu pornographique soulève également des questions sur le terrain du droit de la consommation. Les algorithmes qui appuient cette technologie connaissent un taux d’échec particulièrement élevé lorsqu’il s’agit d’identifier correctement les personnes de couleurs et les femmes[60]. Quid du consommateur majeur de contenu pornographique, victime de ces biais algorithmiques, qui est exclu de l’accès à un tel service ?