Sélection de la langue

Recherche

Protection de la vie privée et confirmation de l’âge – Consultation exploratoire

De nombreux pays, dont le Canada, ont présenté des projets de loi ou ont adopté des lois visant à renforcer la sécurité des jeunesNote de bas de page 1 en ligne. Il peut s’agir, par exemple, de restreindre l’accès des jeunes à un certain type de contenu ou d’interdire la collecte, l’utilisation ou la communication des renseignements personnels de ceux-ci dans certaines conditions ou à des fins prévues par la législation. Cette situation soulève une question : comment un service en ligne peut-il déterminer si un utilisateur est un jeune et s’il est donc soumis à ces restrictions?

Une approche courante est l’utilisation d’un système de confirmation de l’âge, qui fait référence à divers processus par lesquels l’âge (ou le groupe d’âge) d’un utilisateur est déterminé selon des niveaux variables de précision et de certitude. Dans certains cas, la confirmation de l’âge est imposée par la législation ou la réglementation; dans d’autres, elle est adoptée par les organisations dans le cadre de leur stratégie globale de conformité.

La confirmation de l’âge peut être une technique efficace pour promouvoir la sécurité en ligne auprès des jeunes. En plus de restreindre l’accès à du contenu préjudiciable, la confirmation de l’âge pourrait être utilisée pour diriger les jeunes vers une version d’un service qui utilise des pratiques en matière de données adaptées aux jeunes et aux enfants. Toutefois, cette technique peut également avoir des répercussions sur la vie privée et d’autres droits fondamentaux. C’est pourquoi le Commissariat à la protection de la vie privée du Canada a l’intention d’entreprendre un travail d’élaboration de politiques et d’orientations sur le développement et l’utilisation de technologies de confirmation de l’âge.

Le Commissariat est conscient de la complexité de cette question et de la nécessité de recueillir les points de vue d’un large éventail de parties concernées. Dans cette optique, le Commissariat a décidé de mener la présente consultation exploratoire afin de donner aux parties l’occasion de formuler des observations sur ses orientations et ses réflexions préliminaires sur ce sujet.

Qu’est-ce qu’une consultation exploratoire?

Dans le présent document, le Commissariat expose sa vision et son analyse actuelles de la question de la protection de la vie privée et de la confirmation de l’âge. Ses positions ne sont pas définitives et sont susceptibles de changer en fonction des observations qu’il recevra. L’objectif de cette consultation est de susciter un débat constructif sur ce sujet et de mieux comprendre les avantages, les préoccupations et les études ou écrits existants sur la confirmation de l’âge. Cette démarche viendra soutenir la ou les prochaines étapes du travail du Commissariat, qui comprendront la rédaction d’un document d’orientation provisoire sur la conception et l’utilisation de systèmes de confirmation de l’âge, lequel fera lui aussi l’objet d’une consultation.

Le Commissariat est disposé à recevoir de l’information qui renforce sa compréhension du concept global de la confirmation de l’âge, qui étaye ou remet en question son analyse préliminaire sur le sujet, ou qui l’aide à définir la voie à suivre.

Les instructions pour soumettre des observations figurent à la fin du présent document ou peuvent être consultées en ligne à la page : Consultation exploratoire sur la confirmation de l’âge – appel aux observations.

Positions préliminaires du Commissariat

D’une manière générale (et selon l’information qui suit), le Commissariat estime qu’il est possible de concevoir et d’utiliser des systèmes de confirmation de l’âge d’une manière qui protège la vie privée. Toutefois, cela ne signifie pas que l’utilisation de la confirmation de l’âge sera nécessaire dans la même mesure en toutes circonstances.

À première vue, l’utilisation de systèmes de confirmation de l’âge :

  • devrait être limitée aux situations qui présentent un risque élevé pour l’intérêt supérieur des jeunes;
  • doit tenir compte des répercussions sur le droit à la vie privée à la fois des jeunes utilisateurs et des utilisateurs adultes du service en ligne.

En outre, les dispositions des lois ou des règlements qui prévoient l’utilisation de systèmes de confirmation de l’âge pour restreindre l’accès des jeunes à un certain type de contenu :

  • devraient être proportionnés au risque et tenir compte des autres moyens possibles de restreindre l’accès au contenu, comme l’éducation, le contrôle parental sur les appareils ou les technologies de filtrage de contenu Web au niveau de l’individu ou du ménage.

De même, l’utilisation de la confirmation de l’âge permet de limiter l’exposition des jeunes à des pratiques en matière de données susceptibles d’influencer négativement leur comportement ou de leur porter préjudice :

  • Une organisation devrait être tenue de démontrer la nécessité d’appliquer ces pratiques par défaut.
    • Autrement dit, les organisations devraient être tenues de justifier la raison pour laquelle un mécanisme particulier de confirmation de l’âge est une option plus appropriée que, par exemple, le fait de supposer que tous les utilisateurs sont des jeunes et de recourir à des pratiques appropriées.

Enfin, les systèmes de confirmation de l’âge :

  • devraient être conçus de manière à réduire au minimum l’identifiabilité des utilisateurs et la possibilité de relier les utilisateurs entre les services;
  • ne devraient pas permettre que les renseignements recueillis aux fins de confirmation de l’âge soient utilisés à d’autres fins;
  • devraient être conçus conformément aux normes pertinentes de l’industrie et aux orientations des organismes de réglementation (y compris le Commissariat) et faire l’objet d’une surveillance efficace;
  • ne devraient pas exiger des individus qu’ils se soumettent à un processus de confirmation de l’âge pour accéder à du contenu non restreint.

Renseignements généraux et contexte

En vue de fournir un cadre pour la consultation, vous trouverez ci-dessous une explication des termes clés utilisés dans le présent document. Vous trouverez par ailleurs une liste de travaux existants sur la confirmation de l’âge et la protection de la vie privée, ainsi que certains facteurs à considérer relativement à l’utilisation des technologies de confirmation de l’âge.

Termes clés

La « confirmation de l’âge » est une expression générique qui englobe plusieurs mécanismes permettant de déterminer l’âge d’un individu. Dans le présent document, cette notion est subdivisée en trois sous-catégories :

  • Déclaration de l’âge : Un individu (ou bien une personne qui le connaît) déclare avoir plus d’un certain âge. En général, cette déclaration n’est pas vérifiée par l’organisation.
  • Vérification de l’âge : Un individu fournit à l’organisation une preuve de son âge. Il peut s’agir d’une preuve fournie directement (par exemple fournir une copie d’un document d’identité délivré par un gouvernement) ou indirectement (par exemple demander à un service tiers de fournir une preuve d’âge). La nature et la quantité de renseignements reçus par l’organisation au cours de ce processus pourront varier.
  • Estimation de l’âge : L’âge de l’individu est estimé au moyen d’une analyse biométrique ou comportementale, généralement effectuée par un système d’intelligence artificielle.

Travaux existants

De plus en plus de travaux portent sur la relation entre la protection de la vie privée et la confirmation de l’âge, ou proposent des principes pour garantir une utilisation adéquate de la technologie. Le Commissariat a été particulièrement attentif aux positions prises par les autorités de protection des données en Europe, notamment en EspagneNote de bas de page 2, en FranceNote de bas de page 3 et au Royaume-UniNote de bas de page 4, lesquelles lui ont permis de mieux comprendre le sujet. Il a aussi pris connaissance de travaux menés par des organisations de l’industrie, telles que Digital Trust & Safety PartnershipNote de bas de page 5.

Des normes pourraient également jouer un rôle important dans le développement de systèmes de confirmation de l’âge. Les projets actuels dans ce domaine comprennent ceux du British Standards Institution (BSI PAS 1296:2018Note de bas de page 6), de l’IEEE (IEEE 2089.1Note de bas de page 7), de l’Organisation internationale de normalisation (ISO) (ISO/IEC WD 27566Note de bas de page 8) et de l’Institut des normes de gouvernance numérique du Canada (Comité technique 18Note de bas de page 9).

Facteurs à considérer

Afin de mieux mettre en contexte les positions initiales du Commissariat sur la confirmation de l’âge, voici ce qu’il faut comprendre :

  • Les systèmes d’estimation de l’âge manquent de précision : Les systèmes d’estimation de l’âge fonctionnent mieux avec une marge de sécurité (ou marge d’erreur). Par exemple, lorsqu’il est nécessaire de restreindre l’accès à tout utilisateur de moins de 18 ans, un service d’estimation de l’âge pourrait estimer si cette personne a plus de 21 ans (une marge de sécurité de 3 ans), en refusant l’accès ou en exigeant des étapes de vérification supplémentaires pour toute personne considérée comme étant âgée de moins de 21 ansNote de bas de page 10. Ainsi, de par sa conception, un système d’estimation de l’âge rejettera (ou renverra à un autre mécanisme de confirmation) un certain nombre de personnes dont l’âge est supérieur à celui fixé pour la restriction, mais inférieur à celui fixé pour la marge de sécurité.
  • La confirmation de l’âge peut poser des problèmes d’équité : En général, les mécanismes de vérification de l’âge reposent sur la possibilité pour l’individu de fournir un document d’identité (une pièce d’identité délivrée par un gouvernement, un compte auprès d’un tiers de confiance, comme une banque, etc.). Ces mécanismes peuvent poser des problèmes aux groupes de population pouvant avoir des difficultés à se procurer ces documents d’identité, notamment les jeunes adolescents (dans les cas où les plus de 13 ans sont autorisés à accéder à un contenu ou à un service), les personnes en situation d’itinérance ou sans compte bancaire, ou encore les non-citoyens. Les techniques d’estimation de l’âge (comme l’analyse faciale) ont également posé des problèmes de cohérence en matière de fiabilité des résultats en fonction de la couleur de la peau et du genre.
  • Les techniques de confirmation de l’âge peuvent exacerber la fracture numérique : Certaines technologies de confirmation de l’âge peuvent nécessiter que les individus disposent de technologies particulières (comme une caméra Web ou un téléphone cellulaire non partagé) ou qu’ils suivent des étapes de connexion et d’authentification complexes qui ne sont pas à la portée de tous.
  • La confirmation de l’âge n’est pas la seule option possible : Des outils comme les contrôles parentaux sur les appareils ou les navigateurs, les campagnes d’éducation et de sensibilisation du public et d’autres approches peuvent remplacer ou compléter les mécanismes de confirmation de l’âge afin d’accroître la protection des jeunes en ligne.

Analyse des facteurs relatifs à la vie privée

Les répercussions de la confirmation de l’âge sur la vie privée seront différentes selon le mécanisme de confirmation de l’âge utilisé (déclaration, vérification ou estimation). Cependant, les répercussions majeures les plus probables engendrées par la confirmation de l’âge (et la vérification l’âge ou l’estimation de l’âge en particulier) sont les suivantes :

  • Identifiabilité / établissement de liens : À l’instar d’un système d’identité numérique, s’il n’est pas conçu de manière appropriée, le système de confirmation de l’âge peut accroître l’identifiabilité d’un individu ou la possibilité de lier son activité dans le temps ou entre les sites Web et services. Il est important de se pencher sur cette question étant donné la sensibilité des renseignements qui peuvent être révélés selon le contenu à accès restreint consulté par un individuNote de bas de page 11 ainsi que sur la possibilité d’une surveillance en ligne accrue.
  • Données résiduelles / métadonnées : Il est possible que les métadonnées générées ou conservées par un système de vérification de l’âge aient aussi des répercussions sur la vie privée. Par exemple, les utilisateurs ne voudront probablement pas se soumettre à un processus de confirmation de l’âge chaque fois qu’ils accèdent à un service donné; il est donc probable qu’une certaine forme de jeton persistant sera utilisée pour indiquer que l’individu a déjà fait l’objet d’une confirmation de l’âge. S’il n’est pas conçu de manière appropriée, ce jeton pourrait servir d’identificateur unique et/ou révéler l’âge ou le groupe d’âge dans d’autres espaces en ligne qui ne requièrent pas de confirmation de l’âge. De même, la simple présence de ce jeton pourrait permettre de tirer des conclusions sur l’individu si le jeton est exclusivement associé à l’accès à certains types de contenus ou de services.
  • Normalisation de l’identification numérique : La Résolution de 2022 sur l’écosystème d’identité numérique, adoptée par les commissaires à la protection de la vie privée fédéral, provinciaux et territoriaux et des ombudsmans qui assument une fonction de surveillanceNote de bas de page 12 dans le domaine, met l’accent sur les points suivants :

    « Une identification numérique ne devrait pas être utilisée pour de l’information ou des services qui pourraient être proposés à des individus sur une base anonyme et les systèmes devraient permettre les transactions anonymes et celles effectuées au moyen d’un pseudonyme, le cas échéant. »

    Le principe général selon lequel, dans la mesure du possible, les individus devraient pouvoir utiliser des services en ligne sans avoir à justifier leur identité pourrait être modifié si l’accès à des services d’usage général (comme les moteurs de recherche ou les médias sociaux) est soumis à la confirmation de l’âge.

Bon nombre des répercussions susmentionnées peuvent être atténuées en utilisant des technologies d’amélioration de la confidentialité ou des mesures stratégiques conçues convenablement. Toutefois, certains risques (réels ou perçus) pourraient être plus difficiles à atténuer, notamment les suivants :

  • Hameçonnage : Une différence importante entre la confirmation de l’âge en ligne et hors ligne est que, dans le cas de cette dernière, il est rare qu’un individu reçoive une demande frauduleuse de vérification de l’âge. Si une preuve d’âge est demandée lors de l’achat d’alcool par exemple, le contexte devrait suffire à déterminer si la demande est légitime. En ligne, les messages d’hameçonnage sophistiqués et les sites Web frauduleux rendent cette tâche plus difficile, et peuvent amener un individu à fournir des détails et/ou des renseignements personnels sensibles à des auteurs malveillants.
  • Manque de confiance : Le sondage de 2022-2023 mené par le Commissariat auprès des Canadiens a révélé que seuls 4 Canadiens sur 10 estimaient que les entreprises respectaient leur droit à la vie privée. Selon ce même sondage, les cotes de confiance les plus basses étaient celles envers les géants du numérique (64 % déclarant n’avoir « pas beaucoup » ou « pas du tout » confiance) et les médias sociaux (88 % déclarant n’avoir « pas beaucoup » ou « pas du tout » confiance). La confirmation de l’âge peut donc obliger les individus à fournir des renseignements personnels supplémentaires, potentiellement sensibles, à une organisation qu’ils ne connaissent pas ou en laquelle ils n’ont pas confiance.

    Même si des technologies d’amélioration de la confidentialité sont utilisées et que les services de confirmation de l’âge font l’objet d’une surveillance stricte, il est probable que certains individus renonceront à accéder à du contenu ou à des services qui nécessitent une confirmation de l’âge ou qu’ils rechercheront ce contenu par des moyens qui posent plus de risques (par exemple sur le Web invisible).

Rôle du Commissariat

La confirmation de l’âge est une question qui intéresse plusieurs juridictions et qui est susceptible d’avoir des répercussions sur de nombreux droits.

Le rôle du Commissariat est de :

  • Mettre en évidence les risques d’atteinte à la vie privée : Le Commissariat est bien placé pour mettre en évidence les risques potentiels ou connus que présentent les systèmes de confirmation de l’âge, tant en ce qui concerne la collecte, l’utilisation et la communication de renseignements personnels associés au système de confirmation de l’âge lui-même que les risques potentiels plus généraux liés à l’utilisation d’Internet en navigation anonyme.
  • Appuyer une conception solide : Le Commissariat est aussi bien placé pour formuler des observations ou rédiger des documents d’orientation sur les pratiques appropriées en matière de protection de la vie privée pour les services en ligne, notamment en ce qui concerne la conception et l’utilisation adéquates de systèmes de confirmation de l’âge. Le Commissariat est également en mesure de communiquer avec les organisations pour clarifier ses attentes en ce qui concerne les obligations en matière de protection de la vie privée.
  • Encourager la mise au point de techniques et de services de confirmation de l’âge respectueux de la vie privée : En rédigeant des lignes directrices, en élaborant ou en révisant des codes de pratique, en soutenant l’élaboration de normes ou en prenant d’autres mesures, le Commissariat peut jouer un rôle clé en veillant à ce que des techniques de confirmation de l’âge respectueuses de la vie privée soient mises à disposition et à ce que les attentes ou les obligations à l’égard de ces systèmes soient connues.
  • Examiner et, le cas échéant, promouvoir des mesures qui protègent la vie privée en complément ou en remplacement de la confirmation de l’âge : La confirmation de l’âge doit être considérée comme une option parmi d’autres afin de restreindre l’accès à du contenu ou de définir les pratiques adéquates en matière de données pour un utilisateur. L’expertise du Commissariat peut être mise à profit pour évaluer et se pencher sur les répercussions que ces différentes options peuvent avoir sur la vie privée.

Pour formuler des observations

Au terme de la présente consultation, le Commissariat a l’intention de rédiger un document d’orientation qui précise et définit les attentes en matière de développement et d’utilisation de systèmes de confirmation de l’âge respectueux de la vie privée. Dans son plan stratégiqueNote de bas de page 13, le Commissariat précise que « défendre le droit à la vie privée des enfants » et « faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens » sont deux de ses priorités stratégiques pour 2024-2027. La question de la confirmation de l’âge se situe à la croisée de ces deux priorités. Le Commissariat est d’avis que l’innovation dans le domaine des technologies ne doit pas se faire au détriment de la protection de la vie privée. Au contraire, l’innovation peut servir à protéger ce droit fondamental, et les orientations que le Commissariat proposera permettront d’y parvenir.

Le Commissariat vous invite à lui faire part de vos observations sur ses positions préliminaires. En particulier, le Commissariat souhaite recevoir des réponses aux questions suivantes :

  • De quel autre contexte le Commissariat devrait-il tenir compte dans l’élaboration de ses prochains travaux? Existe-t-il d’autres ressources clés (documents d’orientation, principes, normes, recherches, etc.) à consulter?
  • Y a-t-il d’autres facteurs importants en matière de protection de la vie privée dont le Commissariat devrait tenir compte?
  • Avez-vous des observations à formuler sur nos positions préliminaires?
  • Quelles mesures complémentaires le Commissariat pourrait-il envisager de prendre afin de promouvoir la protection de la vie privée et la sécurité en ligne des jeunes?

Les observations seront acceptées par courriel (OPC-CPVPconsult1@priv.gc.ca) jusqu’au 10 septembre 2024. De plus amples renseignements sur la présente consultation se trouvent à la page : Consultation exploratoire sur la confirmation de l’âge – appel aux observations.

Date de modification :