Déclaration commune attestant de l’adoption d’une approche internationale concertée en ce qui concerne le contrôle de l’âge

Le 19 septembre 2024

Introduction

Nous, signataires de la présente déclaration, sommes ravis d’annoncer la publication de la présente déclaration commune attestant du désir de progresser vers l’adoption d’une approche internationale concertée en ce qui concerne la protection des données et de la vie privée dans le cadre des mécanismes de contrôle de l’âge.
La présente déclaration énonce certains des principes communs qui sont essentiels aux yeux des signataires. Ces principes serviront de guide à l’intention de l’industrie en ce qui concerne les pratiques attendues en matière de contrôle de l’âge du point de vue de la protection des données et de la vie privée.
Les exigences et les normes en matière de contrôle de l’âge peuvent varier d’une administration à l’autre. Nous rappelons donc aux fournisseurs de services en ligne^{Note de bas de page 1} de consulter les autorités compétentes chargées de la protection des données et de la vie privée dans les pays où ils exercent leurs activités pour obtenir l’orientation appropriée afin de respecter leurs obligations en matière de protection des données et de la vie privée conformément à la loi. Les principes présentés ci-après visent à mieux soutenir l’exactitude et l’efficacité des mécanismes de contrôle de l’âge tout en assurant un niveau élevé de protection de la vie privée des utilisateurs.

Fondement de la déclaration

Le contrôle de l’âge est le processus qui consiste à établir, à déterminer et, ou à confirmer l’âge d’une personne physique ou la tranche d’âge dans laquelle elle se trouve. Il s’agit d’un terme général englobant tous les mécanismes qui aident à estimer ou à déterminer l’âge d’un utilisateur et qui, par conséquent, permettent à un fournisseur d’adapter l’expérience de l’utilisateur à l’âge de celui‑ci ou d’appliquer des restrictions en matière d’accès qui sont adaptées à l’âge, lorsque la loi l’exige.
Le contrôle de l’âge peut être utilisé pour protéger les gens, plus particulièrement les enfants^{Note de bas de page 2}, des préjudices découlant du traitement de leurs renseignements personnels en ligne, et pour veiller à ce que ces renseignements ne servent pas à proposer aux enfants du contenu auquel ils ne devraient pas avoir accès compte tenu de leur âge. De plus, dans les cas où le traitement des données des enfants est strictement interdit, le contrôle de l’âge peut aider les organisations à respecter leurs obligations légales.
Même si nous reconnaissons le travail continu des autorités de protection des données et des organismes de réglementation en matière de cybersécurité dans le domaine du contrôle de l’âge, l’industrie a laissé entendre qu’il était nécessaire d’accroître la convergence et la coordination réglementaires^{Note de bas de page 3}.
Bien que cette déclaration ne traite pas toutes les questions connues de protection des données et de la vie privée liées aux mécanismes de contrôle de l’âge, elle vise à commencer à relever les défis en la matière en établissant des principes de base partagés par différents organismes internationaux de réglementation dans le domaine.

Objectifs de la déclaration commune

Nous reconnaissons que le contrôle de l’âge vise à protéger les enfants dans le monde numérique, pendant qu’ils s’adonnent à des activités en ligne et se développent, sans leur en bloquer l’accès.
En publiant cette déclaration commune, nous visons à établir le respect de certains principes clés dans l’ensemble de l’industrie en ce qui concerne les pratiques de contrôle de l’âge puisqu’il est question de protection des données et de la vie privée. Nous encourageons vivement les fournisseurs et les prestataires de services de contrôle de l’âge à tenir compte de ces principes dans leur approche du contrôle de l’âge.
Nous espérons que ces principes seront le point de départ utile de conversations à poursuivre sur la façon de faire croître la cohérence et la coordination transnationales dans ce domaine, et ainsi soutenir l’exactitude et l’efficacité des mécanismes de contrôle de l’âge tout en assurant un niveau élevé de protection de la vie privée des utilisateurs.

Groupe de travail international sur le contrôle de l’âge

En raison du contexte actuel en matière de contrôle de l’âge, le commissariat à l’information du Royaume-Uni (UK Information Commissioner’s Office [ICO]) a créé en 2022 un groupe de travail international pour permettre aux autorités de protection des données d’échanger de l’information sur les mécanismes de contrôle de l’âge et d’apprendre de leurs expériences^{Note de bas de page 4}.
Les travaux existants en matière de politique de contrôle de l’âge ont guidé le groupe. Ces travaux comprennent notamment l’avis de l’ICO sur le contrôle de l’âge^{Note de bas de page 5}, les recommandations de la Commission nationale de l’informatique et des libertés (autorité de protection des données française) sur la vérification de l’âge en ligne^{Note de bas de page 6} et le décalogue de principes de l’agence espagnole de protection des données (Agencia Espanola Proteccion Datos [AEPD])^{Note de bas de page 7}. De plus, ils tiennent compte des normes internationales sur les technologies de contrôle de l’âge actuellement élaborées par l’Organisation internationale de normalisation (ISO)^{Note de bas de page 8} et de la norme de l’institut des ingénieurs en électricité et en électronique (Institute of Electrical and Electronics Engineers [IEEE])^{Note de bas de page 9} déjà lancée ainsi que des avancées techniques en cours dans ce domaine, dont les techniques d’estimation de l’âge.
La présente déclaration a vu le jour en tant qu’initiative de certains membres du groupe et reflète le point de vue de ses signataires. Elle n’a pas été approuvée par le groupe de travail international sur le contrôle de l’âge dans son ensemble.

Prochaines étapes

La présente déclaration demeurera ouverte à la signature après sa publication. Nous invitons les organismes de réglementation qui ne sont pas membres du présent groupe et qui appuient les principes décrits ci-dessous à signer la déclaration.
Le groupe de travail international sur le contrôle de l’âge continuera de collaborer au dossier de contrôle de l’âge et de tenir compte de l’évolution rapide de la technologie dans ce domaine afin de réduire les risques pesant sur la vie privée auxquels les gens, et particulièrement les enfants, doivent faire face dans le monde numérique.

Principes de la déclaration commune

Les mécanismes de contrôle de l’âge doivent toujours être mis en œuvre conformément aux exigences en matière de protection des données^{Note de bas de page 10} et de manière à tenir compte du risque et du principe de proportionnalité afin de réduire le risque de préjudice pour les utilisateurs, et plus particulièrement pour les enfants.
L’utilisation de renseignements personnels aux fins du contrôle de l’âge doit être légale, équitable, transparente et non discriminatoire. La collecte de renseignements personnels doit se limiter à ceux qui sont nécessaires au contrôle de l’âge.
Tout exercice de contrôle de l’âge doit être mis en œuvre dans l’intérêt supérieur de l’enfant^{Note de bas de page 11} et en garantissant le droit fondamental de tous les utilisateurs d’accéder à de l’information sur Internet^{Note de bas de page 12}.
Les fournisseurs, y compris les prestataires de services de contrôle de l’âge, doivent être responsables de l’approche de contrôle de l’âge qu’ils offrent et démontrer que cette approche est respectueuse de la vie privée et qu’elle est efficace et proportionnelle.
Les fournisseurs doivent établir avec une certitude raisonnable si des enfants sont susceptibles d’accéder à leur plateforme ou à leur site Web. Lorsqu’il est inapproprié ou illégal pour un enfant d’accéder à un site Web, les fournisseurs doivent s’investir dans le déploiement d’un moyen efficace de contrôle de l’âge pour empêcher les enfants d’accéder au site en question.
Les fournisseurs doivent évaluer et étayer la gravité des risques que posent les mécanismes de contrôle de l’âge mis en œuvre du point de vue de la protection des données pour les utilisateurs, et plus particulièrement pour les enfants^{Note de bas de page 13}.
Les fournisseurs doivent trouver un juste équilibre entre les risques d’atteinte à la protection des données que posent les mécanismes de contrôle de l’âge qu’ils mettent en place et l’intérêt supérieur de l’enfant, y compris son droit d’accéder en toute sécurité à divers renseignements en ligne tout en étant protégé contre du matériel préjudiciable ^{Note de bas de page 14}.
Les fournisseurs doivent être au fait des technologies de pointe en matière de contrôle de l’âge afin de s’assurer de mettre en œuvre des mécanismes qui sont efficaces, tout en protégeant les droits et libertés des utilisateurs, et de soumettre ces mécanismes à des examens réguliers.
Les fournisseurs doivent être conscients du fait que, lorsqu’il y a un risque élevé d’atteinte à la protection des données des utilisateurs, il est peu probable que la simple déclaration volontaire constitue une méthode appropriée de contrôle de l’âge, car elle peut être trop facilement contournée.
La déclaration volontaire ne devrait être utilisée que dans les situations où il y a peu ou pas de risque d’atteinte à la de protection des données des enfants. Les mécanismes de contrôle de l’âge exigeant la communication d’une plus grande quantité de données personnelles peuvent être utilisés lorsque la loi l’exige ou lorsqu’il y a un risque élevé d’atteinte à la protection des données pour les enfants, et lorsqu’ils sont conformes à la législation sur la protection des données en place dans l’administration en question.
Le contrôle de l’âge est une solution technique possible, mais pas le seul outil à disposition pour protéger les enfants en ligne. Les contrôles parentaux sur les appareils, l’éducation du public et les campagnes de sensibilisation, ou encore l’application de principes de protection des données dès la conception et par défaut peuvent, de concert avec les mécanismes de contrôle de l’âge, jouer un rôle important dans la protection des enfants dans le monde numérique.

Cette déclaration est appuyée par les organismes de réglementation suivants :

Commissariat à l’information du Royaume-Uni (UK Information Commissioner’s Office)
Autorité de réglementation de Gibraltar (Gibraltar Regulatory Authority)
Commission nationale de la protection de la vie privée des Philippines (Philippines’ National Privacy Commission)
Commissariat à la protection de la vie privée du Canada (Office of the Privacy Commissioner of Canada)
Agence publique responsable de l’accès à l’information en Argentine (Agencia de Acceso a la Información Pública de Argentina)
Institut chargé de la transparence, de l’accès à l’information et de la protection des données personnelles pour les municipalités et les états du Mexique (Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios [INFOEM])

Notes de bas de page

Notes de bas de page 1

Ces services comprennent de nombreux programmes, applications, jouets et appareils connectés, moteurs de recherche, plateformes de médias sociaux, services de diffusion en continu, jeux en ligne, sites Web de nouvelles, sites Web éducatifs et sites Web offrant d’autres biens et services à des utilisateurs par l’intermédiaire d’Internet.

Retour à la notes de bas de page 1

Notes de bas de page 2

La présente déclaration commune utilise la définition de la Convention des Nations Unies relative aux droits de l’enfant (CNUDE) selon laquelle un enfant s’entend de tout être humain âgé de moins de dix-huit ans. Toutefois, nous reconnaissons que la législation nationale peut exiger des mécanismes de contrôle de l’âge à différents âges, comme à l’âge de consentement légal en vigueur dans l’administration en question. Voir CNUDE, article 1.

Retour à la notes de bas de page 2

Notes de bas de page 3

Age Assurance and Age Verification Tools: Takeaways from CIPL Roundtable (en anglais seulement).

Retour à la notes de bas de page 3

Notes de bas de page 4

Il s’agit d’un groupe distinct de l’International Working Group on Age Verification (en anglais seulement) présidé par Ofcom et composé d’organismes de réglementation de la sécurité en ligne, mais les deux groupes se sont engagés à collaborer de façon proactive.

Retour à la notes de bas de page 4

Notes de bas de page 5

Updated Commissioner’s Opinion on age assurance for the Children’s code | ICO (en anglais seulement).

Retour à la notes de bas de page 5

Notes de bas de page 6

Vérification de l’âge en ligne : trouver l’équilibre entre protection des mineurs et respect de la vie privée | CNIL.

Retour à la notes de bas de page 6

Notes de bas de page 7

Decalogue of Principles: Age verification and protection of minors from inappropriate content | AEPD (en anglais seulement).

Retour à la notes de bas de page 7

Notes de bas de page 8

ISO/IEC CD 27566-1 – Information security, cybersecurity and privacy protection — Age assurance systems — Framework — Part 1: Framework (en anglais seulement).

Retour à la notes de bas de page 8

Notes de bas de page 9

IEEE SA - IEEE 2089.1-2024 (en anglais seulement).

Retour à la notes de bas de page 9

Notes de bas de page 10

Par exemple, les articles 5 du Règlement général sur la protection des données (RGPD) de l’Union européenne et du Royaume‑Uni (en anglais seulement) énoncent les principes liés au traitement des données personnelles.

Retour à la notes de bas de page 10

Notes de bas de page 11

Convention relative aux droits de l’enfant des Nations Unies (CNUDE), article 3 : Dans toutes les décisions qui le concernent, l’intérêt supérieur de l’enfant doit être une considération primordiale.

Retour à la notes de bas de page 11

Notes de bas de page 12