Quand la vérification de l’âge s’intègre à votre système d’exploitation

Alors que les gouvernements du monde entier s’efforcent de rendre Internet plus sûr pour les enfants, une idée gagne du terrain : au lieu d’obliger les sites internet à bloquer l’accès aux enfants, pourquoi ne pas laisser leur appareil s’en charger ?

Aux États-Unis, la Californie a adopté une loi obligeant les systèmes d’exploitation à collecter des informations sur l’âge et à fournir aux applications un signal indiquant si un utilisateur est mineur ou adulte. Les législateurs du Colorado(nouvelle fenêtre) et de l’Illinois(nouvelle fenêtre) envisagent une législation similaire.

Au Royaume-Uni, Apple a déjà commencé à exiger de certains utilisateurs d’iPhone qu’ils vérifient leur âge au niveau du système d’exploitation pour accéder à certaines fonctionnalités.

C’est un changement majeur dans le fonctionnement de l’identité en ligne. Lorsque les vérifications d’identité passent des sites internet aux systèmes d’exploitation, elles font partie de l’infrastructure d’Internet. Les décisions prises à ce niveau peuvent affecter la manière dont des milliards de personnes accèdent à l’information, communiquent et participent en ligne.

« Elles créent des barrières inutiles et inconstitutionnelles(nouvelle fenêtre) pour les adultes et les jeunes souhaitant accéder à l’information et s’exprimer en ligne », avertit l’Electronic Frontier Foundation, en particulier lorsque des membres d’une famille d’âges différents partagent des appareils au sein d’un même foyer.

Des vérifications sur les sites internet aux signaux au niveau de l’appareil

Historiquement, les restrictions d’âge sur Internet étaient gérées par des applications et des sites internet individuels. Si une application ou un site internet héberge du contenu destiné aux adultes, il peut demander aux utilisateurs de confirmer leur âge avant de les autoriser à télécharger l’application ou à accéder au site internet. La nouvelle approche transfère cette responsabilité au système d’exploitation qui fait fonctionner votre appareil, comme Windows, Mac ou Linux.

En vertu du Digital Age Assurance Act de la Californie(nouvelle fenêtre), les systèmes d’exploitation doivent collecter l’âge d’un utilisateur lors de la configuration du compte et classer les utilisateurs par groupes d’âge : moins de 13 ans, 13 à 15 ans, 16 à 17 ans, ou 18 ans et plus. Au lieu de demander à chaque site internet de vérifier l’âge d’un utilisateur, le système d’exploitation de votre ordinateur détermine la catégorie d’âge de l’utilisateur une seule fois, puis partage cette information avec les applications sur demande, et ce indéfiniment.

Le transfert de la vérification de l’âge vers les systèmes d’exploitation ne simplifie pas seulement la conformité. Cela modifie qui contrôle l’identité en ligne.

Aujourd’hui, la plupart des appareils mobiles fonctionnent sur des systèmes d’exploitation contrôlés par Apple et Google. Si la vérification de l’âge devient une exigence au niveau de l’OS, ces entreprises deviennent effectivement les gardiennes des signaux d’âge utilisés par des millions d’applications.

Les développeurs ne décideraient plus de la manière de vérifier les utilisateurs. Ils seraient plutôt tenus de s’appuyer sur la classification du système d’exploitation. Dans la pratique, cela signifie faire confiance à l’infrastructure d’Apple ou de Google — et à leur interprétation des exigences réglementaires — pour déterminer qui peut accéder à quoi.

Cela a des implications au-delà du respect de la vie privée. Cela renforce le pouvoir des écosystèmes existants des boutiques d’applications, où les deux entreprises contrôlent déjà la distribution et l’application des politiques. L’ajout de la vérification d’identité à cet ensemble consolide davantage leur position, enfermant les développeurs dans leurs écosystèmes et limitant la capacité des concurrents à créer des plateformes ou des systèmes d’identité alternatifs.

Cela soulève également des questions sur la façon dont cette infrastructure pourrait être utilisée au-delà de son objectif initial. Une fois que les systèmes d’exploitation peuvent vérifier et transmettre des attributs comme l’âge, le même mécanisme pourrait être étendu à d’autres pays pour imposer des contrôles plus larges.

Des gouvernements tels que la Chine et la Russie ont déjà montré leur volonté d’exiger des entreprises qu’elles restreignent l’accès aux applications et aux contenus. Les systèmes conçus pour la vérification de l’âge pourraient devenir une fondation pour des formes de contrôle plus étendues.

Les partisans soutiennent que cela pourrait simplifier la conformité et réduire la nécessité pour les plateformes de collecter elles-mêmes des données sur l’âge. Les critiques affirment que cela risque de transformer l’appareil lui-même en un point de contrôle d’identité permanent. En vertu de la nouvelle loi, chaque système d’exploitation sera tenu de vérifier l’âge de l’utilisateur lors de la configuration(nouvelle fenêtre), et il pourra envoyer ces données via une API aux développeurs d’applications sans le consentement explicite de l’utilisateur.

Les risques pour le respect de la vie privée des vérifications d’âge centralisées

Le fonctionnement des systèmes de vérification de l’âge varie considérablement.

L’importation de documents d’identité peut exposer les utilisateurs au risque de fuites de données, comme on l’a vu avec des plateformes comme Discord, où les attaquants ont pu accéder à des milliers de pièces d’identité gouvernementales via les systèmes de vérification de l’âge.

Les systèmes biométriques soulèvent des préoccupations quant à leur précision et à leurs biais. Les scanners faciaux, par exemple, ne peuvent pas déterminer l’âge exact d’une personne et peuvent conduire à des résultats inexacts.

Centraliser les signaux d’âge au niveau du système d’exploitation introduit un risque différent. Si les attributs d’identité sont intégrés au logiciel qui fait fonctionner un appareil, ces informations pourraient façonner la manière dont les utilisateurs interagissent avec l’ensemble de l’écosystème numérique.

Par exemple, dans les foyers multifamiliaux où plusieurs personnes utilisent le même appareil, les applications pourraient restreindre par erreur l’accès au contenu en fonction du signal d’âge qu’elles reçoivent du système d’exploitation, même lorsque l’utilisateur est majeur. De même, si un adulte enregistre le système d’exploitation, les enfants utilisant l’appareil peuvent facilement contourner le signal d’âge envoyé par l’OS. Dans certains cas, les développeurs peuvent engager leur responsabilité légale s’ils ne parviennent pas à appliquer correctement les restrictions d’âge.

Concevoir des systèmes qui protègent le respect de la vie privée

Protéger les enfants en ligne est un objectif important. Les parents, les éducateurs et les décideurs politiques ont des préoccupations légitimes concernant les contenus préjudiciables, les pressions des réseaux sociaux et les pratiques de conception abusives. Mais concevoir des protections pour Internet ne concerne pas uniquement des objectifs politiques. Il s’agit également d’une question d’architecture technique.

Un système destiné à protéger les mineurs ne devrait pas obliger tout le monde à céder des informations personnelles sensibles pour utiliser des services en ligne du quotidien.

Au lieu de cela, des lois exhaustives sur le respect de la vie privée peuvent aider à protéger les enfants(nouvelle fenêtre) tout en préservant le respect de la vie privée, la sécurité et l’accès à l’information pour tous.

Alors que les politiques de vérification de l’âge continuent d’évoluer, les systèmes qui les appliquent contribueront à déterminer à quoi ressemblera Internet pour la prochaine génération. Ce qui compte le plus, c’est qui contrôle les systèmes qui prennent ces décisions.