Le Royaume-Uni est devenu le premier pays à introduire une exigence légale de vérification d’âge sur Internet, affectant tous les sites et applications à l’échelle mondiale. De plus, les États-Unis ont récemment relancé un projet de loi similaire à la législation britannique.
Bien que cette loi ait été présentée comme un moyen d’empêcher les enfants d’accéder à des sites pour adultes, la réalité est bien différente. On assiste déjà à des risques pour la vie privée, la bonne intention se transformant en une législation problématique qui pourrait affecter des services comme iMessage et FaceTime.
La législation britannique et américaine
L’Online Safety Act (OSA) du Royaume-Uni est entré en vigueur vendredi, rendant les sites Web et les applications légalement responsables de l’interdiction d’accès des enfants à du contenu « inapproprié selon l’âge ». Pour se conformer à cette loi, les entreprises doivent vérifier l’âge de tous leurs utilisateurs.
Une législation américaine assez similaire, appelée Kids Online Safety Act (KOSA), a été adoptée au Sénat l’année dernière avant d’être mise en attente, mais elle a été réintroduite à la Chambre et devrait devenir loi cette année.
Les quatre problèmes majeurs
Dépassement massif des pouvoirs
La législation, qui prétendait cibler uniquement les sites de divertissement pour adultes, a été élargie pour couvrir plus de 200 types de contenu, dont beaucoup sont définis de manière vague. La synthèse du gouvernement britannique concernant le contenu affecté illustre cette ambiguïté :
Les services doivent évaluer tout risque pour les enfants lors de l’utilisation de leurs plateformes et établir des restrictions d’âge appropriées afin de garantir que les utilisateurs enfants bénéficient d’expériences adaptées à leur âge et soient protégés des contenus nuisibles.
Étonnamment, cela pourrait inclure l’utilisation d’applications de médias sociaux, ainsi que l’accès à des informations sur la contraception, l’hygiène sexuelle et le signalement des abus sexuels. Une loi censée protéger les adolescents pourrait ainsi compliquer leur accès à des informations essentielles.
Accès non régulé à des données personnelles sensibles
De plus, la loi ne précise pas comment les sites doivent vérifier l’âge de leurs utilisateurs, ce qui conduit à une créativité inquiétante dans les méthodes adoptées. En particulier, l’utilisation de services privés de vérification d’identité, qui exigent des données personnelles comme des photocopies de passeports, soulève des craintes.
Dans le passé, plusieurs entreprises de vérification d’identité ont échoué à protéger ces données sensibles. Par exemple, la société américaine AU10TIX a exposé des informations telles que le nom, la date de naissance et le numéro d’identification.
Facilement détournable par les gouvernements
Nous avons déjà noté l’inclusion accidentelle de sites et d’applications innocents, mais un gouvernement répressif peut facilement ajouter de nouvelles catégories à la législation par une simple signature.
Par exemple, si un président américain n’aime pas la critique d’un site politique, il pourrait l’intégrer aux catégories visées par la loi, rendant l’accès plus difficile et incitant les usagers à craindre d’être identifiés lors de leur visite.
Inclut les services de messagerie privée, comme iMessage et FaceTime
Le point le plus préoccupant est que l’article 122 oblige les entreprises à analyser les messages privés pour détecter du contenu illégal. Cela est évidemment impossible sur des plateformes cryptées comme iMessage, FaceTime et WhatsApp, le gouvernement se contentant d’exiger que les entreprises trouvent une solution.
Bien que le gouvernement semble reculer sur sa demande de forcer Apple à créer une porte dérobée dans iCloud, cette loi semble raviver le débat sur la cryptographie de bout en bout.
