Concevoir des systèmes de contrôle de l’âge qui protègent la vie privée – Document d’orientation pour les développeurs de systèmes de contrôle de l’âge

Résumé des critères de conception des systèmes de contrôle de l’âge

1. Introduction

Le contrôle de l’âge^{Note de bas de page 1} peut s’avérer une façon légitime d’atténuer les préjudices potentiels aux enfants causés par certains contenus et services en ligne ou par leurs pratiques en matière de renseignements personnels. Toutefois, afin d’éviter qu’ils aient des répercussions indues sur le droit à la vie privée des internautes, ces systèmes doivent être conçus de manière à protéger la vie privée.

Le présent document d’orientation établit les attentes et les recommandations du Commissariat à la protection de la vie privée du Canada relativement à la conception des systèmes de contrôle de l’âge^{Note de bas de page 2}. Il s’adresse aux fournisseurs de services de contrôle de l’âge, c’est-à-dire les entités chargées de fournir des résultats de contrôle de l’âge à des sites Web ou à des services en ligne qui cherchent à traiter les utilisateurs en fonction de leur âge (les parties utilisatrices)^{Note de bas de page 3}. Cela comprend les fournisseurs tiers de services de contrôle de l’âge, les développeurs d’applications (comme les portefeuilles numériques) qui permettent d’obtenir un résultat de contrôle de l’âge à partir d’un certificat numérique, ou les parties utilisatrices elles-mêmes si elles choisissent de mettre en œuvre leur propre processus de contrôle de l’âge.

1.1. Aperçu

Le terme « contrôle de l’âge » englobe un large éventail de méthodes et de techniques, y compris de multiples formes de vérification et d’estimation de l’âge. Ces méthodes et ces techniques varient considérablement, tant dans leur mode de fonctionnement que dans la quantité de renseignements personnels qu’elles recueillent et utilisent et la nature de ceux-ci. Il n’est donc pas possible de procéder à un examen exhaustif de tous les critères de conception. On définit plutôt les critères de conception que les développeurs devraient ou doivent prendre en compte pour atténuer les principaux risques d’atteinte à la vie privée associés au contrôle de l’âge.

Pour chaque critère, des approches de mise en œuvre sont déterminées. Les approches sont des exemples; il existe d’autres façons novatrices d’atteindre les résultats escomptés.

Ce document ne décrit pas exhaustivement toutes les obligations connexes prévues par les lois canadiennes sur la protection des renseignements personnels. Pour en savoir plus sur les exigences en matière de conformité, visitez le site priv.gc.ca.

1.2. Principaux risques d’atteinte à la vie privée

Les principaux risques d’atteinte à la vie privée liés au contrôle de l’âge que les critères de conception visent à atténuer et sur lesquels porte ce document sont les suivants :

• les renseignements personnels recueillis dans le cadre du processus de contrôle de l’âge sont touchés par une atteinte ou sont communiqués;
• les activités en ligne (sur un ou plusieurs sites) d’un individu font l’objet d’une surveillance ou d’un profilage;
• la quantité de renseignements personnels recueillis ou la nature de ceux-ci est disproportionnée par rapport au risque géré;
• les individus appartenant à certains groupes (souvent des groupes méritant l’équité) sont soumis à une collecte supplémentaire de renseignements personnels ou se voient restreindre l’accès à certains sites.

La mesure dans laquelle ces risques sont atténués déterminera si une organisation a satisfait aux exigences de ne recueillir, de n’utiliser ou de ne communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances^{Note de bas de page 4}.

2. Critères de conception des systèmes de contrôle de l’âge

Lorsqu’elles conçoivent des systèmes de contrôle de l’âge, les organisations doivent tenir compte des éléments suivants :

2.1. Réduire au minimum la collecte de renseignements personnels et éviter leur conservation

Une atteinte touchant les renseignements personnels recueillis aux fins de contrôle de l’âge constitue un risque important. La sensibilité potentielle de ces renseignements et des déductions qui peuvent être faites sur la base du contenu ou des services faisant l’objet d’un contrôle auxquels l’individu accède font des fournisseurs de services de contrôle de l’âge une cible attrayante pour les acteurs malveillants. Pour atténuer ce risque, les organisations qui conçoivent des systèmes de contrôle de l’âge devraient prioriser la minimisation des données et limiter la conservation.

La mesure dans laquelle la collecte de renseignements personnels sera minimisée dépendra du processus de contrôle de l’âge utilisé et du degré de certitude du résultat qui est requis. Les fournisseurs de services de contrôle de l’âge devraient donc entreprendre une analyse contextuelle de leurs pratiques afin de comprendre si la collecte peut être minimisée et, dans l’affirmative, de quelle façon elle peut l’être. Par exemple, avant de recueillir un renseignement supplémentaire dans le cadre d’un processus de contrôle de l’âge, une organisation devrait évaluer i) si l’élément de données améliorera réellement le degré de certitude du résultat du contrôle de l’âge; ii) si cette augmentation de la certitude est à la fois nécessaire et proportionnelle à tout préjudice potentiel à la vie privée; iii) s’il existe une solution de rechange moins invasive. Les organisations devraient pouvoir démontrer la nécessité de chaque renseignement personnel recueilli dans le cadre du processus de contrôle de l’âge, tout particulièrement lorsqu’il est question d’un renseignement sensible ou de l’agrégation de multiples renseignements sensibles.

Si l’on doit recueillir des renseignements personnels, ceux-ci ne doivent pas être conservés une fois que le résultat du contrôle de l’âge a été généré (en l’absence d’une obligation légale de le faire). Tout particulièrement, les organisations ne devraient pas conserver les renseignements personnels recueillis aux fins de contrôle de l’âge en vue de les fournir à des organismes de réglementation dans le cadre d’une enquête future^{Note de bas de page 5}. Bien que le Commissariat puisse, dans le cadre d’une enquête, demander à un fournisseur de services de contrôle de l’âge de l’information sur l’efficacité générale de ses pratiques ou sur le type de renseignements qu’il recueille auprès des individus, le Commissariat ne s’attendra pas d’une organisation qu’elle démontre les renseignements personnels recueillis pour authentifier un individu en particulier.

Dans la mesure du possible, les fournisseurs devraient également envisager des approches technologiques qui permettent de traiter des renseignements personnels sur l’appareil d’un utilisateur, sans les transmettre à un serveur, ou de prétraiter ces renseignements pour faire en sorte que seuls les renseignements de nature moins sensible soient transmis.

Ce critère de conception permettrait la conservation raisonnable de renseignements personnels si celle-ci est justifiée et clairement expliquée à l’individu. Par exemple, un fournisseur de services de contrôle de l’âge serait généralement autorisé à prendre des mesures pour réduire la nécessité qu’un individu fournisse à répétition des renseignements personnels en exigeant qu’il passe par le processus complet de contrôle de l’âge une seule fois et qu’il crée un compte pour accéder à une attestation d’âge réutilisable. Toutefois, le cas échéant, l’information traitée durant le processus de contrôle de l’âge devrait tout de même être supprimée.

De plus, l’obligation de supprimer les renseignements une fois le signal d’âge généré ne s’applique pas lorsque le contrôle de l’âge repose sur l’analyse de renseignements déjà recueillis par l’organisation. Dans ce cas, le calendrier de conservation habituel de l’organisation s’applique.

2.2. Limiter les renseignements inclus dans un résultat de contrôle de l’âge

Un processus de contrôle de l’âge ne devrait pas permettre à la partie utilisatrice d’apprendre quoi que ce soit d’autre sur un individu que le résultat du contrôle de son âge. Ainsi, la possibilité qu’un individu fasse l’objet d’une surveillance ou d’un profilage sur la base de ses activités en ligne qui sont soumises à un contrôle de l’âge est réduite. Les fournisseurs de services de contrôle de l’âge devraient donc veiller à ce que les résultats du contrôle de l’âge générés par leur système ne contiennent pas de renseignements inutiles.

Il existe de nombreuses façons d’y parvenir, notamment :

• envoyer uniquement le résultat du contrôle de l’âge à la partie utilisatrice et veiller à ce qu’il ne contienne pas d’autres renseignements sur l’individu, notamment des métadonnées qui pourraient servir d’identifiant unique;
• fournir à l’individu une attestation réutilisable qui sera stockée dans un portefeuille numérique, grâce auquel il peut ne fournir que le minimum d’information requis à la partie utilisatrice à l’aide de la divulgation sélective^{Note de bas de page 6};
• permettre à l’utilisateur de confirmer son âge à même son appareil au moyen d’un indice ou d’un signal enregistré dans son navigateur ou son appareil et indiquant sa tranche d’âge, qui est transmis à la partie utilisatrice.

Il est possible qu’une partie utilisatrice demande des données plus détaillées sur un individu, comme son âge exact. Le fournisseur de services de contrôle de l’âge devrait alors demander une justification pour l’inclusion de cette information précise. Toutefois, le résultat de contrôle de l’âge ne devrait en aucun cas comprendre des caractéristiques permettant d’identifier l’individu (par exemple, son nom ou une image recueillie pendant le processus d’estimation de l’âge).

Il est acceptable que le résultat de contrôle de l’âge contienne des renseignements à caractère non personnel nécessaires, par exemple des données techniques qui établissent sa légitimité et sa véracité.

2.3. Éviter l’utilisation secondaire ou la communication des renseignements personnels recueillis aux fins du contrôle de l’âge

Dans de nombreuses circonstances^{Note de bas de page 7}, il sera raisonnable qu’une partie utilisatrice exige d’un individu qu’il passe par un processus de contrôle de l’âge avant d’accéder à l’ensemble ou à une partie d’un site Web ou d’un service en ligne. Cependant, il ne serait généralement pas raisonnable d’exiger un traitement supplémentaire des renseignements personnels. À ce titre, les fournisseurs ne doivent pas utiliser les renseignements personnels recueillis pour effectuer le contrôle de l’âge à d’autres fins ni communiquer ces renseignements. Les exceptions à cette règle comprennent les communications visant à remplir une obligation légale ou certains traitements limités si l’individu est clairement informé et donne son consentement explicite.

Pour démontrer sa responsabilité, une organisation devrait chercher à déterminer si elle peut montrer aux individus (et aux organismes de réglementation) qu’elle respecte de tels engagements et de quelle façon elle peut le faire, par exemple au moyen d’une évaluation de la conformité, d’une vérification par un tiers ou d’un autre mécanisme d’examen indépendant. C’est particulièrement important dans le cas où la partie utilisatrice gère également le système de contrôle de l’âge, car les individus peuvent être particulièrement méfiants lorsqu’on leur demande de simplement « croire » que leurs renseignements ne seront pas utilisés à d’autres fins, notamment l’identification ou le profilage.

2.4. Réduire au minimum l’information générée au cours du processus de contrôle de l’âge, et ne pas la conserver ni la communiquer (à l’exception du résultat final)

Pour réduire à la fois le risque d’atteinte et la possibilité d’une collecte disproportionnée, le processus de contrôle de l’âge devrait produire le moins de renseignements possible.

Par exemple, l’enquête conjointe sur Cadillac Fairview^{Note de bas de page 8} menée en 2020 a révélé que, pour estimer l’âge et le sexe des individus, la technologie d’analyse vidéo anonyme en place :

1. a pris des images numériques temporaires du visage des individus qui se sont retrouvés dans le champ de vision de la caméra;
2. a utilisé un logiciel de reconnaissance faciale pour convertir ces images en représentations numériques biométriques du visage des individus, qui pourraient servir à identifier les individus en fonction de leurs caractéristiques faciales uniques;
3. a utilisé ces renseignements pour évaluer la tranche d’âge et le sexe.

Bien que l’enquête conjointe n’ait révélé aucune preuve que les représentations biométriques décrites à l’élément ii servaient à des fins autres que l’estimation de l’âge et du sexe, elle a permis de conclure qu’un individu ne s’attendrait pas raisonnablement à ce que de telles représentations biométriques de son visage soient créées. Une conclusion semblable pourrait être tirée si, par exemple, un système d’estimation de l’âge en fonction du visage créait un identifiant biométrique unique pour l’individu avant de déterminer son âge, en particulier si cet identifiant était conservé ou communiqué.

Au moment d’élaborer un système de contrôle de l’âge qui protège la vie privée, une organisation ne devrait pas seulement se préoccuper des renseignements personnels qui sont recueillis et du résultat final qui est généré. Elle devrait aussi tenir compte des répercussions sur la vie privée de toute information accessoire créée par le système, soit en évitant la création de renseignements potentiellement sensibles, soit, au minimum, en veillant à ce qu’ils soient supprimés immédiatement après le traitement.

2.5. Ne conserver aucun renseignement sur les activités en ligne des individus et, dans la mesure du possible, concevoir les systèmes de façon qu’aucun renseignement du genre ne soit recueilli

Le processus de contrôle de l’âge ne doit pas permettre aux fournisseurs d’établir le profil des activités en ligne d’un individu en fonction des services ou contenus faisant l’objet d’un contrôle.

Un processus de contrôle de l’âge fonctionnerait à la base de la façon suivante :

1. individu visite un site Web dont l’accès nécessite un contrôle de l’âge;
2. cet individu se voit offrir la possibilité d’utiliser les services de contrôle de l’âge d’un fournisseur tiers, auprès duquel il prouve son âge;
3. le fournisseur de services envoie un signal « oui/non » au site Web, qui accorde (ou non) l’accès à l’individu.

Pour protéger la vie privée, ce processus nécessite une quatrième étape qui garantit que le fournisseur de services ne reçoit pas, ou ne conserve pas, des renseignements sur les sites Web auxquels il envoie le signal « oui/non ». Sans cela, le fournisseur de services serait en mesure d’établir le profil d’un individu en fonction des sites auxquels il accède. Pour éviter de telles situations, des mesures techniques devraient être mises en place.

Les systèmes qui font en sorte que le fournisseur de services de contrôle de l’âge ne sait pas quel contenu est consulté et que la partie utilisatrice ne connaît pas l’identité de l’individu sont considérés comme satisfaisant aux exigences du « double anonymat »^{Note de bas de page 9}. Des validations de principe ou des démonstrations effectuées par la Commission nationale de l’informatique et des libertés (CNIL)^{Note de bas de page 10} en France, par l’agence de protection des données (AEPD)^{Note de bas de page 11} en Espagne ainsi que par la Commission européenne^{Note de bas de page 12} indiquent toutes que le double anonymat est possible^{Note de bas de page 13}. Il peut être réalisé grâce à des mesures comme le recours à un tiers (p. ex. une application) qui sert d’intermédiaire entre la partie utilisatrice et le fournisseur de services de contrôle de l’âge ou encore une attestation réutilisable qui peut être stockée dans un portefeuille numérique. Les fournisseurs de services de contrôle de l’âge ne sont pas tenus de satisfaire à cette exigence, mais le Commissariat les encourage fortement à intégrer le double anonymat dans les systèmes pour protéger la vie privée.

Lorsqu’une mise en œuvre donnée ne satisfait pas pleinement à la norme du double anonymat, des pratiques de protection de la vie privée doivent être adoptées. Plus précisément, les fournisseurs de services ne doivent pas créer ni conserver des renseignements sur le contenu auquel un individu accède, ni tenter de créer un profil de cet individu sur la base de déductions concernant ce contenu. On pense notamment à des cas où un système de contrôle de l’âge basé sur des attestations réutilisables est conçu pour communiquer avec l’entité qui délivre l’attestation (fonction de rappel périodique) afin de confirmer que celle-ci est toujours valide.

2.6. Veiller à ce que le processus de contrôle de l’âge ne désavantage aucun groupe

Par le passé, il est arrivé à maintes reprises que des groupes méritant l’équité ont été désavantagés par les nouvelles technologies. Au moment d’élaborer des systèmes de contrôle de l’âge, les organisations doivent prendre des mesures proactives afin d’évaluer si l’exactitude de leur système est réduite pour l’un ou l’autre de ces groupes et, le cas échéant, prendre des mesures d’atténuation.

Par exemple, les défis peuvent inclure :

• systèmes d’estimation de l’âge en fonction du visage dont la précision varie selon la couleur de la peau ou l’identité de genre;
• systèmes de contrôle de l’âge s’appuyant sur des documents délivrés par le gouvernement qui sont moins accessibles aux personnes en situation d’itinérance ou aux nouveaux arrivants au Canada ou que ces individus sont moins susceptibles d’avoir, ou qui ne reconnaissent pas les pièces d’identité délivrées par les gouvernements autochtones;
• systèmes de contrôle de l’âge qui utilisent des attestations stockées dans un portefeuille numérique, une méthode moins accessible aux individus qui utilisent des appareils partagés (ordinateurs publics, appareils fournis par des établissements d’enseignement ou appareils communs aux membres d’une même famille).

La production d’un résultat erroné par un système de contrôle de l’âge peut empêcher certains individus d’accéder à un contenu ou à un service qui devrait leur être accessible. Cela pourrait également faire en sorte qu’un individu soit obligé d’entamer une procédure d’appel dans le cadre de laquelle il devra fournir des renseignements supplémentaires. Les exploitants devraient veiller de manière proactive à ce qu’un tel fardeau n’incombe pas de manière disproportionnée à une population donnée (et, en particulier, aux groupes méritant l’équité) et, lorsqu’il n’est pas possible de régler complètement le problème, à ce que des solutions de rechange qui protègent tout aussi bien la vie privée soient facilement accessibles.

S’il n’est pas possible de corriger raisonnablement les biais d’un système de contrôle de l’âge, les organisations doivent le signaler à toute partie utilisatrice potentielle, et les parties utilisatrices doivent déterminer si l’existence de tels biais fait en sorte que le recours au système soit inapproprié dans leur cas.