Le Royaume-Uni est devenu le premier grand pays à introduire une exigence légale de vérification d’âge sur Internet, un projet de loi qui affecte tous les sites Web et applications dans le monde entier. De plus, les États-Unis ont récemment relancé une proposition de loi similaire à la législation britannique.
Bien que la loi ait été présentée comme un moyen d’empêcher les enfants d’accéder à des sites pour adultes, la réalité est bien différente. Nous constatons déjà les risques pour la confidentialité liés à des intentions louables transformées en une législation problématique, mettant en péril des services comme iMessage et FaceTime.
LA LÉGISLATION AU ROYAUME-UNI ET AUX ÉTATS-UNIS
La Loi sur la sécurité en ligne (OSA) du Royaume-Uni est entrée en vigueur vendredi dernier, rendant les sites Web et les applications légalement responsables d’empêcher l’accès des enfants à des contenus « inappropriés pour leur âge ». Pour se conformer à cette loi, les entreprises doivent vérifier l’âge de tous leurs utilisateurs.
La semaine dernière, nous avons noté que la législation similaire aux États-Unis, connue sous le nom de Kids Online Safety Act (KOSA), a été adoptée par le Sénat l’année dernière avant d’être mise en attente, mais elle a été récemment réintroduite à la Chambre et semble prête à devenir loi cette année.
LES QUATRE GRANDS PROBLÈMES
DÉPASSEMENT MASSIF
Bien que la législation prétende s’attaquer aux sites de divertissement pour adultes, elle a ensuite été étendue à plus de 200 types de contenus, dont beaucoup sont définis de manière très vague. Le résumé officiel du gouvernement britannique sur le contenu concerné révèle à quel point cela est vague :
Les services doivent évaluer les risques pour les enfants liés à l’utilisation de leurs plateformes et définir des restrictions d’âge appropriées, assurant que les utilisateurs enfants bénéficient d’expériences adaptées à leur âge et soient protégés d’un contenu nuisible.
Il semble que cela inclut l’utilisation d’applications de médias sociaux, ainsi que l’accès en ligne à des informations sur la contraception, l’hygiène sexuelle et la manière de signaler les abus sexuels. Une loi qui prétend protéger les adolescents compliquerait dans de nombreux cas leur accès à des informations qui les aideraient à se protéger.
Certaines applications de rencontre ont déjà commencé à exiger de leurs utilisateurs qu’ils utilisent un service privé de vérification d’identité.
ACCÈS NON RÉGULÉ À DES DONNÉES PERSONNELLES SENSIBLES
Ensuite, la loi ne précise pas comment les sites Web et les applications doivent vérifier l’âge de leurs utilisateurs, ce qui signifie que les services improvisent. En particulier, on s’inquiète de l’utilisation de services de « vérification d’identité » privés exigeant des données personnelles telles que des copies de passeports pour effectuer cette vérification.
Il existe de nombreux exemples passés de sociétés échouant à protéger ces données sensibles. Par exemple, la société américaine de vérification d’identité AU10TIX a exposé des noms, dates de naissance, nationalités et types de documents téléchargés comme un permis de conduire, y compris une photo de ce document.
UN RISQUE D’ABUS PAR LES GOUVERNEMENTS
Nous avons déjà noté l’inclusion involontaire de sites Web et applications innocents, mais un gouvernement répressif peut facilement ajouter de nouvelles catégories à la législation d’un coup de stylo. Par exemple, si un président américain n’apprécie pas les critiques d’un site politique, il pourrait les ajouter aux catégories couvertes par la loi, rendant l’accès plus difficile et faisant craindre aux visiteurs que leur utilisation du site les identifie.
INCLUSION DES SERVICES DE MESSAGES PRIVES, COMME IMESSAGE ET FACETIME
Enfin, et c’est le plus préoccupant, la section 122 stipule que les entreprises doivent scanner les messages privés pour détecter du contenu illégal. Cela est évidemment impossible pour les plateformes à cryptage de bout en bout (E2EE) comme iMessage, FaceTime et WhatsApp. Le gouvernement a simplement agité les bras en disant que les entreprises doivent trouver comment le faire.
Bien que le gouvernement semble reculer en douceur de sa tentative de forcer Apple à fournir une backdoor pour les données iCloud, cette loi semble prête à raviver la question plus large du cryptage de bout en bout.
