Accès aux sites pornographiques : le Conseil d’État refuse de transmettre une QPC sur les modalités de contrôle de l’âge

La juridiction a estimé que les entreprises requérantes n’avaient pas attaqué l’article adéquat pour pouvoir faire tomber le référentiel défini par l’Arcom concernant la mise en place des systèmes empêchant l’accès aux mineurs.

Le bras de fer se poursuit entre l’État et les éditeurs de sites pornographiques. Dernier épisode en date : le Conseil d’État a refusé, dans une décision rendue mardi 10 juin, de transmettre une question prioritaire de constitutionnalité (QPC) qui visait à faire annuler la décision de l’Arcom en date du 9 octobre 2024.

Celle-ci avait mis en place un référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l'âge mis en place pour l'accès aux sites diffusant du contenu pour adultes. Ledit référentiel ne peut pas se limiter à une simple déclaration de majorité, comme c’est le cas actuellement pour la majorité des sites concernés : ces systèmes doivent garantir la protection de la vie privée des utilisateurs par conception et par défaut, notamment via le recours à des dispositifs dits de « double anonymat ».

L’approche permet ici de dissocier totalement les données personnelles de l’utilisateur de sa navigation sur les sites concernés. L’Arcom impose également de respecter le principe de minimisation compris dans la directive RGPD, c’est-à-dire de ne récupérer que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Parmi les moyens autorisés figurent l’estimation de l’âge par analyse des traits du visage avec « mécanisme de reconnaissance du vivant », la présentation de documents d’identité associée à une reconnaissance faciale, ou encore des solutions fondées sur la carte bancaire, à condition qu’elles soient associées à une authentification forte. Ces solutions doivent respecter un « socle minimum d’exigences » en termes de confidentialité et ne peuvent être déployées directement par les sites eux-mêmes, mais par des prestataires indépendants.

« Il est attendu que les solutions évoluent avec l’amélioration des techniques et la mise sur le marché de nouveaux systèmes de vérification de l’âge, notamment tout standard européen qui émergerait à court terme », précise l’Arcom, qui impose également que la vérification ait lieu à chaque consultation d’un service, avec ou sans compte utilisateur, notamment afin d’éviter « que la réutilisation de compte utilisateur ne conduise des mineurs à accéder à des contenus pornographiques ».

Le Conseil constitutionnel avait déjà validé la disposition

La décision de l’Arcom était attaquée par les sociétés Webgroup Czech Republic AS et NKL Associates SRO, éditrices des sites Xvideos et XNXX, qui souhaitaient rendre inconstitutionnelles par la QPC l’article 10-2 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique ajouté en 2024 et qui détaille à quelles entreprises s’applique cette obligation de contrôle.

Les sociétés considéraient que l’article en question ainsi que le référentiel de l’Arcom ne respectaient pas le principe de personnalité des peines prévu par la DDHC de 1789, car ne détaillant les peines encourues que pour les services de plateforme de partage de vidéos et les fournisseurs de services, sans mentionner les tiers de confiance imposés par le référentiel pour assurer de « double anonymat ». De fait, les manquements pouvant relever de prestataires techniques tiers pourraient aboutir à des sanctions des sites concernés.

Une demande rejetée par le Conseil d’État, plus pour des raisons de forme que de fond, considérant qu’elle ne revêtait pas de « caractère sérieux ». La juridiction a en effet rappelé que la détermination des catégories d’entreprises soumises à l’obligation de mettre en œuvre des systèmes de vérification de l’âge résulte de dispositions comprises dans le deuxième alinéa du paragraphe I de l’article 10 de la loi du 21 juin 2004, l’article 10-2 se limitant à préciser le champ et les conditions d’application de ces dispositions en fonction du lieu d’établissement des personnes concernées (soit en France ou hors de l’Union européenne, soit dans un autre État membre de l’Union européenne).

L’alinéa en question avait par ailleurs déjà été validé par le Conseil constitutionnel lors de sa décision sur la conformité de la loi visant à sécuriser et à réguler l’espace numérique (loi SREN), le 17 mai 2024.

Cette décision intervient alors qu’une autre plateforme d’hébergement de contenu pornographique, Pornhub, a décidé de bloquer l’accès à son site le 4 juin dernier, afin de protester contre la mise en place de ces contrôles qu’elle juge inefficaces et créateurs de risques pour les données personnelles.

Alexis Duvauchelle