Delphine Sabattier : La rentrée n’a pas commencé très fort pour Instagram, avec une amende record de 405 millions d’euros prononcée à l’encontre du réseau social à la suite de l’intervention du Comité européen de la protection des données [1]. En cause le traitement illicite de données personnelles des enfants.
On va expliquer cette décision à l’occasion de ce talk aujourd’hui dans Smart Tech. On va plus largement s’intéresser à la manière dont sont traitées, exploitées, les données des enfants sur Internet avec mes deux invitées, Justine Atlan, directrice de l’association e-Enfance/3018 [2], précurseur de la protection de l’enfance sur les réseaux sociaux mais pas uniquement, sur Internet, sur tout l’univers du numérique, association agréée par le ministère de l’Éducation nationale et qui opère le 3018, un numéro de téléphone gratuit, anonyme, que vous pouvez appeler pour signaler des violences, que vous soyez une jeune victime ou parents de cette victime ; il y a également une application 3018 aujourd’hui. Avec vous, Justine, Carina Chatain, responsable de l’éducation au numérique à la CNIL, la Commission nationale de l’informatique et des libertés. Vous êtes également auditrice de l’Institut national des hautes études de sécurité et de justice et de l’Institut des hautes études de l’éducation et de la formation. Vous êtes aussi membre de l’Observatoire du Conseil supérieur de l’audiovisuel, égalité, éducation cohésion sociale. Ça a dû changer depuis, c’est l’Arcom [Autorité de régulation de la communication audiovisuelle et numérique].
Carina Chatain : Absolument.
Delphine Sabattier : On est d’accord. Déjà, peut-être, je vous demanderais de revenir sur cette décision quand même historique vis-à-vis d’Instagram. On a décrété, on a décidé que le traitement qui était fait aujourd’hui sur les données personnelles des enfants sur Instagram n’était pas conforme à la réglementation européenne. Qu’est-ce qui s’est passé exactement ?
Carina Chatain : Pour parler de la protection des données personnelles des enfants, il faut déjà comprendre qu’il existe un texte européen qui s’appelle le Règlement général sur la protection des données [3], qui prévoit notamment de renforcer certains droits comme le droit à l’oubli, qui prévoit qu’une information doit être claire, adaptée pour les enfants de manière à ce qu’ils puissent exercer leurs droits, parce que sans information claire, lorsque l’on regarde les CGU [Conditions générales d’utilisation] et la manière dont sont conçues les plateformes, on se rend bien que pour un enfant c’est très compliqué de s’y retrouver - même parfois pour des adultes -, donc de pouvoir prendre en main ses droits. Et puis il y a aussi l’idée, dans l’article 8 de ce règlement européen, qu’à partir d’un certain âge, un mineur doit être en capacité de pouvoir exercer ses droits, de pouvoir consentir tout seul au traitement de ses données personnelles, sans le double consentement de ses parents. Ça c’est ce que prévoit le Règlement général sur la protection des données.
Delphine Sabattier : C’est vrai qu’on oublie un petit peu trop vite que le RGPD concerne aussi la protection des mineurs sur Internet.
Carina Chatain : Absolument. C’est d’ailleurs la première fois, dans le droit européen de la protection des données personnelles, que l’on trouve des dispositions spécifiques pour les enfants. Ça c’est ce qui concerne le droit. Maintenant, bien sûr, le droit doit être appliqué et la CNIL est là, et les CNIL européennes — puisque vous parlez du CEPD [Comité européen de la protection des données]— donc les CNIL en Europe, sont là pour faire respecter l’application de ce droit. En l’occurrence, il a été considéré que Meta, la maison mère d’Instagram, avait, je dirais, utilisé les données personnelles des mineurs de manière illicite, c’est-à-dire que très concrètement ils ont permis que les informations personnelles de mineurs qui avaient un compte personnel sur Instagram — on parlait de youtubeurs par exemple, des enfants youtubeurs — avaient été publiées.
Delphine Sabattier : Quel type de données personnelles exactement ?
Carina Chatain : Ça peut être l’adresse électronique, ça peut être le numéro de téléphone, tout cela ce sont des données personnelles. Il faut bien comprendre que le concept de donnée personnelle est très large, il recouvre énormément d’informations personnelles et, parmi ces données personnelles, on trouve aussi des données sensibles, c’est encore une étape supplémentaire, je dirais, dans l’importance de ces données.
Le Comité européen de la protection des données a deux missions : un, faire travailler ensemble les autorités de protection des données en Europe, et deux, veiller à l’application cohérente de la loi, donc du règlement. Ce comité est donc venu, quelque part, corriger la première décision qui avait été prise par l’autorité irlandaise de protection des données qui, finalement, s’était rangée du côté de Meta en disant que « faire reposer ce traitement de données sur l’exécution du contrat et l’intérêt légitime, ça nous va bien ». Il se trouve que d’autres autorités européennes de protection des données, dont la CNIL française, n’étaient pas forcément d’accord avec cette interprétation. Le CEPD est intervenu pour corriger cela : il a donc fait modifier la décision de l’autorité irlandaise en fondant sa décision sur le non-respect des données et la non-licéité du traitement ; ça concerne l’article 6 du RGPD.
Delphine Sabattier : Qu’est-ce que ça va changer plus largement ? Là, ça concerne Meta Irlande. Est-ce que ça va changer les règles ou les usages sur les réseaux sociaux selon vous ?
Carina Chatain : C’est évidemment une amende qui est importante par son montant puisque plus de 400 millions d’euros c’est quand même significatif. C’est aussi une amende importante parce que, dans l’opinion publique, on voit quand même une prise de conscience progressive de la question de la protection des données personnelles. Si on parle des États-Unis on a, par exemple, des initiatives qui tendent à s’inspirer du RGPD. On a la chance, en Europe, d’avoir ce cadre juridique très protecteur des données personnelles, mais ce n’est pas le cas partout dans le monde. Il se trouve qu’on a, par exemple aux États-Unis, un code californien, le California Consumer Privacy Act qui s’inspire du code de l’âge anglais. On voit bien qu’il a déjà certaines initiatives par les pouvoirs publics. Il y a aussi des initiatives par des particuliers, des lanceurs d’alerte, des ONG.
Delphine Sabattier : Plus précisément, je vais peut-être repasser la parole à Justine Atlan, est-ce qu’on a aujourd’hui des pratiques qui sont vraiment problématiques et qui pourraient disparaître demain du fait de décisions de justice ?
Justine Atlan : Oui. Les pratiques problématiques sont déjà le fait que les données personnelles des mineurs soient collectées en soi, ce qui théoriquement ne doit pas être le cas. Il y a effectivement l’âge de la majorité numérique qu’on a donnée en France à 15 ans aux adolescents, ce qui leur permet de donner leur consentement tout seuls, comme l’a dit Carina, et de donner leur consentement à ce que le réseau social les collecte. Pour autant faut-il que leur consentement soit éclairé, c’est-à-dire qu’ils sachent bien ce qu’ils font quand ils disent oui. C’est déjà une première chose. Tous ceux qui sont en dessous de 15 ans, normalement il n’y a en a pas beaucoup puisque théoriquement ils sont censés n’avoir que 13 et 14 ans, puisqu’avant ils ne sont pas censés être sur les réseaux sociaux, ceux-là ne peuvent pas donner leur consentement tout seuls, il faut que le tuteur légal l’ait fait.
Delphine Sabattier : Moins de 15 ans c’est uniquement en France : la majorité, on va dire numérique, en France est 15 ans.
Justine Atlan : Elle a été décidée en France, elle a été posée à 15 ans. Il faut savoir qu’au niveau de l’Europe, les pays ont eu le choix de donner l’âge entre 13 et 16 ans, ce qui pose aussi un vrai problème et qui ralentit l’aspect extrêmement contraignant du RGPD, en tout cas sur ce sujet-là.
Delphine Sabattier : Ça ne facilite pas non plus le travail des plateformes, il faut être juste.
Justine Atlan : En tout cas, elles peuvent se cacher derrière cet argument pour dire que c’est compliqué pour elles. Il y a un vrai effort d’harmonisation. Il y a deux choses. D’abord, pourquoi est-ce dangereux qu’elles collectent les données personnelles ? Parce qu’on ne sait pas forcément ce qu’elles vont en faire, mais surtout parce qu’on sait bien que nos données, au-delà du fait de connaître nos usages comme on l’a vu dans la première partie, ça permet de nous cibler ensuite derrière, c’est-à-dire qu’ensuite on va nous cibler comme consommateurs pour nous induire, effectivement, à des comportements de consommateur, avec des suggestions de contenus qui vont nous inciter à ça.
Delphine Sabattier : Consommateurs, voire demain décideurs d’opinion.
Justine Atlan : Sauf que là on parle à des mineurs. Toute la difficulté c’est que les mineurs ne soient pas traités comme des consommateurs lambda, donc comme des adultes. Juridiquement, être mineur ça veut dire qu’on n’a pas la capacité d’un adulte et c’est protecteur, ce n’est pas pour empêcher les mineurs, c’est pour les protéger. L’idée c’est qu’on ne puisse pas les cibler et c’est pour ça qu’on a mis en amont de ne pas collecter leurs données pour ne pas les cibler.
Aujourd’hui c’est vrai qu’on voit à la fois qu’on ne recueille pas leur consentement, que celui des parents n’est pas recueilli non plus. Quand on fait des tests, que ça soit en France ou dans d’autres pays d’Europe, on se rend compte que la majorité des plateformes ne demande pas de façon rigoureuse le consentement des parents pour s’inscrire sur une plateforme, à l’âge où ils le devraient pour la collecte des données et, qu’en plus, elles ciblent des mineurs alors qu’elles ne devraient pas, sur un certain nombre de contenus sponsorisés. Tout ça fait qu’elles sont quand même assez loin de l’application rigoureuse du RGPD en ce qui concerne les mineurs.
Delphine Sabattier : On avait justement un sondage de la CNIL [4] avec l’IFOP en 2020 qui nous disait que 39 % des enfants de 10 à 14 ans possédait un compte sur un réseau social sans avoir demandé l’autorisation des parents.
Carina Chatain : Oui. Ce qu’on d’abord peut constater c’est qu’il y a vrai enjeu de société autour de la protection de l’enfance sur Internet. On a des usages qui sont de plus en plus précoces : près de 65 % aujourd’hui des moins de 13 ans ont déjà un compte sur un réseau social, donc c’est un vrai sujet. Deuxièmement, que ces usages sont très massifs et qu’ils sont solitaires, c’est-à-dire que les parents ne s’impliquent pas ou s’impliquent très peu dans l’accompagnement de leurs enfants sur Internet.
Delphine Sabattier : C’est compliqué de s’impliquer quand on a un enfant de 14/15 ans !
Carina Chatain : Absolument, c’est compliqué. Nous avons produit des recommandations sur notre site qui, d’une part, visent effectivement à mieux protéger les enfants en ligne. Ça passe notamment par l’implication des parents dans l’éducation au numérique mais aussi, finalement, à faire en sorte que l’enfant soit progressivement amené à une forme d’autonomisation : il doit pouvoir exercer ses droits à partir d’un certain âge. Ce sont deux choses à concilier. Il est vrai que le droit ne peut pas tout. Il y a un cadre juridique qui est solide, mais la meilleure des protections reste, finalement, la sensibilisation, l’empowerment, c’est-à-dire le fait que les citoyens eux-mêmes soient conscients de tous ces risques, comprennent les clés du numérique pour mieux se protéger.
Pour parler d’un exemple concret, on a beaucoup de très jeunes qui sont présents sur les réseaux sociaux, qui sont exposés à des risques, publient des photos d’eux ou de camarades, se retrouvent pris dans une spirale qui peut être du cyberharcèlement, du piratage de compte, de l’exploitation commerciale des données. Il y a tout un faisceau de risques auxquels sont effectivement plus vulnérables les jeunes publics. La meilleure chose à faire c’est d’impliquer les parents et l’ensemble des acteurs. Ce n’est pas seulement la famille, c’est aussi responsabiliser les plateformes qui ne proposent pas d’interfaces suffisamment vertueuses et respectueuses des droits des enfants.
Delphine Sabattier : Il y a effectivement du travail. Vous dites que la réponse n’est pas uniquement juridique. Frances Haugen [5], la lanceuse d’alerte qui a permis de découvrir des documents internes quand même assez préoccupants du côté de la maison Meta, notamment sur l’état de santé mentale des jeunes qui utilisent Instagram, annonce qu’elle va lancer une ONG, qui s’appelle Beyond the Screen, pour assainir les réseaux sociaux. Est-ce que c’est le job d’une ONG ? Qu’est-ce qu’on en attend ?
Justine Atlan : Une ONG est une association qui représente la société civile : elle est censée à la fois défendre l’intérêt général de la population qu’on défend, donc les mineurs ou les citoyens sur un certain nombre de droits. En tant que représentantes de la société civile, les associations participent effectivement à la construction des politiques publiques puisqu’elles sont censées faire, justement, un peu le lien entre des plateformes, des acteurs économiques, le régulateur, le politique, et représenter les citoyens et les principaux concernés par les causes qu’elles défendent. On a besoin de lanceurs d’alerte, on les a déjà mentionnés tout à l’heure, c’est indispensable surtout dans l’économie numérique où, finalement, on connaît encore assez peu aujourd’hui ces acteurs-là puisque c’est assez récent. Ils sont, quand mème globalement, pas très transparents. Les chercheurs eux-mêmes n’arrivent pas à accéder aux données, ne serait-ce que pour comprendre un certain nombre de choses d’intérêt général, donc on a besoin de ces lanceurs d’alerte qui, de l’intérieur, nous permettent de connaître un peu les fonctionnements et ensuite de profiter de leurs connaissances pour qu’ils mettent ça au profit de l’intérêt général. C’est manifestement ce qu’elle veut faire et c’est assez indispensable.
Delphine Sabattier : Vous pourriez travailler ensemble et en France.
Justine Atlan : Bien sûr, très volontiers, parce qu’on a besoin de ses connaissances. C’est aussi de ça dont pâtissent les mineurs puisque c’est d’eux dont on parle aujourd’hui. Finalement le politique était un peu en déficit de maîtrise, de compétences techniques, d’ailleurs les régulateurs aussi parfois, face à des acteurs économiques qui maîtrisent parfaitement leurs outils puisqu’ils les ont créés et ils les maîtrisent totalement. En face on a perdu un peu de temps, ces 10/15 dernières années, pour que le politique monte en compétences.
Aujourd’hui on commence à avoir des interlocuteurs. La CNIL est particulièrement compétente puisqu’elle est depuis le début sur ces sujets-là, mais les autres, effectivement, n’étaient pas forcément aussi compétents. On commence à sentir, et c’est assez satisfaisant, une montée en puissance de différents acteurs qui sont en capacité d’aller vraiment interroger les plateformes, de les contraindre parce que le juridique ne peut pas tout, mais si, déjà, le juridique n’est pas appliqué, on ne peut rien faire derrière ! Aujourd’hui on en est quand même dans une situation où on finit par trouver normal, une forme de fatalité qui est qu’on crée des lois et elles ne sont pas appliquées ! Eh bien, oui, ce n’est pas grave alors, finalement, on va demander aux parents de faire leur job et aux enfants. Si le cadre qui définit nos règles de vie en société n’est pas tenu, ça va être compliqué de demander aux citoyens eux-mêmes de porter tout seuls la garantie de l’application des lois. Il faut aussi faire attention à ne pas dériver là-dedans.
Delphine Sabattier : Ce qui est intéressant aussi c’est de découvrir des études menées par Meta sur, justement, les jeunes filles, les jeunes garçons, leur ressenti par rapport à ce qu’ils reçoivent des réseaux sociaux. On parle beaucoup de la question de l’audit des algorithmes : est-ce qu’on pourrait, aujourd’hui, imposer des études d’impact qui seraient transparentes, communiquées, menées par ces plateformes sur leurs utilisateurs ?
Carina Chatain : Oui, absolument. Pour répondre à votre question précédente, je crois que l’éducation au numérique ne peut pas être l’affaire de quelques-uns, c’est l’affaire de tous : les entreprises, le régulateur, les parents et la CNIL a d’ailleurs fait de cette éducation au numérique une priorité stratégique depuis 2013. Nous avons publié par mal de ressources pédagogiques. Nous allons d’ailleurs, courant octobre, publier de nouvelles ressources pour les parents, les enseignants, les familles, les éducateurs, avec des vidéos [6] sur des sujets comme les traceurs, les cookies, l’identité numérique, le cyberharcèlement. Tout cela participe de notre volonté de communiquer aussi davantage vers le grand public ; nous avons aussi un partenariat avec Radio France. L’idée c’est qu’à partir de cas d’usage très concrets, les citoyens s’emparent de ces sujets et, finalement, reprennent la main sur leurs droits et puissent effectivement avoir le maximum d’informations possibles sur la transparence aux utilisations qui est faite de leurs données personnelles, qu’ils puissent avoir la capacité eux-mêmes de pouvoir se protéger lorsqu’ils sont en ligne. C’est vraiment l’affaire de tous, c’est une responsabilité collective.
Delphine Sabattier : Si je reste sur la question de l’étude d’impact, en fait, parfois on entend « bon, finalement, ce n’est pas si grave non plus ce qui se passe autour des données personnelles » quand on a 14/15 ans. Peut-être serait-il important de rappeler quels sont ces principaux maux du numérique chez les jeunes ?
Justine Atlan : Vous avez raison. Le RGPD est un nom que les gens commencent à connaître, mais, en réalité très profondément, quand on demande aux utilisateurs, ils ne sont pas très inquiets parce que, d’abord, ce sont les premiers à donner spontanément leurs données personnelles en permanence et ça ne les dérange pas tellement. Quand on interroge les utilisateurs, ce qui les dérange c’est d’être mal ciblés, ce n’est pas d’être ciblés, c’est d’être mal ciblés. Quand on reçoit une suggestion proche mais quand même un peu éloignée de ce qu’on voulait, ça énerve ! Mais quand ça tombe pile-poil exactement sur ce qu’on est en train de chercher, sur ce qu’on a regardé par ailleurs, on se dit « c’est intéressant quand même, ce n’est pas mal ! ». Quand en face on a un bénéfice, on est prêt à donner. C’est tout cela qui est aussi effectivement à voir et à construire, et ça rejoint un peu ce qu’on disait tout à l’heure sur les Smart cities, c’est vraiment cette confiance, cette adaptation qu’on doit travailler.
Sur l’impact des réseaux sociaux sur la santé mentale des jeunes, qui a été révélée par la lanceuse d’alerte sur Instagram, un, savoir si on pourrait faire une étude d’impact : évidemment qu’on pourrait. La preuve c’est que les plateformes elles-mêmes le font en interne et qu’elles arrivent à le mesurer très précisément. Là c’est révélé, ça avait un effet négatif sur la santé mentale notamment des adolescentes avec cette permanence de suggestions, de conditionnement sur le corps parfait, sur la façon d’être, etc., qui générait de la dépression, une très mauvaise estime de soi.
Si vous rajoutez une mauvaise estime de vous-même, de la dépression et de la suggestion permanente parce que les jeunes passent beaucoup de temps sur ces réseaux sociaux, ça finit, sur certaines populations fragiles et vulnérables, à pouvoir effectivement causer du suicide. On le sait. Comme je le disais tout à l’heure, il faudrait que des chercheurs externes puissent aller voir ces données-là et les exploiter. Il y a des tensions, en ce moment, entre certains régulateurs et les plateformes, mais on va sans doute y arriver un peu.
C’est vrai qu’on parle des maux des réseaux sociaux, il y en a beaucoup de très différents. Il y a effectivement des violences très agiles, très directes, des agressions, des insultes, la diffusion de données personnelles sans le consentement, des contenus d’images, de vidéos. On parle plus des jeunes filles parce que c’est vrai que ce sont elles, les pauvres, qui sont plus sollicitées à donner des contenus d’elles nues et, ensuite, à ce qu’elles soient diffusées sans leur consentement. C’est une violence, c’est ce qu’on appelle le revenge porn. Il y a effectivement la création de comptes à votre nom qui vont servir de déversoir pour de la haine en ligne ou des choses comme ça, de la discrimination en tout genre sur vos préférences sexuelles, etc. Finalement, à l’âge où vous construisez votre identité, on va aller vous atteindre sur des fragilités.
Delphine Sabattier : Et l’exploitation aussi par des réseaux pédocriminels, c’est un sujet qu’on a abordé la semaine dernière.
Justine Atlan : Je ne reviens pas dessus. Il y a effectivement ce qu’on appelle l’exploitation des mineurs pour récupérer des contenus à caractère sexuel et ensuite les diffuser, les partager dans des réseaux. Là on parle de quelque chose qui est à part parce que c’est totalement illégal. Il n’y a pas de façon de bien le faire ou pas. C’est de l’exploitation sexuelle des mineurs, c’est ce qu’on appelle globalement la pédopornographie, la pédocriminalité, c’est totalement illégal, ça n’a de raison d’être nulle part, pas plus sur Internet qu’ailleurs.
Delphine Sabattier : La problématique, c’est quand l’utilisateur produit lui-même le contenu.
Justine Atlan : C’est ce que les jeunes font quand ils s’envoient des contenus d’eux nus.
Delphine Sabattier : Je voulais aussi interroger la CNIL sur cette question de l’âge, parce que tout passe par l’âge. Si on veut davantage protéger des mineurs ou des jeunes de moins de 15 ans, de moins de 16 ans, encore faut-il être sûr de l’âge qu’ils ont quand ils se connectent. On a un rapport de Renaissance Numérique sur ce sujet qui est très intéressant, j’imagine que vous l’avez également parcouru, qui nous donne quelques clés sur la vérification de l’âge. C’est un sujet sur lequel travaille la CNIL, les CNIL en Europe, j’imagine.
Carina Chatain : Absolument. Déjà un chiffre : une enquête de Génération Numérique indique que 45 % des 11/18 ans ont déjà menti sur leur âge en ligne.
Delphine Sabattier : Oui, normal, enfin presque !
Carina Chatain : C’est presque devenu un acte banal. S’agissant de la vérification de l’âge, il y a un double souci. D’une part, il n’y a pas de système idéal. La CNIL a fait des recherches sur les systèmes existant : soit on a des systèmes qui sont très souples, trop souples, du coup très contournables par les jeunes, soit ce sont des systèmes très solides mais très intrusifs, donc ils mettent en péril les données personnelles.
Delphine Sabattier : En fait ils collectent trop de données pour vérifier l’âge de l’utilisateur.
Carina Chatain : Un exemple concret, l’utilisation par certains pays de la reconnaissance faciale pour s’assurer que les jeunes joueurs ne passent pas trop de temps sur les jeux vidéos. Ça, évidemment, vu le modèle juridique du RGPD, c’est absolument impossible et pas souhaitable en Europe et en France. Il faut arriver à trouver un système qui soit à la fois solide, fiable et qui, en même temps, respecte les droits des personnes et la vie privée des personnes.
Delphine Sabattier : Il faut engager l’utilisateur finalement dans ce choix de technologie.
Carina Chatain : Exactement. La CNIL a travaillé notamment avec l’Arcom et un consortium européen qui s’appelle euCONSENT, pour trouver un système qui présente toutes ces caractéristiques. Un démonstrateur a été fabriqué avec l’aide de l’École polytechnique et du PEReN [Pôle d’Expertise de la Régulation Numérique], qui dépend de la direction générale des entreprises. Le principe de ce démonstrateur, c’est qu’on passe par un tiers de confiance, on ne passe pas par le site lui-même, c’est un tiers de confiance qui va être l’intermédiaire parce qu’il est labellisé, il est certifié.
Delphine Sabattier : Donc aujourd’hui il y a des pistes et il y a des travaux.
Je vais être obligée de vous interrompre. On est déjà à la fin du temps qui nous est imparti pour ce talk. Merci beaucoup à toutes les deux, Justine Atlan d’e-Enfance/3018 et Carina Chatain de la CNIL. Je rappelle quand même qu’il y a des numéros, 3018, pour faire des signalements ; il y a la plateforme PHAROS [Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements], point de contact aussi ; vous avez évoqué les actions de sensibilisation de la CNIL.
Merci beaucoup à toutes les deux. On continuera évidemment cette conversation dans Smart Tech.