Le Parisien, le 6 septembre 2025 – Interview de notre associée, Laure LANDES-GRONOWSKI (pôle IT & Data & Cyber), par Léo Aguesse, journaliste pour Le Parisien, sur le système de vérification de l’âge “AgeGo”, suite au rapport publié par l’ONG AI Forensics le 2 septembre dernier.

Les sites pornographiques doivent désormais vérifier la majorité des internautes avant de les laisser accéder à leur contenu. Certains d ‘entre eux utilisent les services de l’outil AgeGo, un prestataire supposé leur servir de tiers de confiance pour la vérification de la majorité des internautes.

Ainsi, l’usager ne voit plus que des miniatures de vidéo floutées lorsqu’il arrive sur un site pornographique. Objectif ? Protéger les mineurs de ces contenus. Pour y accéder, il est possible de se créer un compte sur AgeGo afin de faire vérifier son identité par le service, ou bien de réaliser un selfie vidéo, qui détermine l’âge du consommateur et sa majorité grâce à l’IA.

Mais un récent rapport de l’ONG AI Forensics, qui s’est penché sur le fonctionnement de cet outil, laisse perplexe et invite à se poser des questions quant à la conformité dudit outil.

Pour mémoire, le référentiel de l’Arcom prévoit que les systèmes de vérification de l’âge en ligne doivent répondre notamment aux principes suivants :

1/ Un tiers vérificateur indépendant pour protéger les données des personnes

Le référentiel prévoit notamment que la vérification de l’âge doit être effectuée par un prestataire de système de vérification de l’âge et que celui-ci doit être indépendant du site pornographique.

2/ La solution du « double anonymat » imposée aux sites concernés

Le référentiel de l’Arcom prévoit que les sites concernés, devront proposer aux internautes des solutions de vérification de l’âge dite en « double anonymat ». Ce type de solution permet de protéger au mieux la vie privée des internautes :

– le site auquel l’internaute accède reçoit la preuve de sa majorité mais ne connaît pas son identité ;

– le prestataire de la solution de contrôle d’âge connaît l’identité de l’internaute mais ne sait pas quels sites il consulte.

3/ Le respect du RGPD

Enfin, les traitements de données à caractère personnel mis en œuvre dans le cadre de la vérification de l’âge des internautes doivent respecter les dispositions applicables (RGPD, loi Informatique et libertés,…).

Or, dans les grandes lignes, sur la base du rapport précité, plusieurs risques de non-conformité du système AgeGo peuvent être relevés :

– l’accès par AgeGo à des informations sur le site internet, voire sur la page web exacte, que l’utilisateur souhaite consulter, ce qui est contraire au principe du double anonymat imposé par le référentiel de l’Arcom ;

– la transmission des données collectées concernant l’internaute au service de reconnaissance Rekognition d’Amazon Web Services (AWS), sans information préalable des personnes concernées ;

– la collecte par AgeGo de nombreuses informations dont certaines pourraient être considérées comme ne respectant pas le principe de minimisation ;

– le risque de réutilisation des données pour des finalités ultérieures incompatibles avec celles pour lesquelles elles ont été collectées par AgeGo ou encore de conservation desdites données pour une durée non strictement proportionnée par rapport à la finalité poursuivie ;

– etc.

L’Arcom indique « travailler à l’analyse du rapport » d’AI Forensics en concertation avec la Cnil. Affaire à suivre donc…

[Reproduction de l’article]

Sites pornos : ce qui se cache derrière AgeGo, le système obligatoire de vérification de l’âge

Par Léo Aguesse

Publié le 6 septembre 2025

Utilisé par des sites pornographiques comme Xvideos ou XNXX, le système de vérification d’âge soulève des inquiétudes. Une étude révèle que l’outil transmet des données sensibles à Amazon, compromettant l’anonymat promis aux utilisateurs.

Un simple selfie… et votre vie privée vacille. Forcés par l’Arcom de vérifier l’âge de leurs utilisateurs, les sites pornographiques Xvideos, XNXX et Tnaflix — parmi les plus connus — utilisent depuis le début du mois les services de l’outil AgeGo, un prestataire espagnol qui leur sert de tiers de confiance, pour se conformer à la législation française.

« AgeGo ne stocke aucune donnée de vérification », certifie l’entreprise créée en 2019, basée à Barcelone et disposant d’antennes à Porto et Dublin. AgeGo vante un outil « sûr, sécurisé et gratuit » protégeant « l’identité et les données » de l’usager.

Le double anonymat fragilisé

Or, une étude de l’ONG AI Forensics, publiée le 2 septembre dernier, certifie que cette technologie ne permet pas le double anonymat qu’elle prétend, contrevenant ainsi à la loi. AgeGo omet notamment de préciser que les données de l’utilisateur passent entre les mains de son fournisseur, qui s’avère être… Amazon.

« Nos analyses montrent que ce système transmet directement le flux vidéo de la webcam des utilisateurs au service de reconnaissance Rekognition d’Amazon Web Services (AWS), sans que ceux-ci en soient clairement informés », met en garde l’étude.

En plus du flux vidéo, sont également exposés auprès du géant américain l’adresse IP, le navigateur utilisé et même… la simple information qu’on veut accéder à un site pour adultes. En théorie, AWS pourrait tracer l’utilisateur, soulignent les chercheurs, même s’ils n’ont pas pu établir si les métadonnées étaient effectivement stockées de façon à permettre une telle identification.

Le logiciel de reconnaissance faciale d’Amazon a déjà été critiqué pour son manque de transparence sur la collecte et le stockage des données biométriques. L’an passé, le magazine américain Wired révélait que Rekognition était utilisé dans plusieurs gares britanniques pour analyser des images à l’insu des passagers. Des pratiques jugées illégales par de nombreux juristes au regard du RGPD.

Les sous-traitants en cause

Pire, AgeGo recueille l’URL du site pornographique visité ainsi que le lien exact de la vidéo demandée, « avant même que l’utilisateur n’ait choisi une option de vérification ou consenti à la politique de confidentialité ». Au cours du processus, l’utilisateur est également tenu de fournir une adresse e-mail, bien qu’il soit tout à fait possible d’en donner une qui ne dise rien de son identité.

Dans le cas d’AgeGo, plusieurs problématiques légales pourraient donc se poser. « Ce rapport pointe l’existence de mécanismes techniques qui font qu’un certain nombre d’informations, collectées soit par AgeGo soit par AWS, ne permettent pas de garantir l’anonymat de l’utilisateur », explique Benoit Grunemwald, expert cybersécurité chez Eset.

« Si les données sont communiquées à un tiers, en l’occurrence AWS, sans que l’utilisateur en soit informé, c’est problématique. Et si leur transfert vers AWS permet une conservation plus longue des données, potentiellement leur réutilisation, c’est aussi problématique », complète Laure Landes-Gronowski, avocate spécialisée dans la protection des données personnelles.

« AgeGo travaille avec d’autres sous-traitants intermédiaires, qui eux-mêmes ont accès à ces données très sensibles. Dès lors, il est impossible de vérifier que ces autres entités respectent la double anonymisation, puisqu’on ne sait pas de qui il s’agit », analyse Yosra Jarraya, CEO d’Astran, un éditeur de logiciels spécialisé dans la confidentialité des données.

Rien n’empêcherait alors ces sous-traitants de monnayer les données à des tiers pour qu’ils les réutilisent, par exemple à des fins de ciblage publicitaire.

L’Arcom analyse le rapport

Dans le cas où ces données seraient réutilisées, quels seraient les risques pour l’internaute ? « À partir du site, ou de la vidéo, on pourrait définir l’orientation sexuelle de la personne qui l’a consulté », explique Benoit Grunemwald. Dans le pire des cas, si l’ensemble des données venait à fuiter, un acteur malveillant pourrait s’en emparer « pour faire du name-shaming », estime le spécialiste.

Contactée par Le Parisien, l’Arcom indique « travailler à l’analyse du rapport » d’AI Forensics en concertation avec la Cnil. La semaine passée, le régulateur avait pris acte de la mise en conformité des sites pornographiques les plus réticents, rappelant qu’il y aurait des sanctions en cas de manquement à son référentiel technique publié en octobre dernier.

AgeGo « a répondu dans l’urgence à une demande de mise en conformité de ces sites, mais n’est pas dans les clous car ils ont installé une solution destinée au marché anglais moins protectrice de la vie privée », grinçait, mercredi dans nos colonnes, un concurrent dans ce marché en pleine croissance.

Pour consulter l’article sur le site du Parisien, c’est ici : Sites pornos : ce qui se cache derrière AgeGo, le système obligatoire de vérification de l’âge – Le Parisien

* *

Le Pôle « IT, Data & Cyber » d’Agil’IT se tient à votre disposition pour vous accompagner dans la mise en conformité de vos pratiques sur vos sites internet, plateformes web,… aux regard des dispositions applicables.

Par AGIL’IT – Pôle IT, Data & Cyber

Laure LANDES-GRONOWSKI, Avocate associée