L'ère de la fin de la vie privée est déjà arrivée, et les contrôles d'âge mènent la danse
Yoti, une société britannique spécialisée dans la vérification de l'âge, s'est récemment vu infliger une amende d'un montant total de 950 000 € par l'Autorité espagnole de protection des données (AEPD) pour avoir enfreint le Règlement général sur la protection des données (RGPD), la loi phare de l'Union européenne en matière de protection des données. Ces sanctions portent sur trois infractions séparées : 500 000 € pour traitement illicite de données biométriques, 200 000 € pour traitement de données sans consentement valable et 250 000 € pour conservation excessive de données.
Cette décision — contre laquelle Yoti compte faire appel — est frappante, non pas en raison du montant total de l’amende (qui est loin d’atteindre les amendes record infligées aux géants de la Big Tech comme Meta), ni même en raison de la nature des infractions.
Ce qui rend cette affaire véritablement inquiétante, c'est le domaine d'activité de Yoti : la vérification de l'âge.
Alors que les gouvernements du monde entier adoptent des lois obligeant les sites web — des plateformes pour adultes aux réseaux sociaux grand public — à restreindre l’accès en fonction de l’âge, des entreprises comme Yoti deviennent rapidement les gardiens de l’internet. Elles ne sont plus des prestataires de services de niche ; elles constituent désormais une infrastructure.
Et c’est précisément pour cette raison que chaque défaillance a d’autant plus d’importance.
Lorsqu’une entreprise chargée de vérifier des identités à grande échelle traite de manière inappropriée des données sensibles, les répercussions ne restent pas limitées. Elles se multiplient. Ces systèmes sont conçus pour fonctionner en continu, traitant en silence des millions de vérifications. Si un problème survient, cela n’affecte pas seulement une poignée d’utilisateurs ; cela peut avoir des répercussions sur des populations entières. Et c’est précisément ce qui rend cette affaire si importante.
Comment Yoti vérifie-t-il l'identité ?
Avant d'entrer dans le vif du sujet, il y a une nuance importante à mentionner. Yoti ne fonctionne pas d'une seule manière. L'entreprise propose toute une gamme de solutions d'identification, allant de simples contrôles d'estimation de l'âge basés sur un scan rapide du visage, à des identifiants numériques réutilisables que vous pouvez enregistrer et partager, jusqu'à une vérification complète de l'identité sur la base de documents. La dernière décision ne concerne qu'un seul des produits de Yoti : l'application Yoti, l'une des méthodes de vérification d'identité les plus infaillibles proposées par Yoti.
Pour commencer à utiliser l'application, vous devez fournir une pièce d'identité officielle, telle qu'un passeport ou un permis de conduire. Ensuite, vous devez effectuer un scan de votre visage, ce qui peut impliquer de capturer une séquence d’images en approchant le téléphone de votre visage, ou de réaliser une vidéo dans laquelle vous devrez prononcer quelques mots afin de permettre des contrôles de « détection de présence » ou « anti-usurpation ». Cela garantit que le visage scanné est celui d’une personne réelle et vivante, et non simplement une photo, une vidéo ou un masque. L’application compare ensuite le visage du selfie à celui figurant sur la pièce d’identité. Si la correspondance est validée, le système crée un modèle biométrique — une empreinte digitale numérique réutilisable de votre visage.
La différence fondamentale entre cette méthode et certaines autres réside dans le fait que ce modèle ne disparaît pas après la vérification. Il reste stocké sur les serveurs de Yoti. Yoti le conserve afin de pouvoir vous identifier à nouveau ultérieurement si vous vous reconnectez, modifiez votre code PIN ou récupérez votre compte. En autres termes, ce qui commence comme une simple vérification d'âge ponctuelle se transforme discrètement en un système d'identité biométrique à long terme.
Cependant, toutes les vérifications effectuées par Yoti ne nécessitent pas de téléverser un passeport et de prendre un selfie. Parfois, le système peut estimer votre âge à partir d'un simple scan facial. Dans ces cas-là, Yoti agit en tant que sous-traitant, en traitant les informations pour le compte d'une autre organisation. Mais lorsque vous utilisez l'application Yoti ID elle-même, la situation change : Yoti devient responsable du traitement, décidant quelles données collecter, pour quelles raisons et pendant combien de temps les conserver. En termes simples, l'entreprise est à la fois l'opérateur et le législateur.
Cependant, bien que la décision ne s’applique techniquement qu’à l’application Yoti ID, elle soulève une question plus vaste et plus dérangeante : si c’est ainsi que les données sont traitées lorsque Yoti a le contrôle total, quelle confiance les utilisateurs devraient-ils accorder à l’écosystème plus large qu’elle alimente ? Au-delà des détails techniques de la décision de l'autorité de régulation espagnole, une tendance claire à dépasser les limites se dessine — il ne s'agit pas d'un faux pas isolé, mais d'une approche plus large qui pourrait bien s'étendre bien au-delà d'un simple produit ou d'une fonctionnalité.
Trop de collecte de données, trop peu de choix réel
Si l'on fait abstraction du jargon juridique, les infractions commises par Yoti se résument à quelque chose de très simple : l'entreprise a collecté trop de données sensibles, n'a laissé aux utilisateurs qu'un choix très limité et a conservé ces données bien plus longtemps qu'elle n'aurait dû.
En vertu du RGPD, l’application de Yoti fait de l’entreprise à la fois un sous-traitant et un responsable du traitement des données, ce qui signifie qu’elle est soumise à des normes plus strictes en matière de traitement des informations sensibles — y compris les scans biométriques, que l’autorité de régulation considère comme des données à caractère personnel de catégorie particulière.
Ces scans biométriques sont stockés sur les serveurs de Yoti tant que le compte est actif et pendant trois ans après la dernière activité. Yoti affirme que cela est nécessaire pour permettre aux utilisateurs de modifier leur code PIN ou de récupérer leur compte. L'autorité de régulation estime que la conservation de ces données pendant des années va bien au-delà de ce qui est nécessaire. Selon elle, l'objectif principal — vérifier qu'une personne réelle se trouve devant la caméra — est déjà atteint lors de la création du compte. Elle souligne également que les changements de code PIN et les récupérations de compte sont des événements rares, de sorte que conserver les données biométriques de tout le monde « au cas où » relève de l'excès et est disproportionné.
En matière de consentement des utilisateurs, Yoti a été accusé d'avoir recours à ce qui semble être une pratique trompeuse classique. Les utilisateurs sont automatiquement considérés comme ayant accepté de fournir leurs données biométriques à des fins de recherche interne, à moins qu'ils ne décochent activement la case correspondante. Il ne s'agit pas là de données mineures. Elles comprennent des images du visage, des vidéos, la date de naissance, le sexe, le type de document et le pays de délivrance.
Elle inclut également une estimation de l'origine ethnique à des fins de détection des biais.
En résumé, les utilisateurs sont incités à partager une quantité considérable de données sensibles sans avoir véritablement le choix.
L'une des autres pratiques de collecte de données signalées par l'autorité de régulation concerne la collecte et le stockage par Yoti de données de géolocalisation. Celles-ci comprennent votre pays, votre région et même votre ville, et sont conservées pendant cinq ans. Yoti affirme avoir besoin de ces données pour déterminer quelles règles locales en matière d'âge s'appliquent à chaque utilisateur. L'autorité de régulation fait toutefois valoir qu'une fois que l'application sait quelles règles appliquer lors de la création du compte, la conservation de vos données de localisation pendant des années n'a plus de raison d'être, et qu'une période de conservation de cinq ans semble largement excessive.
De plus, Yoti indique qu'elle peut examiner manuellement votre pièce d'identité en interne pendant jusqu'à 28 jours après la vérification. Pendant cette période, le personnel de son centre de sécurité en Inde peut vérifier manuellement vos documents à la recherche de fraudes ou les utiliser à des fins de formation. Bien que Yoti conserve les fichiers sur ses serveurs au Royaume-Uni et les qualifie de « sécurisés », ceux-ci doivent tout de même être consultables par les employés pour effectuer ces vérifications ; ils ne peuvent donc pas être présentés sous une forme cryptée à ce stade. Au terme de ce délai de 28 jours, l'accès du personnel prend fin, mais les documents ne sont pas nécessairement supprimés, ce qui signifie que vos données d'identité sensibles peuvent rester plus longtemps dans leur système.
Cela soulève des préoccupations évidentes en matière de confidentialité. On a recensé de nombreux cas où des vérificateurs humains travaillant pour des services de vérification externalisés ont divulgué ou mal géré des informations personnelles sensibles, notamment des documents d'identité et des données biométriques. Un exemple très médiatisé est celui de Roomba, où des sous-traitants ont divulgué des données privées sur Facebook. Même avec des politiques et un cryptage en place, tout accès humain crée une faille susceptible d'être exploitée, et il va sans dire que la configuration de Yoti ne fait pas exception.
En réponse à cette décision, Yoti a déclaré qu'elle la rejetait « avec la plus grande fermeté » et a affirmé qu'elle « prenait la protection des données très au sérieux »
Yoti, un modèle mondial
Yoti n'est pas simplement une entreprise de vérification d'âge parmi tant d'autres : c'est l'un des leaders du secteur, et son influence s'étend bien au-delà des applications individuelles. Selon un article d'Ars Technica, Yoti aurait contribué à ouvrir la voie à de nouvelles lois américaines visant à instaurer un contrôle d'âge sur Internet. Un rapport publié en mars par le Laboratoire de recherche sur la sécurité, la vie privée et la démocratie de Georgia Tech — décrit comme « la première étude à grande échelle sur les fournisseurs de services de vérification de l'âge » aux États-Unis — a révélé que Yoti est le fournisseur dominant, utilisé par plus de 60 % des sites conformes dans les États américains où les contrôles d'âge sont devenus obligatoires. Le rapport a également révélé que Yoti « exige souvent des utilisateurs finaux qu'ils partagent des données sensibles — des photos de leur visage, pièces d'identité officielles, détails de carte de crédit, données d'empreinte digitale du navigateur, site web consulté, et plus encore. Ces données peuvent être confiées non seulement au fournisseur sous contrat, mais aussi à plusieurs « quatrièmes parties » qui sont nettement moins visibles pour les utilisateurs. »
La portée de l'entreprise est stupéfiante : Yoti effectuerait un million de vérifications d'âge par jour, éclipsant ainsi des concurrents comme Privately, qui en traite tout au plus environ 100 000 par jour. Lorsque la Cour suprême des États-Unis a statué l'été dernier que la vérification d'âge en ligne ne violait pas le Premier amendement, elle s'est en partie appuyée sur des informations techniques fournies par Yoti.
Cette position dominante montre que Yoti n'est pas seulement un acteur du marché de la vérification d'âge : l'entreprise façonne les règles, définit les normes techniques et étend discrètement la collecte de données biométriques et d'identité sur Internet, faisant de ses pratiques en matière de traitement des données une source de préoccupation pour des millions d'utilisateurs bien au-delà du Royaume-Uni et de l'Espagne.
Les conséquences : un avant-goût d’une ère sans vie privée
Cette affaire confirme ce que les défenseurs de la vie privée dénoncent depuis des années : il n’existe pratiquement aucun moyen sûr de mettre en place un système de vérification d’âge à grande échelle en s’appuyant sur des données personnelles sensibles.
En coulisses, Yoti ne se contente pas de vérifier les identités ; l'entreprise réutilise les données pour entraîner et affiner ses systèmes, entraînant ainsi les utilisateurs dans des recherches et des améliorations algorithmiques auxquelles ils n'ont jamais activement consenti. Même après avoir été débarrassés des noms et adresses, les visages, vidéos et attributs dérivés des pièces d'identité qui restent sont permanents et profondément personnels.
Les régulateurs peuvent exiger une collecte minimale, une conservation limitée et l'absence de suivi, mais la réalité est tout autre : des systèmes comme celui de Yoti collectent plus que nécessaire, stockent les données plus longtemps que justifié et les réutilisent à des fins secondaires, le tout sous le prétexte de la « sécurité » et au nom de la commodité.
La vérification de l'âge, telle qu'elle est actuellement conçue, crée des environnements de données centralisés et à haut risque que les lois sur la protection de la vie privée étaient censées empêcher. Yoti n’est pas un cas isolé, c’est un modèle. À moins que le modèle sous-jacent ne change, ce ne sera pas la dernière entreprise à franchir ces limites. Cette amende ne concerne pas seulement une entreprise qui n’a pas respecté la réglementation ; c’est un avertissement concernant tout un système qui normalise la surveillance biométrique, encourage l’accumulation de données et demande aux utilisateurs de lui faire aveuglément confiance en leur assurant que tout sera géré de manière responsable.
