La prédiction d’âge devient un mécanisme central dans la gouvernance des plateformes numériques. Avec le déploiement mondial de l’age prediction sur ChatGPT, une question essentielle se pose : comment concilier protection des mineurs et respect des principes du RGPD ?
Un objectif légitime : la protection des mineurs
L’activation automatique de paramètres de sécurité renforcés pour les comptes suspectés d’appartenir à des personnes de moins de 18 ans poursuit un objectif clair : limiter l’exposition à certains contenus sensibles.
Sont notamment concernés :
• la violence graphique
• les défis viraux dangereux
• les jeux de rôle à caractère sexuel ou violent
• les contenus valorisant des standards corporels extrêmes
L’approche repose sur un principe de précaution. Lorsqu’un doute existe, le système bascule vers une configuration protectrice.
D’un point de vue RGPD, la finalité est identifiable : assurer une expérience adaptée à l’âge. Elle s’inscrit dans la logique de l’article 8 du règlement, qui encadre le consentement des mineurs dans le cadre des services de la société de l’information.
Comment fonctionne la prédiction d’âge ?
Le système s’appuie sur différents signaux liés au compte. Il peut analyser :
• les thématiques abordées
• les habitudes d’utilisation
• l’ancienneté du compte
• les plages horaires de connexion
Il s’agit d’un traitement automatisé permettant d’inférer une caractéristique personnelle : l’âge probable.
Nous sommes ici face à une logique proche du profilage au sens de l’article 4 du RGPD. Même si la finalité est protectrice, il demeure un traitement algorithmique produisant des effets concrets sur l’expérience utilisateur.
L’éditeur reconnaît d’ailleurs l’imperfection du système et prévoit un mécanisme correctif : la vérification d’âge via un tiers spécialisé.
Vérification d’âge : minimisation ou tension juridique ?
La vérification est confiée à Persona, société tierce chargée de contrôler l’âge via :
• un selfie en temps réel
• ou un document d’identité officiel
Les éléments fournis seraient supprimés sous sept jours. L’éditeur ne reçoit ni pièce d’identité ni photographie, uniquement la confirmation de majorité ou la date de naissance.
Sur le papier, le principe de minimisation semble respecté. Toutefois plusieurs points méritent une analyse rigoureuse :
-
Base légale du traitement prédictif
Est-elle fondée sur l’intérêt légitime ? Sur l’obligation légale liée à la protection des mineurs ? La qualification exacte doit être explicitée. -
Transparence réelle des signaux utilisés
Les utilisateurs connaissent la nature générale des signaux, mais pas leur pondération ni leur logique algorithmique. Le RGPD impose pourtant une information claire en cas de décision fondée sur un traitement automatisé. -
Exactitude des données
Un système prédictif peut classer à tort un majeur comme mineur. L’impact est limité mais réel : restriction de certaines fonctionnalités. -
Proportionnalité
La prédiction d’âge évite une collecte systématique de pièces d’identité dès l’inscription. Sous cet angle, la solution peut être considérée comme moins intrusive qu’une vérification obligatoire généralisée.
Le cas particulier de l’Italie
En Italie, la vérification devient obligatoire dans un délai de 60 jours après notification, sous peine de restriction de certaines fonctionnalités.
Cela illustre l’influence des régulateurs nationaux dans l’interprétation du RGPD et la volonté d’encadrer plus strictement l’accès des mineurs aux services numériques.
Nous observons ici une articulation intéressante entre droit européen harmonisé et exigences nationales renforcées.
Données personnelles et gouvernance
Plusieurs éléments sont structurants d’un point de vue conformité :
• suppression rapide des justificatifs par le prestataire
• absence de transmission des documents d’identité à l’éditeur
• possibilité de refuser la prédiction en procédant à la vérification
• paramétrage distinct permettant de refuser l’utilisation des données à des fins d’amélioration des modèles
Ces garanties vont dans le sens du principe d’accountability.
Cependant, une question demeure : l’algorithme de prédiction constitue-t-il un traitement à risque nécessitant une analyse d’impact relative à la protection des données ?
Au regard des critères du CEPD sur le profilage et les technologies innovantes, la réponse pourrait être positive.
Parallèle avec le RGPD : vers une conformité par design
La prédiction d’âge illustre un mouvement plus large : la conformité ne se limite plus à des mentions d’information. Elle s’intègre dans l’architecture technique du service.
Cette logique rejoint le principe de privacy by design.
Plutôt que de collecter massivement des données d’identité, le service tente d’anticiper le risque et d’ajuster l’environnement numérique.
Toutefois, l’équilibre reste fragile :
• Trop de collecte compromet la minimisation.
• Trop d’inférence algorithmique peut poser des enjeux de transparence.
Le défi réside dans cette ligne de crête.
Une évolution révélatrice des nouvelles responsabilités des plateformes
La prédiction d’âge ne constitue pas un simple réglage technique. Elle marque une transformation de la responsabilité des fournisseurs d’intelligence artificielle.
Protéger les mineurs devient une exigence normative structurante, à la croisée du RGPD, du Digital Services Act et des futures obligations issues de l’IA Act.
Pour les responsables de traitement, plusieurs enseignements peuvent être tirés :
• documenter précisément la finalité d’un mécanisme prédictif
• justifier la base légale
• prévoir un droit de contestation effectif
• limiter strictement la conservation des données
• encadrer contractuellement les tiers vérificateurs
La protection des mineurs ne dispense jamais d’un examen rigoureux de la proportionnalité du traitement.
La prédiction d’âge ouvre ainsi un nouveau chapitre de la conformité numérique. Elle montre que l’intelligence artificielle n’est plus seulement un outil fonctionnel. Elle devient un instrument de régulation comportementale, soumis aux exigences fondamentales du droit européen de la protection des données.
Le véritable enjeu n’est pas technique. Il est juridique et éthique : garantir que la sécurité renforcée ne se transforme jamais en surveillance excessive.
