Vérification d’âge – C’est qui, Yoti ? Rencontre avec Omari Rodney, le Chief Product Engineer

Yoti, prestataire de vérification d’âge basé en Angleterre, se fait doucement une réputation internationale à la faveur des nouvelles lois encadrant le X. Il est temps pour nous de présenter cette entreprise, déjà consultée par le Sénat français à l’occasion du fameux rapport porno.

Los Angeles, janvier 2024, cocktail-party chic sur la terrasse du Klimpton Everly Hotel, à un jet de pierre d’Hollywood Boulevard. La convention professionnelle des XBIZ bat son plein. C’est ainsi que je tombe sur l’équipe de Yoti, déjà aperçue au salon européen d’Amsterdam l’année passée, promouvant cette fois-ci sa solution au gratin du X américain. En plein bouleversement des législations autour du X, l’entreprise se positionne en tant que tiers de confiance sur le secteur de la vérification d’âge. L’occasion ou jamais de leur réclamer une explication détaillée, que l’on sache enfin dans quelles mesures et avec qui l’on est déjà susceptible de partager des données somme toute sensibles. 

Bonjour, pouvez-vous vous présenter, vous et Yoti ?

“Je suis Omari, Chief Product Engineer à Yoti, une entreprise de vérification d’identité numérique. Nous sommes spécialisés dans la vérification d’âge, la vérification d’identité et le contrôle du consentement de manière sûre, privée et sécurisée.” 

Danny Whitehorne & Omari Rodney, Yoti

En quoi ça consiste dans l’industrie pour adultes ?

Omari Rodney : “Nous évoluons auprès de nombreuses industries, l’adulte est l’une d’entre elles. Nous travaillons avec les secteurs du gaming, des réseaux sociaux, du dating, de la finance, de la vente en ligne au détail. Notre cœur d’activité est de permettre à ces industries de vérifier l’identité ou l’âge de leurs utilisateurs d’une manière qui préserverait leur confidentialité (« privacy« ). Nous nous efforçons donc de ne révéler aucune information qui n’est pas nécessaire à un business qui n’a pas les prérogatives de les réclamer. Et nous mettons un point d’honneur à fournir aux utilisateurs une explication claire sur la façon dont leurs données sont gérées, les données que nous transmettons, et la suppression de toute donnée qui n’a pas lieu d’être conservée.”

Ça tombe très bien, des explications, je suis là pour ça. 

Comment vous y prenez-vous pour établir la majorité de l’utilisateur d’un site pour adulte ? Et comment vous débrouillez-vous pour préserver la confidentialité de son identité et la confidentialité de ce qu’il y consomme ?

O.R. : “Étant donné que nous travaillons auprès de nombreuses industries, nous n’avons aucun intérêt spécifique pour un utilisateur en particulier ou ses comportements. Nous proposons toute une variété de méthodes pour permettre à celui-ci de prouver son âge et nous jugeons très important qu’il puisse choisir et comprendre la méthode qu’il va utiliser. L’un des principes-clé est que chaque donnée que nous capturons pour une vérification d’âge est immédiatement effacée, une fois la vérification terminée. Il n’y reste donc aucun lien entre une identité et le comportement d’un utilisateur ou de ses intérêts vis-à-vis du tiers licencié (« relying party« ). Plus simplement, il n’y a pas de risque de fuite ou de violation de données puisque nous ne conservons aucune des données que nous vérifions.” 

“Nous proposons plusieurs méthodes. Celle qui se révèle être la plus acceptée par le marché, par l’utilisateur, est l’estimation faciale de l’âge. L’utilisateur regarde vers une caméra et notre intelligence artificielle intégrée analyse le visage de l’utilisateur et détermine son âge. Nous considérons que c’est hautement sécurisé et particulièrement protecteur, car nous n’accédons à aucune information concernant le nom de l’utilisateur, son adresse, sa date de naissance. On n’a pas besoin de voir de document d’identité, puisque la seule chose à laquelle nous allons prêter attention est une image de la personne qui n’est vue par aucun être humain. Et une fois le visage analysé, l’image est immédiatement supprimée.”

Cohérent bien que contre-intuitif, l’on cède donc plus facilement ses traits faciaux que ses références administratives au nouveau démiurge numérique. Je relance.

Comment cette intelligence artificielle sait-elle si la personne est adulte ou non ?

O.R. : “Nous avons entraîné cette IA sur de nombreuses images d’individus qui ont renseigné leur date de naissance. Nous accordons à chacun un droit de regard quant à l’utilisation de leur image pour l’entraînement de l’IA, qu’ils peuvent résilier à chaque mise-à-jour, s’ils ne souhaitent plus y participer.”

“L’IA a consulté tellement d’images qu’elle est en mesure de déterminer à quoi une personne de 18 ans ressemble. Elle comprend ce à quoi ressemble une personne de 13 ans, de 10 ans. Donc en lui montrant un nouveau visage, elle ne sera pas en mesure de reconnaître ce visage, ni de déterminer si elle l’a déjà vu avant ; mais elle saura si ce visage est très semblable à celui de quelqu’un de 18, 19 ou 21 ans.”

Sauf qu’on ne m’enfume pas comme ça. J’ai bossé mon sujet.

Vous reconnaissez d’ailleurs un degré de précision maximal de 18 mois…

O.R. : “Oui, c’est bien ça.” 

Si l’utilisateur a 18 ans et deux mois, comment peut-il utiliser votre solution pour accéder à son site ?

O.R. : “La manière dont cette solution est typiquement déployée est que si l’âge de majorité est réglementé à 18 ans, l’opérateur de la solution (aka le site internet, ndlr.) paramétrera un palier d’accès un peu supérieur. Car il s’agit simplement d’une estimation. Si l’utilisateur a effectivement 18 ans, il tombera alors en dessous du seuil de, mettons 23 ans. Dans ce cas, nous proposons des moyens alternatifs basés sur la documentation à travers lesquels l’utilisateur peut vérifier son âge.”

“Nous donnons la possibilité de présenter son passeport, son permis de conduire, ou sa carte d’identité nationale à la webcam. Ensuite, on confronte le visage de l’utilisateur avec le visage sur le document, on extrait la partie « données » des documents, on s’assure que la personne est bien une vraie personne, et non l’image de quelqu’un d’autre que l’on tend à la caméra. Nous faisons une évaluation de l’authenticité du document et nous assurons qu’il n’a pas été falsifié. Et nous renvoyons simplement un « vrai » ou « faux » (le résultat d’un test dit « booléen » généralement employé dans les validations d’accès, ndlr.) à la société concernée par l’âge en question. Une fois le processus complété, nous effaçons immédiatement l’image qui a été capturée et les détails du document.”

Pas mal. Le bougre se défend bien. Mais on ne la fait pas à l’intraitable reporter d’investigation. 4-2-3-1, on maintient donc le pressing très haut, Elise Lucet tatouée sous le maillot. 

Comment peut-on vous faire confiance quant à l’utilisation de nos données ? Après tout, le phishing des données personnelles est une escroquerie assez répandue, non ?

Bim !

O.R. : “Nous opérons depuis bientôt 10 ans maintenant. Pendant ce temps, nous avons été soumis à des audits et nous le sommes encore régulièrement aujourd’hui. Nous disposons des certifications ISO 27001, 27701, 9001. Ce sont les différentes certifications qui déterminent comment notre sécurité opère, comment nous maintenons la qualité de notre solution et comment nous gérons la confidentialité des informations que nous traitons.”

“Nous disposons également du SOC2 qui assure que lorsque nous faisons des changements, nous devons respecter un certain nombre de procédures et de protocoles qui garantissent que nous n’introduisons pas de changements non-nécessaires ou préjudiciables au service.”

“Notre service est également audité par divers tiers qui voudraient comprendre comment nous opérons indépendamment de nos certifications internationales.”

“Nous sommes également encadrés par notre Guardian Council, le conseil de supervision externe, un groupe extérieur de militants pour les droits humains, d’avocats, et d’autres individus concernés par les rapports entre droits des citoyens, la technologie et la confidentialité. Nous les rencontrons régulièrement, tous les deux à trois mois. Ils contrôlent chaque changement, nos comportements aux regards de nos objectifs. Ils nous font parvenir un retour dont les minutes sont rapportées publiquement.”

Bon, d’accord. Le mec a révisé aussi et me pilonne à coup de normes techniques internationales. On dit match nul ? Match nul, alors hein… 

Êtes-vous informés de l’évolution de la législation en France et comment opérez-vous sur ce territoire spécifiquement ?

O.R. : “Nous sommes conscients de la situation en France. Nous avons des solutions qui fonctionnent en France, et elles sont disponibles pour n’importe quel opérateur. Vous pouvez d’ores et déjà vous connecter sur le site, prendre contact et vous renseigner sur notre processus de vérification d’âge sûr, sécurisé et anonyme sans révéler la moindre information personnelle.” 

Avez-vous eu des problèmes avec la Cnil ?

“Nous sommes en contact avec la Cnil depuis plusieurs années. Nous les avons rencontrés et leur avons présenté notre solution. Nous avons aussi discuté avec l’Arcom et le PEReN. Nous avons été invités à faire une présentation au Président Emmanuel Macron l’année dernière. Nous opérons avec des compagnies françaises depuis maintenant plusieurs années maintenant.” 

Toutes vos méthodes d’authentification sont-elles accessibles depuis la France : reconnaissance faciale, analyse de pièces d’identité, etc. ?

Il me corrige rigoureusement.

O.R. : “En ce qui concerne l’estimation d’âge, il ne s’agit pas de reconnaissance faciale, mais d’analyse faciale. Nous proposons également une vérification d’identité à partir d’un document. Enfin, nous mettons à disposition une carte d’identité numérique. Ça consiste à créer un compte sur un téléphone portable. Les données sont cryptées séparément, et enregistrées seulement sur le téléphone de l’utilisateur. Il n’y a alors plus qu’à scanner un QR-code pour certifier de sa majorité.”

Ce tour d’horizon achevé, je prends finalement congé, regrettant de n’avoir entrepris mon interlocuteur à propos des biais algorithmiques ou confronté sur la net-neutrality. Mais que les lecteurs m’en soient grâce, la technicité de l’échange nous a tous passablement amochés, et donne déjà pas mal de grain à moudre. Commençons par digérer ça.

Sur le Web, le contrôle au faciès n’a plus rien de tabou, ni pour les plateformes ni même pour les utilisateurs qui plébiscitent cette solution devant toutes les autres formes de contrôle, à commencer par la transmission de documents d’identité. Après tout, l’utopie d’un Internet libre est depuis longtemps évaporée. Ton FAI checke tes navigations, ta carte bleue trahit tes achats en ligne. À choisir, le public lui, semble préférer faire risette à une IA, censément plus précise, plus neutre, plus sûre, pour montrer patte blanche. Et une boîte comme Yoti, à grands renforts d’audits et de certifications numériques s’efforce de rendre cette opération aussi claire et indolore que possible. L’avenir nous dira si un tel modèle est amené à s’imposer.