Contrôle parental : les parents et smartphones sont-ils prêts ?

Rédigé par Martin Biéri

 - 

21 juillet 2023


Est-il possible d’avoir des dispositifs de contrôle parental respectueux de la protection des données et de la vie privée – et en particulier des premiers concernés, les mineurs – ? Le LINC s’est penché sur la question du contrôle parental et de sa perception par les mineurs. Cet article analyse également les dispositifs proposés directement sur les principaux systèmes d’exploitation de smartphones (iOS, Android « sans surcouche » et une version d’Android de Samsung), alors que le décret d’application de la loi Studer, qui encadre ces systèmes de contrôle parental, vient d’être publié.

Le contrôle parental : contexte et enjeux

 

Les systèmes de contrôle parental, pas si nouveaux que ça  

Il existe déjà un précédent entre le contrôle parental et obligations légales. En effet, l’article 6 de la loi pour une confiance dans l’économie numérique (LCEN) de 2004 demandait déjà aux fournisseurs d’accès à internet (FAI) et aux « box » de fournir un dispositif de contrôle parental : « Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens sans surcoût ».

Ces « personnes » ont donc dû mettre à disposition des utilisatrices et utilisateurs des logiciels permettant un contrôle parental activable directement sur leur box ou terminaux, et ce depuis 2006. Deux années plus tard, le journal 01Net avait publié un article revenant sur les différents systèmes proposés par les FAI, et le bilan n’était pas très bon à en croire les auteurs du comparatif : « Tous recalés ! Si l’on devait noter de façon binaire les logiciels de contrôle parental proposés gratuitement par les fournisseurs d’accès à Internet (FAI)… tous se verraient coller un zéro pointé ! ». Les critiques semblaient se cristalliser autour de l’efficience des blocages, des systèmes de filtre ou encore le paramétrage possible de ces systèmes. La critique est plus nuancée dans le reste du test, mais elle semble bien cristalliser les enjeux et attentes qu’il pouvait déjà y avoir autour de ces systèmes, qu’il s’agisse des fonctionnalités disponibles, de la fiabilité du dispositif ou encore de son utilisabilité.

Depuis, l’évolution du numérique et de ses usages est passé par là, et de nouveaux systèmes de contrôle parental ont émergé, à travers la diffusion des smartphones (mais aussi de consoles de jeux-vidéo) et avec l’arrivée de nouveaux acteurs proposant ce type d’outil de contrôle et suivi.

 

Sont-ils utilisés ?

En effet, les terminaux connectés se sont multipliés entre les mains des plus jeunes : selon le Baromètre du numérique 2022, 90% des 12-17 ans possèdent un smartphone, 97% de 18-24 ans, des chiffres qui semblent plutôt stables ces dernières années. Mais ont-ils un ou plusieurs systèmes de contrôle parental installé (ou activé) sur ces smartphones ?

Si l’on regarde un peu la littérature sur le sujet, l’acquisition d’un téléphone portable s’inscrit dans un contexte de négociation parent(s)-enfant, et les accès (téléphone, accès Wi-fi, 4G/5G, etc.) se récupèrent par étapes. C’est notamment ce que montre la chercheuse Nathalie Dupin (2019) : « A quelques exceptions près, l’ensemble des lycéens interrogés a d’abord disposé, pendant quelques mois au moins, d’un téléphone mobile ne disposant pas d’un accès à Internet ». Pour autant, elle note déjà qu’avec l’arrivée des smartphones bon marché et des petits forfaits comprenant des accès internet illimité, il pourrait y avoir une disparition du « par étapes », ou tout du moins une évolution de ses modalités – parfois d’ailleurs dans le sens d’un contrôle renforcé pour compenser ces accès plus larges et moins maitrisables !

En 2020, une étude Médiamétrie-OPEN-UNAF montrait que quasiment tous les parents interrogés avaient développé une stratégie concernant les usages des terminaux de leurs rejetons (« 95% des parents mettent en place au moins une règle pour contrôler les usages numériques de leurs enfants »). La proportion tombe de moitié quand il s’agit de contrôle parental vraiment « numérique » : ils sont 44% à déclarer avoir procédé à au moins un paramétrage du terminal (smartphones, consoles, etc.) à des fins de « contrôle » des activités des mineurs.

Et du côté des mineurs, qu’est-ce qu’on en pense ? Ils semblent moins séduits par les outils de contrôle parental que les parents ou les responsables légaux qui les installent, comme semblent le montrer les avis laissés par des mineurs sur différentes applications de magasins d’application de smartphones. En effet, parmi les points mentionnés, on peut citer une restriction trop sévère, une intrusivité dans leur espace personnel et un motif de dégradation des relations avec leurs parents. Les aspects « négatifs » des systèmes de contrôle parental représentent 79% des commentaires. Les 21% restants mentionnent des points plus positifs, comme le contrôle de comportement addictif, la sécurité ou encore un espace de négociation et de liberté (dans l’ordre décroissant de mentions).

Dans une autre recherche, et avec un son de cloche beaucoup plus nuancé sur la réception du contrôle parental par les mineurs, le sociologue Yann Bruna s’interroge sur l’aspect spécifique du suivi des mineurs par la géolocalisation : « Il ressort de cette partie de notre analyse que la géolocalisation par les parents n’est pas systématiquement mal perçue par les adolescents, qui en comprennent les principaux enjeux en matière de menaces et de sécurité. Cette technologie reste néanmoins très intrusive. ».

Pour autant, il pourrait y avoir un effet d’âge, où les adolescents les plus matures et plus âgés se sentent infantilisés par ce dispositif qui peut mettre à mal la relation de confiance : « Que son usage soit négocié ou directement imposé, il peut se traduire par une restriction des libertés individuelles, par la mise à l’écart de certains proches (p. ex. dans le cas des familles recomposées) ou encore par une infantilisation mal vécue par les adolescents qui souhaitent au contraire montrer qu’ils deviennent adultes et peuvent se charger eux-mêmes de cette régulation ».

 

Et en termes de protection des données et de la vie privée ?

La CNIL a déjà publié des articles au sujet de ces systèmes et de leurs enjeux. S’ils se révèlent comme de vrais outils d’aide pour les parents, ils comportent également des risques, du fait de l’intrusivité et du contrôle qu’ils permettent :

  • Le risque d’altérer la relation de confiance entre les parents et le mineur ;
  • Le risque d’entraver le processus d’autonomisation du mineur ;
  • Le risque d’habituer le mineur à être sous surveillance constante.

Sur cet aspect plus spécifique de la géolocalisation des mineurs, la CNIL avait également publié un article à propos des montres connectées, dès 2018, dans lequel elle revenait sur ces aspects, mais également sur la question de la sécurité informatique (parfois relative) de ces systèmes (voir l’interview d’un expert ici aussi).

En effet, le simple ajout d’un logiciel augmente également les risques pour la vie privée, à travers une plus grande collecte des données, des détournements, voire des vulnérabilités. A titre d’illustration, en 2020, un groupe de chercheurs s’est penché sur les différentes applications de contrôle parental proposé sur Android, en explorant les 46 applications les plus populaires disponibles dans le magasin d’application de Google. Ici non plus, les résultats ne sont pas très encourageants : 11% des applications « transmettent des données en clair » ; 34% collectent et envoient des données personnelles « sans consentement approprié » ; et 72% « partagent des données avec des tiers, sans mentionner leur présence dans les politiques de confidentialité ». D’autres recherches, comme l’article Betrayed by the Guardian: Security and Privacy Risks of Parental Control Solutions (2020), montrent plutôt des risques liés au piratage, en soulignant que certains de ces systèmes peuvent « permettre un adversaire de contrôler entièrement la solution de contrôle parental, et peut ainsi aider directement les harceleurs en ligne et les cyberprédateurs ».

Un contexte qui montre bien l’étendue des enjeux et des défis qui ont trait aux dispositifs de contrôle parental, qui se situent quelque part entre l’outil d’aide à la parentalité, la protection des mineurs et l’éternel solutionnisme technologique.

 

Un décret, plusieurs fonctionnalités minimales et des enjeux à venir

Certains points du décret concernent directement la protection des données. En effet, le contrôle parental doit être proposé au premier paramétrage de l’appareil, et précise également les fonctionnalités minimales, c’est-à-dire les options que les fabricants du terminal doivent proposer a minima, à savoir :

  • La possibilité de bloquer le téléchargement de contenus mis à disposition par des boutiques d'applications logicielles lorsque la mise à disposition du contenu est légalement interdite aux mineurs ;
  • La possibilité de bloquer l'accès aux contenus installés dont la mise à disposition est légalement interdite aux mineurs

Pour ces deux objectifs, le décret détaille les caractéristiques de base de ces fonctionnalités : d’abord, une mise en œuvre locale et pas de remontées de données personnelles de la personne mineure (à l’exception de la création d’un compte pour l’accès à une boutique d’application quand cela s’avère nécessaire) ; ensuite, pas de traitement des données personnelles de la personne mineure (sauf celles qui s’avèreraient nécessaires pour le fonctionnement du dispositif de contrôle parental).

D’autres pistes non retenues

 

Dans son avis, la CNIL avait proposé d’y intégrer d’autres fonctionnalités – qui peuvent fonctionner également en local et sans création de compte – comme les listes blanches ou listes noires, qui permettraient d’avoir des outils pour la navigation sur le web, et pas seulement liées au téléchargement et installation d’applications. Ces mesures soulèvent toutefois d’autres enjeux, à commencer par une transparence, voire une harmonisation de ces listes qui semblent différer selon les concepteurs.

Les systèmes d’exploitation se reposent également sur des systèmes de filtrage. Par exemple, sur les terminaux d’Apple, leur fonctionnement semble notamment reposer sur l’analyse du contenu (en particulier textuel) pour identifier du contenu pour adulte (il existe des dictionnaires, mais sans plus d’information). Pour Google, les conditions semblent être similaires : lors de la configuration du contrôle parental (voir plus bas), il est seulement fait mention de « filtres » pour bloquer les contenus explicites, mais sans préciser leur fonctionnement – mais Google précise que les « filtres parfaits » n’existent pas. Par ailleurs, un système de listes noires est proposé en licence Creative Commons par l’université Toulouse 1 Capitole, directement disponible sur data.gouv.fr.

Un autre enjeu repose sur la classification d’âge dans les magasins d’application : elle relève de la responsabilité du développeur de l’application. Ici aussi, la manière de faire semble différer. Dans le Google PlayStore, les applications semblent être contrôlées à posteriori – là ou dans l’AppStore d’Apple, les applications doivent passer par une revue et une validation avant d’apparaître. Dans le premier cas, cela soulève plusieurs enjeux, comme le montrait déjà une enquête de Wired en 2019 : «  Techniquement, il revient aux agences de notation régionales, telles que PEGI, de contrôler l'exactitude des données à l'aide des outils mis à leur disposition par l’IARC. "Étant donné le grand nombre de jeux et d'applications publiés, les agences de notation participantes ne sont pas en mesure de contrôler chaque version" ».

Il semblerait intéressant ici aussi de voir une harmonisation des pratiques et des systèmes de classification d’âge des applications, ce qui pourrait permettre une moindre variation dans la notation d’une boutique à l’autre.

 

Qu’en est-il des principaux fournisseurs de systèmes d’exploitation des smartphones ?

Trois tests ont été effectués afin de documenter les parcours actuels de mise en place du contrôle parental sur deux des principaux systèmes d’exploitation de smartphones : Apple iOS et Android (Android sur un téléphone Google et Android sur un téléphone Samsung). Ce qui est interrogé ici est le fonctionnement du contrôle parental, et non le paramétrage de l’ensemble du téléphone. 

 

Les systèmes de contrôle parental sur les principaux smartphones

 

Le dispositif de contrôle parental proposé sur iOS (Apple)

Le test a été effectué sur un téléphone iPhone 11, sans compte utilisateur et en utilisant la dernière version iOS (16.3) disponible à ce moment-là (février 2023). Actuellement, le contrôle parental n’est pas proposé lors du premier paramétrage du téléphone. Il n’y pas besoin de créer un compte pour utiliser le téléphone, mais cela bloquera l’accès à certains services comme le cloud d’Apple ou le magasin d’applications.

Pour accéder au contrôle parental, il faut se rendre dans les paramètres du téléphone et sélectionner « Temps d’écran » (ce qui n’est pas forcément la dénomination la plus transparente pour y trouver le contrôle parental – mais il est possible de retrouver ce paramétrage via la recherche sur le téléphone). Le paramétrage ne nécessite pas de connexion internet.

L’ensemble du parcours peut se faire sans connexion, ni de demande de création de compte :

  • L’âge du mineur est demandé, ainsi que le type de contenus auxquels il pourrait accéder (les propositions automatiques s’adaptent selon l’âge sélectionné, même s’il est toutefois possible de ne renseigner aucun âge, et de passer à un paramétrage « personnalisé » en modifiant les configurations du menu qui suit), puis si ce téléphone est le sien ou celui des parents ;
  • Plusieurs écrans s’affichent ensuite, et proposent différents types de paramétrage liés aux limites de temps d’utilisation des applications et des sites web.
  • La fin de la configuration oblige la saisie d’un code à 4 chiffres (à confirmer dans l’écran d’après pour finaliser l’enregistrement).
  • Enfin, est proposé de renseigner un identifiant (ID) Apple pour la récupération de ce code s’il était perdu, paramétrage qu’il est possible d’ignorer.

Dans le magasin d’application, les jeux qui ont une limite d’âge ne sont pas téléchargeables. Pour les jeux payants, il faut renseigner un identifiant Apple (obligatoire pour les achats).

Si des applications interdites à un certain seuil d’âge sont installées avant d’activer le contrôle parental, elles sont « masquées » après son activation : il n’est pas possible de les retrouver dans l’écran d’accueil.

Pour gérer le contrôle parental depuis d’autres appareils Apple, il faut créer un compte, puis les lier via le paramétrage « Famille », qui permet d’ajouter des membres et définir qui est le parent et le mineur. Il faut cependant donner les informations d’une carte de paiement (carte de crédit) pour confirmer que vous êtes bien majeur.

 

Le dispositif de contrôle parental proposé sur Android, dans sa version proposée sur un téléphone Google

Le test a été effectué sur un Pixel 4a, dans la dernière version du système d’exploitation (Android 13) accessible à ce moment-là (février 2023). Aucun paramétrage relatif au contrôle parental n’est proposé lors de l’activation du téléphone. L’option est toutefois accessible dans les paramètres du téléphone, dans l’option « Bien-être numérique et contrôle parental ». Toutefois, il n’est pas possible de configurer ce contrôle parental sans connexion internet : le message « Aucune connexion Internet – Réessayer plus tard » s’affiche.

Après s’être connecté à Internet, il faut sélectionner si l’appareil sera utilisé par un parent ou pour « enfant ou adolescent ». Dans le second cas, l’étape suivante est alors de lier le compte du mineur à celui du parent, dans un groupe familial Google. Il n’est pas possible de passer cette étape : si ni l’enfant ni le parent n’a de compte Google, il faut les créer et les lier, en renseignant l’âge du mineur. Avant la création du compte, plusieurs écrans expliquent que la création d’un compte Google pour un mineur n’est pas anodine, et que certains produits Google ne sont pas forcément adaptés pour les mineurs (« des services grand public non conçus pour des enfants »).

Google présente alors son application Family Link qui permet de gérer le groupe familial. Puis, l'utilisateur se voit présenter les règles de confidentialité des données qui peuvent s’appliquer et auxquelles il faudra « peut-être » consentir.

S’il a été possible de créer un compte Gmail « parent » sans donner de numéro de téléphone ou aucune autre information, Google demande - si celle-ci n'a pas été fournie précédemment -  une confirmation du « statut de parent » par la vérification d’une carte de crédit. Cette carte de crédit reste enregistrée sur le compte du parent par la suite.

Ensuite s’ouvre le paramétrage de personnalisation pour le mineur selon deux options, express ou manuelle. La seconde option permet de :

  • Configurer l’enregistrement de l’activité du mineur sur le web et sur les applications ;
  • Configurer l’enregistrement de l’historique YouTube pour personnaliser la page d’accueil ;
  • Configurer qui peut gérer ces paramètres ;
  • Enfin, confirmer les cookies et paramètres de personnalisation pour le mineur.

La version « express » reprend les paramètres par défaut des quatre points précités. Il est possible enfin de paramétrer les informations d’un deuxième parent, via son compte Google.

Ensuite, que ce soit en mode express ou manuel, il est possible de configurer les paramètres du contrôle parental :

  • De Google Play (magasin d’applications) ;
  • Les filtres sur Google Chrome ;
  • Les filtres de recherche Google (via son outil de recherche, mais également pour l’assistant vocal Google Assistant).

Ces paramétrages sont adaptables, mais ne correspondent pas automatiquement à l’âge renseigné pour la création du compte. Par exemple : lors de la création d’un compte « mineur » né le 25 mai 2018, les paramètres proposés de manière automatique sont ceux de la classification des jeux PEGI avec une limite à 12 ans. Toutefois, ils sont repassés en revue lors de la configuration Family Link (voir ci-dessous), qui fait le lien avec les informations du compte, et propose donc automatiquement un PEGI 3. Le blocage des sites au contenu explicite est automatiquement activé, comme les filtres de recherche.

La configuration de l’application Family Link est « obligatoire » et entraînera l’installation de l’application de contrôle parental sur le téléphone. Il semble exister deux versions de l’application : une pour le téléphone « mineur » (une version « édulcorée » avec moins de paramétrages possibles – et ceux qui le sont se font via le compte du parent, qui doit rentrer son mot de passe de compte) et l’autre pour un autre terminal parental. Les données du mineur peuvent dès lors être enregistrées sur son Drive personnel, avec l’accord du parent. Il faut finaliser la configuration en remettant le code de déverrouillage du téléphone.

 

Ensuite, pour gérer les paramètres sur le téléphone, il faut remettre le mot de passe du compte Google du parent. Le compte du parent est alors considéré comme « Administrateur de la famille » et peut contrôler certaines options directement via son compte Google Family Link :

  • Limite des applis
  • Restrictions de contenus
  • Paramètres du compte
  • Appareils (notamment le faire sonner, le verrouiller, voir l’autonomie de la batterie)

Autre modalité possible pour activer un contrôle parental sur les applications installables : configurer  le PlayStore. En effet, après la création d’un compte Google, il est possible d’activer un contrôle parental seulement sur le magasin d’applications installé par défaut. Son paramétrage se fait directement dans les options du PlayStore, et permet de définir des restrictions liées aux contenus : les applications, les films et « télévision », selon les différentes classifications. Ce paramétrage n’a pas d’impact sur Chrome ou la recherche Google en dehors du magasin d’application. Cela étant, on trouve assez rapidement en ligne des « tutos » décrivant des méthodes de contournement de ce contrôle parental uniquement pour les applications : par exemple, il suffit d’aller dans les paramétrages de l’application et de supprimer les données d’utilisation. L’application est remise à zéro, et donc le contrôle parental également.

 

Le dispositif de contrôle parental proposé sur Android, sur un téléphone Samsung

Si nous prenons un smartphone un peu plus ancien et d’un autre constructeur reposant sur Android, l’expérience est encore un peu différente. Nous avons fait le test d’un contrôle parental Samsung, en testant le modèle Galaxy S10, avec la dernière mise à jour logicielle proposée dans les paramètres (Android 12 et version One UI 4.1). Embarquant Android, et avec la dernière mise à jour disponible, nous retombons facilement sur l’option contrôle parental dans le même menu que pour le Pixel, qui propose alors également les mêmes modalités, avec l’installation et le paramétrage du Family Link.

Pourtant, et dans les versions antérieures également, Samsung propose son système de contrôle parental : Samsung Kids. L’option est plus compliquée à trouver (on ne l’obtient pas en cherchant « Contrôle parental » dans la barre de recherche des paramètres). En fait, Samsung Kids se situe directement dans les onglets de paramétrages qui se trouve en haut du téléphone (et qu’on affiche en balayant l’écran d’accueil de haut en bas, pour afficher les options de luminosité, de connexion, de lampe torche, etc.). Dans cet onglet, il y a l’option « Kids », symbolisé par une tête d’enfant souriant, et qui permet d’accéder à une version « enfant » du téléphone. L’interface est modifiée, et il faut entrer le code de déverrouillage du téléphone pour en sortir. Plus qu’un contrôle parental, c’est bien un « mode enfant » qui peut être activé et désactivé directement sur le terminal. Samsung le présente d’ailleurs comme « les premiers pas des enfants dans le monde numérique ». Il est possible de créer des comptes en local, sans qu’il y ait de remontées d’informations vers des serveurs distants, afin de pouvoir créer des profils adaptés à plusieurs enfants dans une même famille, par exemple. Les paramètres proposent également un récapitulatif de l’activité du mineur, et des options de limite de temps et de temps d’inactivité (heure de coucher / heure de lever).

Au premier paramétrage de cette version, il n’y a pas grand-chose à faire si le terminal est déconnecté : toutes les applications proposées « par défaut » sont à télécharger, ainsi qu’une vingtaine de propositions d’autres jeux pour mineurs sur un autre volet en balayant l’écran vers la droite. Ce sont essentiellement des jeux pour un public très jeune (l’ensemble des propositions semble être noté PEGI3, donc adapté aux plus jeunes). Par défaut également, l’accès au magasin d’application Galaxy Store semble réduit : il n’affiche que des applications du même type.

Il est toutefois possible d’importer dessus des applications déjà installées dans la version normale (en sortant de la version Kids), en allant dans les paramètres de Samsung Kids. Il faut rentrer son code de déverrouillage, puis un message s’affiche indiquant que l’utilisateur doit vérifier si l’application qu’il ajoute est bien adaptée aux mineurs.

Samsung Kids propose également un navigateur, qui part défaut offre trois possibilités : Dogo News (disponible en anglais et espagnol), Dogo Movies (en anglais) et Dogo Books (en anglais). Il est toutefois possible d’aller sur d’autres sites en cliquant sur un onglet « Nouveau site web » : il est nécessaire de rentrer à nouveau le code de déverrouillage, mais ensuite il n’y a pas d’options de filtre de recherche activées – la navigation semble donc complètement libre.

 

En conclusion, des outils qui peuvent être efficaces, à condition de savoir les configurer

Ces premiers tests montrent que les modalités de contrôle parental proposées sur smartphones peuvent varier largement : de la fourniture d’un environnement entièrement spécifique à l’enfant (Samsung Kids) au simple contrôle des applications (limitation du simple Play Store sous Android).

Ils démontrent également que l’approche retenue par le décret, de permettre un contrôle uniquement local, via un code maître, est possible (proposée par iOS et Samsung Kids) et qu’il n’y a pas de nécessité absolue de lier le contrôle parental à un traitement des données personnelles du mineur et de ses parents.  

Enfin, il est clair que ces outils doivent également être pensés et configurés en tenant compte des attentes des enfants, un adolescent étant plus enclin à contourner les contrôles mis en place qu’un jeune enfant. Ces outils sont ainsi également des instruments utiles pour permettre aux parents d’engager un dialogue avec leurs enfants sur ce qui est acceptable ou recommandé, en fonction de leurs besoins et de leur développement.

Le tableau ci-dessous récapitule sur la base de ces tests la conformité préalable des systèmes étudiés avec les nouvelles dispositions du décret sur le contrôle parental, relatives à la protection des données.

Exigences du décret

Apple iOS

Google Android (Family Link)

Samsung Kids

Possibilité de bloquer le téléchargement de contenus mis à disposition par des boutiques d'applications logicielles lorsque la mise à disposition du contenu est légalement interdite aux mineurs

Oui

Oui

Oui

Possibilité de bloquer l'accès aux contenus installés dont la mise à disposition est légalement interdite aux mineurs

Oui

Oui

Oui

Mise en œuvre locale et sans remontées de données personnelles de la personne mineure (à l’exception de la création d’un compte pour l’accès à une boutique d’application quand cela s’avère nécessaire) 

Oui

Non

Oui

Pas de traitement des données personnelles de la personne mineure (sauf celles qui s’avèreraient nécessaires pour le fonctionnement du dispositif de contrôle parental)

Oui

Non

Oui



Article rédigé par Martin Biéri , Chargé d'études prospectives