Vérif humaine sur Gander : on n’attend pas que ça dérape.

Ben Waldman

Il y a eu énormément de discussions récemment autour des lois de vérification d’âge pour les réseaux sociaux au Canada.

D’ailleurs, lors d’une récente période de questions, une jeune étudiante a posé une question au premier ministre… et en a profité pour glisser un petit mot sur Gander.

On vous jure qu’on n’était pas au courant. Désolé, M. Carney.

Sans vouloir décevoir les jeunes dans la salle, ça fait déjà un bon moment qu’on a décidé d’instaurer une vérification humaine et d’âge pour toute personne qui veut publier, commenter ou discuter sur Gander — peu importe les lois qui seront adoptées.

TL; DR;

  • Gander adopte une approche proactive : empêcher les bots, les mauvais acteurs et les mineurs d’interagir dès le départ (pas après).

  • Vous pouvez naviguer librement, mais publier, commenter et discuter nécessite le « Vérif humaine ». Vérif humaine = vérifier que vous êtes un humain adulte (18+).

  • Gander ne conserve pas votre pièce d’identité ni vos données personnelles. Méthode principale : Identité+ de Postes Canada (vous vérifie, supprime les données, et nous retourne simplement un oui/non).

  • D’autres options sont prévues : courriels institutionnels (école/travail), vérification de domaine, etc.

  • Objectif : protéger les utilisateurs, réduire les bots et l’IA, et garder les jeunes en sécurité sans compromettre la vie privée.

  • Compromis : ça ajoute un peu de friction, mais on considère que ça en vaut la peine.

  • C’est une décision produit assumée, pas juste une réaction à une possible loi.

Protéger nos communautés, notre démocratie et nos jeunes.

Dès le départ, certaines décisions étaient claires pour nous en construisant Gander.

On voulait redonner du contrôle aux gens, dans le cadre des lois canadiennes. Protéger nos cultures, réduire la désinformation, limiter le trolling et garder l’intimidation sous contrôle.

Bref… essayer de régler tous les petits problèmes qui traînent sur les réseaux sociaux depuis plus de 10 ans.

On savait aussi qu’on ne voulait pas d’un réseau envahi par les bots et l’IA. Et qu’il fallait protéger les jeunes.

Soyons clairs : n’importe qui de 18 ans et plus peut créer un compte et jeter un coup d’œil. Mais on sait tous que la petite case « j’ai plus de 18 ans » ne prouve pas grand-chose.

Donc si vous voulez participer (publier, commenter, discuter) vous devrez passer par notre processus de vérification.

Est-ce que ça a été une décision facile? Bof… oui et non.

Est-ce que tout le monde aime ça? Non. Clairement pas.

Mais il y a des frictions qui valent la peine. Et pour nous, ce n’est pas optionnel.

La vraie question, c’était donc : comment faire ça dans un internet où au moins la moitié du trafic vient de bots, d’IA ou de mauvais acteurs sans compter les États qui tentent d’influencer les conversations?

Les options… pas si simples?

  1. Utiliser l’IA pour détecter les problèmes (et les mineurs) ou
  2. Empêcher les problèmes d’entrer dès le départ

Allons-y pendant que tout le monde nous explique, depuis des plateformes étrangères, pourquoi on a tort…


Approche réactive : utiliser l’IA pour détecter les problèmes.

Créer de l’IA pour détecter l’IA, les bots, les mauvais acteurs… et les mineurs. Ça semble logique, non?

À quel point ça peut être compliqué?

On laisse Gander ouvert à toute activité, comme tout le monde s’y attend, puis on met en place des systèmes de surveillance qui repèrent des patterns de comportements non humains. Ou des enfants.

Ensuite, on attend qu’il se passe quelque chose qui correspond à ces patterns, puis on signale et/ou on supprime les comptes.

Sur papier, ça se tient. Dans la réalité… beaucoup moins.

Surtout quand on a un budget limité, une promesse de souveraineté des données, et toute une plateforme sociale à bâtir et faire grandir.

C’est aussi une approche réactive, qui laisse place à des enjeux assez importants.

D’abord, on n’a pas vraiment envie d’attendre que les problèmes arrivent à grande échelle. Si on peut l’éviter.

Ensuite, il y a la gestion des bots qui sont là pour de bonnes raisons, et la difficulté de déterminer avec un certain niveau de certitude qu’un compte n’est pas humain. Ou que quelqu’un est un enfant, et pas simplement… un peu enfantin.

Parce que bon, avez-vous vu l’IA récemment? Elle devient de plus en plus convaincante. Impossible pour une petite équipe comme la nôtre de gagner une bataille infinie d’IA contre IA.

Et les gens sont tous différents. Essayer d’estimer l’âge de quelqu’un, c’est un peu arbitraire — et ça ouvre la porte à des enjeux sérieux en matière de droits de la personne.

Sans compter que… ça laisse énormément de place à l’erreur. Et honnêtement, je n’ai aucune envie de me réveiller un matin en apprenant que notre plateforme est devenue un vecteur de prédation envers les enfants.

Non merci.

Est-ce qu’on va surveiller les comportements? Oui.

Mais ça ne peut pas être notre première ligne de défense.

Approche proactive : ne pas les laisser entrer dès le départ.

Donc si « IA contre IA » n’est pas une option, pourquoi ne pas simplement empêcher les mauvais acteurs d’entrer?

On entend régulièrement des gens en faveur de la vérification d’identité. Des parents, entre autres. Mais aussi des personnes qui vivent du harcèlement ou des abus verbaux en ligne, de façon régulière. Des gens qui veulent, et c’est tout à fait compréhensible, plus de protection et plus de responsabilisation.

Pour eux, « vérifier une pièce d’identité », ça semble logique. Comme dans un bar.

Sauf que Gander, ce n’est pas un bar (on y travaille).

Et il y a BEAUCOUP d’enjeux à régler :

  • Vie privée
  • Accessibilité
  • Souveraineté
  • Sécurité des données

Sans oublier que… beaucoup de gens détestent ça.

Genre, vraiment.

Et c’est compréhensible. Il y a de vraies conséquences, parfois inquiétantes, à demander aux gens de partager leur pièce d’identité un peu n’importe comment en ligne.

Bon, on entend souvent ça de la part de personnes qui publient justement sur des plateformes qui collectent nos données les plus personnelles depuis des années… mais ça reste une préoccupation légitime.

Et honnêtement, pourquoi est-ce que vous feriez confiance à Gander avec votre pièce d’identité?

La réponse : vous ne devriez pas.

Et franchement, nous non plus, on n’en veut pas.

Ça ne servirait à rien de protéger les utilisateurs contre les mauvais acteurs si c’est pour devenir nous-mêmes un risque de fuite de données.

Donc on a cherché des solutions aussi fiables que possible, non intrusives, sécuritaires et souveraines.

Et même si le Canada accuse un certain retard en techno maison depuis quelques décennies, on a quand même trouvé de très bonnes options. Et aussi des alternatives à la vérification d’identité qui sont beaucoup plus faciles à accepter.

Les solutions de vérification d’identité.

Il ne manque pas d’outils de vérification d’identité sur le marché. Et il y en a un bon nombre qui sont canadiens.

Le vrai problème, c’est la confiance. Ce n’est déjà pas rien de demander aux gens de scanner leur pièce d’identité — ou leur visage — et d’envoyer ça sur internet. Leur demander d’envoyer ça à une entreprise techno qu’ils ne connaissent pas? C’est une autre histoire.

Donc oui, ça en a éliminé plusieurs d’emblée. Mais il en reste quand même quelques très bonnes options…

Interac

https://www.interac.ca/fr/verification/personnelles/verifiez-vous-aupres-de-votre-institution-financiere/

Au départ, on a envisagé une idée assez simple : demander aux gens de nous envoyer un 2 $ par Interac. Ça prouve que vous êtes humain, canadien… et probablement adulte.

Simple en théorie. Beaucoup moins en pratique.

Difficile à gérer, peu d’options pour automatiser le tout, et l’email n’est pas exactement le moyen le plus sécuritaire pour faire ça. Sans compter que les app stores n’aiment pas vraiment ce genre d’approche.

Et bon… certains pensaient que c’était une « passe de cash ».

Si seulement ils savaient ce que ça coûte réellement de mettre tout ça en place.

Mais je m’égare…

Même si l’idée du 2 $ n’allait pas fonctionner, Interac offre aussi un service de vérification sans pièce d’identité. On se connecte simplement via son institution bancaire. Si vous avez déjà accédé à Service Canada ou fait vos impôts en ligne, vous connaissez probablement le principe.

Les points forts? C’est canadien, et ça utilise des informations que vous avez déjà choisies de partager avec votre banque. Et nous, on ne voit jamais vos données personnelles.

Les points faibles? Tout le monde n’a pas de compte bancaire, et pour plusieurs, se connecter à une appli de cette façon reste difficile à accepter.

C’est un peu intimidant, même si c’est en réalité très sécuritaire.

Canada Post Identity+

https://www.canadapost-postescanada.ca/scp/fr/comptes-commerciaux/identite-plus.page

Si vous avez suivi jusqu’ici, vous savez déjà que c’est l’option qu’on a choisie pour notre premier partenaire de vérification.

Écran Gander en français montrant « Un espace pour de vrais humains » et une vérif humaine via Identity+ de Postes Canada avant de publier.
Un espace pour de vrais humains. Vérifié avant de publier.

Pourquoi Postes Canada?

Parce que c’est une institution canadienne (en grande partie) digne de confiance. Ce n’est pas vraiment surprenant qu’ils aient déjà votre adresse, par exemple. Bref, si vous recevez du courrier, vous vous attendez un peu à ça.

Mais surtout, ils offrent deux choses que les autres n’offrent pas :

  • Une vérification d’identité qui se fait entre vous et eux. Pas avec nous
  • Une vérification en personne, dans des milliers de points de service partout au Canada

Et ça, c’est un énorme gain en accessibilité.

Identity+ de Postes Canada est une application autonome sur votre téléphone. Une fois votre identité vérifiée, les données sont supprimées de leurs serveurs. De notre côté, on reçoit seulement deux informations : vous êtes humain, et vous êtes adulte.

Parfait.

Bon… pas tout à fait.

  • Il faut télécharger une autre appli.
  • Ça peut échouer si votre pièce d’identité est usée ou difficile à lire.
  • Et oui, ça ajoute une friction que plusieurs n’aimeront pas.

La solution? Offrir plus d’options.

Une pièce d’identité? Le moins possible.

En cherchant des solutions à notre problème, on a réalisé qu’il existe déjà beaucoup de formes de vérification d’identité dans la vraie vie qui peuvent nous éviter de repartir de zéro.

Ce n’est pas infaillible à 100 %, mais c’est largement suffisant — tout en permettant aux gens de garder leur vie privée pour eux… et leur pièce d’identité loin de la caméra de leur téléphone.

Courriels scolaires, professionnels et institutionnels

Si vous avez une adresse courriel d’une université canadienne, il y a de fortes chances que vous soyez majeur. Oui, vous pourriez avoir 17 ans, peut-être même 16. Mais les chances que vous en ayez 12 sont très faibles.

Même logique pour les courriels provenant d’associations professionnelles, de syndicats, d’organismes gouvernementaux, et plus encore.

Et surtout : ces institutions ont déjà fait la vérification. Elles savent que vous êtes humain. Si vous avez accès à cette adresse courriel, on n’a pas besoin de refaire tout le travail — à moins qu’on ait des raisons de croire que vous êtes devenu un robot… ou que votre comportement laisse croire le contraire.

Ce qui veut dire que vous pouvez créer votre compte avec l’adresse de votre choix, puis simplement confirmer votre statut d’adulte humain avec l’un de ces courriels.

Votre compte reste lié à votre courriel principal.

Plutôt pratique.

Votre adhésion CIRA (.ca)

Celle-là est pour les plus techniques.

On discute avec CIRA depuis un moment déjà pour permettre une vérification via votre adhésion, en utilisant un enregistrement DNS sur votre domaine .ca.

Pratique, puisque CIRA vérifie déjà l’identité de ses membres. On travaille donc à une intégration avec eux.

C’est un peu plus technique comme approche, mais si vous avez l’habitude de gérer des domaines, ça devrait être assez simple.

Et en bonus, vous pourrez utiliser votre domaine comme nom d’utilisateur.

Ce qui est quand même assez cool.

Et la vie privée dans tout ça?

On vous laisse le choix.

Créer un compte avec l’adresse courriel de votre choix (et bientôt avec téléphone ou passkey).
Choisir votre nom d’affichage.
Publier, échanger… ou simplement observer.

Mais si vous décidez de participer, vos données d’identité ne passent jamais par nos serveurs — peu importe la méthode de vérif humaine utilisée.

Et les lois?

Oui. De nouvelles lois pourraient ne pas jouer en faveur des options autres que la vérification d’identité.

On verra bien. Probablement avant l’ajournement de la Chambre des communes en juin.

Mais peu importe, c’est notre décision — pas quelque chose qui nous a été imposé par la loi.

On va continuer d’en parler ouvertement. Et qui sait? Peut-être qu’un autre jeune prendra la parole à la période de questions pour défendre la vie privée tout en rendant internet plus sécuritaire.

On a déjà vu plus improbable.

Pas plus tard qu’à la Chambre des communes, l’autre jour.

Avatar de Ben Waldman
Ben Waldman est le PDG et cofondateur de Gander Social. Depuis 25 ans, il travaille à l’intersection du design, de la technologie et de l’impact social, aidant les institutions publiques, les organismes sans but lucratif et les organisations à mission à mieux raconter leur histoire, à servir leurs communautés et à réussir leur transformation numérique.