Vérification de l'âge : la nouvelle excuse pour contourner le chiffrement ?

Par Chloé Claessens, Spécialiste cybersécurité.

Publié le 29 juillet 2025 à 16h37

Censée renforcer la protection des mineurs en ligne, la vérification de l’âge s’impose progressivement comme un outil incontournable des politiques numériques européennes. Mais à mesure que les dispositifs se précisent, le périmètre s’élargit, les contraintes techniques se durcissent, et les garanties de confidentialité s’effritent. Et forcément, entre ambitions sécuritaires et pressions réglementaires, la frontière avec les outils de surveillance devient de plus en plus poreuse.

Vérification de l'âge : la nouvelle excuse pour contourner le chiffrement ?. © dizain / Shutterstock

L'info en 3 points

La vérification de l'âge en ligne devient cruciale en Europe pour protéger les mineurs, mais soulève des questions de confidentialité.
En France, les plateformes pornographiques doivent vérifier l'âge des utilisateurs, suscitant des tensions juridiques et techniques.
Le Royaume-Uni impose des contrôles stricts, menaçant le chiffrement, et l'Europe pourrait, à terme, s'en inspirer.

Depuis quelques mois, la vérification de l’âge s’est imposée comme la nouvelle obsession des régulateurs français, et plus largement européens. Portée par un discours centré sur la protection des mineurs, elle s’invite dans les lois, les directives, les plans d’action. L’intention affichée fait consensus, mais les modalités techniques, elles, soulèvent des tensions. Car derrière la promesse d’un web plus sûr, se dessine un autre enjeu bien moins consensuel : la transformation progressive des infrastructures techniques et des conditions d’accès au numérique, encadré de plus en plus fermement par des dispositifs susceptibles, à terme, de servir de levier pour surveiller, restreindre ou contourner les garanties apportées par le chiffrement et le droit à la vie privée.

Une stratégie française consolidée, juridiquement validée

En France, la vérification de la majorité s’est installée sans grande résistance politique, mais non sans tensions juridiques. Pour rappel, depuis janvier 2025, les plateformes pornographiques ont l’obligation de contrôler l'âge de leurs visiteurs et visiteuses. Une mesure qui s’inscrit dans le prolongement de la loi SREN, adoptée en mai 2024, précisée par un arrêté ministériel et imposant le recours à un tiers de confiance. En pratique, donc, l’internaute doit être redirigé vers un prestataire externe, qui vérifie son âge à partir d’un document ou d’une donnée fiable, puis génère une attestation sans transmettre d’informations personnelles au site consulté.

Sans grande surprise, ce cadre a suscité une levée de bouclier générale dans le monde du porno, et été attaqué dès sa publication par plusieurs plateformes, dont xHamster et Pornhub, qui contestaient à la fois son efficacité, sa compatibilité avec le droit européen et le modèle de vérification retenu. Saisi dans la foulée, le juge des référés leur avait alors donné raison dans un premier temps. Mais le Conseil d’État a finalement tranché mi-juillet en faveur du gouvernement, estimant que l’objectif de protection des mineurs justifiait la contrainte. Une décision qui lève le dernier obstacle juridique à l’application du dispositif, et ouvre la voie à un blocage effectif des sites qui refuseraient de s’y conformer. Les plateformes visées doivent dorénavant se plier au référentiel technique de l’ARCOM, sous peine de sanctions financières pouvant aller jusqu’à 6 % de leur chiffre d’affaires mondial.

Cette logique de contrôle s’étend désormais à d’autres services du quotidien. Emmanuel Macron a récemment réaffirmé sa volonté d’interdire l’accès aux réseaux sociaux aux moins de 15 ans, en s’appuyant sur le même mécanisme de vérification par un tiers de confiance. Encore inapplicable en l’état, faute d’intégration concrète aux grandes plateformes, la mesure viserait directement TikTok, Instagram ou Snapchat, en leur imposant de filtrer l’âge de leurs utilisateurs et utilisatrices avant toute inscription.

En France, le Conseil d'Etat a finalement tranché en faveur du gouvernement concernant la vérification d'âge sur les plateformes de contenus pornographiques. © Alexandre Boero / Clubic

Un encadrement européen plus nuancé, mais techniquement bancal

En parallèle de cette stratégie nationale, la Commission européenne a publié mi-juillet également ses lignes directrices pour l’application de l’article 28 du Digital Services Act. Elles s’inspirent en partie de l’approche française, tout en introduisant une gradation selon le niveau de risque. Les plateformes exposant les mineurs à des contenus jugés particulièrement problématiques – pornographie, jeux, alcool – doivent recourir à des méthodes strictes de vérification d’identité, via des prestataires accrédités. Celles relevant d’un risque « moyen » peuvent opter pour des systèmes d’estimation d’âge, tandis que l’autodéclaration reste tolérée dans les cas les moins sensibles.

Dans les faits, cette hiérarchisation permet de préserver une forme de flexibilité réglementaire. Mais elle repose sur des contours flous, et surtout, elle délègue largement aux États membres la responsabilité de la mise en œuvre concrète des dispositifs. Cinq d’entre eux – France, Danemark, Grèce, Italie, Espagne – s’apprêtent ainsi à tester une application commune de vérification de la majorité, présentée comme respectueuse de la vie privée. Le système prévoit l’émission d’une « preuve d’âge » chiffrée, compatible avec les futurs portefeuilles d’identité numérique européens (EUDI Wallet).

Problème : le prototype actuel s’appuie sur l’API Google Play Integrity, au cœur d’une architecture de référence encore partiellement verrouillée, ce qui limite pour le moment son fonctionnement aux appareils licenciés Google (adieu iOS et ROM custom) et aux applications téléchargées via le Play Store. Une dépendance technique d’autant plus paradoxale pour une initiative censée garantir la souveraineté numérique et la confidentialité des données, et qui alimente déjà les critiques.

En Europe, les régulateurs ne sont plus à une contradiction près. On cherche à promouvoir des intitiatives souveraines, mais on délègue pour le moment le développement des outils de vérification d'âge à... Google. © viewimage / shutterstock

Du contrôle d’âge à la surveillance des canaux chiffrés, le cas britannique

Mais le plus embêtant dans toute cette histoire, c’est qu’au-delà des conditions d’accès aux sites, la logique de contrôle pourrait s’étendre à d’autres pans de l’écosystème numérique. Et sur ce point, le Royaume-Uni en offre une démonstration flagrante. Avec l’entrée en vigueur de l’Online Safety Act en fin de semaine dernière, les plateformes ne doivent plus seulement vérifier l’âge de leurs utilisateurs et utilisatrices, mais aussi prévenir la diffusion de contenus illégaux, y compris dans les espaces privés. L’article 122 du texte va jusqu’à exiger des entreprises qu’elles détectent les infractions dans les messages eux-mêmes, en posant le principe d’une analyse locale directement sur les appareils, avant même que les contenus ne soient chiffrés ou envoyés. Autrement dit, une remise en cause frontale de l’intérêt même du chiffrement de bout en bout.

Or, pour les services reposant sur l’E2EE – WhatsApp, Signal, iMessage – cette exigence est techniquement irréalisable. Aucun intermédiaire, pas même le fournisseur, ne peut aujourd’hui accéder aux messages échangés. Faute de solution concrète, le gouvernement britannique renvoie la responsabilité aux entreprises, tout en laissant planer la menace d’une mise en conformité obligatoire.

Tous se retrouvent donc dans une position délicate, pris entre leurs engagements techniques et la pression réglementaire. Car en transférant ainsi la charge à des acteurs privés, sans indiquer comment remplir l’objectif fixé, le texte contourne l’impasse politique. Il ne formule pas explicitement l’obligation d’implémenter une porte dérobée, mais contraint indirectement chacun à en imaginer un équivalent, supposément compatible avec leurs promesses de confidentialité. Une équation impossible, qui cherche insidieusement à fragiliser le chiffrement, sans jamais l’assumer comme tel.

L’Europe et la France, pour l’instant, n’ont pas encore franchi la ligne rouge. Mais les précédents récents montrent que la protection des mineurs constitue un terrain politiquement porteur pour imposer des dispositifs de surveillance indirects. La messagerie privée, longtemps perçue comme un espace sanctuarisé, pourrait devenir la prochaine cible, et on aurait bien tort de penser le contraire.

Et pendant ce temps-là, aux États-Unis…

Outre Atlantique, le débat prend une tournure similaire. Le Kids Online Safety Act (KOSA), porté depuis 2022 et récemment réintroduit à la Chambre des représentants, reprend en grande partie les logiques du texte britannique. Officiellement centré sur la protection des mineurs, il impose aux plateformes une obligation de prévention des contenus « inappropriés », au périmètre large et peu défini, allant des sites pour adultes aux réseaux sociaux, en passant par des ressources d’information sur la santé ou la sexualité.

Comme au Royaume-Uni, les modalités de vérification sont laissées à l’appréciation des entreprises, qui s’appuient déjà sur des prestataires privés pour collecter et traiter des documents sensibles. Le texte n’impose pas explicitement de surveillance des échanges privés, mais le devoir de protection qu’il institue pourrait amener certaines plateformes à renforcer la modération, y compris sur des services chiffrés comme iMessage ou FaceTime. Faute de solution technique évidente, les critiques redoutent un retour des débats sur les portes dérobées et la surveillance des communications.

Si le texte venait à être adopté, Apple, Meta ou Google pourraient être amenés à revoir en profondeur l’architecture de leurs services. Et dans la mesure où leurs messageries, réseaux sociaux et systèmes d’exploitation sont massivement utilisés en Europe, les conséquences d’un tel changement ne se limiteraient certainement pas au territoire américain. Autrement dit, même sans impulsion venue de Bruxelles, ce sont peut-être les choix faits à Washington qui finiront par redéfinir les contours de la vie privée en ligne.

Une offensive sans relâche contre le chiffrement et l’anonymat

Car les initiatives sur la vérification d’âge s’inscrivent dans une dynamique plus large de remise en question des garanties techniques de confidentialité offertes aux utilisateurs et utilisatrices. En début d'année, déjà, la directrice d’Europol, Catherine De Bolle, appelait publiquement à un affaiblissement du chiffrement de bout en bout, au nom de l’efficacité des enquêtes criminelles. Plus pernicieux encore, l’agence, dans son rapport IOCTA 2025, plaide désormais pour un accès facilité aux métadonnées, qui permettraient, selon elle, de contourner les limites imposées par le chiffrement.

Adresses IP, historiques de connexion, journaux de session : à défaut de pouvoir lire les messages, Europol veut cartographier les interactions. Une orientation qui inquiète les défenseurs de la vie privée, d’autant que ces données ne sont aujourd’hui ni systématiquement collectées ni uniformément conservées. À terme, cela pourrait remettre en cause le modèle « no-log » de nombreux services, y compris les VPN.

Ces exigences, présentées comme des réponses ciblées à des enjeux bien réels – terrorisme, exploitation sexuelle, criminalité organisée –, ne s’attaquent pourtant pas aux racines des problèmes. Elles traduisent des préoccupations légitimes en contraintes techniques généralisées, qui affaiblissent au passage les garanties collectives. Et une fois les outils déployés, leur périmètre d’usage tend à s’élargir, bien au-delà du cadre initialement invoqué, au détriment des libertés fondamentales, à commencer par le droit à la vie privée.

Car ce qui commence comme une exception finit souvent par faire système. Et face à l’impopularité persistante des appels explicites au déchiffrement, la voie réglementaire offerte par la vérification d’âge pourrait bien devenir une alternative plus acceptable. Rien n’empêche l’Europe, demain, de s’inspirer du modèle britannique pour imposer aux plateformes des obligations de détection, y compris dans les espaces privés. À la clé, le même résultat qu’une backdoor imposée – sans jamais avoir à prononcer le mot interdit.

À découvrir

Meilleur VPN, le comparatif en août 2025

28 juillet 2025 à 08h06

Comparatifs services

CyberGhost VPN

storage11000 serveurs
language100 pays couverts
lan7 connexions simultanées
moodEssai gratuit 45 jours
thumb_upAvantage : le moins cher

9.8 / 10

Lire le test complet sur CyberGhost VPN

Essayer CyberGhost VPN maintenant !

Par Chloé Claessens

Spécialiste cybersécurité

Référencement logiciel

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (10)

thinithiel

L’excuse du porno et des enfants pour pouvoir tout contrôler. Mais il y a déjà des moyens de contrôler l’accès aux porno, certes pas fiable à 100%, mais c’est impossible d’y arriver a 100%. Mais c’est juste pour ouvrir une porte pour tout contrôler

nephermat

Triste réalité du monde d’aujourd’hui …

yomiel

C’est un bon mise au point de la situation actuelle de la transition vers un internet qui sera différent, merci Chloé.
(je n’ai plus la fortitude mentale pour fouiner à droite/à gauche les infos à ce sujet, c’est vraiment cool de pratiquement tout avoir dans un seul article)

Ce qui est assez remarquable est que ces questions sur le chiffrement/vérification d’âge/porte dérobée dans les messageries sont amenées au premier plan pratiquement en même temps dans tout l’occident. Les complotistes diront que ce qui a été mis en place en 2020 durant la pandémie de COVID n’était qu’un test-run.

Les solutions techniques pour beaucoup de périmètres sont actuellement au mieux bancales, au pire inexistantes ou intrusives.

Je surveille ce qu’ils en feront des VPN. Il est possible qu’il y ait un devoir pour les éditeurs (pouvant proposer du contenu sensible) de bloquer les IP provenant des FAI non résidentiels, avec éventuellement des sanctions pour les sites à fort trafic. En attendant peut-être une généralisation du wallet d’identité numérique permettant de vérifier un des attributs (âge, citoyenneté) et d’autoriser les accès.
S’il y a une interdiction pure et simple des VPN grand public, il y aurait probablement des levées de boucliers et c’est un marqueur notable d’une montée de l’autoritarisme. Mais ce ne serait pas surprenant, s’il y a une mise sous pression par les fournisseurs de média et les problèmes liés au piratage.

arsworld

Sinon un contrôle parental et basta. Franchement c’est au parents de surveiller les appareils numériques de leurs enfants, pas à l’état. C’est clairement des ronds de cuire qui veulent une traçabilité sur tout le numérique pour revendre/statistiser de la data. Et quand on voit le nombre de sites officiels/privés qui se sont fait hacker ces derniers mois, ça ne donne pas du tout envie de lâcher des infos privées sur le web dans un Gloubi-boulga Européen.
Le fait de vouloir se baser en prime sur un service américain (google) est d’autant plus risible. Et pour les anglais, quand on voit que leur système s’est fait berner par une simple image 3D de jeu, au secours.

Hanandano

Ils auront toujours une théorie ad-hoc c’est toujours pile je gagne, face tu perds avec les cerveaux malades. Regarde le cas Epstein aux us en ce moment, les contorsions pour sauver Trump sont hilarantes.

J’avoue que j’étais agréablement surpris aussi. Un seul reproche : l’article est 100% en auto-citation. Des références externes seraient bienvenues.

C’est effectivement un noeud qu’il va être difficile de trancher. Pas sûr que les entreprises aiment l’idée non plus (cf. les employés qui bossent avec des VPN privé). Bref, y’a beaucoup de soucis et de difficultés à lever. On est clairement sur une politique du YAKA (vrai con ?) et avec pas beaucoup de recul là.

Hanandano

C’est un peu simpliste ^^

arsworld

Simpliste et fonctionnel.

MisterDams

Ha mais je ne savais pas que les USA étaient aussi sur le sujet !

Du coup, ça confirme que ma vision des choses est plus que viable, puisque ça intéresse le monde entier :

Les éditeurs d’OS (Microsoft, Apple, Google) doivent prendre en charge la validation de l’âge en amont sur chaque session d’appareils, avec un contrôle de l’identité (sans stockage, comme les systèmes existants). Seul les comptes validés peuvent créer des comptes « Adulte », sinon par défaut c’est un compte limité.
Les services doivent fournir un signal lisible par l’OS et/ou navigateur indiquant l’âge minimum qu’eux même exigent : si ça matche, l’accès est autorisé de façon transparente, éventuellement avec un picto ou une petite alerte. Si le système constate que l’âge ne correspond pas à l’habilitation de la session, il bloque l’accès directement, et ce sans même fournir l’âge au service.

J’y vois plutôt que des avantages :

Facile pour les services, on peut imaginer l’équivalent d’une balise meta dans l’en-tête
Facile à contrôler, c’est même industrialisable à la Hadopi. Il suffit de balancer des requêtes sur le site et voir si le service envoie le bon signal. S’il ne le fait pas, il est ouvertement en fraude : alerte, sanction, astreinte, etc.
Facile pour l’utilisateur, c’est l’appareil qui est garant de l’âge. Ça évite de vérifier son identité auprès de 20 000 prestataires (par exemple si je cherche un bon Whisky à offrir pour Noël, je vais aller sur Whiskyland qui va me demander Verifix puis 10 min après sur Whisky-Paradise qui va me demander MajorID, etc.)
Plutôt fiable, car les contrôles parentaux intégrés aux OS sont efficaces et peuvent notamment empêcher les bidouilles sur les navigateurs ou extensions, qui permettraient de contourner ou surcharger la valeur, a minima sur leur propre navigateur/store (Edge/Microsoft Store, Chrome/Play Store, Safari/App Store).
On se parle de sociétés qui ont largement les moyens de le faire, car on se parle même pas de coûts de déploiement démentiels (alors qu’un petit domaine viticole va devoir payer chaque mois sa solution SaaS)

Le seul inconvénient, c’est de s’engager à fournir notre identité aux GAFAM, qui doivent faire preuve de bonne foi à pas la conserver. Mais franchement, je préfère leur fournir à eux plutôt qu’à une obscure start-up qui va faire la même chose sans aucune garantie de leur sérieux.

Froz1x

Bientôt…

Hanandano

T’as juste oublié tous les os libres xD

Mais bien essayé. Le problème ici comme avec le camarade du dessus c’est l’ultracrépidariasnisme qui est favorisé sur ces questions.

On a tous l’impression qu’on a des solutions simples et on manque pas mal de cas particuliers.