Dans un billet consacré à la protection des mineurs en ligne, le Premier ministre britannique Keir Starmer a évoqué la possibilité de limiter l’accès des enfants aux VPN. Une ligne, à peine développée, mais qui ouvre un nouveau front dans les débats déjà très tendus autour de la vérification d’âge et de la vie privée.
Il fallait bien que ça arrive. Dans un billet de blog daté du 15 février dernier, Keir Starmer, Premier ministre du Royaume-Uni, vient de lancer une nouvelle charge à peine dissimulée contre les réseaux privés virtuels, au détour d’une ligne qui suggère qu’ils pourraient, eux aussi, entrer dans le champ du contrôle d’âge. Rien n’est encore formalisé, mais pas besoin d’un dessin. Conditionner l’accès VPN à une preuve d’âge, et donc potentiellement d’identité, reviendrait à réduire la confidentialité à une permission accordée sous condition, absorbée par une logique de contrôle qui ne correspond ni à l’outil ni à ses usages premiers.
Une phrase, et tout un chantier réglementaire en arrière-plan
Le passage en question est bref. Il apparaît au milieu d’un texte consacré à la protection des mineurs, dans lequel Keir Starmer déroule une série de pistes pour durcir l’encadrement des plateformes, limiter certaines fonctionnalités jugées nocives et se donner les moyens d’imposer un âge minimum d’accès. C’est dans cette liste qu’il glisse l’idée de restreindre l’accès aux VPN pour les enfants, comme s’il s’agissait d’un prolongement naturel des mesures destinées à empêcher les contournements.
Le propos ne décrit aucune méthode, ne parle ni d’identité ni de vérification, mais il fait entrer les VPN dans un champ de régulation qui, jusqu’ici, les frôlait surtout de loin. Ils étaient évoqués par ricochet, comme une manière de contourner des dispositifs trop rigides ou mal appliqués. Cette fois, un chef de gouvernement les nomme frontalement, en laissant entendre qu’ils pourraient être intégrés à une politique de contrôle d’accès.
CNI ou pas CNI, telle est la question
Cet implicite vaut une esquisse. Restreindre l’accès à un VPN suppose de distinguer mineurs et majeurs dans un écosystème qui ne sait pas le faire. En théorie, un fournisseur VPN ne connaît pas ses abonnés, ne vérifie pas leur identité, et ne collecte pas les éléments nécessaires à une quelconque catégorisation. Pour appliquer une limitation liée à l’âge, il faudrait donc ajouter une étape qui n’existe pas aujourd’hui.
Le scénario le plus évident ressemble à ce que l’on voit déjà ailleurs, une vérification au moment de l’inscription, soit en demandant un justificatif, soit en passant par un prestataire tiers capable de produire une preuve d’âge sans transmettre l’identité complète au service.
Sur le papier, cette seconde option paraît plus compatible avec une approche respectueuse de la vie privée, mais elle déplace en réalité le problème plutôt qu’elle ne le règle. D’abord, elle crée de nouveaux gisements de données sensibles, parce qu’un système de vérification, quel qu’il soit, attire mécaniquement la convoitise. Ensuite, elle entraine un effet de seuil peu rassurant. Contrôler l’âge de certains utilisateurs et utilisatrices seulement n’a pas de sens, il faut donc imposer le même parcours à tout le monde, y compris à celles et ceux qui utilisent un VPN pour des raisons banales et légitimes, à savoir la sécurisation des réseaux peu fiables ou la volonté de réduire le pistage.
On peut aussi envisager des solutions moins frontales, qui s’appliqueraient aux canaux de distribution, en renforçant les restrictions sur les comptes mineurs ou dans les stores par exemple, ou en s’appuyant davantage sur les contrôles parentaux intégrés au système. Mais dans la mesure où ces dispositifs seraient eux-mêmes aisément contournables (installations hors store, configuration manuelle), il est peu probable qu’un gouvernement décidé à s’attaquer aux solutions de spoofing s’en satisfasse.
En France aussi, le terrain se prépare
La dynamique n’est pas très différente côté français. Entre l’interdiction annoncée des réseaux sociaux pour les moins de quinze ans et les débats récurrents sur la vérification d’âge pour les sites pornographiques, les VPN glissent peu à peu dans le champ des « outils de contournement » dont on parle à voix plus haute qu’avant, les responsables politiques admettant que les VPN figurent désormais dans leur « liste de sujets » à l’étude.
Bref, un état des lieux peu réjouissant. La France n’en est certes pas (encore) là, mais les déclarations se multiplient et la logique du débat évolue. À force de traiter le contournement comme un problème en soi, on finit par regarder les outils de confidentialité à travers le prisme du contrôle, et non plus à travers les usages légitimes qu’ils protègent. Le glissement est subtil, mais ses conséquences ne le seraient pas : si la confidentialité devient conditionnelle, c’est la vie privée qui perd sa place de droit pour se rapprocher d’un privilège accordé sous réserve.
Source : Keir Starmer
