Le Global Privacy Enforcement Network (GPEN) a passé au crible 876 sites web et applications populaires auprès des mineurs en novembre 2025. Dix ans après un exercice similaire, les résultats sont mitigés, avec des avancées, mais aussi beaucoup des lacunes.
En novembre 2025, 27 autorités de protection des données du monde entier, dont la CNIL en France, ont participé à une opération coordonnée pour évaluer comment les plateformes numériques traitent les données personnelles des mineurs. Le rapport, publié cette semaine, compare ces résultats à ceux de 2015 avec un bilan nuancé.
Contrôle de l'âge : des barrières plus nombreuses, mais trop faciles à contourner
En 2015, seules 15% des plateformes examinées disposaient d'un mécanisme de contrôle de l'âge. En 2025, ce chiffre atteint 45%. A priori, ça commence plutôt bien. Mais dans les faits, les dispositifs actuels ne seraient pas réellement très fonctionnels.
Parmi les plateformes dotées d'un tel mécanisme, 88% reposent sur la "déclaration volontaire". Concrètement, c'est l'utilisateur lui-même qui saisit sa date de naissance, sans aucune vérification. Les enquêteurs ont contourné ces contrôles dans 72% des cas, simplement en modifiant l'âge renseigné, en réinstallant l'application ou en effaçant les cookies du navigateur.
Et cette manipulation facile n'est pas sans conséquence. 34% des plateformes analysées proposaient du contenu inapproprié pour les mineurs. On retrouvait des propos haineux dans 15% des services, du contenu à caractère sexuel dans 11%, des liens avec l'automutilation ou les troubles alimentaires dans 7% chacun. Notons par ailleurs que 24% des plateformes n'avaient aucun contrôle d'âge. Concernant la suppression de compte, les progrès sont plus nets : 64% des plateformes proposent désormais une procédure accessible, contre 29% en 2015. Mais 36% d'entre elles rendent encore cette démarche difficile, voire "pratiquement impossible pour un enfant", selon les termes mêmes des enquêteurs.
Données personnelles et profilage : dix ans de collecte en expansion
Surtout, ces dix dernières années, les choses ont évolué. Et pas forcément dans le bon sens. C'est le cas de la collecte des données. En 2015, 51% des politiques de confidentialité mentionnaient un partage de données avec des tiers. Ce chiffre est désormais de 85%. Les informations collectées, nom, adresse email (demandée par 59% des plateformes), géolocalisation (46%), alimentent des acteurs de plus en plus nombreux, extérieurs à la plateforme d'origine.
Ces données alimentent le profilage comportemental. Il s'agit donc d'analyser automatiquement les habitudes d'un utilisateur pour lui proposer du contenu toujours plus ciblé en passant au crible ses contenus consultés, ses horaires de connexion, ou ses interactions. Or le rapport révèle que ce mécanisme était associé à du contenu sur l'automutilation dans 60% des cas, et à du contenu sur les troubles alimentaires dans 58% des cas. Même des services officiellement conçus pour les enfants étaient concernés : 6% d'entre eux utilisaient le profilage comportemental, parfois associé à du contenu violent ou offensant.
Au total, 41% des plateformes examinées ont été jugées non adaptées aux mineurs par les enquêteurs. Seules 19% de ces plateformes jugées inadaptées disposaient de mesures limitant efficacement la collecte de données.
Ce rapport ne manquera pas d'alimenter les débats actuels sur la protection des mineurs. La France entend interdire les réseaux sociaux aux moins de 15 ans dès le mois de septembre. Une mesure qui pourrait d'ailleurs être étendue à 16 ans si la Commission européenne adopte son projet de loi. Dans plusieurs pays, dont la France, des mécanismes de vérification d'âge avancés sont en cours de test. En France, la CNIL a approuvé un système permettant à une entreprise tierce de valider l'âge de l'internaute lorsqu'il souhaite accéder à un site interdit aux mineurs.
En parallèle, les régulateurs s'interrogent sur le détournement de certains outils pour passer outre ces dispositifs. C'est ainsi que le VPN est en ligne de mire de plusieurs gouvernements. Nous rapportions récemment que l'exposition aux contenus violents avait suffi à la commissaire aux droits des enfants outre-Manche pour recommander une régulation des VPN. De leur côté, les éditeurs de sécurité, eux, appellent à la vigilance, mais ne restent pas pour autant sur leur position et cherchent à trouver des solutions. C'est par exemple le cas de Proton qui propose aux parents de réserver une adresse email sécurisée pour les enfants, précisément pour limiter l'exposition à certaines dérives recensées dans ce type de rapport.
