Tollé sur la toile. Alors que la Commission européenne présentait sa future application de vérification d’âge, une réponse floue sur les VPN a ravivé les inquiétudes concernant un encadrement plus large de ces outils de confidentialité.
La question était directe ; la réponse, beaucoup moins. Lors d’une conférence de presse consacrée à la future application européenne de vérification d’âge, tenue le 29 avril dernier, la vice-présidente de la Commission européenne, Henna Virkkunen, a été interrogée sur un sujet déjà sensible. Comment empêcher des mineurs d’utiliser un VPN pour contourner le système prévu par Bruxelles ? Plutôt que de répondre frontalement, la responsable européenne a déroulé une série d’éléments de langage extrêmement vagues sur les limites techniques du dispositif à venir et la nécessité de mieux faire appliquer les règles. Il n’en a évidemment pas fallu davantage pour mettre le feu aux poudres sur X, de nombreux internautes y voyant le signe d’une possible offensive européenne contre les réseaux privés virtuels.
Bruxelles n’a pas (encore) déclaré la guerre aux VPN
Pour l’heure, il faut pourtant se garder d’aller plus vite que les faits. La Commission européenne n’a jamais affirmé vouloir interdire les VPN, ni même encadrer directement leur usage. Interrogée sur leur utilisation éventuelle par des mineurs pour contourner la future application de vérification d’âge, Henna Virkkunen a surtout botté en touche.
Et pour cause. En guise d’éclaircissement, la vice-présidente de la Commission européenne s’est contentée de reconnaître qu’aucune solution technique ne pouvait empêcher toutes les tentatives de contournement, tout en rappelant que les règles ne valaient pas grand-chose sans moyens de les appliquer. Traduction, Bruxelles sait parfaitement que son dispositif devra aussi composer avec les outils susceptibles d’en limiter la portée, mais préfère ne pas dire, du moins pas encore, jusqu’où elle serait prête à aller.
Une non-réponse qui, dans un débat aussi sensible, ne pouvait de toute façon pas calmer grand monde. En évitant soigneusement de se prononcer sur les VPN, Henna Virkkunen a surtout contribué à nourrir des craintes déjà formulées par les défenseurs de la vie privée, pour qui un encadrement ciblé au nom de la vérification d’âge pourrait créer un précédent et ouvrir la porte à d’autres logiques de contrôle.
Outre-Manche et en France, les VPN sont déjà dans le viseur
Un glissement qui n’a d’ailleurs rien d’une vue de l’esprit, puisqu’il suffit de regarder ce qui se passe outre-Manche pour mesurer à quelle vitesse les débats sur la protection des mineurs en ligne ont fini par faire des VPN un problème à traiter. Au Royaume-Uni, l’Ofcom, le régulateur national, a ainsi prévenu que les plateformes soumises à l’Online Safety Act ne devaient pas encourager les mineurs à contourner les contrôles d’âge, y compris par l’usage d’un réseau privé virtuel.
Le débat parlementaire a poussé le raisonnement encore plus loin, puisqu’un amendement au Children’s Wellbeing and Schools Bill, discuté à Westminster, prévoit explicitement d’interdire la fourniture de services VPN aux enfants et d’imposer aux fournisseurs concernés une vérification d’âge efficace pour les connexions depuis le pays. Pas encore d’interdiction généralisée, certes, mais déjà une volonté de contrôler plus largement les VPN, au motif qu’ils ouvriraient une faille à colmater dans le système.
On en profitera pour rappeler qu’en France, les lignes commencent aussi à bouger. Fin janvier, Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, avait laissé entendre que les VPN figuraient parmi les prochains sujets à traiter dans le cadre de la protection des mineurs en ligne, avant que le gouvernement ne tente de calmer le jeu.
Le sujet est aussi revenu par ricochet au cours de la conférence tenue par Henna Virkkunen. Interrogée, cette fois, sur la proposition française d’interdire les réseaux sociaux aux moins de 15 ans et sa compatibilité avec le DSA, la vice-présidente de la Commission a reconnu suivre de près les initiatives nationales, tout en concédant aux États membres une marge de manœuvre pour fixer des limites d’âge et restreindre l’accès de leurs citoyens à certains services.
Alors qu’on s’entende, les VPN n’étaient pas explicitement cités dans cette question. Mais entre cette latitude laissée aux pays de l’Union, la volonté affichée d’une réponse européenne et le silence assourdissant opposé à la question posée plus tôt sur les VPN, on peut légitimement s’interroger sur ce que Bruxelles finira par cautionner.
