Pourquoi la vérification de l’âge est inefficace et met tout le monde en danger

La ten­ta­tion, partout en Europe, est de vouloir inter­dire l’ac­cès aux réseaux soci­aux, aux sites pornographiques ou vio­lents, aux plus jeunes (moins de 16 ans le plus sou­vent). De fait, les états cherchent à se décharg­er de toute respon­s­abil­ité (qui devrait les con­duire à con­trôler ‑voire inter­dire – les sites délin­quants) et à trans­fér­er cette respon­s­abil­ité aux par­ents et/ou aux jeunes.

Au delà, comme le démon­tre cet arti­cle de l’EDRi (Euro­pean Dig­i­tal Rights), cette véri­fi­ca­tion de l’âge est une solu­tion inef­fi­cace car très facile à con­tourn­er. C’est aus­si une solu­tion dis­pro­por­tion­née car seuls les cas répréhen­si­bles ne devraient être con­cernés. De plus, elle installe des dis­posi­tifs qui con­duisent à la sur­veil­lance de toutes et tous.

L’UE s’engage sur la mauvaise voie pour protéger les jeunes des dangers en ligne

Au nom de la pro­tec­tion des jeunes con­tre les dan­gers d’In­ter­net, de nom­breux par­lemen­taires ont pro­posé des mesures telles que la sur­veil­lance des con­ver­sa­tions, la restric­tion de leur com­porte­ment, voire leur exclu­sion pure et sim­ple des espaces numériques. Mal­gré les mis­es en garde pré­co­ces et répétées d’EDRi , la véri­fi­ca­tion de l’âge gagne en pop­u­lar­ité dans ce débat, au point d’avoir été approu­vée par la Com­mis­sion européenne et le Con­seil. Sans inter­ven­tion rad­i­cale, le Par­lement européen pour­rait bien­tôt emboîter le pas.

L’EDRi est pro­fondé­ment préoc­cupée par la véri­fi­ca­tion de l’âge et par l’idée plus générale selon laque­lle les jeunes doivent subir des mesures intru­sives et inva­sives pour être pro­tégés en ligne. Comme nous le pré­con­isons depuis longtemps, il est essen­tiel de s’at­ta­quer aux caus­es pro­fondes des prob­lèmes pour ren­dre Inter­net plus sûr pour tous ses util­isa­teurs. L’ex­clu­sion fondée sur l’âge ne résout pas ces prob­lèmes et ne fait que retarder l’ex­po­si­tion des per­son­nes aux dan­gers.

Restriction dans l’exercice de ses droits fondamentaux

Les enfants pos­sè­dent des droits fon­da­men­taux, qui peu­vent être restreints unique­ment lorsque cela est néces­saire et pro­por­tion­né. La restric­tion des droits des enfants “pour leur pro­pre sécu­rité” appa­raît comme une mesure d’at­ténu­a­tion des risques étrange, alors qu’il existe de nom­breuses pos­si­bil­ités d’amélior­er la sécu­rité en ligne avant d’en­vis­ager l’ex­clu­sion (voir par exem­ple la future loi sur les ser­vices de défense des droits des enfants et les lignes direc­tri­ces de l’ar­ti­cle 28 de la loi sur les ser­vices de défense des droits des enfants – excep­tion faite des élé­ments relat­ifs à la véri­fi­ca­tion de l’âge).

L’EDRi, en accord avec l’OCDE et le Comité des droits de l’en­fant des Nations Unies, s’op­pose aux restric­tions pro­posées et souligne que les enfants ont besoin et méri­tent des espaces en ligne où ils peu­vent ren­con­tr­er d’autres per­son­nes, trou­ver récon­fort et sécu­rité, con­fron­ter et échang­er leurs idées, nouer des rela­tions, appren­dre et jouer. Compte tenu des con­séquences poten­tielles que des restric­tions d’âge aus­si strictes pour­raient avoir sur la vie des jeunes, il est fort prob­a­ble que ces derniers trou­veront des moyens de les con­tourn­er com­plète­ment et y trou­veront une grande sat­is­fac­tion.

Pour mieux répon­dre à leurs besoins tout en respec­tant leurs droits, nous avons besoin de mesures plus effi­caces et inclu­sives , qui com­bin­eraient :

Pour remédi­er aux préju­dices subis par les enfants en ligne, il est impératif de préserv­er leurs droits et leur autonomie. Il est essen­tiel de don­ner aux enfants et à leurs tuteurs les moyens d’a­gir, mais pour ce faire effi­cace­ment, il faut d’abord s’at­ta­quer aux prob­lèmes struc­turels.

Protection des données, anonymat et cybersécurité

La mul­ti­pli­ca­tion des inci­dents de cyber­sécu­rité témoigne de l’in­térêt – à la fois économique et géopoli­tique – porté à l’ac­cès, à l’in­fil­tra­tion, à la manip­u­la­tion ou à la mise hors ser­vice des envi­ron­nements numériques privés et publics. La véri­fi­ca­tion de l’âge accroît con­sid­érable­ment la sur­face d’at­taque , du fait de l’aug­men­ta­tion de la qual­ité et de la quan­tité des don­nées per­son­nelles traitées.

Sta­tis­tique­ment, même les out­ils de véri­fi­ca­tion d’âge présen­tés comme garan­tis­sant l’anony­mat finis­sent par subir des défail­lances, des piratages ou des fuites. Au pre­mier inci­dent de ce type, la con­fi­ance du pub­lic s’ef­fon­dre immé­di­ate­ment, ren­forçant ain­si l’ef­fet dis­suasif des exi­gences de véri­fi­ca­tion d’âge.

Même l’ap­pli­ca­tion tem­po­raire de véri­fi­ca­tion d’âge et le porte­feuille élec­tron­ique d’i­den­tité pro­posés par l’UE, encore en développe­ment, ne garan­tis­sent pas suff­isam­ment la pro­tec­tion de la vie privée . Une fois déployés à grande échelle, un con­trôle et une sur­veil­lance régle­men­taires beau­coup plus stricts seront néces­saires pour assur­er leur bon fonc­tion­nement et éviter qu’ils n’ou­vrent la voie à une sur­veil­lance de masse général­isée.

En atten­dant, cer­tains se con­formeront aux exi­gences de véri­fi­ca­tion d’âge grâce à des out­ils bon marché. Comme le mon­trent des cas récents ( AgeGo , Agev­erif , Yoti et AU10TIX ), ces out­ils peu­vent divulguer des don­nées sen­si­bles , être inex­acts pour les per­son­nes de couleur, être facile­ment con­tourn­ables ou abuser de leurs priv­ilèges pour suiv­re les util­isa­teurs et partager des don­nées avec des tiers.

Com­ment fonc­tion­nent les dis­posi­tifs de véri­fi­ca­tion de l’âge ?

L’Au­torité de régu­la­tion de la com­mu­ni­ca­tion audio­vi­suelle et numérique (Arcom) val­orise trois dis­posi­tifs four­nis par des prestataires :

  • con­trôle d’une pho­to de pièce d’i­den­tité,
  • esti­ma­tion de l’âge à par­tir d’un self­ie,
  • val­i­da­tion à par­tir d’une autre appli­ca­tion qui con­naît déjà l’âge.

Pour éviter le traçage des inter­nautes, l’Ar­com oblige ces prestataires à “être indépendant[s] juridique­ment et tech­nique­ment” des sites, et à ne pas con­serv­er les don­nées per­son­nelles. C’est “l’anony­mat sim­ple”. Mais il y a le risque que ce prestataire iden­ti­fie quel site réclame cette preuve d’âge, à quelle fréquence…

Un sys­tème à “dou­ble anony­mat” peut être util­isé qui empêche ce tracage en com­bi­nant deux tech­niques de chiffre­ment : les sig­na­tures numériques et les zero-knowl­edge proof (preuves à divul­ga­tion nulle de con­nais­sance). Le prestataire donne alors plusieurs clés iden­tiques à un groupe de per­son­nes, il ne pour­ra pas savoir à quel indi­vidu cor­re­spond quelle clé. Mais ça ne garan­tit pas totale­ment l’anony­mat : le site peut tou­jours recueil­lir des don­nées sur le pro­fil et les actions de l’in­ter­naute, grâce à son nav­i­ga­teur et aux cook­ies. A moins de mas­quer son adresse IP par un VPN.

Viser quelques-uns, impacter tous

L’ac­cès à Inter­net est devenu un out­il indis­pens­able à la réal­i­sa­tion de nom­breux droits humains et, à ce titre, il ne devrait pas dépen­dre de la capac­ité ou de la volon­té de présen­ter une pièce d’i­den­tité , des doc­u­ments ou des don­nées bio­métriques. La véri­fi­ca­tion de l’âge con­tre­vient à cet idéal : chaque util­isa­teur devrait prou­ver qu’il est majeur pour pou­voir pleine­ment prof­iter d’In­ter­net.

Les lib­ertés liées à un inter­net ouvert sont essen­tielles à un espace civique sain. Elles pro­tè­gent le tra­vail de celles et ceux qui scru­tent le pou­voir et ren­for­cent notre démoc­ra­tie, comme les jour­nal­istes, les lanceurs d’alerte et les mil­i­tants ; elles offrent une bouée de sauve­tage à celles et ceux que l’É­tat mar­gin­alise sou­vent, notam­ment les com­mu­nautés mar­gin­al­isées ou ségréguées.

Afin d’i­den­ti­fi­er les util­isa­teurs appar­tenant au groupe cible, chaque util­isa­teur est con­traint, sans dis­tinc­tion, de se soumet­tre à la procé­dure et de fournir un effort con­sid­érable pour prou­ver qu’il pos­sède la car­ac­téris­tique recher­chée, sous peine de subir lui aus­si les restric­tions. Ceci engen­dre une restric­tion dis­pro­por­tion­née des droits, puisque tous les util­isa­teurs sont pré­sumés mineurs jusqu’à preuve du con­traire.

Cela s’a­joute au fait que tout le monde ne pos­sède pas les doc­u­ments ou l’équipement tech­nologique néces­saires pour prou­ver son âge. L’oblig­a­tion de véri­fi­ca­tion de l’âge exclu­rait des mil­lions de per­son­nes, notam­ment les per­son­nes sans papiers, celles qui ne pos­sè­dent pas de smart­phone récent, celles qui ont de faibles com­pé­tences numériques et celles qui ne font pas con­fi­ance à cet out­il.

Si l’ex­clu­sion était réelle­ment la solu­tion, il faudrait au moins envis­ager des approches plus pro­por­tion­nées, c’est-à-dire des mesures ciblant et lim­i­tant le traite­ment des don­nées à la tranche d’âge visée. La loi cal­i­forni­enne sur la garantie de l’âge numérique (Cal­i­for­nia Dig­i­tal Age Assur­ance Act) , dans la mesure où elle min­imise la quan­tité et la sen­si­bil­ité des don­nées traitées, sem­ble promet­teuse à cet égard, même si des efforts sup­plé­men­taires sont néces­saires pour garan­tir sa con­for­mité aux droits des per­son­nes.

Où s’arrêtera l’exclusion et où commencera l’inclusion ?

Accepter des restric­tions d’ac­cès à Inter­net pour cer­tains groupes ouvre la porte à d’autres, qui pour­raient cibler davan­tage les mineurs ou d’autres groupes jugés « indignes » d’un accès sans restric­tion.

Le dis­cours sur la véri­fi­ca­tion de l’âge dans l’UE a com­mencé dans le but d’ex­clure les jeunes des plate­formes pornographiques et des places de marché en ligne pro­posant de l’al­cool ou des jeux d’ar­gent, mais s’é­tend désor­mais pour inclure égale­ment les médias soci­aux (ou cer­taines de leurs fonc­tion­nal­ités, telles que les fonc­tions de chat), les chat­bots et les ser­vices de mes­sagerie inter­per­son­nelle tels que What­sApp.

Au-delà de cette ingérence crois­sante dans la vie des jeunes, il existe égale­ment un risque d’in­stru­men­tal­i­sa­tion des out­ils de véri­fi­ca­tion de l’âge à d’autres fins. Le gou­verne­ment hon­grois, par exem­ple, pour­rait les utilis­er dans sa cam­pagne con­tre les ressources éduca­tives LGBTQIA+, ou des pays lim­i­tant l’ac­cès à l’a­vorte­ment, comme la Pologne, pour­raient s’en servir pour restrein­dre l’ac­cès à l’in­for­ma­tion sur les droits repro­duc­tifs.

Créer un faux sentiment de sécurité

Toutes les méth­odes de véri­fi­ca­tion d’âge peu­vent être con­tournées dans une cer­taine mesure. Puisque les enfants ne seront pas autorisés dans les zones réservées aux adultes, il y aura peu d’inci­ta­tion à garan­tir leur sécu­rité dans ces zones. Cela sig­ni­fie qu’une fois la sécu­rité com­pro­mise, les enfants seront exposés à tout l’éven­tail des dan­gers con­tre lesquels le dis­cours actuel vise à les pro­téger. À l’in­verse, au lieu d’être vig­i­lants face aux risques – comme nous devri­ons tous l’être lorsque nous com­mu­niquons en ligne avec des incon­nus – les enfants pour­raient croire qu’ils sont par­mi leurs pairs et baiss­er leur garde, ce qui les rendrait plus vul­nérables au har­cèle­ment et à d’autres formes d’ex­ploita­tion.

Un outil inflexible

Les mesures de véri­fi­ca­tion de l’âge doivent repos­er sur une éval­u­a­tion préal­able des con­tenus et envi­ron­nements adap­tés aux enfants d’un cer­tain âge. Bien que cette éval­u­a­tion puisse être utile, elle est loin d’être uni­verselle. Deux enfants de 13 ans peu­vent présen­ter des niveaux de matu­rité très dif­férents selon leur développe­ment per­son­nel ou d’autres fac­teurs, tels que leur sexe, leurs pra­tiques cul­turelles et leur milieu socio-économique. De plus, ce qu’un par­ent juge appro­prié peut ne pas l’être pour un autre. Par con­séquent, impos­er une norme générale quant à ce qu’ils peu­vent et ne peu­vent pas faire en ligne, par le biais d’une véri­fi­ca­tion de l’âge, peut nuire au développe­ment et à l’au­tonomie des enfants. Il est préférable de définir cer­tains paramètres par défaut et de per­me­t­tre aux jeunes – en accord avec un par­ent ou un tuteur – de s’y oppos­er s’ils com­pren­nent les risques encou­rus.

Un défi déjà vu auparavant

Inter­net n’est pas un espace totale­ment sûr pour les jeunes (ni pour les adultes d’ailleurs), mais cela ne jus­ti­fie pas de les en exclure . Faire du vélo sur la route peut aus­si être dan­gereux, mais nous avons opté pour une approche dif­férente : il n’y a pas d’âge min­i­mum pour faire du vélo. Nous légiférons plutôt pour adapter l’en­vi­ron­nement et sécuris­er nos routes, nous apprenons aux enfants à respecter le code de la route et nous leur four­nissons une pro­tec­tion, avec des casques et des éclairages per­for­mants, tout en cir­cu­lant à leurs côtés.

Si cela est pos­si­ble pour d’autres aspects de notre vie en com­mu­nauté, pourquoi cela ne le serait-il pas pour Inter­net ? Un tra­vail con­sid­érable a déjà été accom­pli pour garan­tir la sécu­rité des espaces en ligne pour tous. Ne réduisons pas nos ambi­tions. Cela implique d’ex­iger une appli­ca­tion rigoureuse du RGPD (Régle­ment Général sur la Pro­tec­tion des Don­nées) et du DSA (Dig­i­tal Ser­vices Act), un DFA (Dig­i­tal Fair­ness Act) ambitieux et une posi­tion ferme con­tre la vague de déré­gle­men­ta­tion qui men­ace notre cadre régle­men­taire numérique européen, fruit de longues années de pro­tec­tion des droits.

Autres sources

Quelques clics suff­isent à con­tourn­er la véri­fi­ca­tion d’âge (Next, 08/2025)

On a testé la véri­fi­ca­tion d’âge (Next, 08/2025)

Les sys­tèmes de véri­fi­ca­tion d’âge vali­dent par­fois n’importe quoi (Next, 08/2025)

Sept ques­tions (majeures) sur la véri­fi­ca­tion de l’âge des inter­nautes (France TV, 03/2025)

Inter­dic­tion des réseaux soci­aux avant 16 ans en Aus­tralie, mode d’emploi (The Con­ver­sa­tion, 12/2024)

L’Australie va inter­dire les réseaux soci­aux aux moins de 16 ans (Le Monde, 12/2024)

L’Arcom pub­lie ses recom­man­da­tions con­cer­nant le con­trôle de l’âge des inter­nautes (Le Monde, 04/2024)