Le Parlement s’apprête à voter une proposition de loi qui veut interdire d’accès aux réseaux sociaux les jeunes de moins de 15 ans. Sous couvert de protection des mineur·es, ce texte imposerait à toute personne souhaitant accéder à ces plateformes de prouver leur âge. Derrière cette vérification d’âge se cache en fait un contrôle d’identité, que la France et la Commission européenne poussent chacune de leur coté pour le généraliser à l’échelle de l’Union européenne. Avec comme conséquence une remise en cause toujours plus grande du droit à l’anonymat en ligne.
Un mouvement global d’interdiction des réseaux sociaux aux jeunes
Ce n’est pas la première fois que des dirigeants essayent d’introduire une vérification d’âge sur internet. En France, les contenus pornographiques ne doivent pas être accessibles aux mineur·es. Jusqu’en 2020, les plateformes pornographiques demandaient aux internautes une auto-déclaration, c’est-à-dire de cliquer sur un bouton « J’ai plus de 18 ans ». Puis, une loi de 2020 a précisé que cette auto-déclaration n’était pas suffisante. Cette loi n’a toutefois jamais été appliquée faute de possibilités techniques. Autre tentative en 2023, la loi Marcangeli, a voulu créer un système d’autorisation parentale avant qu’un·e mineur·e de moins de 15 ans puisse se créer un compte sur un réseau social. Mais cette loi non plus n’est jamais entrée en application car le législateur, doutant fortement de sa conformité au droit de l’UE, a conditionné son application à un feu vert de la Commission européenne qui n’est jamais arrivé.
Puis, en 2024, la loi dite « SREN » (pour « sécuriser et réguler l’espace numérique ») a changé la donne. Depuis cette loi, les plateformes proposant du contenu pornographique doivent vérifier l’âge des internautes, une auto-déclaration ne suffisant plus. Surtout, depuis cette loi, lorsqu’une plateforme ne vérifie pas l’âge des internautes, ce n’est plus la justice qui décide de la sanction (une censure et une amende), mais l’Arcom, l’autorité administrative chargée, entre autres, de réguler la télévision. La loi SREN est donc la première loi a réellement imposer une vérification d’âge en ligne, pour l’instant cantonnée aux contenus pornographiques (même si le ministre du numérique de l’époque, Jean-Noël Barrot, se rêvait l’imposer aussi aux réseaux sociaux).
En dehors de la France, nous assistons également à un mouvement général d’interdiction des réseaux sociaux aux mineur·es. Au niveau de l’Union européenne d’abord, rappelez-vous du règlement Chat Control qui voulait imposer de scanner les correspondances échangées sur les messageries chiffrées. Si ce volet a certes été repoussé en raison de l’absence croissante de soutien des États membres et du Parlement européen, le texte comporte toujours une obligation faites aux magasins d’application (Apple Store, Google Play, Microsoft Store, etc.) d’empêcher leurs utilisateur·rices de télécharger certaines applications si ils ou elles sont mineur·es. Aux États-Unis, la moitié des États obligent les sites pornographiques à vérifier l’âge de leurs utilisateur·rices. La Grande-Bretagne est même allée plus loin, puisque depuis l’été 2025 et l’entrée en application de l’Online Safety Act, ce sont tous les contenus dits « harmful » (dangereux) qui doivent être cachés derrière des systèmes de vérification d’âge (une notion particulièrement floue qui a conduit au blocage de contenus sur le génocide à Gaza ou sur la guerre en Ukraine). L’Australie également s’est lancée dans la course à l’échalote de la vérification d’âge sur les réseaux sociaux : depuis fin 2025, une loi interdit aux mineur·es de moins de 16 ans d’avoir un compte sur un réseau social. Mais, de l’aveu même du régulateur australien, cette loi n’empêche cependant pas les deux-tiers des mineur·es concerné·es de réussir à contourner l’interdiction. La course est également lancée au sein des pays européens. L’Espagne, l’Autriche, la Grèce, la partie flamande de la Belgique, ou encore le Danemark ont annoncé leurs lois pour interdire aux mineur·es l’accès aux réseaux sociaux. Le chancelier allemand est également favorable à une telle mesure.
À Paris comme à Bruxelles, la volonté de bannir les mineur·es d’internet
Côté français, l’attaque vient du gouvernement et de son groupe parlementaire, appuyé par la droite et une partie de la gauche. Fin 2025, la députée EPR Laure Miller présentait une proposition de loi visant à interdire l’accès aux réseaux sociaux aux mineur·es de moins de 15 ans. La version initiale du texte prévoyait même l’instauration d’un « couvre-feu » numérique pour les mineur·es, qui n’est pas sans rappeler une mesure similaire en vigueur depuis 2019 en Chine et visant les services de jeux vidéo en ligne.
Le gouvernement a rapidement fait sienne cette proposition de loi. Il l’a inscrite sur le temps parlementaire dédié au gouvernement, a demandé au Conseil d’État un avis sur le texte, puis a enclenché la procédure accélérée pour qu’il n’y ait qu’une seule lecture par l’Assemblée nationale et le Sénat. Suite à l’avis très critique du Conseil d’État, l’autrice de la proposition de loi a réécrit en partie son texte et a supprimé le couvre-feu numérique. Puis, en séance publique à l’Assemblée, le gouvernement a lui aussi réécrit le texte : il a préféré instaurer une obligation de contrôle d’âge pour tous les réseaux sociaux, là où l’autrice de la proposition de loi suggérait plutôt un système de liste où seules les plateformes inscrites dessus par le gouvernement auraient dû vérifier l’âge des internautes. Une fois voté par l’Assemblée nationale, le texte est passé au Sénat, qui l’a validé dans son principe mais en revenant à un système de liste, contre l’avis du gouvernement. Nous attendons désormais que la commission mixte paritaire (CMP), qui réunit sept sénateur·ices et sept député·es, se réunisse pour se mettre d’accord sur un texte commun que les deux chambres du Parlement voteraient ensuite définitivement.
Côté européen aussi, l’offensive pour instaurer un contrôle d’âge en ligne s’est accéléré. Mi-avril, la Commission européenne a, par la voix de sa présidente Ursula von der Leyen et de sa commissaire à la société numérique Henna Virkkunen, annoncé le lancement d’une application de vérification d’âge, qui était en développement depuis l’année dernière. Cette application n’est pas destinée à être directement utilisée par les internautes, mais sert de vitrine technique à destination des États membres : l’objectif est de montrer qu’il est techniquement possible de faire de la vérification d’âge en ligne, afin de les inciter à suivre ce mouvement en leur offrant une « brique technique » clé en main.
« Double-anonymat », double-tromperie
Techniquement, l’application de la Commission européenne repose sur un concept cryptographique appelé « ZKP », pour zero knowledge proof, ou preuve à divulgation nulle de connaissance. Il s’agit d’un concept en réalité très simple : une attestation d’âge est délivrée par un tiers de confiance. Avec ce système, lorsqu’une plateforme en ligne veut confirmer l’âge d’un internaute, elle va confier cette tâche à un tiers, c’est-à-dire une entreprise sous-traitante qui, elle, procédera à la vérification d’âge pour le compte de la plateforme. Concrètement, l’internaute est redirigé temporairement vers le site internet de ce tiers le temps de procéder à la vérification d’âge. À l’issue du contrôle, le tiers redirige l’internaute vers le site internet qu’il ou elle voulait initialement consulter, et transmet en même temps à la plateforme un jeton signé électroniquement indiquant que l’internaute a l’âge requis. En confiant la vérification d’âge à un tiers, le but est d’ajouter une couche de confidentialité : la plateforme en ligne n’a pas connaissance des informations qui ont permis au tiers de faire cette vérification d’âge, et le tiers n’est pas censé savoir à quoi sert l’attestation qu’il délivre. Est-ce une bonne chose pour autant ? Absolument pas.
Parce que ce système repose, par essence, sur un contrôle d’identité. Pour vérifier l’âge d’une personne, il existe principalement deux techniques : la vérification des papiers d’identité (l’internaute prend en photo un titre d’identité sur lequel sa date de naissance est visible) ou l’utilisation d’une identité numérique d’État (par exemple, en France, en se connectant à l’aide de France Connect). Dans les deux cas, pour prouver son âge, il faut être en capacité de prouver son identité civile. Ce contrôle d’identité n’est, certes, pas fait directement par la plateforme et celle-ci ne pourra pas connaître l’identité réelle de l’internaute (en théorie), mais il force malgré tout l’internaute à divulguer son identité avant de pouvoir accéder à un service en ligne. Certains sites utilisent une troisième technique pour vérifier l’âge qui n’implique pas de connaître l’identité civile de l’internaute : il s’agit de la technique d’estimation d’âge (la personne prend son visage en vidéo et un traitement biométrique estime, à la grosse louche, l’âge de la personne), mais cette méthode est notoirement défaillante1C’est pour cette raison que la CNIL l’a interdite pour les bureaux de tabac., notamment parce qu’il ne sera jamais possible de faire coïncider une réalité juridique (l’âge, calculé de la même manière pour tous·tes, qui ouvre des droits) avec une réalité biologique (chaque personne vieillit différemment)2Il existe d’autres techniques pour faire de la vérification d’âge : obliger l’internaute à effectuer un paiement avec une carte bancaire (ce qui ne fonctionne pas si les mineur·es ont accès à ce moyen de paiement), analyser le comportement de navigation (c’est-à-dire qu’une machine espionne la navigation d’un internaute pour dire si cela correspond à un·e mineur·e ou pas), ou analyser la forme de la main (au lieu du visage). Mais ces technologies, en plus d’être pour certaines inapplicables en pratique ou de constituer une surveillance vraiment disproportionnée, sont particulièrement imprécises et, de ce fait, leur usage reste aujourd’hui marginal.. En raison de leur absence de fiabilité3Une récente étude britannique vient par exemple de mettre en évidence le fait que se dessiner une moustache sur le visage peut permettre de tromper le système. Le media Next a également mis en évidence le fait que des vidéos issues de banques d’images sont validées par certains dispositifs d’estimation d’âge., on peut s’attendre à ce que la technique d’estimation d’âge soit progressivement exclue pour vérifier l’âge en ligne.
Ainsi, contrairement à ce qu’affirme la présidente de la Commission européenne, la technique du ZKP n’est aucunement une manière « complètement anonyme » de prouver son âge. Il ne s’agit pas d’une opération indolore puisque tous·tes les internautes souhaitant accéder à un réseau social devront présenter leur identité à ce tiers : pour empêcher les mineur·es d’accéder à des réseaux sociaux il faut bien entendu contrôler l’âge de toute personne voulant se faire un compte, et donc leur identité.
En France, la guerre des mots va encore plus loin puisque les pouvoirs publics parlent même de « double-anonymat », laissant penser que la technique du ZKP permettrait d’offrir deux fois plus d’anonymat. Cet élément de langage a notamment été mobilisé à partir de 2023 par Jean-Noël Barrot, alors ministre du numérique qui planchait sur la loi SREN. C’est ensuite la CNIL qui a adopté ce terme dans une étude technique. Enfin, l’Arcom a suivi le mouvement dans son référentiel des techniques utilisables pour procéder à la vérification d’âge dans le cadre de la loi SREN. Redisons-le : le « double-anonymat » n’offre aucun anonymat. Au mieux, il offre une étanchéité des données entre la plateforme qui exige une preuve d’âge et le tiers vérificateur d’âge. Mais c’est à la condition que ce cloisonnement soit techniquement correctement réalisé, ce qui n’est pas toujours le cas : en 2025, AI Forensics révélait que AgeGo, une entreprise vérifiant l’âge pour de nombreux sites pornographiques, collectait l’URL complète de la vidéo que l’internaute souhaitait consulter, foulant ainsi aux pieds la promesse technologique de cloisonnement. Après l’enquête de AI Forensics, l’entreprise a limité les données collectées et connaît « seulement » le site auquel l’internaute souhaite accéder.
De plus, la vérification d’âge mettra de côté bon nombre de personnes, et pas seulement les mineur·es. Et le fait que ce contrôle d’identité soit effectué par un tiers ne résoudra pas ce problème. En particulier, les personnes qui n’ont pas de carte d’identité, par exemple certaines personnes migrantes, seront exclues des plateformes qui décideront de faire de la vérification de titres d’identité. Celles qui ne maîtrisent pas assez bien la technologie et qui ne comprendront pas pourquoi elles doivent se prendre en selfie, alors qu’elles veulent simplement voir les photos de vacances postées dans un groupe familial sur un réseau social, abandonneront lorsqu’un service en ligne exigera une estimation d’âge. Sans oublier que les personnes non-blanches, déjà victimes de systèmes automatisés pensés et testés par des ingénieurs blancs, seront encore plus discriminées par des systèmes qui reproduisent par nature les biais sexistes et racistes de nos sociétés.
Le résultat sera que les internautes seront face à un dilemme : liberté d’expression ou vie privée. Nous devrons, demain, choisir entre sacrifier notre vie privée pour nous exprimer en ligne, ou bien abandonner notre liberté d’expression pour nous protéger de fuites de données qui arriveront nécessairement, à l’image de ce qui s’est passé pour 70 000 utilisateur·rices de Discord. Et ce n’est pas le « double-anonymat » qui changera cela.
Un système illégal
Il y a pas que la structure technique qui est bancale : la justification juridique pour pousser l’outil dans l’Union européenne l’est tout autant. Dans l’UE, le Digital Services Act (DSA, ou « règlement sur les services numériques ») est le principal texte qui régule les plateformes en ligne. Il comporte à son article 28 une obligation faite aux plateformes de prendre des mesures pour garantir aux mineur·es « un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service ». Autrement dit, le DSA impose aux plateformes de rendre leur espace en ligne sûr, pour que les mineur·es puissent utiliser leurs services en toute sécurité, par exemple avec des règles de modération particulières ou des paramètres de confidentialité restreints par défaut.
Pourtant, pour faire passer leur vérification d’âge, la France et la Commission européenne se basent sur une interprétation farfelue de cet article 28. La Commission estime en effet que ce texte permettrait d’imposer une obligation de vérification d’âge pour empêcher les mineur·es d’accéder à certaines plateformes. Il s’agit pourtant là d’une interprétation contraire à l’esprit de cet article : empêcher les mineur·es d’accéder à un réseau social, ce n’est pas leur offrir un espace en ligne sûr, c’est les exclure d’un lieu.
Encore plus éclairant : le paragraphe 3 de l’article 28 du DSA précise qu’il « n’impose pas aux fournisseurs de plateformes en ligne de traiter des données à caractère personnel supplémentaires afin de déterminer si le destinataire du service est un mineur ». Une obligation de vérification d’âge consiste pourtant en l’inverse : c’est obliger une plateforme à traiter des données de tout le monde (même si cela se fait via un tiers), pour exclure les mineur·es.
L’article 28 du DSA est donc détourné et ne constitue pas une base juridique suffisante en droit de l’UE pour imposer cette vérification d’âge, contrairement à ce que défend la Commission. Et puisque le droit de l’UE exige également que la régulation des plateformes en ligne se fasse en principe à l’échelle européenne (on appelle cela le « domaine coordonné »), cela veut dire que les États membres ne peuvent pas agir pour autant à leur niveau.
Une affaire en cours de jugement devant la Cour de justice de l’Union européenne (CJUE) et qui concerne l’obligation de vérification d’âge imposée en France pour les contenus pornographiques par la loi SREN vient rappeler ce principe. Dans cette affaire, la loi SREN est accusée de ne pas respecter le domaine coordonné. Or, l’avocat général (le juge chargé d’éclairer la juridiction, même si cette dernière n’est pas liée par ses conclusions) a sérieusement mis en doute la conformité de la loi française au droit de l’Union4C’est aussi ce que nous disions dès les débats législatifs français.. Si la Cour suivait ce raisonnement, c’est tout un pan de la vérification d’âge qui tomberait car la France n’a aucune liberté d’agir5La position de l’avocat général n’est pas nouvelle puisque la CJUE avait déjà rappelé à l’ordre l’Autriche en 2023 pour cette même raison : un État membre ne peut légiférer dans son coin en matière de régulation des contenus en ligne.. C’est peut-être en raison de ces incertitudes juridiques que la Commission vient tout juste de laisser entendre qu’elle est en train de travailler sur un projet de règlement européen pour permettre explicitement aux États membres d’imposer une vérification d’âge.
Au-delà de la coordination entre droit national et droit de l’UE, il ne faut pas oublier pour autant qu’une vérification d’identité porte une atteinte extrêmement grave à la liberté d’expression et au droit au respect de la vie privée, et qu’une loi européenne ne changera rien à cela. Rappelons que le principe sur internet est l’anonymat : contrairement à une croyance que se plaisent à répandre les autorités, il existe bel et bien un droit à l’anonymat en ligne, entendu comme le droit de ne pas faire l’objet d’une surveillance lorsqu’on navigue sur internet. Ainsi, la directive e-commerce (qui a précédé le DSA mais qui est toujours en vigueur) rappelle que le principe est « l’utilisation anonyme de réseaux ouverts tels qu’Internet ». Pour la CJUE, cela signifie que « les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » La Cour européenne des droits de l’Homme (CEDH) partage cet avis en rattachant ce principe à la liberté d’expression. Or, exiger d’une personne qu’elle justifie son identité avant de pouvoir s’exprimer en ligne, c’est l’exact opposé de l’anonymat : c’est l’identification préalable à l’utilisation d’une plateforme.
Les États contre l’internet artisanal
N’oublions pas que l’idée de contrôler l’identité des internautes pour bannir les mineur·es vient du fait que le danger des plateformes commerciales est de plus en plus largement admis et que la législation actuelle se montre insuffisante. En 2025, Amnesty International dénonçait le fait que l’algorithme de Tiktok mettait en avant pour les adolescent·es des contenus relatifs au suicide (attention, le rapport d’Amnesty International est difficile à lire). Mais les dangers de ces plateformes ne sont pas limités aux plus jeunes, d’ailleurs parfois mieux outillés que les adultes face à ces problèmes. Depuis son rachat par le milliardaire néo-nazi Elon Musk, X est devenu un lieu d’influence de l’extrême droite et son algorithme sert à la manipulation politique (ce qui a poussé le parquet de Paris à demander la mise en examen de la société X, de son ancienne directrice générale Linda Yaccarino et d’Elon Musk). Cette année, Meta et Google ont été condamnés aux États-Unis en raison des dangers de leurs algorithmes de recommandation fondés sur des mécanismes d’addiction. Il ne s’agit-là que des exemples les plus récents du danger, y compris pour les adultes et nos démocraties, des réseaux sociaux commerciaux.
Et la réaction des États ? Bannir les mineur·es pour faire semblant d’agir mais ne surtout pas s’attaquer au fond du problème qu’est le modèle économique de ces réseaux sociaux. Parce qu’il s’agit d’entreprises commerciales dont l’objectif est de maximiser le profit, les réseaux sociaux commerciaux se rémunèrent sur la publicité en ligne. Il faut donc non seulement que les publicités affichées soient le plus ciblées possible (cela nécessite donc une surveillance la plus intrusive possible), mais il faut également en afficher le plus possible. Plus les personnes restent longtemps sur une plateforme, plus elles verront de publicités. C’est pour cela que les réseaux sociaux commerciaux essaient de susciter l’addiction, avec des interfaces conçues à cette fin (par exemple par le doom scroling, c’est-à-dire un fil d’actualités qui ne finit jamais) et des contenus haineux qui feront réagir.
À l’inverse, ce n’est pas pour rien qu’il n’existe pas d’algorithme de recommandation sur les réseaux sociaux fédérés tels que Mastodon : l’algorithme, c’est vous. Ce qui importe dans les réseaux sociaux non commerciaux, c’est la qualité de la discussion, pas la capitalisation boursière et les dividendes. L’humain·e est au centre des préoccupations de ces réseaux, pas le fait de savoir comment optimiser au mieux avec une IA les retombées économiques. Et pourtant, ces réseaux sociaux non commerciaux sont mis en danger par les obligations de vérification d’âge.
Dans le texte voté par l’Assemblée tel qu’issu de la réécriture faite par le gouvernement, tout « service de réseaux sociaux en ligne » à l’exception des encyclopédies en ligne et des forges logicielles devra vérifier l’âge de ses utilisateur·rices. Aucune taille minimale n’est exigée, ni aucune caractéristique autre qu’être un « service de réseaux sociaux en ligne »6C’est un autre texte européen, le Digital Markets Act (DMA, règlement sur les marchés numériques), qui définit cette notion : il s’agit d’« une plateforme permettant aux utilisateurs finaux de se connecter ainsi que de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils et, en particulier, au moyen de conversations en ligne (chats), de publications (posts), de vidéos et de recommandations ».. Le champ d’application particulièrement large de la proposition de loi française signifie que toute plateforme permettant de se créer un compte puis de communiquer sera concernée, incluant donc les réseaux sociaux interopérables tels qu’une instance Mastodon ou Peertube.
Cette proposition de loi pose donc un sérieux problème pour l’internet que nous voulons défendre : contrôler l’identité des internautes est incompatible avec les valeurs que défendent les petits réseaux sociaux décentralisés. Elle offre une réponse inadaptée à un problème issu du mode de fonctionnement des réseaux sociaux commerciaux qu’on ne retrouve pas ailleurs. C’est l’internet artisanal, décentralisé, fabriqué humainement de bric et de broc, qui est mis en danger.
La vérification d’âge et le contrôle d’identité qu’elle implique sont la traduction d’une vision autoritariste de la régulation des contenus en ligne et d’une défiance envers les jeunes. Ces politiques ne peuvent mener qu’à plus d’arbitraire et de censure, comme ce fut le cas au moment des révoltes suite à la mort de Nahel Merzouk, ou du blocage de Tiktok en Nouvelle-Calédonie. La suite autoritaire logique à cette proposition de loi est déjà connue : après les réseaux sociaux, le gouvernement compte forcer les fournisseurs de VPN (principal outil pour contourner les mesures de vérification d’âge) à procéder à leur tour à une vérification d’âge. Pourtant, une autre réponse que le contrôle et la surveillance existe : forcer les plateformes à changer leur mode de fonctionnement, remettre en question le contrôle qu’elles exercent sur leurs communautés en les forçant à s’ouvrir, grâce à l’interopérabilité. Alors pour nous aider à continuer la lutte, vous pouvez nous aider par un don.
References