L’Europe durcit enfin la vérification de l’âge en ligne

Un simple clic qui a trop longtemps fait office de contrôle

Pendant des années, entrer sur un site pornographique a demandé à peu près le même effort que de lever une barrière rouillée : un clic sur « j’ai plus de 18 ans », et l’affaire était réglée. La vérification de l’âge, dans les faits, relevait plus du théâtre administratif que du contrôle sérieux.

La Commission européenne veut désormais changer cela, et elle avance vite. Les récentes décisions de justice aux États-Unis sur l’effet des plateformes sociales sur les mineurs ont aussi renforcé l’idée qu’il fallait cesser de traiter la question comme une simple formalité.

Quatre sites pornographiques dans le viseur

En mai, Bruxelles a ouvert une procédure officielle contre Pornhub, Stripchat, XNXX et XVideos pour suspicion de violation du règlement sur les services numériques, le DSA. Cette loi, en vigueur depuis 2024, encadre les grandes plateformes actives en Europe. Elle impose notamment des obligations de transparence, le retrait rapide des contenus illégaux et la gestion des risques systémiques, dont la désinformation et la protection des mineurs.

Un an plus tard, en mars 2026, les premières conclusions de l’enquête sont tombées. La Commission a estimé que ces quatre sites laissaient les mineurs accéder à leurs services en s’appuyant sur de simples pages de confirmation en un clic. Autrement dit, un mécanisme pratique, rapide, et complètement insuffisant au regard des exigences légales. Surprise de niveau modéré.

La même conclusion a été formulée au sujet de Snapchat. Selon une autre enquête de la Commission, la plateforme pourrait avoir violé le DSA en exposant des mineurs à des tentatives de manipulation à des fins criminelles, ainsi qu’à des contenus sur la vente de produits illicites, comme des drogues, ou de produits soumis à restriction d’âge, comme les cigarettes électroniques et l’alcool.

Le DSA n’impose pas noir sur blanc une vérification d’âge absolue. En revanche, pour les très grandes plateformes en ligne, c’est-à-dire celles qui dépassent 45 millions d’utilisateurs mensuels dans l’Union européenne, la Commission attend des mesures concrètes pour réduire les risques systémiques liés à la protection des enfants. À la clé, des amendes pouvant atteindre 18 millions d’euros ou 10 % du chiffre d’affaires annuel mondial.

La réponse technique : prouver son âge sans livrer sa vie

Lors d’une conférence de presse tenue ces derniers jours, les deux responsables du dossier, Prabhat Agarwal et Renate Nikolay, ont expliqué l’objectif poursuivi : utiliser des systèmes capables de démontrer qu’un utilisateur a un certain âge, sans transmettre son nom, sa date de naissance ni d’autres données à la plateforme ou à un tiers.

La solution à l’étude porte le nom de mini-wallet, ou plus précisément Age Verification Blueprint. Il s’agit d’une application mobile qui fonctionne comme un portefeuille numérique. L’utilisateur l’installe, vérifie son âge une seule fois au moyen d’une carte d’identité électronique, d’un passeport, d’une application bancaire ou d’un autre système national d’identification, puis peut ensuite prouver qu’il a plus de 18 ans sur n’importe quel site compatible, sans ressortir ses documents à chaque visite.

Le principe repose sur la divulgation sélective. Le mini-wallet ne transmet pas la date de naissance du visiteur au site consulté. Il répond seulement à la question : cette personne a-t-elle plus de 18 ans ? La réponse, chiffrée et vérifiable, est oui ou non. Les justificatifs sont envoyés sous forme de jetons à usage unique, ce qui limite en théorie la possibilité de relier différentes sessions sur un même site.

Le pont vers le portefeuille d’identité numérique européen

Le mini-wallet n’est pas conçu comme un système isolé. Il sert de transition vers les futurs EUDI Wallets, les portefeuilles d’identité numérique que certains États membres doivent mettre en place d’ici la fin de 2026. Les mini-wallets devront y être intégrés.

En pratique, les utilisateurs qui s’habituent aujourd’hui à ce mini-portefeuille retrouveront la même logique dans l’outil numérique que tous les citoyens européens devront posséder à l’avenir. Ce portefeuille ne servira pas seulement à prouver l’âge. Il permettra aussi de gérer l’identité, les diplômes, le permis de conduire et d’autres attributs personnels depuis une seule application.

Cinq pays membres testent déjà la solution cette année, mais tout le monde n’avance pas au même rythme. Lors de la conférence de presse, il a été indiqué que la France et le Danemark sont en avance, tandis que la Grèce, l’Espagne et l’Italie sont à la traîne. De quoi nourrir les doutes de certains experts sur le calendrier de déploiement du portefeuille numérique.

Une alternative au modèle américain

Sur le marché européen de la vérification d’âge, plusieurs acteurs sont déjà visibles. Yoti, par exemple, est utilisé par TikTok en Europe pour cette fonction, en complément d’autres méthodes comme les cartes bancaires et les documents d’identité. Persona, de son côté, fournit des services de vérification d’identité et d’âge à des plateformes comme Roblox, Discord et Reddit.

Mais le modèle de Persona est bien plus intrusif sur le plan des données, et c’est précisément ce que la Commission dit vouloir éviter. Ses services incluent notamment la vérification par empreinte digitale, la reconnaissance faciale, la comparaison d’un visage avec une liste donnée, ainsi que la conservation de ces données pendant trois ans au maximum.

En février 2026, il est aussi apparu que Persona avait rendu publiques des milliers de fichiers en ligne. L’entreprise a répondu qu’il s’agissait d’un environnement de test isolé et que les données n’avaient pas été réellement exposées. Elle a ajouté qu’elle ne travaillait pas avec les agences gouvernementales américaines pour leur fournir des données sur les utilisateurs.

Le débat illustre en tout cas les risques d’une vérification d’âge fondée sur la collecte massive d’informations d’identification. Bruxelles veut manifestement éviter cette dérive et déplacer la logique vers autre chose : non pas « prouvez-moi votre identité pour que je vérifie votre âge », mais « prouvez seulement votre âge, sans dire le reste ».

Une architecture ouverte, mais pas sans angle mort

La Commission promeut une architecture en source ouverte, qui laisserait la possibilité aux États membres comme aux acteurs privés de publier des versions nationales ou dérivées. Lors de la conférence de presse, Scytales et T-Systems ont été cités comme des services à surveiller en Europe.

Le système devra aussi reposer, selon les responsables, sur une architecture dite triangulaire : un tiers certifie que l’utilisateur remplit l’attribut demandé, ici le fait d’avoir un certain âge, sans que le site reçoive des documents ou d’autres données personnelles. Pour rendre le mécanisme plus concret, la Commission a évoqué l’expérience des certificats Covid.

Reste un écart assez net entre la promesse technique et la réalité sociale du problème. Comme cela a été rappelé pendant la conférence, le mini-wallet est surtout pensé pour éviter qu’un site en sache trop sur l’utilisateur. En revanche, il règle beaucoup moins bien le contournement le plus banal de tous : un mineur qui utilise le téléphone, les identifiants ou la pièce d’identité d’un adulte. Le système peut donc réduire la circulation des données personnelles, sans empêcher mécaniquement la fraude dans la pratique.

Malgré cela, le mini-wallet semble aujourd’hui être la solution la plus crédible. La Commission a toutefois précisé qu’il ne s’agit pas de l’unique option. D’autres approches restent possibles, à condition d’être « tout aussi efficaces ». Pornhub participe déjà à la phase pilote, et d’autres opérateurs ont été invités à se joindre à l’expérimentation.

Au final, l’Europe pourrait bien devenir le premier grand terrain d’essai où la vérification de l’âge cesse d’être un geste automatique pour devenir une vraie infrastructure. Avec, bien sûr, ses promesses. Et ses risques, qu’il serait imprudent de ranger sous le tapis.