Pendant des décennies, vérifier l’âge sur Internet n’était qu’une simple formalité : un bouton « cliquez si vous avez 18 ans » qui n’offre aucune réelle protection aux mineurs. Cependant, la Commission européenne s’apprête désormais à transformer ce processus d’un geste symbolique en une réalité technologique solide. Sous l’impulsion du Digital Services Act (DSA), l’Europe développe un système qui vise à protéger les enfants sans sacrifier la vie privée des utilisateurs.
La répression de la vérification « en un clic »
L’élan derrière ces changements découle des récentes enquêtes sur les principales plateformes numériques. Début 2024, la Commission européenne a lancé une procédure formelle contre les géants du contenu pour adultes comme Pornhub, Stripchat, XNXX et XVideos. Le cœur de l’allégation ? Ces sites s’appuient sur des confirmations inadéquates en « un clic » qui ne répondent pas aux normes juridiques fixées par le DSA.
La portée de l’enquête s’étend au-delà du contenu réservé aux adultes. Snapchat est également sous surveillance pour avoir prétendument échoué à protéger les mineurs contre le toilettage, le recrutement criminel et l’exposition à des produits illégaux comme des drogues et des produits soumis à une limite d’âge.
En vertu du DSA, les très grandes plateformes en ligne (VLOP), celles qui comptent plus de 45 millions d’utilisateurs mensuels dans l’UE, sont légalement tenues d’atténuer les risques systémiques pour les mineurs. L’enjeu est de taille : le non-respect peut entraîner des amendes massives, pouvant atteindre 18 millions d’euros, soit 10 % du chiffre d’affaires annuel mondial d’une entreprise.
La solution « mini-portefeuille » : la confidentialité grâce aux mathématiques
Le défi central pour les régulateurs est un paradoxe : comment prouver qu’une personne est majeure sans collecter ses données personnelles sensibles ? La réponse proposée par la Commission européenne est le Plan de vérification de l’âge, ou le « mini-portefeuille ».
Contrairement aux méthodes traditionnelles qui nécessitent de télécharger un passeport ou une pièce d’identité sur un site Web, le mini-portefeuille fonctionne sur le principe de la divulgation sélective :
- Vérification unique : Les utilisateurs vérifient leur âge une fois à l’aide d’une source fiable, telle qu’une pièce d’identité électronique nationale, un passeport ou une application bancaire.
- Preuve cryptographique : Lors de l’accès à un site, le mini-portefeuille ne partage pas le nom ni la date de naissance de l’utilisateur. Au lieu de cela, il envoie un jeton « oui » ou « non » qui prouve cryptographiquement que l’utilisateur a plus de 18 ans.
- Minimisation des données : Étant donné que le site ne reçoit qu’un jeton à usage unique, il ne peut pas suivre ou corréler l’identité de l’utilisateur au cours des différentes sessions.
Ce système est conçu comme un tremplin vers les portefeuilles d’identité numérique de l’UE (portefeuilles EUDI), qui devraient être entièrement mis en œuvre d’ici 2026. Ces portefeuilles permettront à terme de tout gérer, des permis de conduire aux diplômes, le tout au sein d’une seule application sécurisée.
Des chemins divergents : le modèle européen contre le modèle américain
L’approche européenne contraste fortement avec les modèles qui gagnent actuellement du terrain aux États-Unis. De nombreux fournisseurs basés aux États-Unis, tels que Persona, utilisent des méthodes très intrusives, notamment la reconnaissance faciale et la prise d’empreintes digitales, conservant souvent les données pendant des années. Ce modèle soulève d’importantes inquiétudes concernant les violations de données et la surveillance de masse – inquiétudes renforcées par les récents rapports sur l’exposition des données dans l’industrie.
Alors que certains acteurs comme Yoti sont déjà actifs en Europe, la Commission donne la priorité à une architecture open source et « triangulaire ». Dans ce modèle, un tiers neutre certifie l’attribut (âge) de l’utilisateur afin que le site Web ne touche jamais aux documents sensibles sous-jacents. Le fonctionnement des certificats COVID-19 est similaire : ils prouvent que vous avez été vacciné sans nécessairement révéler l’intégralité de vos antécédents médicaux.
Obstacles à la mise en œuvre et lacunes restantes
Malgré la sophistication technique, le déploiement se heurte à deux obstacles majeurs :
- Disparité géopolitique : La mise en œuvre est inégale à travers l’UE. Alors que la France et le Danemark sont en tête, des pays comme la Grèce, l’Espagne et l’Italie sont à la traîne, ce qui amène les experts à se demander si le calendrier d’un système unifié est réaliste.
- L’élément humain : Une faille importante demeure. Bien que le mini-portefeuille empêche les sites Web de collecter des données, il ne peut pas facilement empêcher un mineur d’utiliser l’appareil ou les informations d’identification d’un adulte. Le système sécurise les données, mais il ne résout pas entièrement le défi comportemental de l’accès des mineurs.
“Le but n’est pas de prouver votre identité pour vérifier votre âge, mais simplement de prouver votre âge sans rien révéler d’autre.”
Conclusion
L’Europe se positionne comme un laboratoire mondial de la sécurité numérique, tentant de construire une infrastructure qui équilibre la protection des enfants avec une stricte confidentialité des données. En cas de succès, le « mini-portefeuille » pourrait établir une nouvelle norme mondiale en matière de gestion de l’identité à l’ère numérique.
