Vérification de l’âge en ligne : protéger l’accès sans identifier tout le monde

L’app européenne : quand « anonyme » dépend de l’implémentation

Le 15 avril 2026, la Commission européenne a présenté sa solution de vérification d’âge comme techniquement prête au déploiement. Ursula von der Leyen l’a présentée comme une solution « complètement anonyme ».

C’est possible en théorie. Ce n’est pas automatiquement garanti en pratique.

Il existe une approche cryptographique qui permettrait réellement de vérifier un âge sans révéler une identité : les preuves à divulgation nulle de connaissance (Zero-Knowledge Proof, ou ZKP). Vous prouvez mathématiquement que vous remplissez une condition (avoir plus de 16 ans) sans transmettre aucune information supplémentaire. Le service reçoit un « oui » ou un « non ». C’est tout.

La documentation technique européenne mentionne bien les ZKP. Toutefois, dans les spécifications, ce mécanisme est formulé comme une recommandation côté services intégrateurs, pas comme une obligation absolue. L’Annexe B le présente comme une fonctionnalité expérimentale, reposant sur une implémentation privée non encore soumise à peer review. Et chaque État membre devra déployer sa propre implémentation.

Autrement dit, l’anonymat dépendra des choix d’implémentation, des obligations imposées aux services intégrateurs et des audits publiés.

Une vérification d’âge ne mérite le qualificatif d’anonyme que si cette propriété est imposée techniquement, pas promise institutionnellement.

Le problème n’est pas la réglementation, c’est l’architecture

Encadrer l’accès des mineurs à certains contenus n’est plus une option. Mais ce cadre doit s’appuyer sur des garanties techniques réelles, pas seulement sur des engagements de conformité. Défendre le pseudonymat ne signifie pas défendre l’impunité : il s’agit de limiter l’identification préalable de tous les utilisateurs, pas d’empêcher les enquêtes ciblées. Des alternatives existent. En juillet 2025, Google a publié en open source ses bibliothèques ZKP destinées à l’age assurance et aux identifiants numériques, ce qui montre que l’approche n’est pas purement théorique. La bibliothèque Longfellow ZK, associée à des travaux présentés à l’IETF/CFRG, vise justement ce type d’usage autour des attestations d’identité et d’âge. Des briques techniques concrètes existent déjà. Si ces garanties ne sont pas imposées par défaut, le décalage avec le cahier des charges devient difficile à défendre.

Et le VPN dans tout ça ?

La question mérite d’être posée explicitement, parce qu’elle revient souvent.

Un VPN masque votre adresse IP et chiffre votre trafic entre votre appareil et le serveur VPN. Il ne masque pas votre identité si vous avez été contraint de la fournir en amont, au moment de l’authentification sur une plateforme. Si vous avez soumis votre pièce d’identité pour créer un compte, cette donnée est déjà dans la base de données du service, le VPN ne l’efface pas.

Les deux enjeux coexistent mais sont distincts. Confondre les deux, c’est croire qu’un antivirus protège contre les cambriolages.

Ce que devrait garantir tout système sérieux

La vérification d’âge répond à un besoin réel. Mais pour protéger les mineurs sans exposer davantage leurs données, elle doit imposer quelques garanties non négociables :

• aucune identité transmise au service vérifié ;
• aucune corrélation possible entre plusieurs usages ou plateformes ;
• aucun stockage centralisé exploitable ;
• une preuve d’âge cryptographique ou équivalente, obligatoire par conception ;
• un audit indépendant publié ;
• une liste claire des données traitées, conservées et accessibles par chaque acteur.

Sans ces garanties, “anonyme” reste un mot posé sur un dispositif qu’on ne peut pas vérifier.