Menu
× Accueil Supprimer un compte Blog Extension Chrome En savoir plus
← Blog Droits et données Initié 5 min

App européenne de vérification d'âge : ce qui se prépare et pourquoi ça vous concerne

Le 15 avril 2026, à la veille d'une réunion de la Commission européenne consacrée à la sécurité des enfants en ligne, Ursula von der Leyen a annoncé que l'application européenne de vérification d'âge est "techniquement prête". La France fait partie des pays qui testeront le prototype avant d'en dériver leur propre version nationale. Derrière l'annonce politique, un outil concret se prépare, qui peut mettre fin aux copies de pièce d'identité envoyées à des prestataires privés à chaque site qui exige un contrôle.

Pourquoi on en est là

Depuis plusieurs années, la loi française impose aux sites diffusant du contenu pour adultes de vérifier que leurs visiteurs sont majeurs. Les réseaux sociaux, de leur côté, affichent des conditions d'inscription à partir de 13 ou 15 ans, rarement contrôlées. Le Digital Services Act, applicable à l'ensemble des plateformes depuis 2024, oblige désormais les très grandes plateformes à protéger activement les mineurs.

Le problème n'est pas l'objectif, c'est la méthode. Jusqu'ici, les rares sites qui ont tenté de s'y conformer ont demandé aux utilisateurs d'uploader une photo de leur pièce d'identité à un prestataire privé, ou de passer par une analyse faciale. Deux pratiques qui posent des questions frontales de vie privée : confier sa carte d'identité à un tiers commercial, ou envoyer son visage à un algorithme, ce n'est pas anodin. Dès juillet 2022, la CNIL a présenté, avec le PEReN (Pôle d'Expertise de la Régulation Numérique), une démonstration technique mettant en avant un principe de "double anonymat" : ni le site visité, ni le vérificateur d'âge, ne devraient savoir qui vous êtes, ce que vous consultez, ni faire le lien entre les deux.

L'application européenne dévoilée le 15 avril 2026 s'inscrit exactement dans cette logique.

Comment l'app est censée fonctionner

Le principe est comparable à celui de présenter une carte d'identité au caissier d'une épicerie pour prouver qu'on est majeur. Sauf que l'équivalent numérique est conçu pour en dire le moins possible.

Concrètement :

  • Vous installez l'application sur votre smartphone, tablette ou ordinateur.

  • Vous prouvez votre identité une fois, via un passeport ou une carte d'identité, auprès d'un tiers de confiance.

  • Quand un site exige une vérification d'âge, l'app transmet uniquement la preuve que vous remplissez la condition (majeur, ou plus de 13 ans, selon le cas), sans révéler votre nom, votre date de naissance exacte, ou la moindre donnée identifiante supplémentaire.

Le protocole sous-jacent s'appelle OpenID4VP, un standard ouvert. Le code de l'application est publié en open source sous licence EUPL version 1.2, sur GitHub, pour iOS et Android. Le développement a été confié au consortium T-Scy (la société suédoise Scytales et l'allemand T-Systems International). Selon la Commission européenne, "le système est totalement anonyme et ne permet pas de tracer les utilisateurs".

Pour les utilisateurs, l'intérêt est double : vous ne versez plus de copie de votre pièce d'identité à chaque site qui le demande, et un site ne peut pas relier votre identité à votre activité sur ses pages.

Ce qu'il reste à vérifier

L'annonce est politique. La mise en service réelle pays par pays reste à déployer. Et c'est là que se jouera la qualité de l'outil.

Plusieurs points méritent de rester vigilants :

  • Le choix du tiers de confiance. La promesse d'anonymat repose sur le fait que le vérificateur ne voit pas quel site vous visitez, et que le site ne voit pas qui vous êtes. Si ce tiers est une entreprise privée mal cadrée, ou si des logs croisés permettent de reconstituer les allers-retours, la promesse s'effrite. Le code source publié sur GitHub est auditable, mais il faudra observer comment les certifications et les audits externes se mettent en place.

  • L'accès pour les personnes sans pièce d'identité. La vérification passe par un passeport ou une carte d'identité. Les personnes qui n'en disposent pas, celles dont les papiers sont périmés ou perdus, les résidents étrangers sans titre à jour, resteront-elles à la porte ? Des alternatives devront exister.

  • Les obligations imposées aux sites. Une app disponible ne veut pas dire qu'elle est adoptée. Les grandes plateformes et les sites concernés doivent l'intégrer, et l'Arcom (côté français) devra suivre.

  • La gouvernance. Qui audite le code en continu ? Qui certifie les tiers de confiance ? L'open source est une bonne base, mais la gouvernance de l'écosystème est aussi importante que le protocole.

Vos droits, même avec une app européenne

L'existence d'un outil technique n'efface pas vos droits RGPD. Que vous utilisiez cette application ou toute autre solution de vérification d'âge (analyse faciale, pièce d'identité envoyée à un prestataire, portefeuille d'identité numérique), les règles suivantes s'appliquent :

  • Droit à l'information. Le site ou le vérificateur doit vous expliquer clairement ce qu'il collecte, pourquoi, pendant combien de temps, et qui y a accès.

  • Minimisation (article 5.1.c du RGPD). Il doit collecter le strict nécessaire. Pour prouver que vous êtes majeur, personne n'a besoin de votre nom, de votre adresse ou de votre photo d'identité stockée durablement.

  • Droit d'accès et de suppression. Vous pouvez demander à tout moment ce qui a été enregistré vous concernant, et exiger sa suppression si la conservation n'est plus justifiée.

  • Sécurité. Le responsable de traitement doit protéger vos données contre les fuites. Une violation doit être notifiée à la CNIL dans les meilleurs délais, et si possible dans les 72 heures après en avoir pris connaissance (article 33 du RGPD). Les personnes concernées doivent être informées directement lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34).

En pratique, tant que la solution européenne n'est pas déployée dans les sites que vous fréquentez, vous continuerez de croiser des méthodes alternatives, parfois moins respectueuses. Si une solution vous paraît disproportionnée au regard du besoin réel, vous pouvez demander à l'éditeur quelle base légale justifie le niveau de données exigé, et saisir la CNIL d'une plainte si la réponse ne vous satisfait pas.

À suivre

La France testera le prototype européen avant d'en dériver une version nationale. Les premières intégrations par les grandes plateformes devraient suivre dans les mois à venir, sous la pression combinée de la Commission européenne, de l'Arcom et de la CNIL. Nous suivrons ce dossier : l'écart entre la promesse d'anonymat affichée et sa réalité technique sera le seul critère qui compte.

L'occasion, aussi, de faire un point sur les traces que vous avez déjà laissées en ligne. Les sites qui vous ont demandé une pièce d'identité par le passé la conservent encore, dans la plupart des cas, et le droit à l'effacement s'applique. Fairmi est là pour vous aider à le faire valoir, un site à la fois.

👉 Explorer les marques qui détiennent vos données

Dans la même série

Initié

Cyberattaque ÉduConnect : que faire quand les données de vos enfants sont piratées ?

Prénom, nom, établissement et classe d'élèves exposés après une attaque contre ÉduConnect. Ce que le RGPD impose à l'État et ce que vous pouvez exiger en tant que parent.

5 min
Débutant

Fuite de données chez Basic-Fit : un million de membres exposés, voici vos droits

Basic-Fit a notifié la CNIL après une fuite touchant un million de clients. Ce que la loi impose à l'entreprise, ce que vous pouvez exiger.

5 min
Initié

Deepfakes sexuels sur App Store et Play Store : les recours du citoyen

95 applications de deepfakes sexuels recensées sur les stores d Apple et Google, 483 millions de téléchargements. Ce que dit la loi, ce que vous pouvez faire.

5 min