Vérification d’âge européenne : une fausse protection qui menace nos libertés

Par DynamicSquare — 17 avril 2026

Depuis plus de dix ans, notre métier consiste à concevoir, installer et maintenir des systèmes de sécurité électronique. Notre conviction est simple : un dispositif de sécurité mal conçu est plus dangereux qu’aucun dispositif. Ce qui se joue aujourd’hui au niveau européen nous oblige à prendre la parole publiquement.

Crédit image : Commission européenne / European Union – source officielle sur la politique de vérification d’âge de l’UE.

Un contexte politique réel et pressant

En France, Emmanuel Macron a poussé en janvier 2026 une procédure législative accélérée pour interdire les réseaux sociaux aux mineurs de moins de 15 ans. Le texte a été adopté par l’Assemblée nationale, puis examiné par le Sénat fin mars 2026. Le calendrier fixé par l’exécutif est clair : au 1er septembre 2026, la vérification d’âge sera obligatoire pour tout nouveau compte créé sur un réseau social en France. Les comptes existants seront concernés à compter du 1er janvier 2027.

Au niveau européen, le mouvement suit la même logique. Le 15 avril 2026, Ursula von der Leyen, présidente de la Commission européenne, et sa vice-présidente exécutive Henna Virkkunen ont annoncé qu’une application officielle de vérification d’âge était désormais « techniquement prête ». Sept États membres — France, Danemark, Grèce, Italie, Espagne, Chypre et Irlande — sont les plus avancés vers l’intégration de la solution dans leurs portefeuilles numériques nationaux. Von der Leyen a déclaré qu’il n’y avait désormais « plus d’excuse » pour ne pas protéger les enfants, ajoutant : « Nous aurons zéro tolérance pour les entreprises qui ne respectent pas les droits de nos enfants. »

Une promesse technologique ambitieuse

L’application est open source, ce qui a permis aux chercheurs en sécurité d’en analyser le code dès sa publication. Elle a été développée par T-Systems, filiale de Deutsche Telekom, et la start-up suédoise Scytáles, mandatées par la Commission européenne. Elle s’intègre dans l’architecture du futur portefeuille d’identité numérique européen, dont le déploiement grand public est attendu avant la fin de l’année 2026.

Son principe repose sur la technologie dite de zéro-connaissance (Zero-Knowledge Proof, ZKP) : l’utilisateur charge une fois son passeport ou sa carte d’identité dans l’application, qui génère une preuve cryptographique. La plateforme reçoit uniquement une réponse binaire — majeur ou non — sans accéder à aucune autre donnée personnelle. Von der Leyen a assuré que l’application respecte « les normes de confidentialité les plus exigeantes au monde » et que les utilisateurs « gardent le contrôle total de leurs données ».

En théorie, c’est techniquement élégant. En pratique, les 48 heures suivant la publication du code ont suffi à démolir cette promesse.

Les failles révélées en moins de 48 heures

Dès la mise à disposition publique du code source sur GitHub, deux chercheurs en cybersécurité reconnus — Paul Moore et Baptiste Robert — ont documenté et publié des vulnérabilités critiques.

Des données biométriques laissées accessibles sur l’appareil.

L’application collecte l’image de votre pièce d’identité via NFC et un selfie pour vérifier votre âge. Le résultat de la vérification est bien chiffré. Mais l’image source utilisée pour parvenir à ce résultat est écrite sur le disque de l’appareil sans chiffrement. Pour les données NFC, si le scan échoue, si l’utilisateur appuie sur « retour » ou si l’application plante, l’image biométrique complète reste dans le cache de l’appareil. Pour les selfies, ces images sont enregistrées dans le stockage à long terme au format PNG sans perte et ne sont jamais supprimées.

Concrètement, c’est l’équivalent de photographier votre passeport et de conserver cette image indéfiniment « au cas où ».

Un système de PIN contournable en deux minutes.

Le PIN est stocké dans un fichier de configuration local et n’est pas lié cryptographiquement aux données d’identité qu’il est censé protéger. Un attaquant peut supprimer les valeurs de chiffrement du PIN, redémarrer l’application, choisir un nouveau code et présenter les identifiants d’une autre personne comme valides. Le compteur de tentatives est un simple entier réinitialisable. L’authentification biométrique est un booléen qu’il suffit de désactiver.

Un contournement total sans scanner le moindre document.

Paul Moore a démontré publiquement qu’il était possible de reproduire la logique de l’application sous forme d’une simple extension Chrome — sans jamais fournir de pièce d’identité — et d’obtenir une validation « majeur » que le système accepte comme entièrement valide. Sa conclusion est sans appel : ce n’est pas un bug, c’est un défaut de conception fondamental. Pour le corriger réellement, il faudrait lier cryptographiquement une clé à votre identité physique de manière irrévocable — ce qui ouvrirait alors la porte à une surveillance permanente de tous vos usages numériques.

Le défaut le plus profond : même parfaite, l’application resterait contournable

Paul Moore est allé plus loin encore dans son analyse. Il invite à supposer le scénario idéal : l’application est déployée en production, elle est 100% sécurisée, 100% privée, chaque étape est défendue cryptographiquement, toutes les failles précédentes ont été corrigées. Elle fonctionne exactement comme prévu.

Elle ne protège toujours pas contre une attaque par relais.

L’application ne renvoie pas « je suis majeur ». Elle renvoie « quelqu’un est majeur ». Ni le vérificateur, ni l’application n’ont aucun moyen de lier l’attestation à un appareil physique précis, ni à la personne qui tient cet appareil. Rien n’empêche techniquement un mineur de recourir à un service de vérification à distance : un appareil Android appartenant à un adulte, opéré à distance, qui renvoie une attestation valide.

Les spécifications officielles le reconnaissent elles-mêmes : l’instance du portefeuille ne voit aucune différence entre le flux inter-appareils et le flux sur le même appareil. Dans les deux cas, elle reçoit une requête de présentation conforme à OpenID4VP.

Ce vecteur d’attaque est connu et documenté dans tous les modèles de présentation de credentials à distance. Il n’est simplement pas atténué dans cette architecture. Et il ne peut pas l’être sans détruire la promesse de confidentialité elle-même : attestation matérielle liée à un appareil unique, détection de vivacité biométrique à la demande, calculs de timing… toutes ces options brisent le principe de vérification complètement anonyme.

La conclusion est simple : le système remplace « je suis majeur » par « quelqu’un est majeur », sans aucune garantie que ce quelqu’un et l’utilisateur soient la même personne. C’est précisément le cœur du problème.

Ce que dit le RGPD

Les données biométriques constituent des données de catégorie spéciale au sens de l’article 9 du RGPD. Leur collecte, leur traitement et leur conservation sont soumis à des obligations strictes de minimisation, de finalité et de suppression effective. Si des images de documents et de visages restent stockées sur un appareil au-delà de la durée strictement nécessaire, sans chiffrement adapté ni suppression fiable, le risque de non-conformité est sérieux.

Le paradoxe est total : l’application censée concilier vérification d’âge et protection des données personnelles pourrait elle-même constituer une violation substantielle du règlement qu’elle est censée incarner.

Une revalidation obligatoire tous les 3 mois

C’est l’un des aspects les moins discutés publiquement, mais il figure explicitement dans les spécifications techniques officielles de l’application : la ré-émission de la preuve d’âge requiert une ré-identification de l’utilisateur au moins tous les 3 mois. L’attestation est conçue comme une accréditation à durée limitée, valable au maximum un trimestre à compter de sa date d’émission.

Une personne majeure ne régresse pas en âge tous les trimestres. Cette fréquence n’a aucune justification logique liée à la protection des mineurs. Elle implique en revanche une collecte répétée, régulière et indéfinie de données biométriques pour des centaines de millions d’adultes européens — à vie.

Un précédent assumé : le certificat sanitaire Covid

La Commission européenne l’a elle-même déclaré lors de l’annonce du 15 avril : le certificat sanitaire numérique européen Covid-19, développé en trois mois lors de la pandémie, a explicitement servi de modèle et de précédent revendiqué pour cette application. Plusieurs médias, dont RTL et Le Point, l’ont rapporté sans ambiguïté.

Les deux systèmes partagent la même logique architecturale : une preuve numérique interopérable, scannable et centralisée. Ce qui pouvait être toléré comme mesure d’urgence sanitaire temporaire ne saurait devenir la norme permanente d’accès à l’espace numérique. Le changement de contexte, de durée et d’enjeu impose un niveau d’exigence infiniment supérieur.

L’Angleterre a montré les effets concrets

Le Royaume-Uni a été précurseur avec l’Online Safety Act 2023, dont les obligations de vérification d’âge pour les contenus adultes sont entrées en vigueur le 25 juillet 2025. Les plateformes doivent désormais s’y conformer sous peine de sanctions pouvant atteindre 10% de leur chiffre d’affaires mondial.

La réponse a été immédiate et massive : X a appliqué dès l’été 2025 des restrictions sur les contenus adultes dans toute l’Union européenne. Ces restrictions ont touché instantanément des millions d’utilisateurs ordinaires en Europe, bien au-delà des contenus initialement visés. La démonstration est faite : les adultes sont les premières victimes de ces restrictions en cascade, bien avant que les mineurs déterminés à contourner les règles en soient réellement empêchés.

Une souveraineté numérique en trompe-l’œil

La Commission européenne confie la vérification d’identité de ses citoyens à T-Systems, filiale de Deutsche Telekom, et à Scytáles. T-Systems est par ailleurs partenaire certifié Azure Expert Managed Service Provider de Microsoft, ce qui signifie que des workloads critiques de l’entreprise transitent régulièrement par l’infrastructure du géant américain.

Cette réalité contraste singulièrement avec les discours officiels sur la souveraineté numérique européenne. D’autant que la France dispose d’une solution véritablement souveraine : l’application France Identité, développée par France Titres, opérateur public rattaché au ministère de l’Intérieur, gratuite, déjà accessible à tous les Français munis de leur nouvelle carte d’identité. Reconnue à l’embarquement dans les aéroports français dès l’été 2026 et conçue pour être compatible avec l’EUDI Wallet, elle constitue une base souveraine crédible — si la volonté politique était réellement au rendez-vous.

Le paradoxe démocratique

Ni le DSA, ni le DMA, ni cette application de vérification d’âge n’ont fait l’objet d’un débat démocratique direct avec les citoyens européens. Ces textes s’imposent à des centaines de millions de personnes sans que leur assentiment ait été explicitement recherché. Des juristes spécialistes du numérique soulignent par ailleurs qu’un État seul ne peut pas sanctionner les plateformes au titre d’une loi nationale qui excède le cadre du droit européen, ce qui fragilise d’emblée la portée réelle du texte français.

Nous partageons l’analyse de Rafik Smati, entrepreneur du numérique et fondateur du think tank Objectif France : le dispositif prévu n’est pas une réponse solide et viable. Les mineurs déterminés à contourner ces restrictions le feront — comme ils contournent déjà aujourd’hui les âges minimums théoriques de 13 ans appliqués par la plupart des plateformes. Ce sont les adultes qui seront vérifiés, tracés et contraints tous les trois mois. Pas les enfants protégés.

L’ancienneté d’un compte ne compte pas — du moins selon la loi. La loi française ne prévoit aucune exception liée à l’historique d’un utilisateur. Pourtant, X lui-même a officiellement reconnu, lors de la mise en œuvre de l’Online Safety Act britannique en juillet 2025, que les comptes créés avant 2012 sont automatiquement considérés comme appartenant à un adulte. Cette logique de bon sens — qu’une présence numérique de treize ans ou plus constitue un signal fiable de majorité — n’existe ni dans la loi européenne ni dans la loi française. Un compte créé en 2009, 2011 ou 2015 sera soumis exactement aux mêmes contraintes biométriques qu’un compte d’un jour, à compter du 1er janvier 2027. Quinze ans de présence numérique vérifiable ne valent rien face à un système qui repart de zéro et exige, tous les trois mois, que vous reprouviez qui vous êtes.

Comme l’a formulé la journaliste Zara Riffler : « Il ne s’agit pas de la protection des enfants. Tel que le DSA est conçu, on ne peut qu’en conclure qu’il s’agit sans équivoque d’un contrôle sur tous les citoyens de l’UE. »

Des solutions existent déjà

Des outils matures, respectueux de la vie privée et immédiatement disponibles permettent d’agir efficacement sans collecte biométrique centralisée :

• Le contrôle parental natif, comme Screen Time sur iOS/macOS ou Google Family Link sur Android, permet aux parents de gérer les accès, les durées et les applications autorisées, entièrement en local.

• Le partage familial Apple lie les comptes d’enfants à ceux des parents avec des restrictions de contenu, d’achat et de communication.

• La modération algorithmique des plateformes, déjà capable de détecter et censurer un contenu en quelques secondes, pourrait tout autant identifier des signaux comportementaux liés à l’âge.

• L’éducation au numérique dans les établissements scolaires reste de loin le levier le plus durable, le plus efficace et le plus respectueux des droits fondamentaux.

Notre position

Chez DynamicSquare Security, notre métier est la sécurité. Nous savons, par expérience quotidienne et terrain, qu’un système de sécurité se juge sur sa robustesse réelle, jamais sur son intention affichée.

L’application européenne de vérification d’âge présente, dans son état actuel, des failles fondamentales documentées publiquement en moins de 48 heures par des chercheurs indépendants. Pire encore : même si toutes ces failles étaient corrigées demain, le système resterait contournable par conception — parce qu’il ne peut pas lier une attestation à une personne physique sans devenir un outil de surveillance généralisée. C’est un cercle vicieux sans issue acceptable.

Déployer ce dispositif à l’échelle de centaines de millions de citoyens européens, sans audit indépendant préalable, serait une faute grave dont les conséquences — fuites de données biométriques, usurpations d’identité, surveillance généralisée — seraient irréversibles.

Nous appelons à :

• La suspension immédiate du déploiement jusqu’à la réalisation d’un audit de sécurité indépendant, public et contradictoire.

• La clarification juridique complète sur la collecte, la durée de conservation trimestrielle et la suppression des données biométriques, au regard du RGPD.

• Un débat démocratique réel sur l’équilibre entre protection des mineurs et libertés fondamentales des adultes.

• La valorisation des solutions souveraines existantes, comme France Identité, le contrôle parental natif et l’éducation au numérique, avant tout recours à une vérification biométrique de masse confiée à des acteurs privés.

La bonne question n’est pas seulement : « Comment empêcher un mineur d’accéder à tel contenu ? »

La vraie question est : « Comment protéger les enfants sans instaurer un système qui fragilise la liberté et la vie privée de tous ? »

Sans vie privée, il ne peut y avoir de véritable liberté.