À partir de septembre 2026, la France imposera une vérification systématique de l’âge pour accéder aux réseaux sociaux, une mesure censée protéger les mineurs de moins de 15 ans. Selon Futura Sciences, cette obligation repose sur l’utilisation de dispositifs numériques dits « tiers de confiance », comme France Identité, mais soulève d’importantes questions sur la confidentialité des données personnelles.

Une étude récente menée par des chercheurs du Georgia Institute of Technology et de l’Université de Californie à Irvine révèle que ces outils, bien qu’efficaces pour bloquer l’accès aux mineurs, transmettent des informations sensibles à un écosystème de sous-traitants. Parmi les acteurs concernés, le service britannique Yoti, utilisé par des géants comme Meta, TikTok, OnlyFans et Sony, est pointé du doigt pour ses pratiques de collecte et de partage de données biométriques et d’identité.

Ce qu’il faut retenir

  • En septembre 2026, la France interdira l’accès aux réseaux sociaux aux moins de 15 ans, avec un système de vérification d’âge obligatoire.
  • Le service Yoti, utilisé par Meta, TikTok et d’autres plateformes, collecte et partage des données biométriques, d’identité et de géolocalisation avec des tiers.
  • Des chercheurs ont démontré que Yoti transmet des images faciales, des adresses IP et des empreintes digitales à des sociétés bancaires, des services de géolocalisation et des courtiers en données.
  • La société Yoti dément partager les données de reconnaissance faciale, mais admet utiliser des sous-traitants pour la vérification d’âge, rendant les données accessibles à ces acteurs.
  • L’Espagne a déjà sanctionné Yoti pour des violations du RGPD concernant les données biométriques, remettant en cause la fiabilité de ces outils.

Un système de vérification d’âge déjà contesté

Depuis plusieurs années, les réseaux sociaux comme TikTok, Instagram ou Snapchat intègrent des mécanismes de vérification d’âge pour limiter l’accès des mineurs à leur plateforme. Selon Futura Sciences, la France prévoit d’aller plus loin en rendant cette vérification obligatoire pour tous les utilisateurs, sous peine d’exclusion. Pour cela, l’État s’appuiera sur des solutions techniques comme l’application France Identité, les opérateurs de téléphonie mobile ou des algorithmes d’intelligence artificielle.

Cette généralisation du contrôle d’identité en ligne interroge : comment concilier la protection des mineurs et le respect du droit à l’anonymat sur Internet ? Le débat n’est pas nouveau, mais il prend une dimension inédite avec l’obligation légale qui s’annonce.

Yoti, un acteur controversé dans l’écosystème de vérification

Parmi les outils cités pour cette vérification d’âge, le service britannique Yoti se distingue par son ampleur. Utilisé par des entreprises comme Meta, TikTok ou OnlyFans, il fonctionne en théorie comme un « tiers de confiance » : il lit la date de naissance d’un utilisateur sur une pièce d’identité et restitue uniquement l’information nécessaire pour confirmer sa majorité.

Pourtant, une analyse approfondie menée par des chercheurs américains révèle que le processus est bien plus intrusif. Selon leur rapport, Yoti agit plutôt comme un « barman » qui conserverait une copie de la pièce d’identité de son client avant de la transmettre à des tiers. Les données transmises incluent non seulement l’image faciale de l’utilisateur, mais aussi son adresse IP, son empreinte digitale et parfois même des informations bancaires, via des services comme Stripe.

« Une simple tentative de vérification via Yoti peut transmettre l’image faciale, l’adresse IP et l’empreinte digitale de l’appareil d’un utilisateur à une société tierce. »

– Extrait de l’étude du Georgia Institute of Technology et de l’Université de Californie à Irvine, rapportée par Futura Sciences

Un réseau de sous-traitants qui collecte des données à chaque étape

Le problème ne vient pas seulement de Yoti, mais de l’écosystème technique qui l’entoure. Pour fonctionner, le service s’appuie sur un réseau de prestataires spécialisés : sociétés de paiement en ligne comme Stripe, services de géolocalisation IP, ou encore courtiers en données. À chaque étape de la vérification, des informations supplémentaires sont collectées, partagées, voire revendues.

Par exemple, Stripe, utilisé pour valider l’âge via une carte bancaire, « voit » automatiquement le site consulté par l’utilisateur. De même, les services de géolocalisation IP servent à détecter les fraudes, mais enregistrent aussi les déplacements en ligne des utilisateurs. Autant dire que la moindre vérification d’âge génère une cascade de données personnelles, souvent sans que l’utilisateur en ait conscience.

Les réactions de Yoti et les sanctions déjà prononcées

Face à ces accusations, Yoti a réagi en exigeant la rétractation de la publication, la qualifiant de « diffamatoire et biaisée ». La société a affirmé ne pas partager les données de reconnaissance faciale, une déclaration que les chercheurs contestent partiellement. Ils soulignent en revanche que les autres données (IP, empreinte digitale, validation bancaire) restent accessibles aux tiers, rendant toute garantie d’anonymat illusoire.

Les critiques ne sont pas isolées : en 2025, l’Espagne a infligé à Yoti une amende de plusieurs millions d’euros pour des violations du RGPD, notamment sur la gestion des données biométriques. Cette sanction rappelle que les outils de vérification d’âge, aussi utiles soient-ils pour la protection des mineurs, doivent respecter un cadre strict en matière de protection des données.

Des alternatives en développement, mais encore limitées

Face à ces risques, la Commission européenne planche sur une solution alternative, basée sur des « preuves à divulgation nulle de connaissance ». Cette technologie cryptographique certifie qu’un utilisateur est majeur sans jamais révéler sa date de naissance. Le prototype européen devrait être disponible fin 2026, intégré au portefeuille d’identité numérique européen.

Cependant, cette solution reste en phase de test. Pour l’instant, aucun outil technique n’a été validé en France pour la vérification d’âge obligatoire. Les options envisagées incluent l’application France Identité, les opérateurs mobiles (qui connaissent l’âge de leurs abonnés) ou des algorithmes d’IA capables d’estimer l’âge à partir du comportement en ligne. Aucune de ces solutions n’est cependant exempte de critiques en termes de confidentialité ou de fiabilité.

Et maintenant ?

La France devra trancher d’ici septembre 2026 sur l’outil technique à adopter pour sa loi sur la vérification d’âge. Si la Commission européenne valide son prototype, une solution cryptographique pourrait s’imposer comme alternative aux tiers de confiance actuels. En attendant, le débat sur la protection des mineurs et la préservation du droit à l’anonymat reste ouvert, avec des enjeux majeurs pour les libertés numériques.

La question n’est plus de savoir si la vérification d’âge sera obligatoire, mais comment elle le sera sans sacrifier la confidentialité des utilisateurs. Les prochains mois seront décisifs pour définir un cadre équilibré, entre sécurité des mineurs et respect de la vie privée.

Selon la loi française, tous les réseaux sociaux accessibles aux moins de 15 ans devront mettre en place un système de vérification d’âge. Cela concerne principalement TikTok, Instagram, Snapchat et Facebook, mais aussi d’autres plateformes comme OnlyFans ou des services de messagerie.

Yoti est critiqué car, selon une étude du Georgia Institute of Technology et de l’Université de Californie à Irvine, le service transmet des données biométriques, d’identité et de géolocalisation à des tiers (banques, services de paiement, courtiers en données) lors de la vérification d’âge. Ces pratiques remettent en cause le principe d’anonymat et exposent les utilisateurs à des risques de fuite de données.