Un rapport du service de recherche du Parlement européen pointe désormais les réseaux privés virtuels comme un frein aux systèmes de vérification d’âge en ligne déployés de plus en plus à l’échelle du continent.
« Une faille à combler ». C’est ainsi que l’Union européenne qualifie les VPN (Virtual Private Network, ou réseaux privés virtuels) dans le cadre des dispositifs de vérification d’âge en cours de déploiement sur le continent.
Face aux risques que représentent certains contenus en ligne pour les mineurs, les autorités européennes multiplient les initiatives de régulation. Parmi elles figure la vérification d’âge imposée sur des plateformes de contenus pour adultes, de jeux d’argent, entre autres.
L’UE a ainsi annoncé, le 15 avril dernier, le lancement d’une application dédiée. Toutefois, son efficacité se heurte à l’usage des VPN, selon un rapport du Service de recherche du Parlement européen (EPRS).
Le document souligne notamment une hausse de 1 400% des téléchargements de ces outils dès l’entrée en vigueur des obligations légales imposant aux plateformes de contrôler l’âge des utilisateurs, comme ce fut le cas au Royaume-Uni.
Le spectre d’une surveillance indirecte
Dans ce contexte, l’EPRS envisage que les prochaines évolutions du cadre législatif européen en matière de cybersécurité pourraient inclure des dispositions contraignant les fournisseurs de VPN à empêcher leur utilisation comme moyen de contournement.
Cette orientation traduit la volonté d’intégrer ces services dans le champ de la régulation numérique, au même titre que les grandes plateformes. Aux États-Unis, l’État de l’Utah a déjà adopté une législation visant spécifiquement l’usage des VPN pour contourner les systèmes de vérification d’âge, bien que sa mise en œuvre reste complexe sur le plan juridique.
Problème : cette approche entre en contradiction avec la finalité même de ces technologies, conçues pour garantir la confidentialité des échanges, préserver l’anonymat et protéger les utilisateurs contre toute forme de surveillance.
En effet, imposer une vérification d’identité préalable reviendrait, selon les défenseurs des libertés numériques, à neutraliser les garanties offertes par ces outils.
Quand l’UE elle-même échoue le test de confiance
Dans une lettre adressée aux autorités britanniques, plusieurs fournisseurs de VPN et organisations de défense de la vie privée ont exprimé leurs préoccupations.
Selon eux, une telle obligation entraînerait la création de bases de données reliant identités réelles et usages de VPN, transformant un outil de protection en instrument de surveillance potentielle. Un risque d’autant plus préoccupant que la fiabilité des dispositifs n’est pas toujours assurée.
Des chercheurs en cybersécurité ont ainsi identifié, le mois dernier, des vulnérabilités majeures dans l’application officielle de vérification d’âge de la Commission européenne, pourtant présentée comme respectueuse de la vie privée.
L’outil stockait notamment des données biométriques sensibles dans des espaces non chiffrés et comportait des failles permettant de contourner les contrôles d’âge.
