A propos d’Andres Guadamuz, The under-16 social media ban and the rise of “show me your papers” internet, 23 juin 2026 (https://www.technollama.co.uk/the-under-16-social-media-ban-and-the-rise-of-show-me-your-papers-internet):

L’article d’Andres Guadamuz, paru récemment sur son excellent blog,  part d’une image simple: le jeu Papers, Please, dans lequel un agent de frontière vérifie mécaniquement des documents. Pour l’auteur, cette image résume le risque du projet britannique d’interdiction des réseaux sociaux aux moins de 16 ans: sous couvert de protection de l’enfance, l’État pourrait installer un Internet de contrôle d’identité permanent, où chacun devra régulièrement prouver qui il est et quel âge il a. La thèse n’est pas que les enfants ne doivent pas être protégés, ni que les plateformes seraient irréprochables. Elle est plus précise: une interdiction d’accès visant les mineurs ne peut fonctionner qu’en imposant des contrôles d’âge à l’ensemble des utilisateurs, y compris les adultes. Le coût en libertés publiques, en anonymat et en sécurité des données pourrait alors être disproportionné par rapport à l’efficacité réelle de la mesure.

L’auteur rappelle d’abord le contexte politique britannique. Le gouvernement de Keir Starmer et la secrétaire d’État Liz Kendall ont annoncé que les plateformes de réseaux sociaux ne pourraient plus offrir leurs services aux moins de 16 ans, avec une entrée en vigueur attendue au printemps 2027 et des règlements présentés au Parlement avant Noël. Seraient visés des services comme Snapchat, TikTok, YouTube, Instagram, Facebook ou X/Twitter, tandis que des services comme YouTube Kids ou les messageries privées de type WhatsApp et Signal seraient épargnés. Le projet s’accompagne d’autres mesures: interdiction du livestreaming pour les moins de 16 ans, limitation des contacts par des inconnus, y compris dans les jeux, paramètres protecteurs par défaut pour les 16-17 ans, et âge minimum de 18 ans pour les chatbots d’IA à fonction de compagnon romantique. Le modèle est rapproché de l’Australie, qui a ouvert la voie à une interdiction générale des comptes de réseaux sociaux pour les moins de 16 ans.

L’auteur prend soin de ne pas minimiser les dommages. Il reconnaît que les réseaux sociaux peuvent affecter l’enfance, alimenter la pression permanente des pairs, le cyberharcèlement, l’addiction à l’attention, les contenus nocifs et les dynamiques d’indignation algorithmique. Il admet aussi que les plateformes ont souvent été négligentes, voire incitatives, dans la conception de services captant l’attention des jeunes. Sur le plan politique, une interdiction est donc séduisante: elle donne l’impression d’une ligne claire, d’un acte ferme, d’une réponse visible à une inquiétude sociale réelle. Mais, pour lui, c’est précisément là que commence le problème juridique et pratique. La question pertinente n’est pas de savoir s’il faut protéger les enfants; la réponse est évidemment oui. La question est de savoir si cette interdiction peut fonctionner sans produire des effets secondaires plus graves.

Le point central du raisonnement tient à la mécanique d’application. Une interdiction faite aux moins de 16 ans n’est pas, techniquement, une mesure appliquée seulement aux moins de 16 ans. Pour empêcher un adolescent de 15 ans d’ouvrir un compte, la plateforme doit vérifier que tout utilisateur a au moins 16 ans. Elle ne peut pas se contenter d’une déclaration sur l’honneur ou d’une case à cocher, puisque l’un des constats de départ est précisément que les enfants peuvent mentir sur leur âge. L’ensemble du système repose donc sur ce que le régulateur britannique, Ofcom, doit définir comme une « assurance d’âge hautement efficace ». L’auteur estime que l’expérience déjà acquise avec les contrôles d’âge de l’Online Safety Act donne une idée assez claire de ce que cela signifie: fournir une pièce d’identité officielle, se soumettre à une estimation faciale par caméra, ou passer par un tiers de confiance utilisant par exemple une banque ou un opérateur mobile.

C’est ici que l’auteur voit le basculement vers un Internet du « montrez vos papiers ». Ces méthodes ne vérifient pas seulement l’âge; elles rattachent l’usage d’un service en ligne à une identité civile ou à des données biométriques. Elles fragilisent donc la possibilité d’utiliser des comptes pseudonymes, qui a longtemps été une composante importante de la liberté d’expression en ligne. Le pseudonymat permet de parler, lire, militer, se renseigner ou participer à une communauté sans exposer son identité légale. Selon l’auteur, l’interdiction des mineurs est le titre affiché de la mesure, mais le sous-texte pratique est la généralisation de contrôles d’identité pour tous.

L’auteur ajoute deux inquiétudes institutionnelles. D’abord, les contournements par VPN existent déjà. Si les pouvoirs publics veulent rendre l’interdiction réellement opérante, ils pourraient être tentés de limiter aussi l’usage des VPN, ce qui soulèverait des difficultés supplémentaires pour la vie privée, la sécurité informatique, le journalisme, l’accès à l’information et les usages professionnels légitimes. Ensuite, le dispositif serait conçu de manière flexible, permettant d’activer ou de désactiver des obligations selon les services et les fonctionnalités sans repasser chaque fois par une loi complète. Cette souplesse peut sembler pragmatique, mais elle ouvre aussi la voie à des usages politiques ultérieurs plus intrusifs. L’auteur craint qu’une infrastructure mise en place pour protéger les enfants puisse être réorientée par un gouvernement moins libéral vers d’autres objectifs de surveillance ou de contrôle social.

Le premier coût identifié est la création de bases de données très attractives pour les attaquants. La vérification d’âge conduit à concentrer des documents d’identité, des données de compte, parfois des données biométriques, chez les plateformes ou chez des prestataires spécialisés. Ces ensembles deviennent des cibles majeures. L’auteur mentionne l’exemple d’une fuite chez un prestataire utilisé par Discord, qui aurait exposé environ 70’000 photographies de pièces d’identité. Le problème est aggravé par la nature des données biométriques: contrairement à un mot de passe, un visage ne peut pas être changé après une fuite. En droit britannique de la protection des données, ces données sont d’ailleurs traitées comme des données sensibles pour de bonnes raisons. Une politique de sécurité des mineurs pourrait donc produire une infrastructure nationale de coffres de données exposés à des violations répétées.

Le second coût est l’inefficacité probable. Selon l’article, les contrôles déjà mis en œuvre au titre de l’Online Safety Act ont rapidement provoqué une hausse massive des téléchargements de VPN au Royaume-Uni, certains services faisant état d’augmentations très importantes. Des discussions en ligne expliquant comment contourner les contrôles se sont multipliées. Les systèmes d’estimation faciale eux-mêmes peuvent être trompés, l’auteur évoquant un cas où un contrôle de « présence réelle » aurait été passé avec le visage d’un personnage de jeu vidéo. Pour lui, la cible principale de la loi, soit les adolescents suffisamment motivés pour contourner l’interdiction, est aussi l’un des groupes les plus capables de comprendre et d’exploiter ces failles. Le résultat pourrait donc être paradoxal: les adultes respectueux des règles subiront les contrôles, tandis que les mineurs les plus déterminés les contourneront.

L’auteur ne propose pas une absence de régulation et ne nie pas la responsabilité des plateformes. Il reconnaît que les enfants subissent des préjudices réels et que « ne rien faire » n’est pas une réponse sérieuse. Mais il considère que cette interdiction risque de résoudre symboliquement le problème tout en construisant une machine de contrôle généralisé. Elle pourrait pousser certains mineurs vers des espaces moins régulés, réduire l’anonymat des adultes, banaliser les vérifications d’identité et affaiblir le Web pseudonyme qui a servi pendant des décennies de support à des libertés civiles essentielles.

Pour un avocat suisse, l’intérêt de l’article tient donc moins à la mesure britannique elle-même qu’à son raisonnement de proportionnalité: une politique de protection de l’enfance peut poursuivre un but légitime, mais elle doit encore être apte à atteindre ce but, nécessaire, techniquement fiable, limitée dans son champ et compatible avec les droits fondamentaux de l’ensemble des utilisateurs.

Me Philippe Ehrenström, avocat, LLM, CAS en droit et intelligence artificielle, CAS en Protection des données – Entreprise et administration