Un projet de loi bipartisan présenté à la Chambre des représentants des États-Unis le 13 avril 2026 obligerait Apple, Google et tous les autres fournisseurs de systèmes d'exploitation à collecter la date de naissance de chaque utilisateur - adulte ou enfant - comme condition de configuration d'un appareil. H.R. 8250, le Parents Decide Act, transfère la responsabilité de vérification de l'âge des applications individuelles vers le niveau du système d'exploitation, créant ce que les chercheurs en confidentialité décrivent comme un registre d'identité permanent au niveau de l'appareil qui suivrait les utilisateurs à travers chaque application qu'ils installent.
Ce que le projet de loi exige réellement
Présenté par le Rep. Josh Gottheimer (D-NJ) et coparrainé par la Rep. Elise Stefanik (R-NY), le Parents Decide Act impose à tout fournisseur d'un système d'exploitation à usage général - couvrant les smartphones, tablettes, ordinateurs, smart TVs, consoles de jeux, liseuses et appareils embarqués - d'obliger tous les utilisateurs à saisir leur date de naissance avant de terminer la configuration de l'appareil. Si un utilisateur a moins de 18 ans, un parent ou tuteur légal doit fournir une vérification supplémentaire. La Commission fédérale du commerce serait tenue d'émettre des règlements d'application dans les 180 jours suivant la promulgation et de rendre compte au Congrès de la conformité dans les 18 mois.
Le Rep. Gottheimer a présenté le projet comme un rétablissement du contrôle parental : "Les parents doivent décider quelles applications leurs enfants peuvent télécharger, quel contenu ils peuvent voir et comment ils interagissent en ligne - pas les algorithmes ou les entreprises technologiques." Le projet crée également un port sûr pour les fournisseurs de SO qui se conforment de bonne foi et entre en vigueur un an après la signature.
Le problème de confidentialite : chaque application obtient votre date de naissance
L'élément le plus contesté de la législation n'est pas le mécanisme de contrôle parental, mais l'interface programmatique obligatoire que le projet créerait. Selon H.R. 8250, les systèmes d'exploitation seraient tenus d'exposer les données d'âge collectées via une API accessible à toute application installée sur l'appareil. Les chercheurs en confidentialité notent que cela signifie que chaque site web, chaque jeu, chaque utilitaire et chaque réseau publicitaire pourrait interroger le SO sur la date de naissance de l'utilisateur en effectuant simplement l'appel API.
La US Internet Privacy Society a décrit cela comme forçant effectivement chaque appareil à diffuser la date de naissance de son propriétaire à toute application qui le demande - sans possibilité de désactivation pour les adultes. La préoccupation n'est pas hypothétique : des recherches ont montré que seulement trois informations - date de naissance, code postal et sexe - suffisent pour identifier de manière unique 87 pour cent des Américains. Une fois exposée via une API obligatoire au niveau du SO, cette date de naissance devient un identifiant de suivi permanent inter-sites, permettant aux courtiers en données de la corréler avec des noms, adresses, profils comportementaux et historiques d'achats dans l'ensemble de l'écosystème publicitaire.
Portee : chaque utilisateur, chaque appareil, sans exception
Contrairement aux propositions de vérification de l'âge précédentes ciblant des plateformes ou catégories de contenu spécifiques, H.R. 8250 s'applique universellement. L'exigence de date de naissance couvre tous les utilisateurs, pas seulement les moins de 18 ans. Un adulte achetant un nouveau portable, smartphone ou smart TV serait tenu de soumettre sa date de naissance avant de pouvoir terminer la configuration. La portée du projet sur les "appareils informatiques à usage général" est suffisamment large pour englober non seulement les ordinateurs et téléphones traditionnels, mais aussi les consoles de jeux, les télévisions connectées et une large gamme d'électronique grand public embarquée.
Le projet est actuellement à la première étape du processus législatif, renvoyé au Comité de l'énergie et du commerce de la Chambre sans qu'aucune audition ne soit encore programmée. Il devrait passer le comité, la Chambre, le Sénat et être signé par le Président avant de devenir loi - un parcours qui comporte une incertitude significative. Mais la direction qu'il signale est claire : un appétit croissant au Congrès pour la vérification d'identité au niveau de l'infrastructure de la technologie grand public.
Ce que cela signifie pour les utilisateurs de VPN
Un VPN achemine le trafic réseau via un tunnel chiffré et masque les identifiants basés sur l'IP - mais il opère au niveau de la couche réseau. H.R. 8250 opère au niveau de la couche appareil, entièrement sous la pile réseau. S'il était promulgué, l'exigence de vérification de l'âge s'appliquerait lors de la configuration de l'appareil, avant que tout trafic réseau ne soit généré. Votre fournisseur VPN, votre résolveur DNS et votre extension de navigateur pour bloquer les empreintes digitales n'auraient aucune visibilité sur la soumission d'âge au niveau du SO - et aucune capacité à l'empêcher.
Ce qui différencie cela de la plupart des cadres de surveillance que les VPN sont conçus pour contrer, c'est le point d'extrémité : la collecte de données se produit sur l'appareil lui-même, au moment de la configuration. La liaison résultante entre date de naissance et appareil persisterait indépendamment du VPN, du navigateur ou du réseau que l'utilisateur emploie ensuite.
Couverture connexe sur vpnlab.io
Articles précédents sur la législation de vérification de l'âge et ses conséquences sur la vie privée :
- L'app de verification d'age de l'UE hackee en 2 minutes - Durov met en garde contre le risque de surveillance - ce qui se passe quand l'infrastructure obligatoire de vérification d'âge devient elle-même une surface d'attaque.
- Internet sur passeport en Australie : comment Google et Bing vérifient désormais l'âge des utilisateurs - comment les contrôles d'âge adjacents au SO fonctionnent déjà en Australie.
- Apres les controles d'age au Royaume-Uni sur les sites pour adultes, l'utilisation des VPN explose - la réponse documentée en matière de vie privée lorsque la vérification de l'âge atteint les utilisateurs finaux.
