La Commission européenne a publié le 29 avril 2026 des constatations préliminaires selon lesquelles Meta enfreint la loi sur les services numériques (DSA) en ne empêchant pas les enfants de moins de 13 ans d'accéder à Instagram et Facebook. L'enquête de la Commission a établi que les systèmes de vérification de l'âge de Meta sont trivialement faciles à contourner : n'importe quel enfant peut créer ou maintenir un compte en indiquant simplement une fausse date de naissance, sans mécanisme efficace de confirmation. Ces constatations marquent la première action majeure d'application du DSA en matière de sécurité des enfants sur une grande plateforme sociale - et le mécanisme proposé pour résoudre le problème a des implications significatives pour la vie privée de tous les utilisateurs.
Ce que la Commission europeenne a constate
Les constatations préliminaires de la Commission indiquent que Meta n'a pas identifié, évalué et atténué avec diligence les risques systémiques qu'Instagram et Facebook font peser sur les mineurs. Environ 10 à 12 pour cent des enfants de moins de 13 ans utilisent actuellement ces plateformes, ce qui contredit les propres évaluations internes de Meta. La Commission a également constaté que Meta "a ignoré des preuves scientifiques facilement disponibles" indiquant que les jeunes enfants sont particulièrement vulnérables aux dommages causés par les fils d'actualité sociaux curatés algorithmiquement.
Au-delà du problème de contournement de l'âge, la Commission a signalé que l'outil de signalement des comptes de mineurs de Meta est "difficile à utiliser", nécessitant jusqu'à sept clics pour accéder au formulaire. En outre, la Commission a constaté que Meta ne donne pas suite de manière adéquate aux signalements reçus, ce qui fait que les comptes de mineurs signalés restent souvent actifs sur la plateforme. La conclusion préliminaire de la Commission est que Meta n'a pas déployé de mesures de protection proportionnées ou efficaces, malgré les exigences explicites du DSA.
Comment les enfants contournent la verification de l'age
Le constat technique central est simple : les plateformes de Meta demandent une date de naissance lors de la création du compte, mais ne vérifient pas que cette date est exacte. Un enfant qui indique une date correspondant à 16 ou 18 ans ne rencontre aucun obstacle supplémentaire. Il n'y a pas de vérification de documents, pas de service de vérification tiers, et pas de recoupement avec des bases de données d'identité. La barrière d'âge est, en pratique, un champ de texte que l'on peut contourner en saisissant n'importe quel chiffre.
L'article 28 du DSA exige que les très grandes plateformes en ligne mettent en oeuvre des mesures d'assurance de l'âge proportionnées au risque identifié. La position préliminaire de la Commission est qu'une date de naissance auto-déclarée sans vérification ne répond pas à cette norme pour une plateforme qui a identifié la sécurité des enfants comme un risque systémique.
Consequences : jusqu'a 6% du chiffre d'affaires mondial
Meta a désormais le droit de répondre aux constatations préliminaires avant que la Commission ne rende une décision finale. Si les constatations sont confirmées, la Commission peut infliger une amende allant jusqu'à 6 pour cent du chiffre d'affaires annuel mondial total de Meta. Sur la base du chiffre d'affaires de Meta en 2025, cela représenterait une sanction potentielle d'environ 12 milliards de dollars. La Commission peut également imposer des astreintes périodiques pour contraindre à la conformité, et ordonner des restrictions d'accès temporaires en cas d'infractions graves.
Meta a publiquement contesté les constatations et déclaré qu'elle communiquerait des détails sur des mesures supplémentaires en cours de déploiement. L'évaluation préliminaire de la Commission est que ces mesures ne sont pas à la hauteur des exigences du DSA pour l'ensemble de l'UE.
La consequence pour la vie privee : verification obligatoire pour tous
La trajectoire politique découlant de cette action est claire : si les dates de naissance auto-déclarées sont insuffisantes au regard du DSA, Meta devra mettre en oeuvre une véritable forme de garantie de l'âge. La vérification efficace de l'âge nécessite soit une vérification de documents, soit un système d'estimation biométrique de l'âge, soit l'intégration d'un service tiers de vérification d'identité. Ces trois approches requièrent la collecte de données personnelles sensibles - pas seulement des moins de 13 ans, mais de chaque utilisateur devant prouver qu'il a l'âge requis.
C'est le même problème structurel identifié dans le régime britannique de vérification de l'âge pour les sites pour adultes, la législation australienne et la Parents Decide Act (H.R. 8250) aux États-Unis : pour protéger les mineurs, les régulateurs construisent une infrastructure de vérification qui collecte des données d'identité sur tout le monde. Pour les utilisateurs de VPN, les VPN restent efficaces contre la surveillance au niveau du réseau, mais ne répondent pas aux exigences d'identité au niveau du compte.
Couverture connexe sur vpnlab.io
Articles précédents sur la législation de vérification de l'âge et ses implications pour la vie privée :
- Parents Decide Act : chaque telephone doit collecter votre date de naissance selon H.R. 8250 - le projet de loi américain qui déplacerait la vérification de l'âge vers le niveau OS.
- L'app de verification d'age de l'UE hackee en 2 minutes - quand l'infrastructure devient elle-même une surface d'attaque.
- Apres les controles d'age au Royaume-Uni, l'utilisation des VPN explose - la réponse documentée en matière de vie privée.
