La Commission européenne accuse Meta de ne pas protéger les enfants de moins de 13 ans sur Instagram et Facebook

Ce mercredi 29 avril 2026, la Commission européenne a publié ses conclusions préliminaires d'enquête contre Meta : Instagram et Facebook enfreindraient le Digital Services Act (DSA) en permettant à des enfants de moins de 13 ans d'accéder librement à leurs plateformes. Une amende pouvant atteindre 6 % du chiffre d'affaires annuel mondial est désormais sur la table. Pour les DPO européens, c'est un signal de plus que la protection des mineurs en ligne est devenue le dossier prioritaire de l'année.

Ce qui s'est passé

L'enquête, ouverte en 2024, aboutit à un constat sévère : Meta fixe certes l'âge minimum d'accès à Instagram et Facebook à 13 ans dans ses propres conditions générales, mais les mesures mises en place pour faire respecter cette règle sont insuffisantes. La Commission identifie trois défaillances majeures.

Première défaillance : à la création d'un compte, un enfant peut simplement entrer une fausse date de naissance — aucune vérification n'est prévue. Deuxième défaillance : l'outil de signalement d'un compte d'utilisateur mineur est «difficile d'accès», nécessitant jusqu'à sept clics pour atteindre le formulaire de signalement. Troisième défaillance : même lorsqu'un compte mineur est signalé, Meta ne garantit ni suivi adéquat ni suppression systématique.

La Commission estime par ailleurs que l'évaluation des risques conduite par Meta est «incomplète et arbitraire» : elle sous-estime l'ampleur du phénomène alors que les données disponibles suggèrent qu'entre 10 et 12 % des enfants de moins de 13 ans dans l'UE accèdent à Instagram ou Facebook. Henna Virkkunen, vice-présidente exécutive de la Commission pour la Souveraineté Technologique, a résumé la position européenne sans ambiguïté : «les conditions générales ne doivent pas être de simples déclarations écrites, mais la base d'actions concrètes pour protéger les utilisateurs — y compris les enfants.»

Ces conclusions préliminaires ne sont pas encore une décision finale. Meta dispose désormais d'un droit de réponse et peut proposer des mesures correctives. Si la Commission maintient ses conclusions, les amendes peuvent atteindre 6 % du chiffre d'affaires mondial — soit plusieurs milliards de dollars au regard des revenus annuels du groupe.

Pourquoi c'est important — contexte RGPD et DSA

Cette décision s'inscrit dans un contexte réglementaire qui se durcit rapidement autour de la protection des mineurs en ligne. Le DSA impose aux très grandes plateformes (VLOP) une obligation de diligence renforcée : elles doivent identifier, évaluer et atténuer les risques systémiques liés à leurs services, y compris les risques pour la sécurité des mineurs. La Commission agit ici en qualité de superviseur direct des VLOP — un rôle qu'elle n'hésite plus à exercer pleinement.

Mais le DSA n'agit pas seul. L'article 8 du RGPD encadre spécifiquement le traitement des données personnelles des mineurs pour les services de la société de l'information : en dessous de 13 ans (16 ans dans certains États membres), le consentement parental est obligatoire. Or Meta collecte et traite massivement les données de ces enfants pour de la publicité ciblée — y compris des données comportementales, de localisation et de préférences — sans avoir vérifié leur âge réel.

Le timing n'est pas anodin. En mars 2026, deux décisions judiciaires américaines avaient conclu que Meta avait contribué à des problèmes d'addiction et de santé mentale chez des adolescents, et qu'elle avait induit ses utilisateurs en erreur sur la sécurité des plateformes pour les enfants. L'Europe, avec son arsenal réglementaire propre, n'attend pas les conclusions américaines pour agir — c'est précisément ce que cette décision illustre.

Ce n'est pas non plus la première fois que la Commission publie des conclusions préliminaires contre une grande plateforme en 2026. En avril dernier, elle avait mis en demeure Google dans le cadre du DMA sur le partage des données de recherche. La mécanique est désormais bien huilée.

Ce que ça change pour les organisations

Pour les DPO et responsables conformité des entreprises qui utilisent Instagram ou Facebook Ads pour cibler leurs audiences, cette décision appelle une vigilance immédiate sur trois points.

D'abord, les ciblages publicitaires : si votre organisation diffuse des publicités sur ces plateformes, vérifiez que vos paramètres de ciblage excluent explicitement les moins de 18 ans (et a fortiori les moins de 13 ans). Les enquêtes de la Commission sur Meta pourraient, à terme, impliquer des co-responsables de traitement publicitaire.

Ensuite, la vérification d'âge : la Commission européenne a d'ores et déjà mis en service une application technique de vérification d'âge fondée sur le zero-knowledge proof, annoncée mi-avril. Cette solution open source, compatible eIDAS 2.0, préfigure ce que les plateformes et les services en ligne devront probablement intégrer dans les prochains mois sous pression réglementaire.

Enfin, si vous gérez des services numériques accessibles aux mineurs — portail RH ouvert aux stagiaires, plateforme e-commerce, service d'information — c'est le bon moment pour revoir votre cartographie des traitements sous l'angle de l'article 8 RGPD. La saga Meta rappelle que l'absence de vérification de l'âge est aujourd'hui considérée comme une faille de conformité, et non plus comme une simple formalité.

La récente fuite de données touchant plus de 7 300 écoles américaines via Navigate360 illustre par ailleurs l'ampleur des risques liés aux données sensibles de mineurs : une fois exposées, ces données ne peuvent pas être "désexposées". La prévention — donc la conformité en amont — reste la seule protection efficace.

Ce que Leto pense de cette décision

La décision de la Commission est bienvenue, mais elle soulève une question de fond : pourquoi a-t-il fallu attendre 2026, soit deux ans après l'entrée en application du DSA, pour que les géants du numérique soient formellement mis en demeure sur un point aussi élémentaire que l'âge d'accès à leurs services ? L'obligation de vérification d'âge n'est pas nouvelle — elle découle conjointement du RGPD et du DSA. Ce que cette enquête révèle, c'est surtout l'écart persistant entre les engagements déclaratifs des plateformes et leur réalité opérationnelle.

Pour les organisations qui, elles, doivent démontrer leur conformité à chaque contrôle, c'est un signal clair : les autorités attendent des preuves concrètes, pas des conditions générales bien rédigées.

Sources : Insight EU Monitoring · AP News · CNBC