Vérification d'âge : Bruxelles veut harmoniser et bloquer les bans nationaux — sans citer le RGPD
Le 29 avril 2026, la Commission européenne a publié sa Recommandation pour une approche commune des technologies de vérification d'âge. Un texte non contraignant, mais qui pose un cap clair : harmoniser les outils de contrôle de l'âge en ligne d'ici le 31 décembre 2026, et désarmer juridiquement les bans nationaux de réseaux sociaux. Pour les DPO, le signal est double — la régulation des plateformes accélère, mais la Recommandation ne cite jamais le RGPD.
Ce qui s'est passé
La Commission propose un blueprint technique européen de vérification d'âge — architecture, protocoles et interfaces ouvertes — assorti d'une application mobile open source personnalisable par chaque État membre. Cet outil sera articulé au portefeuille européen d'identité numérique (EUDI Wallet), comme fonctionnalité additionnelle de « preuve d'âge ». Un scheme dédié encadrera la liste des fournisseurs de confiance pour ces « attestations d'âge » basés dans l'UE.
La Recommandation s'inscrit dans le cadre du Digital Services Act (DSA), dont l'article 28(1) impose aux plateformes accessibles aux mineurs « des mesures appropriées et proportionnées » de sécurité et de vie privée. Mais le DSA ne mentionne nulle part la vérification d'âge comme obligation explicite. La Commission s'appuie donc sur ses Lignes directrices de juillet 2025 sur la protection des mineurs, déjà invocables devant les juridictions nationales.
Surtout, la Commission entend rendre procéduralement difficile toute interdiction nationale des réseaux sociaux. En invoquant la directive 2015/1535 sur les règles techniques et deux arrêts de la CJUE (1996 et 2000), Bruxelles rappelle que des règles unilatérales touchant aux services de la société de l'information doivent être notifiées et peuvent être bloquées. Le message à la France, à l'Australie en miroir, et aux pays scandinaves qui réfléchissent à des âges planchers est limpide.
Pourquoi c'est important
Pour les DPO et RSSI, trois angles méritent attention.
Premier angle : l'absence flagrante de référence au RGPD dans le texte. La Recommandation parle de mesures « privacy-preserving », mais aucune ligne ne s'aligne explicitement sur les fondements de l'article 9 du RGPD — pourtant central dès qu'on parle d'estimation d'âge fondée sur la biométrie faciale ou vocale. L'EDPB avait pourtant adopté en février 2025 sa Statement on age assurance, et plusieurs DPA ont déjà commencé à sanctionner sur ce terrain. Cette absence n'est pas neutre : elle ouvre un risque de divergence entre la conformité « DSA » d'une plateforme et sa conformité RGPD.
Deuxième angle : l'enforcement DSA est déjà en cours. La Commission a rendu en avril 2026 des conclusions préliminaires contre Meta pour défaut d'empêchement des moins de 13 ans sur Facebook et Instagram. Une enquête a été ouverte en mars 2026 contre Snapchat sur les mêmes bases, plus la nécessité d'évaluer si l'utilisateur a plus de 17 ans pour adapter l'expérience. La mécanique « auto-déclaration + estimation par l'usage » est désormais explicitement jugée insuffisante au regard de l'article 28 DSA.
Troisième angle : la fragmentation de l'âge du « mineur ». La Recommandation définit le mineur comme toute personne de moins de 18 ans, mais les États membres conservent leur compétence — l'âge varie entre 13 et 18 selon les pays. Sous l'enquête CNIL-VYV sur l'IA conversationnelle et les jeunes, on voit déjà ce que cette fragmentation produit : un cadre juridique flottant pour des usages massivement adoptés par les 11-17 ans.
Ce que ça change pour les organisations
Pour toute organisation exploitant un service en ligne accessible aux mineurs — édition, jeux vidéo, plateformes de contenus, e-commerce, EdTech — quatre actions s'imposent dès le second semestre 2026.
Cartographier l'exposition. Identifier les traitements concernés par l'âge minimum d'accès, distinguer ceux soumis au DSA (services intermédiaires), ceux soumis à la directive AVMSD (audiovisuel) et ceux relevant uniquement du RGPD. Les éditeurs du secteur des jeux vidéo sont en première ligne, mais aucun secteur grand public n'y échappe.
Documenter la base légale et l'AIPD. Toute mesure de vérification d'âge — particulièrement si elle s'appuie sur de la biométrie, du traitement d'image ou des inférences comportementales — relève d'un traitement à risque élevé qui exige une analyse d'impact RGPD. L'article 6 (base légale) et l'article 9 (données sensibles) doivent être cartographiés avant tout déploiement.
Suivre la convergence avec l'EUDI Wallet. Le portefeuille européen d'identité numérique reste volontaire pour les citoyens et les entreprises, mais sa fonctionnalité « preuve d'âge » deviendra l'outil de référence. Anticiper l'intégration permet d'éviter de financer un développement maison qui sera dépassé.
Surveiller les plans d'action des autorités. Après la CNIL sur les lunettes connectées et l'enquête VYV-CNIL sur les jeunes et l'IA, on voit se dessiner une priorité régulatoire transversale : la protection des publics jeunes et vulnérables. La Recommandation du 29 avril s'insère dans ce courant. Les contrôles vont suivre.
Ce que Leto pense de cette décision
Le pari de Bruxelles est doublement audacieux : verrouiller techniquement la vérification d'âge à l'échelle européenne tout en empêchant les bans nationaux. C'est cohérent avec la philosophie du marché unique numérique, mais cela ne règle pas l'angle RGPD. Une recommandation qui ne nomme jamais le règlement n'est pas une garantie de conformité — elle est une invitation à la divergence. Pour les DPO, la consigne est claire : ne pas attendre une harmonisation formelle pour qualifier le traitement, faire une AIPD, et documenter la décision de fournisseur. Le DSA et le RGPD avancent à des vitesses différentes ; les sanctions, elles, arriveront en même temps.
Sources :
Future of Privacy Forum — The EU Commission's Approach to Age Verification (12 mai 2026)
Commission européenne — Recommandation sur la vérification d'âge (29 avril 2026)
EDPB — Statement on age assurance (février 2025)
