<?xml version="1.0" encoding="utf-8"?>
<rfcdesc title="Report from the IAB/W3C Workshop on Age-Based Restrictions on Content Access" num="9998" status="informational">
  <authors><author>M. Nottingham</author><author>M. Thomson</author></authors>
  <rfcdate><month>June</month><year>2026</year></rfcdate>
  <date>2026-07-03</date>
<content>
  <p>En octobre 2025, l'<wikipedia name="Internet Architecture
  Board">IAB</wikipedia> et le <wikipedia name="World Wide Web
  Consortium">W3C</wikipedia> ont organisé <link
  url="https://datatracker.ietf.org/group/agews/about/">un
  atelier</link> à <wikipedia>Londres</wikipedia> sur la restriction
  d'accès à des services <wikipedia>Internet</wikipedia> en fonction
  de l'âge. Ce <wikipedia name="Request for comments">RFC</wikipedia>
  est le compte-rendu de l'atelier. En tant que compte-rendu, il
  n'exprime donc pas une position officielle de l'IAB.</p>
  <p>Le sujet est d'actualité, avec de nombreux politiciens qui
  proposent d'interdire <wikipedia name="Interdiction des réseaux
  sociaux aux mineurs">les réseaux sociaux</wikipedia> ou la
  pornographie aux mineurs. Des lois sont déjà votées, comme
  <wikipedia name="Australie">en Australie</wikipedia><!--
  https://www.lemonde.fr/international/article/2026/03/31/en-australie-plusieurs-plateformes-dont-tiktok-instagram-et-youtube-visees-par-une-enquete-sur-l-interdiction-des-reseaux-sociaux-aux-moins-de-16-ans_6675537_3210.html
  -->. L'<wikipedia name="Union européenne">UE</wikipedia> a <link
  url="https://digital-strategy.ec.europa.eu/en/factpages/blueprint-age-verification-solution-help-protect-minors-online">un
  plan en cours</link> et <link
  url="https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_26_817">un
  projet de logiciel</link>. Vous pouvez consulter <link
  url="https://ageverification.dev">le site du projet
  logiciel</link>. En France, où l'une des questions secondaires était
  la compatibilité d'un éventuel contrôle avec le droit européen, un
  <link
  url="https://infocuria.curia.europa.eu/tabs/document/C/2024/C-0188-24-00000000RP-01-P-01/ARRET/322289-FR-1-html">arrêt
  du 16 juin 2026</link> de la <wikipedia name="Cour de justice de l'Union européenne">Cour de justice de l’Union
  européenne</wikipedia> a estimé que la France pouvait obliger des
  sociétés basées dans un État membre à mettre en place une
  vérification d’âge.</p>
  <p>L'<link
  url="https://datatracker.ietf.org/group/agews/about/">atelier
  </link> devait explorer les différents techniques et choix
  d'architecture liés à ce désir de restriction. Comment combiner
  cette exigence de restriction aux mineurs tout en préservant les
  principes d'universalité et de décentralisation de l'Internet, ainsi
  que la vie privée ?  Comment le faire sans mettre en place un
  système de contrôle qui fera le bonheur de gouvernements
  autoritaires voire dictatoriaux ? Et faut-il déléguer la sécurité
  des enfants aux opérateurs Internet, plutôt qu'aux adultes qui s'en
  occupent (parents, enseignants, etc) ? Les politiciens qui réclament
  des restrictions d'âge « pour protéger les enfants » ne se posent
  évidemment jamais ces questions (et les <link
  url="https://csa-scientist-open-letter.org/ageverif-Feb2026">avertissements
  des experts</link> sont systèmatiquement ignorés). Un exemple
  non-technique : ces restrictions peuvent servir à un gouvernement
  religieux et/ou réactionnaire pour bloquer l'accès à des sites Web
  <wikipedia name="Lesbiennes, gays, bisexuels et transgenres">LGBT</wikipedia>, au détriment des mineurs en
  questionnement qui voudraient s'informer (notez que le RFC ne
  mentionne pas ce point). L'atelier n'a pas essayé de traiter les
  problèmes politiques, mais uniquement d'analyser les techniques
  existantes et de pointer leurs caractéristiques et leurs
  conséquences. Comme indiqué au début, cet atelier a été l'occasion
  d'exprimer des points de vue variés (sous la <wikipedia name="Règle de Chatham House">règle de
  Chatham House</wikipedia>), ce <wikipedia name="Request for
  comments">RFC</wikipedia> ne prétend pas en faire un synthèse, ni
  donner La Bonne Réponse. Le RFC inclut notamment un liste des
  propriétés attendues d'une « bonne » solution, dans l'annexe D. Ce
  point de départ d'un vrai cahier des charges manque dans la plupart
  des discours politiciens, où on ne fait que répéter des slogans,
  sans dire clairement quels sont les avantages attendus et les
  inconvénients acceptables. (L'annexe C est une intéressante liste
  des impacts - positifs ou négatifs - possibles du contrôle d'âge.)
  <image name="how-do-you-like-it-wrapped.webp"/></p>
  <p>L'agenda complet de l'atelier figure dans l'annexe A du RFC, la
  liste des participants dans l'annexe B. Passons maintenant au
  contenu.</p>
  <p>Les « solutions » techniques peuvent être mises en œuvre dans le
  terminal de l'utilisateurice, dans le réseau (pas exemple dans le
  <link local="resolveur-dns">résolveur DNS</link>) ou bien dans le
  service (regardez <computer>https://fr.pornhub.com/</computer>
  depuis la France, pour voir ; n'hésitez pas, c'est
  <wikipedia name="Not safe for work">SFW</wikipedia>). Dans le terminal ? Cela donne du
  pouvoir à <wikipedia>Microsoft</wikipedia> ou
  <wikipedia>Google</wikipedia> et encourage les systèmes
  <wikipedia name="Logiciel propriétaire">privateurs</wikipedia> sur lesquels l'utilisateurice n'a
  aucun contrôle. (Encore que le <wikipedia>logiciel libre</wikipedia>
  peut aussi, par souci de conformité et pour se faire bien voir des
  politiciens, <link
  url="https://news.ycombinator.com/item?id=47436240">mettre en œuvre
  ces contrôles</link>.) Dans le réseau ? Cela met en danger le cœur
  de l'Internet. Et cela donne du pouvoir aux acteurs de
  l'infrastucture. Et ce n'est pas très précis (pensez au cas d'un
  foyer où il y a adultes et enfants mais une seule adresse IP). Dans
  les services ? Cela met le problème sur le dos de chaque
  webmestre.</p>
  <p>L'atelier a examiné quelques technologies « miracle » censées
  permettre de vérifier l'âge tout en préservant la vie privée (comme
  les <wikipedia name="Preuve à divulgation nulle de connaissance">ZKP</wikipedia><!-- Il y a un draft
  draft-google-cfrg-libzk avec du code
  https://github.com/google/longfellow-zk -->). Même si elles
  résolvaient parfaitement le problème de vie privée, elles laissent
  ouverts les autres problèmes. Et ces technologies sont souvent
  récentes et leur sécurité n'est pas toujours testée en
  profondeur.</p>
  <p>Bref, l'atelier n'a pas débouché sur une « solution » ni même sur
  un plan de travail pour l'<wikipedia name="Internet Engineering Task
  Force">IETF</wikipedia>. La question reste très ouverte.</p>
  <p>Le RFC pointe en section 3 les aspects les plus importants de ce
  sujet. D'abord, le fait que l'atelier a été utile car, alors que le
  sujet a bénéficié de nombreux articles dans la presse généraliste,
  et de nombreux discours politiciens, les discussions techniques ont
  été rares, de même que les forums impliquant toutes les parties
  prenantes. Et quand des techniciens étaient consultés, c'était
  toujours du point de vue des services, jamais de celui de
  l'infrastructure.</p>
  <p>Ensuite, les discussions sont souvent peu productives car il y a
  eu peu d'efforts pour identifier les différentes rôles impliqués
  (cf. la <link
  url="https://datatracker.ietf.org/doc/slides-agews-slides-where-enforcement-happens/">présentation
  d'Hanson</link>) :
  <enum>
    <item>Le vérificateur qui doit tester si une personne donnée a
    plus que l'âge requis,</item>
    <item>Le contrôleur qui doit empêcher une personne qui a « raté »
    le test précédent d'accéder au service,</item>
    <item>Le sélecteur de politique, qui définit la politique à
    appliquer (elle dépend en général du pays de résidence du client,
    qui est difficile à déterminer sur l'<wikipedia>Internet</wikipedia>),</item>
    <item>Et le classificateur qui doit déterminer si un contenu donné
    ou un certain service doit être restreint d'accès.</item>
  </enum>
  Cette question est aussi liée à celle de la terminologie, souvent
  peu définie. (Tiens, j'apprends dans le RFC qu'il existe une <link
  url="https://www.iso.org/standard/88143.html">norme ISO</link> sur
  la vérification d'âge, ISO/IEC 27566-1:2025, évidemment pas
  accessible aux mineurs - il faut laisser plein de données
  personnelles pour l'obtenir.)</p>
  <p>Autre sujet mis en évidence à l'atelier, l'importance de la
  préservation de la <wikipedia>vie privée</wikipedia>. Cette exigence
  est largement méprisée par les défenseurs du contrôle d'âge, le
  record de connerie ayant récemment été battu par <link
  url="https://www.lapresse.ca/actualites/politique/2026-06-12/reseaux-sociaux/la-verification-de-l-age-des-usagers-pourrait-poser-probleme.php">une
  parlementaire canadienne</link> qui affirmait que la reconnaissance
  faciale respectait l'anonymat puisque le logiciel ne connaissait pas
  le nom de la personne. Une partie des acteurs cités plus haut va
  connaitre des informations personnelles sur les clients des
  services, et ces acteurs ne sont pas forcément connus de ces
  clients. Imaginez que vous alliez sur un site Web de contenu pour
  adultes puis soudainement vous êtes redirigé vers le site Web du
  vérificateur qui va vous demander de prouver votre âge. Si vous êtes
  raisonnablement prudent, vous refusez. Si vous tenez à voir le
  contenu, vous répondez et voilà : on a habitué les utilisateurs à
  faire confiance à des sites inconnus et inattendus. Une vraie aide
  au <wikipedia>hameçonnage</wikipedia>.</p>
  <p>En parlant de confiance, un des points difficiles de toute
  solution technique au problème du contrôle d'âge est la nécessité de
  faire confiance à de nouveaux acteurs. Certes, il existe <wikipedia
  name="Preuve à divulgation nulle de connaissance">des méthodes
  mathématiques pour prouver quelque chose sans divulguer
  d'information</wikipedia> mais elles sont récentes, peu testées, et
  sont loin d'épuiser le problème de la confiance. Le fait que
  beaucoup de techniques proposées ne soient pas en
  <wikipedia>logiciel libre</wikipedia> n'arrange rien. (Le RFC ne
  mentionne pas ce point, sauf pour enfoncer une porte ouverte en
  rappelant que le logiciel libre ne résoud pas tous les problèmes de
  confiance.)</p>
  <p>Les participants à l'atelier ont aussi noté qu'il y avait peu de
  chances qu'une seule technique suffise : toutes ont des défauts
  graves. Les techniques reposant sur des documents étatiques écartent
  les gens qui n'en ont pas, ou ceux qui ont des documents non
  reconnus. Les techniques probabilistes d'estimation de l'âge (par
  exemple par examen du visage) ont beaucoup de faux positifs et de
  faux négatifs (et, pire, cela <link
  url="https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8491.pdf">dépend de la couleur de peau</link><!-- Ngan, M.,
  Grother, P., and A. Hom, "Face Analysis Technology Evaluation (FATE)
  Part 10: Performance of Passive, Software-Based Presentation Attack
  Detection (PAD) Algorithms", National Institute of Standards and
  Technology, NIST IR 8491, DOI 10.6028/NIST.IR.8491, September 2023,
  -->). Une approche possible serait d'essayer successivement
  plusieurs techniques, en commençant par les moins invasives (mais
  cela créerait une discrimination envers les catégories de population
  qui échouent à ces premières techniques).</p>
  <p>L'imperfection de toutes ces techniques a des conséquences
  sérieuses : exclusion de certaines personnes, contournement par
  d'autres (certains utilisateurs de contenu « pour adultes » n'ont
  pas l'âge mais sont motivés, techniquement compétents et ont du
  temps libre).</p>
  <p>La plupart des architectures proposées ajoutent des parties à la
  relation traditionnelle entre le visiteur d'un site Web et le site
  en question, notamment le vérificateur et le contrôleur. On
  complique donc l'architecture du Web en ajoutant de nouvelles
  dépendances.</p>
  <p>Et, bien sûr, la technique n'est pas tout. La sécurité des
  mineurs ne doit pas dépendre uniquement de techniques dont l'atelier
  a largement montré la fragilité. Le problème, il est vrai, est très
  difficile puisqu'il faut à la fois protéger les mineurs contre les
  dangers bien réels, tout en les préparant à leur future vie de
  majeur, où il n'y aura pas de restrictions techniques. Les contrôles
  techniques sont forcément grossiers et binaires, et ne prennent pas
  en compte toutes les nuances du monde. Il ne faudrait surtout pas
  déléguer des tâches aussi complexes et délicates que l'éducation à
  des « solutions » techniques.</p>
  <p>Quelques autres ressources :
  <enum>
    <item>La <link
    url="https://www.youtube.com/watch?v=0lwsLg1Aa9g">vidéo de
présentation de l'atelier</link>.</item>
    <item>Les <link
    url="https://datatracker.ietf.org/group/agews/materials/">documents
    présentés à l'atelier</link>.</item>
    <item>La <link
    url="https://www.internetsociety.org/resources/policybriefs/2025/age-restrictions-and-online-safety/">prise
de position de l'Internet Society</link>.</item>
    <item>Un <link
    url="https://datatracker.ietf.org/doc/draft-nottingham-iab-age-restrictions/">précédent
    Internet-Draft</link> sur les conséquences d'une restriction d'âge
    pour l'Internet.</item>
  </enum>
  </p>
</content>
</rfcdesc>
