Protection des mineurs en ligne : c’est quoi la différence entre le double anonymat et le zero knowledge proof ?

Pendant des années, la protection des mineurs sur les sites pornographiques s’est contenté d’une case à cocher et d’un pari sur la bonne volonté de l’utilisateur. Puis sont arrivées les lois, les injonctions, les procédures devant les tribunaux, les menaces de blocages contournables par un simple VPN. La France a fini par se doter d’un cadre solide avec la loi SREN de mai 2024 et le référentiel de l’Arcom, publié en octobre de la même année.

Depuis le 11 janvier 2025, les sites pour adultes accessibles depuis le territoire français ont l’obligation légale de vérifier l’âge de leurs utilisateurs, sous peine de blocage. Et depuis le 15 avril 2026, la Commission européenne a franchi un cap supplémentaire en annonçant une application de vérification d’âge à l’échelle du continent, techniquement opérationnelle et reposant sur la technologie zero knowledge proof. Une annonce qui peut surprendre, alors que la vérification d’âge par double anonymat était vendue depuis des années comme une solution miracle à la protection des mineurs en ligne. Mais du coup, c’est quoi la différence ?

Le double anonymat, une architecture organisationnelle

Le double anonymat n’est pas une technologie au sens strict. C’est un principe architectural, c’est-à-dire une façon d’organiser les rôles entre les différents acteurs impliqués dans une vérification d’âge. Le référentiel de l’Arcom, co-conçu avec la CNIL, en donne une définition précise. Le mécanisme repose sur un tiers indépendant, extérieur au site pornographique, qui se charge de vérifier l’identité de l’utilisateur. Ce prestataire génère ensuite une preuve de majorité, sorte de ticket anonyme, transmise au site. Résultat : le site sait que l’utilisateur est majeur, mais ne sait pas qui il est. Le prestataire, lui, connaît l’identité de l’utilisateur, mais n’est pas censé savoir quel site il consulte.

L’étanchéité entre les deux acteurs est au cœur du système. La CNIL la réclame depuis 2021, précisément parce que l’orientation sexuelle réelle ou supposée d’une personne peut être déduite des contenus qu’elle consulte. Le double anonymat est une réponse organisationnelle à ce risque : en séparant qui sait quoi, on évite qu’un seul acteur ait accès à l’ensemble de l’équation.

Le système est fonctionnel en théorie. En pratique, il présente une limite évidente : quelqu’un connaît votre identité. Le prestataire de vérification voit votre carte d’identité ou votre passeport, il sait qui vous êtes, même s’il n’est pas censé savoir où vous allez. Le double anonymat nécessite donc d’avoir entièrement confiance en un tiers privé, son sérieux technique, sa conformité aux règles, et sa solidité face à une éventuelle fuite de données.

Le zero knowledge proof, une garantie mathématique

C’est là que le zero knowledge proof entre en jeu avec une proposition radicalement différente. Il ne s’agit plus d’une organisation des rôles, mais d’une propriété mathématique. Un ZKP est une construction cryptographique qui permet à une personne de prouver qu’elle possède une information (par exemple, le fait d’être majeure) sans jamais révéler l’information elle-même, ni à la plateforme qu’elle veut rejoindre, ni même à un quelconque intermédiaire.

Concrètement, c’est comme si vous deviez convaincre quelqu’un que vous connaissez la solution d’une énigme, sans lui dire quelle est la solution. Pas de triche possible, pas de vérification partielle, juste une preuve mathématiquement irréfutable. Appliqué à la vérification d’âge, le ZKP permet à un utilisateur de scanner sa pièce d’identité, de générer localement une preuve cryptographique qu’il a plus de 18 ans, et de transmettre uniquement cette preuve à la plateforme. La date de naissance réelle, le nom, le numéro de document : rien ne circule.

C’est exactement ce sur quoi repose l’application européenne annoncée par Ursula von der Leyen le 15 avril 2026. Développée par Scytáles et T-Systems (la filiale numérique de Deutsche Telekom), après un appel d’offres lancé en février 2025, l’outil est gratuit, open source, compatible avec smartphones et ordinateurs. Sept États membres pilotes, dont la France, l’Italie, l’Espagne, l’Irlande, Chypre, la Grèce et le Danemark, prévoient de l’intégrer dans leurs portefeuilles d’identité numérique nationaux d’ici la fin de l’année.

Le problème, c’est que le ZKP a rapidement été mis à mal. Deux minutes après sa mise en ligne, l’application européenne qui brillait par sa sécurité a finalement été piratée, démontrant de profondes failles de sécurité dans sa conception.

Deux sécurités complémentaires

La distinction essentielle entre les deux notions, c’est que le double anonymat est une règle du jeu, et le ZKP est une façon de la respecter sans même avoir à faire confiance aux joueurs. Dans le premier cas, la protection dépend du comportement des acteurs, de leur séparation effective, de l’absence de collusion entre eux. Dans le second, elle est garantie mathématiquement. Même si un prestataire voulait accéder à vos données, il ne le pourrait techniquement pas.

La CNIL avait d’ailleurs anticipé ce lien en recommandant dès juillet 2022 l’utilisation de techniques de zero knowledge proof comme meilleure implémentation possible du double anonymat. Les deux notions ne s’opposent pas : le ZKP est ce qui permet au double anonymat de tenir réellement ses promesses, plutôt que de reposer sur la bonne foi d’un tiers. En France, 70 % des mineurs de moins de 15 ans savent comment accéder à des sites pour adultes en contournant les vérifications en place. En Europe, la Commission a ouvert des procédures contre Pornhub, Stripchat, XNXX et Xvideos pour non-respect du Digital Services Act.

La vraie question reste celle de l’adoption. Une application européenne de vérification d’âge n’a de valeur que si les plateformes l’acceptent, si les États la déploient correctement et si les utilisateurs lui font assez confiance.

🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.