Les vérifications de l’âge sur les sites Web deviennent une cible privilégiée pour les pirates informatiques, créant un risque important en matière de confidentialité et de sécurité pour les utilisateurs. Les méthodes utilisées pour vérifier l’âge – notamment l’analyse des photos par l’IA, les demandes de photo d’identité (permis de conduire, passeports) et les contrôles de carte de crédit – génèrent une richesse de données personnelles de plus en plus vulnérables aux violations. Des incidents récents soulignent la gravité du problème, soulevant des questions sur l’efficacité des réglementations actuelles et leur application.
La marée montante des violations
En octobre 2025, Discord, une plateforme de médias sociaux populaire, a subi un piratage qui a potentiellement révélé les photos d’identité de 70 000 utilisateurs. La violation s’est produite via un fournisseur de services tiers, mettant en évidence une faiblesse systémique dans la manière dont la vérification de l’âge est mise en œuvre. De même, en juillet 2025, l’application Tea, qui oblige les utilisateurs à soumettre une photo d’identité et des selfies, a également été piratée, révélant des données utilisateur sensibles. Ces incidents démontrent que même les plateformes conformes à la nouvelle législation, comme la loi britannique sur la sécurité en ligne, ne sont pas à l’abri des violations.
Conformité réglementaire et sécurité réelle
La pression en faveur d’une vérification plus stricte de l’âge est motivée par des législations telles que la loi britannique sur la sécurité en ligne, la loi française sur l’espace numérique et la loi européenne sur les services numériques. Ces lois considèrent que les contrôles d’âge auto-déclarés sont insuffisants et imposent des méthodes plus robustes, telles que la correspondance avec photo d’identité ou la vérification de carte de crédit. Cependant, la réalité est que de nombreuses plateformes s’appuient sur des fournisseurs tiers pour gérer ces données, créant ainsi un maillon faible dans la chaîne de sécurité. L’affirmation de Discord selon laquelle il ne stocke pas de manière permanente les documents d’identité est minée par le fait que son fournisseur tiers a été piraté, exposant malgré tout les données des utilisateurs.
Les conséquences des fuites de données
Les dommages potentiels liés aux fuites de selfies et de photos d’identité sont considérables. Les utilisateurs sont confrontés au vol d’identité, à la fraude et à des cybercrimes de plus en plus sophistiqués rendus possibles par la technologie deepfake et l’IA générative. La disponibilité de ces données personnelles amplifie le risque d’attaques ciblées et de manipulations malveillantes. De plus, le fait que les fournisseurs tiers soient souvent situés en dehors de juridictions réglementaires strictes (comme l’UE ou le Royaume-Uni) rend presque impossible l’application des normes de suppression des données et de sécurité.
La nécessité d’une surveillance plus stricte
Malgré les directives des régulateurs comme le Bureau du commissaire à l’information du Royaume-Uni et l’Ofcom, les violations de Tea et Discord prouvent que les mesures actuelles sont inefficaces pour empêcher la conservation des données ou imposer la suppression. Le ministère britannique de la Science, de l’Innovation et de la Technologie a tenté de répondre à ces préoccupations, en réitérant les règles du RGPD qui exigent la minimisation des données. Cependant, la réalité est que les plateformes sont souvent incitées à conserver des données à des fins commerciales, même si cela enfreint les réglementations en matière de confidentialité.
La voie à suivre
Pour protéger la vie privée des utilisateurs, une surveillance et une application plus strictes sont essentielles. Les régulateurs doivent aller au-delà de simples orientations et imposer des exigences contraignantes aux plateformes et aux fournisseurs tiers. Cela comprend des politiques obligatoires de suppression des données, des audits de sécurité réguliers et des sanctions sévères en cas de non-conformité. L’approche actuelle, qui repose sur une autoréglementation volontaire, s’est révélée inadéquate. Sans véritables pouvoirs répressifs, la vérification de l’âge en ligne continuera d’être une mine d’or pour les pirates informatiques.
