Mastodon face aux lois de vérification d'âge : « nous n'avons pas les moyens de nous y conformer ».

Les législateurs comprennent-ils suffisamment le modèle décentralisé pour légiférer efficacement ?

Mastodon face aux lois de vérification d’âge : « nous n'avons pas les moyens de nous y conformer ».
Les législateurs comprennent-ils suffisamment les spécificités du modèle décentralisé pour légiférer efficacement ?

Depuis quelques années, la question de la protection des mineurs en ligne est devenue un champ de bataille entre gouvernements, grandes plateformes et défenseurs de la vie privée. Les législateurs, aux États-Unis comme en Europe, multiplient les lois imposant une vérification stricte de l’âge des internautes souhaitant accéder aux réseaux sociaux ou à certains contenus.

Aux États-Unis, le Mississippi a récemment mis en vigueur une loi (HB 1126) imposant que tout utilisateur de réseaux sociaux justifie de son âge, sous peine de sanctions financières sévères pour les plateformes. Le Tennessee et le Nebraska ont adopté des textes comparables, tandis que d’autres États envisagent déjà des législations similaires. Au Royaume-Uni, le très controversé Online Safety Act, entré en application en juillet 2025, contraint les sites à vérifier l’âge des internautes via des méthodes intrusives allant du scan de documents d’identité à la reconnaissance faciale biométrique.

Si ces lois visent à protéger les mineurs, elles entraînent en parallèle une réduction potentielle de l’anonymat en ligne et une concentration accrue de données personnelles sensibles entre les mains de tiers, ce qui inquiète aussi bien les experts en cybersécurité que les défenseurs des libertés numériques.

Dans ce contexte, la position de Mastodon mérite attention. La plateforme, lancée en 2016 et désormais pilier du fediverse, repose sur une architecture décentralisée et fédérée : plutôt qu’un service unique et centralisé comme X (ex-Twitter) ou Meta, Mastodon est constitué de milliers de serveurs indépendants (instances), chacun géré par des administrateurs locaux, mais interconnectés grâce au protocole ActivityPub.

Or, cette structure rend impossible une mise en conformité uniforme avec les lois sur la vérification d’âge. Eugen Rochko, fondateur de Mastodon et directeur de Mastodon gGmbH (entité allemande à but non lucratif qui maintient le logiciel), l’a affirmé clairement dans une note récente :

• Mastodon ne collecte aucune donnée personnelle susceptible de vérifier l’âge.
• Il n’existe aucune autorité centrale capable d’imposer à tous les serveurs une règle ou une restriction géographique.

Dit autrement, la principale pierre d'achoppement réside dans l'ADN même de Mastodon. Contrairement à X (anciennement Twitter) ou à Facebook, il ne s'agit pas d'une entité unique contrôlant des serveurs centralisés. Le réseau est une fédération d'instances autonomes, gérées par des individus ou de petites communautés. Chaque administrateur de serveur (ou « admin d'instance ») est responsable de sa propre infrastructure, de sa modération et de l'application de ses règles.

Les lois de vérification de l'âge, conçues pour s'appliquer à des sociétés monolithiques, s'effondrent face à ce modèle. Il n'existe pas d'organisme central « Mastodon » capable d'implémenter un système de vérification à l'échelle mondiale. Demander une telle conformité, c'est ignorer la nature distribuée du protocole ActivityPub, qui connecte les différentes instances. Pour un professionnel de l'informatique, c'est comme demander à l'Internet lui-même de vérifier l'âge de chaque utilisateur : une tâche techniquement impossible et absurde.

Par ailleurs, Mastodon est une organisation à but non lucratif, principalement financée par des dons. L'implémentation de systèmes de vérification d'âge est une entreprise coûteuse et complexe. Ces solutions impliquent souvent le recours à des services tiers, qui exigent des frais d'abonnement élevés et des coûts de transaction pour chaque vérification. Ces charges financières sont tout simplement insoutenables pour l'organisation de Mastodon ou pour la grande majorité des administrateurs d'instances, qui gèrent leur serveur sur leur temps libre et avec un budget limité, voire inexistant.

De plus, ces systèmes requièrent une infrastructure technique solide pour le traitement et le stockage sécurisé des données sensibles, un investissement qu'une organisation de la taille de Mastodon ne peut se permettre.

Notons que les solutions comme le géoblocage par adresse IP seraient non seulement techniquement lourdes, mais aussi inefficaces et injustes (elles pourraient bloquer des utilisateurs voyageant légitimement). Autrement dit, Mastodon n’a ni les moyens techniques ni la philosophie pour implémenter de telles obligations. Contrairement à des plateformes centralisées comme TikTok ou Meta, il n’existe pas de back-office global où appliquer un filtre universel.

Mastodon 4.4 : une tentative de compromis

Au-delà des obstacles techniques et financiers, la position de Mastodon est fermement ancrée dans une philosophie de respect de la vie privée. La vérification de l'âge, dans la plupart des cas, nécessite la collecte de données personnelles, souvent sensibles : documents d'identité, informations bancaires ou numéros de téléphone. Cette collecte va à l'encontre de la promesse de Mastodon de protéger l'anonymat et la vie privée de ses utilisateurs.

Pour la communauté IT, l'idée de stocker ces informations sur de multiples serveurs potentiellement moins sécurisés qu'une infrastructure de grande entreprise est une source de préoccupation majeure. Cela expose les utilisateurs à un risque accru de fuites de données et de cyberattaques. Le Fédiverse, par essence, cherche à créer un espace moins surveillé et moins intrusif, une vision directement menacée par ces nouvelles lois.

Face à la montée des pressions légales, Mastodon a introduit, dans sa version 4.4 (juillet 2025), un ensemble de fonctionnalités dites « juridiques » :

• Les administrateurs peuvent désormais exiger la saisie d’une date de naissance lors de l’inscription.
• Les informations sont vérifiées, puis immédiatement supprimées pour éviter toute conservation de données sensibles.
• Chaque instance peut définir son âge minimal (souvent 16 ans), en cohérence avec certaines lois locales.

Cette évolution permet aux serveurs qui le souhaitent de montrer leur bonne volonté réglementaire, mais elle reste limitée. En effet :

• La vérification repose sur la déclaration volontaire de l’utilisateur, sans moyen fiable de contrôle.
• Les données ne sont pas stockées, ce qui évite les risques de fuites, mais empêche aussi tout audit légal ultérieur.
• Rien n’empêche un mineur de mentir lors de son inscription, comme c’est déjà le cas sur la plupart des réseaux sociaux.

Mastodon choisit donc une voie médiane : offrir un outil juridique minimal aux administrateurs, sans sacrifier les principes fondateurs de protection de la vie privée et de décentralisation.


Le dilemme des administrateurs d’instances

Dans ce modèle, ce sont les administrateurs locaux qui se retrouvent en première ligne. Ils doivent :

• Décider d’appliquer ou non une restriction d’âge.
• Se renseigner sur les législations locales (parfois très complexes ou changeantes).
• Prendre la responsabilité juridique des choix opérés.

Mastodon gGmbH a prévenu qu’elle ne pouvait pas fournir de support opérationnel direct aux administrateurs confrontés à ces enjeux. Elle recommande de s’appuyer sur des ressources comme la bibliothèque IFTAS, un projet dédié à la modération et à la gouvernance des communautés en ligne. Cette approche illustre bien la tension entre la vision idéologique du fediverse (liberté, autonomie, absence de hiérarchie) et les réalités réglementaires imposées par les États.

La non-conformité de Mastodon ne fait que déplacer la charge sur les administrateurs individuels. Ils sont désormais confrontés à la pression de respecter les lois locales, avec le risque de poursuites judiciaires, tout en n'ayant ni les ressources techniques ni les moyens financiers pour le faire. Cette situation pourrait décourager la création de nouvelles instances et en pousser beaucoup à fermer, ce qui affaiblirait la décentralisation qui fait la force de Mastodon.

Bluesky, autre réseau social décentralisé, a pris une décision radicale : bloquer complètement l’accès aux utilisateurs

Les adresses IP en provenance du Mississipi sont bloquées pour éviter de devoir se conformer à la loi locale. Cette stratégie, qualifiée de « géoblocage préventif », limite l’exposition juridique mais fracture l’universalité du réseau.

Voici ce que Bluesky dit à ce sujet :

« Assurer la sécurité des enfants en ligne est une priorité absolue pour Bluesky. Nous avons investi beaucoup de temps et de ressources dans la création d'outils de modération et d'autres infrastructures visant à protéger les plus jeunes membres de notre communauté. Nous sommes également conscients des compromis inhérents à la gestion d'une plateforme en ligne. Notre mission est de créer un protocole ouvert et décentralisé pour les conversations publiques, et nous croyons qu'il est important de donner aux utilisateurs plus de choix et de contrôle sur leur expérience. Nous travaillons avec les régulateurs du monde entier sur la sécurité des enfants. Par exemple, Bluesky respecte la loi britannique sur la sécurité en ligne, qui impose des contrôles d'âge uniquement pour certains contenus et fonctionnalités spécifiques.

« L'approche du Mississippi modifierait fondamentalement la manière dont les utilisateurs accèdent à Bluesky. La récente décision de la Cour suprême nous confronte à une dure réalité : nous conformer à la loi du Mississippi sur la vérification de l'âge (et obliger tous les utilisateurs de Bluesky dans cet État à fournir des informations personnelles sensibles et à se soumettre à des contrôles d'âge pour accéder au site) ou risquer des amendes colossales. La loi nous obligerait également à identifier et à suivre les utilisateurs mineurs, contrairement à notre approche dans d'autres régions. Nous pensons que cette loi crée des défis qui vont au-delà de ses objectifs de sécurité des enfants et crée des obstacles importants qui limitent la liberté d'expression et nuisent de manière disproportionnée aux petites plateformes et aux technologies émergentes.

« Contrairement aux géants technologiques qui disposent de ressources considérables, nous sommes une petite équipe qui se concentre sur le développement d'une technologie sociale décentralisée qui donne le contrôle aux utilisateurs. Les systèmes de vérification de l'âge nécessitent des investissements importants en termes d'infrastructure et de temps de développement, des mesures complexes de protection de la vie privée et une surveillance continue de la conformité, autant de coûts qui peuvent facilement submerger les petits fournisseurs. Cette dynamique renforce la position dominante des grandes plateformes technologiques existantes tout en étouffant l'innovation et la concurrence qui profitent aux utilisateurs.

« Nous pensons que les politiques efficaces en matière de sécurité des enfants doivent être soigneusement adaptées pour lutter contre les préjudices réels, sans créer d'obstacles importants pour les petits fournisseurs et sans entraîner de conséquences négatives pour la liberté d'expression. C'est pourquoi, jusqu'à ce que les contestations juridiques de cette loi soient résolues, nous avons pris la décision difficile de bloquer l'accès aux adresses IP du Mississippi. Nous savons que cela est décevant pour nos utilisateurs du Mississippi, mais nous pensons qu'il s'agit d'une mesure nécessaire pendant que les tribunaux examinent les arguments juridiques ».


Conclusion : un bras de fer aux conséquences globales

La déclaration de Mastodon selon laquelle il « n’a pas les moyens de se conformer » n’est pas un aveu de faiblesse technique, mais bien un constat structurel et philosophique. La plateforme refuse de renier ses principes fondateurs—décentralisation, respect de la vie privée, autonomie communautaire—même au prix d’un risque juridique accru.

La déclaration de Mastodon sur son incapacité à se conformer aux lois de vérification de l'âge est un signal fort pour le monde de la technologie. Elle révèle une fracture profonde entre l'approche centralisée des régulateurs et la réalité technique des réseaux décentralisés. Plutôt qu'un simple manquement, c'est une preuve de concept que le modèle du Fédiverse, par son architecture même, est conçu pour échapper à la logique de contrôle et de surveillance qui domine l'Internet actuel.

Ce choix place Mastodon au cœur d’un débat plus large : Internet doit-il évoluer vers un espace contrôlé et vérifié, au détriment de l’anonymat et de la décentralisation ? Ou faut-il inventer des modèles hybrides capables de concilier protection des mineurs et liberté numérique ?

bibliothèque IFTAS

Sources : Mastodon 4.4, spécificité de Mastodon 4.4 concernant les obligations légales, Bluesky

Et vous ?

Que pensez-vous de la décision des législateurs d’imposer les mêmes obligations de conformité à des géants comme Meta et à des communautés bénévoles qui hébergent des instances Mastodon ? Que pensez-vous de la réaction de Mastodon ? De Bluesky ?

Pouvons-nous imaginer une solution de vérification d'âge à la fois décentralisée et respectueuse de la vie privée ? Le protocole ActivityPub pourrait-il être étendu pour intégrer une couche de vérification d'identité sans compromettre l'anonymat ?

Comment les administrateurs d'instances, souvent bénévoles, pourraient-ils se conformer sans mettre en péril l'existence même de leur serveur ? Quel niveau de responsabilité juridique est acceptable pour ces individus ?

Faut-il développer une solution open-source de vérification d'âge qui soit peu coûteuse et facile à déployer sur des instances Mastodon ? Comment garantir sa sécurité et sa fiabilité pour la communauté ?