Mastodon face aux lois de vérification d'âge : « nous n'avons pas les moyens de nous y conformer ».

Les législateurs comprennent-ils suffisamment le modèle décentralisé pour légiférer efficacement ?

Depuis quelques années, la question de la protection des mineurs en ligne est devenue un champ de bataille entre gouvernements, grandes plateformes et défenseurs de la vie privée. Les législateurs, aux États-Unis comme en Europe, multiplient les lois imposant une vérification stricte de l’âge des internautes souhaitant accéder aux réseaux sociaux ou à certains contenus.

Aux États-Unis, le Mississippi a récemment mis en vigueur une loi (HB 1126) imposant que tout utilisateur de réseaux sociaux justifie de son âge, sous peine de sanctions financières sévères pour les plateformes. Le Tennessee et le Nebraska ont adopté des textes comparables, tandis que d’autres États envisagent déjà des législations similaires. Au Royaume-Uni, le très controversé Online Safety Act, entré en application en juillet 2025, contraint les sites à vérifier l’âge des internautes via des méthodes intrusives allant du scan de documents d’identité à la reconnaissance faciale biométrique.

Si ces lois visent à protéger les mineurs, elles entraînent en parallèle une réduction potentielle de l’anonymat en ligne et une concentration accrue de données personnelles sensibles entre les mains de tiers, ce qui inquiète aussi bien les experts en cybersécurité que les défenseurs des libertés numériques.

Dans ce contexte, la position de Mastodon mérite attention. La plateforme, lancée en 2016 et désormais pilier du fediverse, repose sur une architecture décentralisée et fédérée : plutôt qu’un service unique et centralisé comme X (ex-Twitter) ou Meta, Mastodon est constitué de milliers de serveurs indépendants (instances), chacun géré par des administrateurs locaux, mais interconnectés grâce au protocole ActivityPub.

Or, cette structure rend impossible une mise en conformité uniforme avec les lois sur la vérification d’âge. Eugen Rochko, fondateur de Mastodon et directeur de Mastodon gGmbH (entité allemande à but non lucratif qui maintient le logiciel), l’a affirmé clairement dans une note récente :

• Mastodon ne collecte aucune donnée personnelle susceptible de vérifier l’âge.
• Il n’existe aucune autorité centrale capable d’imposer à tous les serveurs une règle ou une restriction géographique.

Dit autrement, la principale pierre d'achoppement réside dans l'ADN même de Mastodon. Contrairement à X (anciennement Twitter) ou à Facebook, il ne s'agit pas d'une entité unique contrôlant des serveurs centralisés. Le réseau est une fédération d'instances autonomes, gérées par des individus ou de petites communautés. Chaque administrateur de serveur (ou « admin d'instance ») est responsable de sa propre infrastructure, de sa modération et de l'application de ses règles.

Les lois de vérification de l'âge, conçues pour s'appliquer à des sociétés monolithiques, s'effondrent face à ce modèle. Il n'existe pas d'organisme central « Mastodon » capable d'implémenter un système de vérification à l'échelle mondiale. Demander une telle conformité, c'est ignorer la nature distribuée du protocole ActivityPub, qui connecte les différentes instances. Pour un professionnel de l'informatique, c'est comme demander à l'Internet lui-même de vérifier l'âge de chaque utilisateur : une tâche techniquement impossible et absurde.

Par ailleurs, Mastodon est une organisation à but non lucratif, principalement financée par des dons. L'implémentation de systèmes de vérification d'âge est une entreprise coûteuse et complexe. Ces solutions impliquent souvent le recours à des services tiers, qui exigent des frais d'abonnement élevés et des coûts de transaction pour chaque vérification. Ces charges financières sont tout simplement insoutenables pour l'organisation de Mastodon ou pour la grande majorité des administrateurs d'instances, qui gèrent leur serveur sur leur temps libre et avec un budget limité, voire inexistant.

De plus, ces systèmes requièrent une infrastructure technique solide pour le traitement et le stockage sécurisé des données sensibles, un investissement qu'une organisation de la taille de Mastodon ne peut se permettre.

Notons que les solutions comme le géoblocage par adresse IP seraient non seulement techniquement lourdes, mais aussi inefficaces et injustes (elles pourraient bloquer des utilisateurs voyageant légitimement). Autrement dit, Mastodon n’a ni les moyens techniques ni la philosophie pour implémenter de telles obligations. Contrairement à des plateformes centralisées comme TikTok ou Meta, il n’existe pas de back-office global où appliquer un filtre universel.

Mastodon 4.4 : une tentative de compromis

Au-delà des obstacles techniques et financiers, la position de Mastodon est fermement ancrée dans une philosophie de respect de la vie privée. La vérification de l'âge, dans la plupart des cas, nécessite la collecte de données personnelles, souvent sensibles : documents d'identité, informations bancaires ou numéros de téléphone. Cette collecte va à l'encontre de la promesse de Mastodon de protéger l'anonymat et la vie privée de ses utilisateurs.

Pour la communauté IT, l'idée de stocker ces informations sur de multiples serveurs potentiellement moins sécurisés qu'une infrastructure de grande entreprise est une source de préoccupation majeure. Cela expose les utilisateurs à un risque accru de fuites de données et de cyberattaques. Le Fédiverse, par essence, cherche à créer un espace moins surveillé et moins intrusif, une vision directement menacée par ces nouvelles lois.

Face à la montée des pressions légales, Mastodon a introduit, dans sa version 4.4 (juillet 2025), un ensemble de fonctionnalités dites « juridiques » :

• Les administrateurs peuvent désormais exiger la saisie d’une date de naissance lors de l’inscription.
• Les informations sont vérifiées, puis immédiatement supprimées pour éviter toute conservation de données sensibles.
• Chaque instance peut définir son âge minimal (souvent 16 ans), en cohérence avec certaines lois locales.

Cette évolution permet aux serveurs qui le souhaitent de montrer leur bonne volonté réglementaire, mais elle reste limitée. En effet :

• La vérification repose sur la déclaration volontaire de l’utilisateur, sans moyen fiable de contrôle.
• Les données ne sont pas stockées, ce qui évite les risques de fuites, mais empêche aussi tout audit légal ultérieur.
• Rien n’empêche un mineur de mentir lors de son inscription, comme c’est déjà le cas sur la plupart des réseaux sociaux.

Mastodon choisit donc une voie médiane : offrir un outil juridique minimal aux administrateurs, sans sacrifier les principes fondateurs de protection de la vie privée et de décentralisation.


Le dilemme des administrateurs d’instances

Dans ce modèle, ce sont les administrateurs locaux qui se retrouvent en première ligne. Ils doivent :

• Décider d’appliquer ou non une restriction d’âge.
• Se renseigner sur les législations locales (parfois très complexes ou changeantes).
• Prendre la responsabilité juridique des choix opérés.

Mastodon gGmbH a prévenu qu’elle ne pouvait pas fournir de support opérationnel direct aux administrateurs confrontés à ces enjeux. Elle recommande de s’appuyer sur des ressources comme la bibliothèque IFTAS, un projet dédié à la modération et à la gouvernance des communautés en ligne. Cette approche illustre bien la tension entre la vision idéologique du fediverse (liberté, autonomie, absence de hiérarchie) et les réalités réglementaires imposées par les États.

La non-conformité de Mastodon ne fait que déplacer la charge sur les administrateurs individuels. Ils sont désormais confrontés à la pression de respecter les lois locales, avec le risque de poursuites judiciaires, tout en n'ayant ni les ressources techniques ni les moyens financiers pour le faire. Cette situation pourrait décourager la création de nouvelles instances et en pousser beaucoup à fermer, ce qui affaiblirait la décentralisation qui fait la force de Mastodon.

Bluesky, autre réseau social décentralisé, a pris une décision radicale : bloquer complètement l’accès aux utilisateurs

Les adresses IP en provenance du Mississipi sont bloquées pour éviter de devoir se conformer à la loi locale. Cette stratégie, qualifiée de « géoblocage préventif », limite l’exposition juridique mais fracture l’universalité du réseau.

Voici ce que Bluesky dit à ce sujet :

« Assurer la sécurité des enfants en ligne est une priorité absolue pour Bluesky. Nous avons investi beaucoup de temps et de ressources dans la création d'outils de modération et d'autres infrastructures visant à protéger les plus jeunes membres de notre communauté. Nous sommes également conscients des compromis inhérents à la gestion d'une plateforme en ligne. Notre mission est de créer un protocole ouvert et décentralisé pour les conversations publiques, et nous croyons qu'il est important de donner aux utilisateurs plus de choix et de contrôle sur leur expérience. Nous travaillons avec les régulateurs du monde entier sur la sécurité des enfants. Par exemple, Bluesky respecte la loi britannique sur la sécurité en ligne, qui impose des contrôles d'âge uniquement pour certains contenus et fonctionnalités spécifiques.

« L'approche du Mississippi modifierait fondamentalement la manière dont les utilisateurs accèdent à Bluesky. La récente décision de la Cour suprême nous confronte à une dure réalité : nous conformer à la loi du Mississippi sur la vérification de l...