Mastodon face aux lois de vérification d'âge : « nous n'avons pas les moyens de nous y conformer ».

Les législateurs comprennent-ils suffisamment le modèle décentralisé pour légiférer efficacement ?

Depuis quelques années, la question de la protection des mineurs en ligne est devenue un champ de bataille entre gouvernements, grandes plateformes et défenseurs de la vie privée. Les législateurs, aux États-Unis comme en Europe, multiplient les lois imposant une vérification stricte de l’âge des internautes souhaitant accéder aux réseaux sociaux ou à certains contenus.

Aux États-Unis, le Mississippi a récemment mis en vigueur une loi (HB 1126) imposant que tout utilisateur de réseaux sociaux justifie de son âge, sous peine de sanctions financières sévères pour les plateformes. Le Tennessee et le Nebraska ont adopté des textes comparables, tandis que d’autres États envisagent déjà des législations similaires. Au Royaume-Uni, le très controversé Online Safety Act, entré en application en juillet 2025, contraint les sites à vérifier l’âge des internautes via des méthodes intrusives allant du scan de documents d’identité à la reconnaissance faciale biométrique.

Si ces lois visent à protéger les mineurs, elles entraînent en parallèle une réduction potentielle de l’anonymat en ligne et une concentration accrue de données personnelles sensibles entre les mains de tiers, ce qui inquiète aussi bien les experts en cybersécurité que les défenseurs des libertés numériques.

Dans ce contexte, la position de Mastodon mérite attention. La plateforme, lancée en 2016 et désormais pilier du fediverse, repose sur une architecture décentralisée et fédérée : plutôt qu’un service unique et centralisé comme X (ex-Twitter) ou Meta, Mastodon est constitué de milliers de serveurs indépendants (instances), chacun géré par des administrateurs locaux, mais interconnectés grâce au protocole ActivityPub.

Or, cette structure rend impossible une mise en conformité uniforme avec les lois sur la vérification d’âge. Eugen Rochko, fondateur de Mastodon et directeur de Mastodon gGmbH (entité allemande à but non lucratif qui maintient le logiciel), l’a affirmé clairement dans une note récente :

• Mastodon ne collecte aucune donnée personnelle susceptible de vérifier l’âge.
• Il n’existe aucune autorité centrale capable d’imposer à tous les serveurs une règle ou une restriction géographique.

Dit autrement, la principale pierre d'achoppement réside dans l'ADN même de Mastodon. Contrairement à X (anciennement Twitter) ou à Facebook, il ne s'agit pas d'une entité unique contrôlant des serveurs centralisés. Le réseau est une fédération d'instances autonomes, gérées par des individus ou de petites communautés. Chaque administrateur de serveur (ou « admin d'instance ») est responsable de sa propre infrastructure, de sa modération et de l'application de ses règles.

Les lois de vérification de l'âge, conçues pour s'appliquer à des sociétés monolithiques, s'effondrent face à ce modèle. Il n'existe pas d'organisme central « Mastodon » capable d'implémenter un système de vérification à l'échelle mondiale. Demander une telle conformité, c'est ignorer la nature distribuée du protocole ActivityPub, qui connecte les différentes instances. Pour un professionnel de l'informatique, c'est comme demander à l'Internet lui-même de vérifier l'âge de chaque utilisateur : une tâche techniquement impossible et absurde.

Par ailleurs, Mastodon est une organisation à but non lucratif, principalement financée par des dons. L'implémentation de systèmes de vérification d'âge est une entreprise coûteuse et complexe. Ces solutions impliquent souvent le recours à des services tiers, qui exigent des frais d'abonnement élevés et des coûts de transaction pour chaque vérification. Ces charges financières sont tout simplement insoutenables pour l'organisation de Mastodon ou pour la grande majorité des administrateurs d'instances, qui gèrent leur serveur sur leur temps libre et avec un budget limité, voire inexistant.

De plus, ces systèmes requièrent une infrastructure technique solide pour le traitement et le stockage sécurisé des données sensibles, un investissement qu'une organisation de la taille de Mastodon ne peut se permettre.

Notons que les solutions comme le géoblocage par adresse IP seraient non seulement techniquement lourdes, mais aussi inefficaces et injustes (elles pourraient bloquer des utilisateurs voyageant légitimement). Autrement dit, Mastodon n’a ni les moyens techniques ni la philosophie pour implémenter de telles obligations. Contrairement à des plateformes centralisées comme TikTok ou Meta, il n’existe pas de back-office global où appliquer un filtre universel.

Mastodon 4.4 : une tentative de compromis

Au-delà des obstacles techniques et financiers, la position de Mastodon est fermement ancrée dans une philosophie de respect de la vie privée. La vérification de l'âge, dans la plupart des cas, nécessite la collecte de données personnelles, souvent sensibles : documents d'identité, informations bancaires ou numéros de téléphone. Cette collecte va à l'encontre de la promesse de Mastodon de protéger l'anonymat et la vie privée de ses utilisateurs.

Pour la communauté IT, l'idée de stocker ces informations sur de multiples serveurs potentiellement moins sécurisés qu'une infrastructure de grande entreprise est une source de préoccupation majeure. Cela expose les utilisateurs à un risque accru de fuites de données et de cyberattaques. Le Fédiverse, par essence, cherche à créer un espace moins surveillé et moins intrusif, une vision directement menacée par ces nouvelles lois.

Face à la montée des pressions légales, Mastodon a introduit, dans sa version 4.4 (juillet 2025), un ensemble de fonctionnalités dites « juridiques » :

• Les administrateurs peuvent désormais exiger la saisie d’une date de naissance lors de l’inscription.
• Les informations sont vérifiées, puis immédiatement supprimées pour éviter toute conservation de données sensibles.
• Chaque instance peut définir son âge minimal (souvent 16 ans), en cohérence avec certaines lois locales.

Cette évolution permet aux serveurs qui le souhaitent de montrer leur bonne volonté réglementaire, mais elle reste limitée. En effet :

• La vérification repose...