L'application de vérification de l'âge de l'UE ne prévoit pas de prise en charge des ordinateurs, l’obsession du « mobile only » risque d’exclure les plus vulnérables et de miner la légitimité du projet
Le projet de portefeuille d’identité numérique de l’Union européenne, censé incarner une réponse souveraine et sécurisée face aux géants du numérique, commence à montrer ses failles structurelles. La dernière polémique concerne la fonctionnalité de vérification d’âge : les spécifications officielles ne prévoient tout simplement pas de support desktop. En clair, pas de compatibilité pensée pour l’ordinateur, uniquement une approche centrée smartphone.
Sur le papier, cela paraît moderne et pragmatique. Dans la réalité, c’est une erreur stratégique qui révèle un biais technophile et une incompréhension du quotidien de nombreux citoyens européens.
Les projets de vérifications de l'âge en ligne suscitent des préoccupations majeures dans le monde entier. L'Union européenne développe une nouvelle application Android open source pour la vérification de l'âge afin que les utilisateurs puissent prouver leur âge aux services en ligne tout en protégeant leur vie privée. Cette application servira de boîte à outils sur laquelle les autres États membres pourront s'appuyer pour créer leurs propres solutions.
L'application vise à fournir une preuve numérique de l'âge préservant la confidentialité pour accéder à des services en ligne restreints. Cinq pays (France, Italie, Espagne, Grèce et Danemark) testeront le système tout au long de l'année 2025 avant un déploiement plus large en Europe. Mais les commentaires sur la page GitHub du projet remettent en question les choix techniques des responsables de l'Union européenne et les risques associés.
Si une application maison pour la vérification de l'âge pourrait théoriquement présenter des avantages par rapport au fait de confier des informations sensibles à des sociétés tierces spécialisées dans la vérification de l'âge, les projets concernant cette application ont suscité une certaine agitation en ligne.
Le projet prévoit notamment d'utiliser l'API Google Play Integrity pour la vérification des appareils et des applications. Cette API vérifie si le système d'exploitation est sous licence Google et si l'application a été téléchargée depuis le Play Store. Cela signifie que si vous essayez d'utiliser une application sur un système Android non sous licence Google ou si vous essayez de télécharger une application en dehors du Play Store, cela ne fonctionnera pas.
Une fracture numérique institutionnalisée
La volonté de l'Union européenne de mettre en place un portefeuille d'identité numérique unifié a suscité à la fois l'enthousiasme et la méfiance des experts en technologie. Au cœur de cette initiative se trouve l'objectif de rationaliser la vérification de l'âge et de sécuriser les interactions en ligne entre les États membres, mais une critique récente souligne les pièges potentiels de sa conception. Une question publiée sur GitHub dans le référentiel du projet souligne que les spécifications techniques pour la vérification de l'âge accordent une importance excessive aux applications pour smartphones, ce qui risque d'éloigner les utilisateurs qui ne disposent pas d'appareils modernes.
L'auteur du message décrit avoir rencontré une femme âgée dans un bus qui utilisait un téléphone épais et obsolète rappelant les premiers modèles Nokia, soulignant ainsi un fossé plus large en matière d'accessibilité. Cette observation, partagée dans un forum ouvert sur GitHub, remet en question la capacité du cadre européen à réellement prendre en compte la diversité démographique des utilisateurs dans une population vieillissante.
Bonjour, j'ai relevé plusieurs problèmes d'utilisation avec cette solution.
1. L'accent est tellement mis sur l'application qu'elle part du principe que tout le monde possède un smartphone. L'autre jour, j'ai vu une grand-mère dans le bus avec un téléphone de 2 cm d'épaisseur, antérieur au célèbre Nokia 3310. Comment elle et les autres utilisateurs qui ne possèdent pas de smartphone sont-ils censés vérifier leur âge en ligne ?
2. Quel sera l'impact sur l'expérience de navigation sur le web ? De nos jours, tous les sites web comportent des cases à cocher relatives au RGPD, ce qui perturbe quelque peu l'expérience de navigation, par exemple en mode incognito. Imaginez que vous souhaitiez naviguer sur le web en toute confidentialité. Les sites web ne savent pas qui vous êtes, vous devrez donc vérifier votre âge à chaque fois. Cela rend le web inutilisable pour toute personne souhaitant naviguer en toute confidentialité. Surtout sur un PC. Une solution serait de disposer d'une extension de navigateur qui gère cela automatiquement. Puisque vous prétendez au moins attacher de l'importance à la confidentialité, cela pourrait fonctionner. Mais cela ne semblerait pas vraiment fiable. Notez que cela ne s'applique pas seulement à la navigation privée, mais à la navigation sur le web en général. Par exemple, lorsque vous essayez de comparer différents sites d'actualités. Faire cela pour chaque site web que vous visitez est un obstacle majeur en termes de convivialité.
3. Quel sera le coût de la mise en œuvre ? Ma confiance dans la capacité de l'UE à développer des technologies abordables et performantes s'est amenuisée depuis que nous avons créé un point d'accès Peppol pour notre entreprise. La solution a été élaborée à l'aide de technologies pour lesquelles seul Java dispose de bibliothèques adaptées. Cela contraint les développeurs à utiliser ce langage et cet écosystème. Bien sûr, cela ne pose pas de problème pour une grande entreprise. Mais une petite start-up ne pourra pas survivre si elle doit mettre en œuvre cette solution.
1. L'accent est tellement mis sur l'application qu'elle part du principe que tout le monde possède un smartphone. L'autre jour, j'ai vu une grand-mère dans le bus avec un téléphone de 2 cm d'épaisseur, antérieur au célèbre Nokia 3310. Comment elle et les autres utilisateurs qui ne possèdent pas de smartphone sont-ils censés vérifier leur âge en ligne ?
2. Quel sera l'impact sur l'expérience de navigation sur le web ? De nos jours, tous les sites web comportent des cases à cocher relatives au RGPD, ce qui perturbe quelque peu l'expérience de navigation, par exemple en mode incognito. Imaginez que vous souhaitiez naviguer sur le web en toute confidentialité. Les sites web ne savent pas qui vous êtes, vous devrez donc vérifier votre âge à chaque fois. Cela rend le web inutilisable pour toute personne souhaitant naviguer en toute confidentialité. Surtout sur un PC. Une solution serait de disposer d'une extension de navigateur qui gère cela automatiquement. Puisque vous prétendez au moins attacher de l'importance à la confidentialité, cela pourrait fonctionner. Mais cela ne semblerait pas vraiment fiable. Notez que cela ne s'applique pas seulement à la navigation privée, mais à la navigation sur le web en général. Par exemple, lorsque vous essayez de comparer différents sites d'actualités. Faire cela pour chaque site web que vous visitez est un obstacle majeur en termes de convivialité.
3. Quel sera le coût de la mise en œuvre ? Ma confiance dans la capacité de l'UE à développer des technologies abordables et performantes s'est amenuisée depuis que nous avons créé un point d'accès Peppol pour notre entreprise. La solution a été élaborée à l'aide de technologies pour lesquelles seul Java dispose de bibliothèques adaptées. Cela contraint les développeurs à utiliser ce langage et cet écosystème. Bien sûr, cela ne pose pas de problème pour une grande entreprise. Mais une petite start-up ne pourra pas survivre si elle doit mettre en œuvre cette solution.
Un fétichisme du mobile qui oublie les usages réels
Les experts du secteur affirment que cette approche centrée sur les applications risque d'exclure des millions de personnes, en particulier dans les zones rurales ou à faibles revenus où la pénétration des smartphones est faible. Selon les données issues des propres rapports de la Commission européenne, si 85 % des adultes de l'UE possèdent un smartphone, l'adoption de ces appareils diminue considérablement chez les plus de 75 ans, où elle oscille autour de 50 %. La question soulevée par GitHub amplifie ces préoccupations, soulignant que les spécifications semblent présupposer un accès universel à la technologie mobile haut de gamme, ignorant les alternatives telles que les téléphones multifonctions ou les interfaces de bureau.
De plus, la critique s'étend à l'aspect pratique : comment vérifier l'âge sans appareil compatible ? L'auteur de l'affiche suggère que le système néglige les cas où les utilisateurs pourraient avoir recours à des appareils partagés ou empruntés, une réalité courante dans de nombreux foyers. Cela fait écho aux conclusions d'un document européen sur le portefeuille d'identité numérique hébergé sur GitHub, qui détaille les organismes d'accréditation mais néglige les protocoles de conception inclusive.
Les promoteurs du wallet européen semblent obsédés par la sécurité offerte par les environnements mobiles (biométrie, Secure Element, NFC, sandboxing), mais ils ferment les yeux sur la diversité des usages. Une large part de la navigation internet, notamment dans les foyers, se fait encore sur ordinateur. Les étudiants, les télétravailleurs, les retraités : tous utilisent un ordinateur comme support principal pour accéder à l’information et aux services.
En négligeant cet usage massif, l’UE prend le risque de créer un système bancal : un dispositif d’identité numérique fonctionnel sur smartphone, mais pénible, voire inutilisable, sur PC. Cela revient à décourager l’adoption d’un outil pourtant présenté comme universel.
Une ergonomie pensée par des ingénieurs, pas par des citoyens
La lecture des échanges techniques sur GitHub est révélatrice. On y retrouve une logique de développeurs focalisés sur la faisabilité technique et la sécurité, mais largement déconnectés de la réalité sociale. L’argument de « l’usability oversight » — le fait que des millions de citoyens n’ont pas ou ne veulent pas de smartphone compatible — est balayé comme une variable marginale.
C’est le syndrome classique des projets technocratiques européens : la conception descendante, où les besoins réels des utilisateurs sont relégués derrière l’obsession de conformité technique et de standardisation.
Ce choix a des conséquences politiques. Une identité numérique imposée par Bruxelles, déjà perçue avec suspicion par une partie de l’opinion publique, ne peut pas se permettre de donner l’impression d’exclure les plus vulnérables. Sans alternatives desktop, sans solutions de secours simples (SMS, bornes publiques, extensions de navigateur), le projet risque de perdre en légitimité avant même son déploiement massif.
Un portefeuille d’identité ne se juge pas seulement à sa robustesse cryptographique. Il se juge à son adoption réelle par la population. Or, un outil inaccessible, c’est un outil inutile.
Implications plus larges pour l'adoption
De telles négligences pourraient compromettre le déploiement ambitieux du portefeuille, dont la mise en œuvre à grande échelle est prévue d'ici 2026. L'architecture et le cadre de référence, tels que décrits dans les référentiels du projet, mettent l'accent sur la sécurité et l'interopérabilité, mais la facilité d'utilisation reste un maillon faible. Des experts de publications telles que Biometric Update ont rendu compte des progrès réalisés en matière de spécifications techniques, soulignant dans un article publié en juin 2023 que, même si des lignes directrices sont en cours d'élaboration, elles doivent tenir compte des obstacles réels afin d'éviter d'aliéner les groupes vulnérables.
En réponse, certains développeurs du fil GitHub proposent des solutions hybrides, telles que la vérification par SMS ou des partenariats avec des kiosques publics. Cela va dans le sens des appels lancés par Identity Week en faveur de cadres plus inclusifs, soulignant dans un article récent que les efforts de l'UE en matière d'identité numérique doivent trouver un équilibre entre innovation et équité pour parvenir à une adoption massive.
Voici quelques pistes raisonnables que les architectes du projet pourraient considérer
1. Mode « fallback » SMS ou OTP minimal
Pour les utilisateurs sans smartphone, un mécanisme de vérification d’âge par SMS ou code OTP pourrait servir de solution de secours. Il ne délivre pas un wallet complet, mais suffit à prouver l’âge dans certains cas d’usage. Ce mécanisme pourrait être plus simple à intégrer côté desktop (formulaire + envoi SMS) et servir de pont pour la transition vers des usages plus sophistiqués.
2. Extension ou plugin de navigateur
Le scénario évoqué dans l’issue GitHub — développement d’une extension de navigateur — pourrait offrir une interface desktop intermédiaire. L’extension agirait comme un pont entre le wallet mobile (ou un backend d’identité) et le navigateur, automatisant la présentation de la preuve d’âge lors de la navigation. Cela impose toutefois des efforts de standardisation, multiplateformes et de confiance (vérification, sécurité, mise à jour), et le défi de convaincre les navigateurs de l’intégrer dans leurs écosystèmes.
3. Web app progressive (PWA) ou interface universelle
Plutôt que de limiter à une application native mobile, concevoir une Progressive Web App (PWA) ou une interface web robuste, capable de fonctionner sur mobile et desktop, permettrait de garantir une expérience unifiée. Cela exige de concevoir l’architecture pour qu’elle n’ait pas de dépendances strictes aux APIs mobiles seules.
4. Bornes publiques ou kiosques
Pour les lieux publics (mairies, bibliothèques, bureaux d’administration), installer des bornes sécurisées via lesquelles un utilisateur pourrait vérifier son âge en mode « physique ». Cela assure l’accès à ceux qui n’ont pas de dispositif personnel compatible.
5. Modularité dans les spécifications
Il est essentiel que les spécifications d’age verification restent modulaires, laissant la place à des « extensions optionnelles » (desktop, SMS, plugin) plutôt que de figer un modèle monolithique « mobile only ». Le débat sur GitHub invite à ce type de flexibilité.
Leçons tirées des efforts mondiaux en matière d'identité numérique
La comparaison avec d'autres systèmes d'identité numérique révèle des défis similaires. Par exemple, le programme Aadhaar en Inde a été critiqué pour avoir exclu les personnes ne disposant pas de données biométriques ou d'une connexion Internet, comme le détaillent les rapports de The Economist. L'UE pourrait s'inspirer de ces exemples et intégrer des mécanismes de secours dans ses spécifications afin de garantir que personne ne soit laissé pour compte.
En fin de compte, le problème soulevé sur GitHub sert de signal d'alarme pour les décideurs politiques. À mesure que le portefeuille d'identité numérique européen évolue, il sera essentiel d'intégrer les commentaires des communautés open source. Des publications telles que Digital Watch Observatory ont salué le potentiel de cette initiative pour réduire la bureaucratie, mais avertissent dans leurs dernières mises à jour que si la question de la facilité d'utilisation n'est pas abordée, elle risque de devenir une nouvelle promesse technologique non tenue pour le grand public.
L’ironie est que l’UE avait une occasion unique d’imposer un modèle d’identité numérique inclusif, modulable et réellement souverain. Elle aurait pu anticiper les besoins des seniors, intégrer dès le départ des modes de vérification multiples (mobile, desktop, SMS, bornes). Elle aurait pu démontrer que la souveraineté numérique passe aussi par l’accessibilité universelle.
Au lieu de cela, elle reproduit un réflexe de start-up californienne : penser mobile first, oublier les marges, forcer l’adoption par contrainte. C’est tout sauf une vision européenne du numérique.
Sources : GitHub, European Digital Identity
Et vous ?
Qu'est-ce qui, selon vous, pourrait expliquer pourquoi les PC ne sont pas pris en charge ? Êtes-vous d'accord avec cette approche ? Dans quelle mesure ? L’UE n’est-elle pas en train de reproduire les travers des géants du numérique en imposant une logique « mobile only » déconnectée de la diversité des usages ? Faut-il confier des projets d’identité numérique à des ingénieurs focalisés sur la sécurité, au risque de négliger l’accessibilité et l’inclusion ? Une identité numérique est-elle légitime si elle repose sur un outil que tous ne peuvent pas utiliser ? Quels mécanismes concrets (SMS, extensions de navigateur, bornes publiques) devraient être intégrés dès le départ pour éviter une fracture numérique institutionnalisée ?
Vous avez lu gratuitement 263 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.