La protection des enfants comme cheval de Troie : en ciblant les VPN dans sa loi SB 73, l'Utah adopte la même logique que Pékin et Moscou. Premier domino d'un effondrement mondial de l'anonymat numérique ?

La protection des enfants comme cheval de Troie : en ciblant les VPN dans sa loi SB 73, l'Utah adopte la même logique que Pékin et Moscou
Premier domino d'un effondrement mondial de l'anonymat numérique ?

Le 6 mai 2026, l'Utah est entré dans les livres d'histoire numérique pour de mauvaises raisons : il est devenu le premier État américain à cibler explicitement l'usage des VPN dans le cadre d'une loi de vérification d'âge. Signée par le gouverneur Spencer Cox le 19 mars, la loi SB 73, intitulée « Online Age Verification Amendments », impose aux sites à contenu adulte de vérifier l'âge de leurs utilisateurs physiquement situés dans l'État, même si ces derniers masquent leur adresse IP via un réseau privé virtuel. Résultat : une cascade de réactions furieuses de la part des défenseurs des droits numériques, des experts en cybersécurité et de l'industrie des VPN. Derrière l'argument de la protection des mineurs se dessine une question autrement plus préoccupante : l'architecture même de la vie privée sur Internet est-elle en train d'être démontée, pierre par pierre ?

Jusqu'à présent, aucun État américain n'avait osé franchir ce Rubicon. Le Wisconsin avait tenté une manœuvre similaire début 2026, mais avait finalement reculé sous la pression des critiques constitutionnelles et techniques. L'Utah, lui, a tenu bon.

La SB 73 prend effet le 6 mai 2026, faisant de l'Utah, à la connaissance de l'EFF (Electronic Frontier Foundation), le premier État du pays à cibler l'usage des VPN pour contourner des dispositifs légaux de vérification d'âge. La loi comporte deux volets opérationnels distincts, rédigés dans la section 14 de l'amendement.

D'abord, un internaute est considéré comme accédant à un site depuis l'Utah s'il est physiquement localisé dans l'État, peu importe qu'il utilise un VPN, un proxy ou tout autre outil pour dissimuler sa localisation géographique. Ensuite, les entités commerciales hébergeant « une part substantielle de contenu préjudiciable aux mineurs » sont désormais interdites de faciliter ou d'encourager l'usage d'un VPN pour contourner les contrôles d'âge, y compris en fournissant des instructions à cet effet.

Ce dernier point est particulièrement révélateur. Interdire à une plateforme d'expliquer à ses utilisateurs comment fonctionne un outil de protection de la vie privée parfaitement légal, c'est ce que l'EFF qualifie de régime de type « don't ask, don't tell ». Ce dispositif soulève d'importantes préoccupations au titre du Premier Amendement, puisqu'il empêche les plateformes de fournir des informations de base et véridiques sur un outil de confidentialité légal à leurs utilisateurs.


Une impossibilité technique masquée derrière un vernis juridique

Pour quiconque connaît l'infrastructure d'Internet, la loi SB 73 repose sur un postulat fondamentalement erroné : l'idée qu'un opérateur de site web serait en mesure de détecter et de bloquer tout usage de VPN sur son service. C'est techniquement impossible dans les conditions actuelles.

Les bases de données de réputation d'adresses IP comme MaxMind ou IP2Proxy peuvent signaler du trafic provenant de plages d'adresses de centres de données connues, mais les fournisseurs de VPN commerciaux font tournoyer leurs adresses en permanence, et les points de sortie résidentiels sont largement impossibles à distinguer des connexions domestiques standard. L'analyse des numéros de système autonome (ASN) peut détecter du trafic provenant de réseaux de centres de données, mais ne peut pas identifier un tunnel WireGuard personnel hébergé sur un service cloud, lequel transite par la même infrastructure qu'un hébergement web ordinaire.

La seule méthode de détection fiable des signatures de protocoles VPN est l'inspection approfondie des paquets (DPI), qui analyse le trafic au niveau du réseau. Or le pare-feu de la Grande Muraille de Chine et le système TSPU russe déploient cette technologie via les fournisseurs d'accès à Internet, ce qu'un simple opérateur de site web ne peut pas faire, faute d'accès à l'infrastructure réseau qui se situe entre l'utilisateur et le serveur.

NordVPN a été particulièrement virulent. La société a qualifié la loi de « piège à responsabilité » et de « paradoxe de conformité insoluble », soulignant qu'elle rend les sites web responsables de l'identification d'utilisateurs dont les outils sont précisément conçus pour ne pas être identifiables. Bloquer toutes les adresses IP de VPN et de proxies connus est un jeu du chat et de la souris technique qu'aucune entreprise ne peut vraisemblablement remporter : les fournisseurs ajoutent constamment de nouvelles adresses, et aucune liste de blocage exhaustive n'existe.

L'EFF va plus loin dans son analyse des effets de bord. Face à cette incertitude juridique, les plateformes pourraient être tentées d'imposer une vérification d'identité systématique à tous leurs visiteurs, quelle que soit leur localisation réelle. Cela soumettrait des millions d'utilisateurs à des vérifications d'identité intrusives ou à des blocages de leur usage de VPN, indépendamment de leur lieu de résidence réel.


Les véritables victimes : pas les adolescents, mais les journalistes et les dissidents

L'argumentaire officiel de la loi tourne autour de la protection des mineurs. Mais les experts sont unanimes : les adolescents technophiles contourneront ces obstacles en quelques minutes. Ces dispositions n'arrêteront pas un adolescent débrouillard en informatique, mais elles auront certainement un impact sur la vie privée de chaque résident ordinaire de l'Utah qui souhaite simplement protéger ses données des courtiers en données ou des acteurs malveillants.

La loi aura des effets négatifs plus probables sur les utilisateurs non techniques qui s'appuient sur des services VPN commerciaux pour une protection légitime de leur vie privée : les journalistes, les personnes vivant sous des régimes autoritaires, les dissidents politiques et les victimes de violences conjugales, entre autres.

Configurer une instance WireGuard personnelle chez n'importe quel grand fournisseur cloud prend quelques minutes, ce qui signifie que les utilisateurs avancés trouveront immédiatement des alternatives. La loi frappera donc précisément ceux qu'elle prétend ne pas viser : les adultes utilisant des services VPN grand public pour des raisons légitimes.

L'EFF soulève également un point systémique : l'internet est conçu pour contourner la censure, et il le fera toujours. Si l'Utah parvient à entraver les fournisseurs de VPN commerciaux, les utilisateurs motivés migreront vers des proxies non commerciaux, des tunnels privés via des services cloud comme AWS, ou des proxies résidentiels quasiment indiscernables du trafic domestique standard. Ces contournements émergeront dans les heures suivant l'entrée en vigueur de la loi.


Un signal d'alarme mondial pour la vie privée numérique

Ce qui se passe en Utah n'est pas un incident isolé. Il s'inscrit dans une tendance mondiale inquiétante, où les gouvernements traitent de plus en plus les VPN non pas comme des outils de sécurité critiques, mais comme des obstacles à la régulation d'Internet.

Au Royaume-Uni, la Chambre des Lords a voté à 207 voix contre 159 en janvier pour interdire les VPN aux moins de 18 ans, des amendements qui doivent désormais être débattus à la Chambre des Communes. La commissaire britannique à la protection de l'enfance a qualifié les VPN de « brèche à combler ».

En France, lors d'une intervention sur la chaîne publique Franceinfo, Anne Le Hénanff, la ministre déléguée à l'Intelligence artificielle et au Numérique, a déclaré : « Si [cette législation] nous permet de protéger une très grande majorité d'enfants, nous continuerons. Et les VPN sont le prochain sujet sur ma liste ». « Nous avons franchi une étape très importante lundi [...] nous sommes le premier pays européen à avoir fixé cet âge, 15 ans. Ce n'est qu'un début », a-t-elle poursuivi, soulignant que l'âge moyen auquel un enfant s'inscrit sur les réseaux sociaux en France n'est que de huit ans et demi. « À huit ans et demi, je ne pense pas que quiconque connaisse les VPN, à moins d'avoir la complicité d'un adulte ». Ses propos ont déclenché un tollé en ligne.

En Australie, l'usage des VPN a bondi de plus de 1 400 % lors de l'entrée en vigueur de la vérification d'âge obligatoire. Au Brésil, en Indonésie, en Floride, au Missouri, au Texas, le même cycle se répète inlassablement : la loi entre en vigueur, l'usage des VPN explose, les législateurs s'irritent du contournement et cherchent à le criminaliser.

Andy Yen, PDG de Proton, a alerté l'opinion : la vérification d'âge telle qu'elle est actuellement proposée pays après pays signifierait la fin de l'anonymat en ligne. Et l'EFF d'enfoncer le clou : les attaques contre les VPN sont, en leur essence, des attaques contre les outils qui permettent la vie privée numérique.

L'Institut Cato, pourtant peu réputé pour ses positions progressistes, a rejoint ce concert critique en des termes particulièrement tranchants : lorsqu'une politique d'Internet peut être contournée par une technologie relativement répandue offrant d'importants bénéfices en matière de confidentialité et de sécurité, c'est peut-être la politique elle-même qui pose problème.


La question constitutionnelle, bombe à retardement

Au-delà du débat technique, plusieurs observateurs juridiques anticipent des contestations judiciaires. La disposition interdisant aux plateformes d'informer leurs utilisateurs sur les VPN est une restriction directe à la liberté d'expression, un droit particulièrement bien protégé par le Premier Amendement américain, qui inclut le droit à l'expression anonyme et le droit de recevoir des informations.

Certains commentateurs évoquent également le risque de reclassification : en traitant tout trafic VPN comme potentiellement étranger, les autorités pourraient théoriquement invoquer la section 702 du Foreign Intelligence Surveillance Act (FISA) pour accéder à ce trafic sans mandat, privant ainsi les utilisateurs américains de leurs protections constitutionnelles au titre du Quatrième Amendement.

À ce jour, les seuls pays qui ont réussi à bloquer le trafic VPN avec quelque succès sont des régimes autoritaires disposant d'une surveillance au niveau des fournisseurs d'accès à Internet. L'Utah s'est donc choisi des modèles peu glorieux. Et si la loi devait résister aux recours judiciaires et faire jurisprudence, d'autres États américains (et d'autres démocraties) pourraient rapidement s'en inspirer.

La question centrale posée par la SB 73 n'est pas celle de la protection des mineurs. Elle est plus fondamentale : une démocratie libérale peut-elle réglementer Internet de la même manière qu'un régime autoritaire, avec les mêmes outils et les mêmes conséquences pour la vie privée de tous ses citoyens ?


Au-delà de l'Utah : les implications mondiales d'un précédent américain

L'effet le plus immédiat et le plus redouté par les experts n'est pas ce qui se passe à Salt Lake City, c'est ce qui va se passer ailleurs. Qu'un État américain, berceau culturel de l'internet libre et pays fondateur de la Silicon Valley, franchisse ce seuil donne une légitimité politique considérable à tous les gouvernements démocratiques qui hésitaient encore à s'attaquer aux VPN. La Chine et la Russie restreignent les VPN depuis des années : on pouvait jusqu'ici qualifier cela de marqueur autoritaire. Désormais, ce marqueur est brouillé.

L'effet de modèle législatif est déjà à l'œuvre aux États-Unis même. Les États américains se copient à grande vitesse sur les questions réglementaires sensibles, et la SB 73 sera scrutée par d'autres législatures. Si elle résiste aux contestations judiciaires, notamment celles que l'EFF et d'autres organisations anticipent au titre du Premier Amendement, d'autres États s'en inspireront, et des projets de loi fédéraux pourraient s'en nourrir. À l'inverse, si les tribunaux la démantèlent rapidement, cela enverrait un signal protecteur à l'ensemble de l'écosystème.

En Europe, la situation est paradoxale. D'un côté, le RGPD et la culture institutionnelle de protection des données personnelles constituent un rempart réel contre les dérives les plus brutales. De l'autre, la pression politique sur les VPN y est tout aussi présente : la commissaire britannique à la protection de l'enfance les qualifie de « brèche à combler », la ministre française déléguée au numérique les a explicitement désignés comme « le prochain sujet sur sa liste », et le Parlement européen lui-même débat de mécanismes de vérification d'âge qui, selon leur implémentation, pourraient s'avérer incompatibles avec l'anonymat en ligne.

L'industrie des VPN commerciaux est directement menacée dans son modèle économique. Si plusieurs juridictions majeures adoptent des logiques similaires à celle de l'Utah (tenir les plateformes responsables du comportement géographique de leurs utilisateurs), les fournisseurs comme NordVPN, ExpressVPN ou Mullvad se retrouveront dans une position intenable : soit intégrer des mécanismes de géolocalisation réelle, ce qui détruit leur proposition de valeur fondamentale, soit quitter certains marchés, soit faire face à des poursuites. Proton, dont le siège est en Suisse, bénéficie d'une protection juridique plus solide. Mais les fournisseurs ayant une présence commerciale directe aux États-Unis sont exposés dès aujourd'hui.

La logique de la SB 73 risque par ailleurs de s'étendre bien au-delà des VPN. En tenant les plateformes responsables de tout ce que leurs utilisateurs font pour contourner la géolocalisation, elle ouvre la voie à des réglementations similaires visant Tor, les DNS over HTTPS, les navigateurs à mode privé avancé, voire les systèmes d'exploitation (GrapheneOS a d'ailleurs déjà refusé publiquement de se conformer à une loi californienne de vérification d'âge qui concernait les OS). La frontière entre la régulation du contenu et la régulation de l'infrastructure technique elle-même est en train de se déplacer dangereusement.

Enfin, ce sont les populations les plus vulnérables à l'échelle mondiale qui paieront le prix fort d'un affaiblissement généralisé des services VPN commerciaux. Les journalistes couvrant des zones de conflit, les militants dans des pays à régime répressif, les lanceurs d'alerte, les membres de communautés persécutées; tous dépendent de ces outils pour leur sécurité physique, pas seulement pour leur vie privée numérique. Une fragilisation juridique des grands fournisseurs de VPN occidentaux aurait des conséquences bien au-delà des États-Unis, dans des contextes où les enjeux ne se mesurent pas en amendes mais en liberté et en vies humaines.

La question n'est plus de savoir si l'Utah aura des imitateurs. Elle est de savoir à quelle vitesse, et si les tribunaux (américains en premier lieu) auront la lucidité technique et la rigueur constitutionnelle nécessaires pour stopper cette mécanique avant qu'elle ne devienne irréversible.

Source : EFF

Et vous ?

La vérification d'âge en ligne est-elle condamnée à rester une chimère technologique, ou existe-t-il un mécanisme qui pourrait réellement fonctionner sans sacrifier l'anonymat des adultes ?

Les législateurs qui votent de telles lois sont-ils réellement ignorants des réalités techniques, ou ces lois servent-elles délibérément d'autres objectifs que la protection de l'enfance ?

Si les VPN commerciaux deviennent trop risqués juridiquement pour les opérateurs, vers quels outils alternatifs les utilisateurs se tourneront-ils et ces alternatives seront-elles plus sûres ou plus dangereuses pour la vie privée ?

L'Europe, avec son RGPD et sa culture de protection des données, est-elle mieux armée pour résister à cette dérive, ou la pression politique sur les VPN y est-elle tout aussi forte ?

Voir aussi :

« Les VPN sont les prochains sur ma liste » : la France s'apprête à évaluer l'utilisation des VPN après l'interdiction des réseaux sociaux pour les moins de 15 ans, ce qui fait craindre une interdiction

Interdiction des réseaux sociaux aux mineurs en Australie : 60 % des ados toujours connectés quatre mois après, ils contournent les blocages en utilisant des masques et les cartes d'identité de leurs parents