Le 6 mai 2026, l'Utah est entré dans les livres d'histoire numérique pour de mauvaises raisons : il est devenu le premier État américain à cibler explicitement l'usage des VPN dans le cadre d'une loi de vérification d'âge. Signée par le gouverneur Spencer Cox le 19 mars, la loi SB 73, intitulée « Online Age Verification Amendments », impose aux sites à contenu adulte de vérifier l'âge de leurs utilisateurs physiquement situés dans l'État, même si ces derniers masquent leur adresse IP via un réseau privé virtuel. Résultat : une cascade de réactions furieuses de la part des défenseurs des droits numériques, des experts en cybersécurité et de l'industrie des VPN. Derrière l'argument de la protection des mineurs se dessine une question autrement plus préoccupante : l'architecture même de la vie privée sur Internet est-elle en train d'être démontée, pierre par pierre ?Jusqu'à présent, aucun État américain n'avait osé franchir ce Rubicon. Le Wisconsin avait tenté une manœuvre similaire début 2026, mais avait finalement reculé sous la pression des critiques constitutionnelles et techniques. L'Utah, lui, a tenu bon.
La SB 73 prend effet le 6 mai 2026, faisant de l'Utah, à la connaissance de l'EFF (Electronic Frontier Foundation), le premier État du pays à cibler l'usage des VPN pour contourner des dispositifs légaux de vérification d'âge. La loi comporte deux volets opérationnels distincts, rédigés dans la section 14 de l'amendement.
D'abord, un internaute est considéré comme accédant à un site depuis l'Utah s'il est physiquement localisé dans l'État, peu importe qu'il utilise un VPN, un proxy ou tout autre outil pour dissimuler sa localisation géographique. Ensuite, les entités commerciales hébergeant « une part substantielle de contenu préjudiciable aux mineurs » sont désormais interdites de faciliter ou d'encourager l'usage d'un VPN pour contourner les contrôles d'âge, y compris en fournissant des instructions à cet effet.
Ce dernier point est particulièrement révélateur. Interdire à une plateforme d'expliquer à ses utilisateurs comment fonctionne un outil de protection de la vie privée parfaitement légal, c'est ce que l'EFF qualifie de régime de type « don't ask, don't tell ». Ce dispositif soulève d'importantes préoccupations au titre du Premier Amendement, puisqu'il empêche les plateformes de fournir des informations de base et véridiques sur un outil de confidentialité légal à leurs utilisateurs.
Une impossibilité technique masquée derrière un vernis juridique
Pour quiconque connaît l'infrastructure d'Internet, la loi SB 73 repose sur un postulat fondamentalement erroné : l'idée qu'un opérateur de site web serait en mesure de détecter et de bloquer tout usage de VPN sur son service. C'est techniquement impossible dans les conditions actuelles.
Les bases de données de réputation d'adresses IP comme MaxMind ou IP2Proxy peuvent signaler du trafic provenant de plages d'adresses de centres de données connues, mais les fournisseurs de VPN commerciaux font tournoyer leurs adresses en permanence, et les points de sortie résidentiels sont largement impossibles à distinguer des connexions domestiques standard. L'analyse des numéros de système autonome (ASN) peut détecter du trafic provenant de réseaux de centres de données, mais ne peut pas identifier un tunnel WireGuard personnel hébergé sur un service cloud, lequel transite par la même infrastructure qu'un hébergement web ordinaire.
La seule méthode de détection fiable des signatures de protocoles VPN est l'inspection approfondie des paquets (DPI), qui analyse le trafic au niveau du réseau. Or le pare-feu de la Grande Muraille de Chine et le système TSPU russe déploient cette technologie via les fournisseurs d'accès à Internet, ce qu'un simple opérateur de site web ne peut pas faire, faute d'accès à l'infrastructure réseau qui se situe entre l'utilisateur et le serveur.
NordVPN a été particulièrement virulent. La société a qualifié la loi de « piège à responsabilité » et de « paradoxe de conformité insoluble », soulignant qu'elle rend les sites web responsables de l'identification d'utilisateurs dont les outils sont précisément conçus pour ne pas être identifiables. Bloquer toutes les adresses IP de VPN et de proxies connus est un jeu du chat et de la souris technique qu'aucune entreprise ne peut vraisemblablement remporter : les fournisseurs ajoutent constamment de nouvelles adresses, et aucune liste de blocage exhaustive n'existe.
L'EFF va plus loin dans son analyse des effets de bord. Face à cette incertitude juridique, les plateformes pourraient être tentées d'imposer une vérification d'identité systématique à tous leurs visiteurs, quelle que soit leur localisation réelle. Cela soumettrait des millions d'utilisateurs à des vérifications d'identité intrusives ou à des blocages de leur usage de VPN, indépendamment de leur lieu de résidence réel.
Envoyé par EFF
Dispositions relatives aux VPN
La nouvelle loi aborde explicitement l'utilisation des VPN à l'article 14, qui modifie l'article 78B-3-1002 des lois de l'Utah en vigueur, et ce, principalement de deux manières*:
Réglementation fondée sur la localisation physique*: Aux termes de cette loi, une personne est considérée comme accédant à un site web depuis l'Utah si elle s'y trouve physiquement, qu'elle utilise ou non un VPN, un serveur proxy ou tout autre moyen de masquer sa localisation géographique.
Interdiction de partager les instructions d'utilisation des VPN*: Les entités commerciales hébergeant une part importante de contenu préjudiciable aux mineurs n'ont plus le droit de faciliter ni d'encourager l'utilisation d'un VPN pour contourner les contrôles d'âge. Cela inclut la fourniture d'instructions sur l'utilisation d'un VPN ou de moyens de contourner le géorepérage.
En rendant les entreprises responsables de la vérification de l'âge de toute personne se trouvant physiquement en Utah, même celles utilisant un VPN, la loi crée un important risque de litiges. Comme nous l'avons expliqué concernant le projet de loi du Wisconsin, si un site web ne peut pas déterminer avec certitude la véritable localisation d'un utilisateur de VPN et que la loi l'oblige à le faire pour tous les utilisateurs d'un État donné, le risque juridique pourrait contraindre le site soit à interdire toutes les adresses IP de VPN connues, soit à imposer une vérification d'âge à chaque visiteur, partout dans le monde. Des millions d'utilisateurs seraient alors soumis à des contrôles d'identité intrusifs ou à des blocages de leur VPN, indépendamment de leur lieu de résidence réel.
La nouvelle loi aborde explicitement l'utilisation des VPN à l'article 14, qui modifie l'article 78B-3-1002 des lois de l'Utah en vigueur, et ce, principalement de deux manières*:
Réglementation fondée sur la localisation physique*: Aux termes de cette loi, une personne est considérée comme accédant à un site web depuis l'Utah si elle s'y trouve physiquement, qu'elle utilise ou non un VPN, un serveur proxy ou tout autre moyen de masquer sa localisation géographique.
Interdiction de partager les instructions d'utilisation des VPN*: Les entités commerciales hébergeant une part importante de contenu préjudiciable aux mineurs n'ont plus le droit de faciliter ni d'encourager l'utilisation d'un VPN pour contourner les contrôles d'âge. Cela inclut la fourniture d'instructions sur l'utilisation d'un VPN ou de moyens de contourner le géorepérage.
En rendant les entreprises responsables de la vérification de l'âge de toute personne se trouvant physiquement en Utah, même celles utilisant un VPN, la loi crée un important risque de litiges. Comme nous l'avons expliqué concernant le projet de loi du Wisconsin, si un site web ne peut pas déterminer avec certitude la véritable localisation d'un utilisateur de VPN et que la loi l'oblige à le faire pour tous les utilisateurs d'un État donné, le risque juridique pourrait contraindre le site soit à interdire toutes les adresses IP de VPN connues, soit à imposer une vérification d'âge à chaque visiteur, partout dans le monde. Des millions d'utilisateurs seraient alors soumis à des contrôles d'identité intrusifs ou à des blocages de leur VPN, indépendamment de leur lieu de résidence réel.
Les véritables victimes : pas les adolescents, mais les journalistes et les dissidents
L'argumentaire officiel de la loi tourne autour de la protection des mineurs. Mais les experts sont unanimes : les adolescents technophiles contourneront ces obstacles en quelques minutes. Ces dispositions n'arrêteront pas un adolescent débrouillard en informatique, mais elles auront certainement un impact sur la vie privée de chaque résident ordinaire de l'Utah qui souhaite simplement protéger ses données des courtiers en données ou des acteurs malveillants.
La loi aura des effets négatifs plus probables sur les utilisateurs non techniques qui s'appuient sur des services VPN commerciaux pour une protection légitime de leur vie privée : les journalistes, les personnes vivant sous des régimes autoritaires,...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.