L'UE va-t-elle interdire les VPN ?

Il était utilisé par les employés pour accéder aux systèmes de l'entreprise, par les journalistes pour protéger leurs sources, par les voyageurs pour naviguer plus sûrement sur les réseaux publics, et par les utilisateurs qui ne souhaitaient pas que leur adresse IP soit immédiatement visible sur tous les sites web. Mais aujourd'hui, ce même outil se retrouve dans un contexte politique bien différent. Dans les débats sur la vérification de l'âge en ligne, les VPN sont de plus en plus perçus comme un problème, et non plus comme une protection.

L’interdiction totale des VPN n’est pas actuellement envisagée dans le cadre d’une loi européenne adoptée, mais il est clair qu’un débat s’ouvre en Europe sur la restriction de l’utilisation des VPN lors de l’accès à des contenus pour lesquels une vérification de l’âge est mise en place.

Le changement le plus significatif n'est pas que Bruxelles supprime du jour au lendemain les applications VPN des plateformes de téléchargement. Ce qui est plus inquiétant, c'est la façon dont les décideurs politiques européens ont commencé à qualifier les VPN : d'obstacle à la protection de l'enfance.

Pourquoi les VPN sont-ils soudainement devenus un sujet politique ?

L'enjeu principal n'est ni le piratage ni le masquage de localisation pour obtenir des abonnements moins chers. Cette fois-ci, il s'agit de la protection des enfants en ligne. Dans le cadre de la loi sur les services numériques, la Commission européenne a élaboré des lignes directrices pour la protection des mineurs et un prototype d'application de vérification d'âge. L'objectif est de permettre aux utilisateurs de prouver qu'ils sont majeurs, par exemple lorsqu'ils consultent des contenus pour adultes, sans avoir à révéler leur identité complète ni leur âge exact. La Commission souligne que la solution doit garantir le respect de la vie privée, donner aux utilisateurs le contrôle de leurs données personnelles et empêcher le suivi des contenus qu'ils consultent.

En théorie, cet objectif est rationnel. Personne ne soutiendrait sérieusement que les enfants devraient pouvoir accéder à des sites pornographiques, des plateformes de paris ou d'autres services où la loi exige qu'ils soient majeurs. Le problème se pose lors de la mise en œuvre. Si un site web vérifie l'âge d'un utilisateur en fonction du pays depuis lequel il se connecte, un VPN peut rapidement modifier la situation. L'utilisateur peut se connecter via un serveur situé hors de l'UE ou hors d'un pays appliquant des règles strictes, et le système ne le considère plus comme un utilisateur local. Le Service de recherche du Parlement européen a ainsi constaté que l'utilisation des VPN a fortement augmenté dans les pays ayant mis en place des systèmes de vérification de l'âge légal, et a noté que certains préconisent de restreindre l'accès aux services VPN aux utilisateurs ayant atteint un certain âge numérique.

Avec cette mentalité, les choses peuvent se compliquer. Un VPN ne sert pas uniquement à contourner la réglementation. C'est aussi une couche de sécurité. Si l'autorité de régulation considère le contournement comme l'objectif principal, la sécurité devient rapidement une victime collatérale.

Que dit l'Union européenne ?

De nombreux titres laissent entendre que l'UE prépare déjà une interdiction des VPN. C'est une exagération. Il est plus juste de dire que les institutions et les responsables politiques européens reconnaissent les VPN comme un obstacle à la mise en œuvre des restrictions d'âge. Le Service de recherche du Parlement européen, dans une note sur les VPN et la protection de l'enfance, a constaté que les VPN sont utilisés pour contourner les méthodes de vérification de l'âge en ligne et a souligné le débat sur l'opportunité de limiter l'accès aux services VPN aux utilisateurs ayant atteint l'âge de la majorité numérique. Il ne s'agit ni d'une loi, ni d'une interdiction, ni d'une injonction directe aux États membres, mais d'un signe révélateur de l'évolution de la réflexion.

À mon sens, ce changement de perspective est plus important que le mot « interdiction ». Une interdiction est juridiquement claire, politiquement explosive et techniquement difficile à mettre en œuvre. La restriction, en revanche, est plus difficile à cerner.

Cela pourrait impliquer une vérification de l'âge avant l'utilisation d'un VPN. Cela pourrait imposer des obligations aux fournisseurs de services VPN. Cela pourrait impliquer le blocage de l'accès à certains sites pour les serveurs VPN connus. Cela pourrait exercer une pression sur les plateformes de téléchargement d'applications. Cela pourrait impliquer l'obligation pour les plateformes de mettre en œuvre des « mesures raisonnables » contre le contournement, sans définition claire de ce qui est raisonnable et de ce qui est excessif.

Pourquoi quelqu'un voudrait-il restreindre l'utilisation d'un VPN ?

Si un pays impose une vérification de l'âge et que tous les adolescents la contournent grâce à une application VPN gratuite, la loi perd toute crédibilité. Les restrictions d'âge ne sont efficaces que si elles sont difficiles à contourner. Autrement, toute la réglementation se transforme en un spectacle pour adultes, et les jeunes comprennent vite quelle application installer.

Le débat sur les VPN se poursuit également au Royaume-Uni, qui a déjà mis en place des systèmes de vérification de l'âge, et dans l'État américain de l'Utah. Ces deux États ont constaté une forte augmentation de l'utilisation des VPN depuis l'introduction de la vérification de l'âge.

L’UE aura beaucoup de mal à trouver une solution qui satisfasse les exigences des adultes, fasse taire les utilisateurs principalement soucieux de la protection de leur vie privée en ligne, et rende en même temps cette même solution inviolable pour les enfants.

La vérification de l'âge pose un problème de confiance.

La Commission européenne présente sa solution comme respectueuse de la vie privée. Elle permettrait aux utilisateurs de prouver leur majorité sans divulguer plus de données personnelles que nécessaire. Interopérable avec les futurs portefeuilles numériques européens, cette solution serait adaptable par les États membres à leurs besoins sans compromettre la protection de la vie privée.

C'est un bon objectif, mais il ne dissipe pas toutes les inquiétudes. La vérification de l'âge ne se limite pas aux promesses du système ; elle concerne aussi son opérateur, la sécurité de son fonctionnement, les fournisseurs impliqués, la durée de conservation des données, l'existence de journaux d'accès et les mesures prises en cas d'utilisation abusive. Avec les technologies d'identité, les erreurs sont rarement mineures. Si un utilisateur se fie à un système uniquement pour prouver son âge, et que ce système devient par la suite un moyen d'accéder à Internet de manière plus générale, la navigation anonyme elle-même s'en trouve modifiée.

Par conséquent, le débat sur les VPN est en réalité un débat sur le niveau d'identification qui sera nécessaire pour une utilisation normale du web à l'avenir.

Une interdiction totale poserait des problèmes techniques et politiques.

Interdire les VPN dans l'UE serait extrêmement difficile à mettre en œuvre. D'abord, parce que les VPN ne constituent pas un produit unique. Il existe des applications commerciales, des systèmes VPN d'entreprise, des serveurs privés, des solutions de réseau d'entreprise, des fonctionnalités de sécurité pour navigateurs et des protocoles qu'il est difficile de distinguer du trafic chiffré légitime. Bloquer les adresses VPN connues est possible, mais les fournisseurs peuvent les modifier. L'analyse approfondie du trafic soulève de nouvelles questions de confidentialité et de sécurité. Interdire les applications des plateformes de téléchargement n'empêche pas les installations provenant d'autres sources, mais pénalise davantage les utilisateurs lambda que les personnes ayant des connaissances techniques.

Politiquement, une interdiction totale serait encore plus difficile à mettre en œuvre. L'Union européenne aime se présenter comme un bastion des droits fondamentaux, de la protection des données et du respect de la vie privée numérique. Les VPN sont souvent utilisés pour protéger précisément ces valeurs. Si l'UE optait pour une interdiction générale, il serait difficile d'expliquer la différence entre la protection des enfants et la restriction générale des outils de protection de la vie privée.

"VPN oui ou non ?" est la mauvaise question

Le débat est souvent présenté de manière trop simpliste. D'un côté, ceux qui veulent protéger les enfants, de l'autre, ceux qui défendent les VPN. Cette vision réductrice est erronée. Protéger les enfants est une mission légitime. Le respect de la vie privée est également un droit légitime. La question n'est pas de savoir quelle valeur doit primer sur l'autre, mais s'il est possible de construire un système qui ne mette pas à mal tout l'écosystème de sécurité à cause d'un seul problème.

Si je devais formuler la question, je la poserais autrement : comment empêcher les mineurs d’accéder à des contenus inappropriés sans créer une infrastructure de vérification d’identité à grande échelle ni limiter les outils de protection de la vie privée ? Cette question est plus complexe, mais plus honnête.

L'UE n'interdit pas les VPN pour le moment. Mais le débat à leur sujet n'est plus marginal. Lorsque les VPN sont présentés comme une « faille » à combler dans les discussions officielles, les utilisateurs s'inquiètent, à juste titre. Non pas parce que toutes les applications VPN seront interdites demain, mais parce qu'Internet évolue par étapes. D'abord, la vérification de l'âge pour les contenus pour adultes. Ensuite, des exigences pour empêcher leur contournement. Puis des restrictions sur les outils permettant ces contournements. Enfin, de nouveaux domaines où autre chose que l'âge devra être justifié.

J'espère que l'Europe trouvera une voie qui ne mène pas au totalitarisme numérique, mais les signaux actuels sont tout sauf encourageants.