Aller au contenu
NNextHop
← Retour au blog

Entre laisser-faire et surveillance de masse : une solution européenne proportionnée pour protéger les mineurs.

toto

Par Sylvain Rutten6 juin 202526 min de lecture

Entre inefficacité des solutions actuelles et surveillance de masse, une alternative existe : s'appuyer sur l'IMEI des terminaux et des jetons cryptographiques parentaux pour garantir un usage encadré, proportionné et conforme au droit européen.

Chapitre 1. Introduction : l'impératif de protection et les limites des solutions actuelles

1.1. Le numérique comme espace de socialisation précoce

Depuis deux décennies, l'accès aux technologies numériques s'est banalisé dans les foyers européens. Les enfants et adolescents utilisent désormais smartphones, tablettes et réseaux sociaux comme principaux espaces de socialisation, d'apprentissage et de loisirs.

Selon Eurostat, plus de 80 % des jeunes de 12 à 15 ans disposent d'un smartphone personnel dans l'Union européenne, et près de 70 % sont inscrits sur au moins un réseau social dès 13 ans, malgré les restrictions d'âge théoriques.

Équipement numérique des mineurs européens par tranche d'âgeTaux de possession de smartphone et inscription aux réseaux sociaux (2024)

Cet usage massif n'est pas neutre : il expose les mineurs à des risques spécifiques allant de l'exposition accidentelle à des contenus inappropriés jusqu'aux phénomènes de cyberharcèlement, de manipulation psychologique (grooming) ou d'addiction numérique.

1.2. Le dilemme entre protection et droits fondamentaux

La protection des mineurs en ligne est un impératif reconnu par le droit international. L'article 3 de la Convention internationale des droits de l'enfant (ONU, 1989) stipule que « l'intérêt supérieur de l'enfant doit être une considération primordiale ». L'article 17 invite les États à veiller à ce que l'enfant « ait accès à une information provenant de sources diverses, notamment celles qui visent à promouvoir son bien-être social, spirituel et moral ».

Mais cette obligation coexiste avec d'autres droits fondamentaux :

Le droit à la vie privée (art. 16 CIDE, art. 8 CEDH)
Le droit à la liberté d'expression et d'information (art. 13 CIDE, art. 11 Charte UE)

Le défi politique et juridique est donc double : assurer une protection efficace sans tomber dans la surveillance de masse ni restreindre de façon disproportionnée les libertés numériques des jeunes.

1.3. Les limites des solutions existantes

Trois grandes approches dominent actuellement le débat. Aucune n'apporte une réponse satisfaisante.

Évaluation des solutions actuelles de protection des mineursScore sur 10 selon les critères d'efficacité, proportionnalité et respect des libertés

L'auto-déclaration de l'âge repose sur une simple case à cocher lors de l'inscription. Un enfant de 10 ans peut prétendre en avoir 18 en quelques secondes. C'est une fiction juridique sans aucune efficacité réelle.

Les filtres logiciels et le contrôle parental local peuvent être désactivés, contournés via VPN, ou simplement ignorés sur un appareil emprunté. Ils dépendent de compétences techniques que beaucoup de parents ne possèdent pas.

Le scanning généralisé des contenus (projet ChatControl de l'UE) propose d'analyser automatiquement tous les messages privés pour détecter des contenus pédopornographiques. Cette approche menace frontalement le secret des correspondances et a été jugée disproportionnée par de nombreux juristes.

1.4. Vers une troisième voie

L'hypothèse développée dans cet article est celle d'une troisième voie :

1.S'appuyer sur des ancrages techniques déjà existants (IMEI, gestion opérateur)
2.Développer un système de jetons cryptographiques d'approbation parentale
3.Étendre cette logique aux réseaux sociaux avec validation parentale des contacts
Situation actuelle vs Troisième voie proposéeComparaison des approches de protection des mineurs

Cette approche se veut :

Efficace techniquement : difficile à contourner car liée au terminal et au réseau
Compatible juridiquement : RGPD, DSA, Convention de l'enfant
Respectueuse de la vie privée : minimisation des données, pas de bases centralisées

Chapitre 2. IMEI et rôle des opérateurs : un ancrage matériel fiable

2.1. L'IMEI : un identifiant technique robuste

L'International Mobile Equipment Identity (IMEI) est un numéro unique de 15 chiffres attribué à chaque terminal mobile. Défini par la norme 3GPP TS 23.003, il se compose :

D'un Type Allocation Code (TAC) identifiant le modèle de l'appareil
D'un numéro de série unique
D'une clé de contrôle (Check Digit)

Chaque fois qu'un terminal se connecte à un réseau mobile, son IMEI est transmis à l'opérateur et peut être croisé avec la carte SIM (ICCID/IMSI). L'IMEI est déjà utilisé pour bloquer les terminaux volés (blacklist GSMA EIR), assurer la traçabilité des équipements défectueux et alimenter les statistiques de flotte.

Usages actuels de l'IMEI par les opérateurs européensPourcentage d'opérateurs utilisant l'IMEI pour chaque fonction

L'IMEI constitue donc un ancrage matériel difficilement falsifiable, qui ne dépend pas de la déclaration de l'utilisateur mais du matériel certifié par le constructeur et reconnu par l'opérateur.

2.2. Obligations actuelles des opérateurs en Europe

Le Code des communications électroniques européen (CCEE, Dir. 2018/1972) impose déjà aux opérateurs :

D'identifier les abonnés (KYC) lors de la souscription d'un contrat
De conserver certaines données de connexion pour les besoins de sécurité publique
De participer aux systèmes internationaux de gestion d'IMEI (GSMA, ETSI)

En France, l'article L34-1 du Code des postes et communications électroniques prévoit la conservation temporaire de certaines données d'identification technique. L'ARCEP, en lien avec la CNIL, contrôle la proportionnalité de ces traitements.

Aujourd'hui, les opérateurs savent déjà associer un abonné (via la SIM), un terminal (via l'IMEI) et une session réseau. Mais cette capacité n'est pas encore mobilisée pour la protection des mineurs.

2.3. Proposition : émission obligatoire de jetons parentaux liés à l'IMEI

L'idée centrale consiste à imposer aux opérateurs une nouvelle obligation réglementaire :

Lorsqu'un terminal est attribué à un mineur déclaré (par son représentant légal lors de l'abonnement), l'opérateur émet un jeton cryptographique lié à l'IMEI du terminal.

Ce jeton, signé par l'opérateur, atteste :

Que le terminal appartient à un mineur
Que son usage a été validé par un parent
Que certaines restrictions peuvent s'appliquer (data, achats, accès services)
Flux de données dans le système de jetons parentauxCirculation des informations entre les acteurs du système

Techniquement, le jeton peut être un Verifiable Credential (VC) conforme au modèle W3C, associé au terminal par IMEI + SIM et relié à l'identité parentale via une signature numérique.

Ce mécanisme permettrait :

D'empêcher l'activation d'un terminal mineur sans approbation parentale
De créer une base de confiance distribuée : opérateurs ↔ parents ↔ plateformes

2.4. Analyse RGPD et proportionnalité

La conformité juridique repose sur plusieurs piliers :

Base légale :

Article 6(1)(c) RGPD : obligation légale pour protéger l'intérêt supérieur de l'enfant
Article 8 RGPD : consentement parental pour l'accès des mineurs aux services numériques

Minimisation :

L'opérateur ne transmet pas l'IMEI brut mais un jeton dérivé (hash + signature)
Les plateformes ne reçoivent qu'une preuve « ce terminal appartient à un mineur validé par un parent », sans accès aux données identifiantes

Proportionnalité :

L'obligation est ciblée : seuls les terminaux déclarés « mineurs » sont concernés
Pas de surveillance généralisée : aucune interception de contenu
Mesure strictement limitée à l'ancrage technique et à la validation parentale
Comparaison de proportionnalité : ChatControl vs Jetons IMEIÉvaluation selon les critères de la jurisprudence CJUE

Chapitre 3. Jetons d'approbation parentale : architecture technique

3.1. Principe général des jetons d'approbation

L'idée est de créer une preuve numérique standardisée confirmant que l'usage d'un service numérique par un mineur a été autorisé par son représentant légal.

Caractéristiques principales :

Émis par l'opérateur au moment de l'enregistrement de l'IMEI et de la ligne associée
Validé par le parent, qui active ou révoque l'usage via une application de contrôle
Transmis sous forme de jeton cryptographique, vérifiable par les plateformes

L'innovation est d'ancrer le processus dans un écosystème distribué plutôt que dans une surveillance centralisée.

3.2. Architecture technique proposée

Architecture technique du système de jetons parentauxProcessus d'émission, gestion et vérification des jetons

#### 1) Émission du jeton

Lors de l'activation d'une ligne mineur, l'opérateur associe IMEI + SIM (ICCID/IMSI). Un jeton cryptographique est généré sous forme de Verifiable Credential (VC) W3C contenant :

Preuve que le terminal est déclaré mineur
Identité du représentant légal (minimisée : hash ou signature)
Date de validité (renouvellement périodique)

#### 2) Gestion parentale

Une application opérateur ou interopérable (standard API BEREC/ETSI) permet au parent de :

Valider ou révoquer un usage
Définir des restrictions (blocage achats premium, limitation data)
Recevoir des notifications d'approbation (nouvel ami, inscription service)

#### 3) Vérification par les plateformes

Lors de l'inscription ou d'une action sensible, la plateforme exige la présentation du jeton. La vérification cryptographique via clé publique opérateur ne transmet aucun IMEI brut, seulement une preuve de conformité.

3.3. Cadre juridique européen applicable

Couverture juridique du modèle de jetons parentauxDegré d'alignement avec les textes européens fondamentaux

Digital Services Act (DSA, Règlement UE 2022/2065)

Art. 28 : obligation des plateformes de mettre en place des mesures appropriées et proportionnées pour protéger les mineurs
Art. 34 : évaluation des risques systémiques pour les mineurs
Art. 35 : obligation de mettre en œuvre des mesures de mitigation

Le mécanisme de jetons d'approbation fournit une solution proportionnée, techniquement vérifiable et respectueuse du RGPD.

Digital Markets Act (DMA, Règlement UE 2022/1925)

Le DMA impose aux gatekeepers des obligations d'interopérabilité. Le système de jetons pourrait être imposé comme obligation ex ante : les gatekeepers devraient accepter les jetons parentaux émis par les opérateurs, sans pouvoir imposer leur propre système fermé.

3.4. Normes techniques de référence

StandardOrganismeApplication
TS 23.003ETSI/3GPPDéfinition IMEI
TS 22.016ETSI/3GPPProcédures allocation IMEI
IMEI DB/EIRGSMARegistre de confiance
Verifiable CredentialsW3CFormat attestations
EUDI WalleteIDAS 2Infrastructure identité UE

Une implémentation réaliste consisterait à définir un profil européen de « VC IMEI Parent Token », publié par ETSI et intégré dans l'écosystème eIDAS 2.

Chapitre 4. Réseaux sociaux : obligation d'approbation parentale des contacts

4.1. Le problème actuel : vulnérabilités sociales des mineurs

Les réseaux sociaux constituent l'un des principaux espaces de socialisation des adolescents. Or, la quasi-totalité des plateformes repose sur l'auto-déclaration de l'âge, facilement contournable par une simple falsification de date de naissance.

Conséquences :

Des enfants de 10 à 12 ans présents sur TikTok, Instagram ou Snapchat malgré une limite affichée de 13 ans
Une exposition massive aux risques de cyberharcèlement et de grooming
Une absence quasi totale de contrôle des interactions sociales
Exposition des mineurs aux risques sur les réseaux sociauxPourcentage de mineurs ayant subi chaque type d'incident (enquête UE 2024)

4.2. Inscription via jeton IMEI

Nous proposons de conditionner l'inscription d'un compte mineur sur un réseau social à la présentation d'un jeton d'approbation parental lié à l'IMEI.

Mécanisme :

1.Lors de l'inscription, l'application exige un jeton signé confirmant que le terminal est associé à un mineur et que l'usage est validé par le parent
2.Sans ce jeton, la création de compte est refusée
3.Les plateformes doivent intégrer cette vérification conformément au DSA

Cela ferme la possibilité pour un mineur de créer un compte en dehors de toute validation parentale.

4.3. Approbation parentale des nouveaux contacts

La deuxième dimension essentielle est d'imposer une validation systématique des nouveaux contacts pour les comptes mineurs.

Processus d'approbation parentale des contactsWorkflow de validation d'une demande de contact vers un compte mineur

Fonctionnement proposé :

Lorsqu'un utilisateur tente d'ajouter un mineur en contact ou de lui envoyer un premier message privé, la demande est mise en file d'attente. Le parent reçoit une notification via son application de contrôle, lui permettant de :

Accepter la demande
Refuser la demande
Accepter sous condition (visibilité publique uniquement, sans messagerie privée)

Sans validation, l'interaction reste bloquée.

4.4. Fondement juridique

Digital Services Act (DSA)

Art. 28 : impose aux plateformes de prendre des mesures appropriées pour protéger les mineurs
Art. 34 : les VLOPs doivent évaluer les risques systémiques liés aux contacts indésirables

Convention internationale des droits de l'enfant (CIDE)

Art. 3 et 16 : protection contre les ingérences dans la vie privée et l'intégrité
La mesure limite l'exposition aux prédateurs tout en préservant la vie privée (les parents n'ont pas accès aux messages, seulement aux demandes)

RGPD (art. 8)

Le consentement parental est exigé pour l'accès aux services en ligne pour les moins de 15 ans. La validation parentale des contacts s'inscrit dans cette logique de protection.

4.5. Avantages et limites

Analyse SWOT de l'approbation parentale des contactsForces, faiblesses, opportunités et menaces du dispositif

Chapitre 5. Compatibilité juridique : RGPD, DSA, droit international

5.1. Le RGPD : consentement parental et minimisation

Article 8 RGPD

Le Règlement impose que pour les services offerts aux enfants de moins de 16 ans (15 ans en France), le traitement des données n'est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale.

Les jetons d'approbation parentale réalisent techniquement cette exigence : l'usage du service est conditionné à l'autorisation explicite d'un parent.

Principe de minimisation (art. 5 RGPD)

Les plateformes ne reçoivent pas l'IMEI brut ni l'identité complète du parent
Elles reçoivent uniquement une preuve cryptographique
Ce modèle respecte le principe de data minimisation

Proportionnalité

La jurisprudence de la CJUE (Digital Rights Ireland, La Quadrature du Net) rappelle que toute collecte massive et généralisée est disproportionnée. Le modèle proposé cible uniquement les comptes mineurs et repose sur une délégation aux parents.

5.2. Compatibilité avec l'ensemble du corpus juridique européen

Matrice de conformité juridique du modèle IMEI + jetonsÉvaluation de la compatibilité avec chaque texte fondamental

Digital Services Act (DSA)

L'intégration obligatoire des jetons parentaux constitue une réponse proportionnée et directement en ligne avec l'esprit du DSA (art. 28 et 34).

Digital Markets Act (DMA)

En vertu du DMA, les gatekeepers ne pourraient pas imposer leur propre système fermé mais seraient contraints d'accepter les jetons parentaux européens normalisés.

Convention internationale des droits de l'enfant (CIDE)

La solution équilibre protection (art. 3 et 17) et respect de la vie privée (art. 16), sans instaurer un contrôle généralisé des communications.

Convention européenne des droits de l'homme (CEDH)

L'approche distribuée par jetons IMEI est bien plus conforme aux standards de proportionnalité que le scanning de masse (jurisprudence Klass c. Allemagne).

5.3. Synthèse juridique

Le modèle proposé est juridiquement défendable car il s'appuie sur :

L'article 8 RGPD (consentement parental)
Les obligations de protection des mineurs du DSA
L'exigence d'interopérabilité du DMA
La CIDE et la CEDH, qui imposent à la fois protection et respect de la vie privée

Il constitue une alternative conforme et proportionnée aux projets de surveillance généralisée.

Chapitre 6. Perspectives, limites et gouvernance européenne

6.1. Les bénéfices attendus

Sécurité accrue pour les mineurs

Réduction drastique du cyberharcèlement et du grooming
Impossibilité de créer des comptes mineurs « fantômes »
Limitation de l'exposition aux contenus inappropriés

Conformité avec le droit européen

Réponse directe aux obligations du RGPD art. 8 et du DSA art. 28
Alignement avec la jurisprudence CJUE sur la proportionnalité
Alternative crédible à la surveillance de masse

Standardisation européenne

Normalisation via ETSI, BEREC, W3C, eIDAS 2
Interopérabilité immédiate entre opérateurs, parents et plateformes
Marché unique cohérent

6.2. Les défis et réponses

Risques identifiés et mesures d'atténuationÉvaluation du niveau de risque et de l'efficacité des contre-mesures

Contournement via appareils étrangers

Réponse : obligation pour les plateformes opérant dans l'UE de refuser toute inscription sans jeton pour les moins de 18 ans, quel que soit l'appareil.

Acceptabilité sociale

Réponse : régime évolutif selon l'âge :

Moins de 13 ans : validation systématique
13 à 15 ans : régime mixte (contacts validés, autonomie limitée)
16 à 17 ans : autonomie progressive avec journalisation consultable

6.3. Gouvernance et supervision

Gouvernance et supervision du systèmeRépartition des responsabilités entre niveaux européen, national et société civile

6.4. Calendrier de mise en œuvre

Calendrier de déploiement du système de jetons parentauxJalons clés de la mise en œuvre européenne (2026-2030)

Étape 1 (2026-2027)

Adoption d'une directive complémentaire au DSA
Expérimentation pilote dans quelques États membres (France, Allemagne, Espagne)
Définition des standards ETSI

Étape 2 (2028-2029)

Intégration du standard VC IMEI Parent Token dans l'EUDI Wallet
Obligation pour les VLOPs d'accepter ces jetons
Déploiement des API ETSI pour interopérabilité

Étape 3 (2030)

Obligation généralisée pour toutes les plateformes opérant en UE
Harmonisation avec les régimes internationaux (OCDE, Conseil de l'Europe)

Chapitre 7. Conclusion : une troisième voie européenne

7.1. Entre inefficacité et excès

La protection des mineurs dans l'environnement numérique a trop longtemps oscillé entre deux extrêmes :

Le laisser-faire, fondé sur l'auto-déclaration de l'âge et des filtres logiciels facilement contournables, échoue sur l'efficacité.

La surveillance généralisée, incarnée par ChatControl qui prévoit le scanning systématique des communications privées, échoue sur la proportionnalité et menace les libertés fondamentales.

7.2. Un modèle européen équilibré

L'approche développée propose une troisième voie :

IMEI comme ancrage matériel fiable et déjà connu des opérateurs
Jetons d'approbation parentale comme mécanisme cryptographique de validation
Obligation d'approbation des contacts sur les plateformes
Interopérabilité garantie par les normes européennes
Score global des trois approches de protection des mineursÉvaluation synthétique sur les critères fondamentaux

Ce système associe :

Efficacité, car il est difficile à contourner
Conformité, car il s'aligne sur l'article 8 RGPD et les articles 28 et 34 du DSA
Respect, car il évite la collecte massive et intrusive des communications privées

7.3. Gouvernance et souveraineté européenne

La réussite de ce modèle dépendra d'une coordination européenne forte, d'une application uniforme par les opérateurs et les plateformes, et d'une participation active de la société civile.

Au-delà de la protection des mineurs, ce modèle affirme la capacité de l'Europe à élaborer une régulation numérique conforme à ses valeurs, plutôt que d'importer des solutions anglo-saxonnes ou autoritaires.

7.4. Conclusion finale

La protection des mineurs en ligne ne doit pas être un prétexte pour instaurer une société de surveillance, pas plus qu'elle ne peut rester une fiction reposant sur des cases à cocher.

La voie ici proposée, fondée sur l'IMEI, les jetons parentaux et l'approbation distribuée, offre une alternative crédible, académique et opérationnelle. Elle incarne ce que le droit européen cherche à concilier :

Sécurité des plus vulnérables
Garantie des droits fondamentaux
Innovation technologique respectueuse de la vie privée

En ce sens, elle trace la voie d'un modèle européen de protection numérique des mineurs : une régulation protectrice mais jamais intrusive, ferme mais toujours proportionnée.

Glossaire

ARCEP : Autorité de régulation des communications électroniques et des postes (France).

BEREC : Body of European Regulators for Electronic Communications, organe européen de coordination des régulateurs télécoms.

CIDE : Convention internationale des droits de l'enfant (ONU, 1989).

CJUE : Cour de justice de l'Union européenne.

DMA : Digital Markets Act, règlement européen sur les marchés numériques (UE 2022/1925).

DSA : Digital Services Act, règlement européen sur les services numériques (UE 2022/2065).

eIDAS 2 : Règlement européen sur l'identité numérique, incluant le portefeuille EUDI Wallet.

ENISA : European Union Agency for Cybersecurity.

ETSI : European Telecommunications Standards Institute.

Grooming : Approche manipulatoire d'un adulte envers un mineur à des fins d'abus.

GSMA : GSM Association, organisation mondiale des opérateurs mobiles.

ICCID : Integrated Circuit Card Identifier, identifiant unique de la carte SIM.

IMEI : International Mobile Equipment Identity, identifiant unique de 15 chiffres attribué à chaque terminal mobile.

IMSI : International Mobile Subscriber Identity, identifiant unique de l'abonné.

KYC : Know Your Customer, procédures d'identification des clients.

RGPD : Règlement général sur la protection des données (UE 2016/679).

Verifiable Credential (VC) : Attestation numérique cryptographiquement vérifiable, standard W3C.

VLOP : Very Large Online Platform, très grande plateforme en ligne au sens du DSA.

Sources et références

Textes juridiques européens

RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil
DSA : Règlement (UE) 2022/2065 sur les services numériques
DMA : Règlement (UE) 2022/1925 sur les marchés numériques
CCEE : Directive (UE) 2018/1972, Code des communications électroniques européen
eIDAS 2 : Règlement sur l'identité numérique européenne

Jurisprudence CJUE

Digital Rights Ireland (C-293/12 et C-594/12, 2014)
La Quadrature du Net (C-511/18, C-512/18 et C-520/18, 2020)
Schrems II (C-311/18, 2020)

Droit international

Convention internationale des droits de l'enfant (ONU, 1989)
Convention européenne des droits de l'homme (CEDH)
Charte des droits fondamentaux de l'Union européenne

Normes techniques

ETSI/3GPP TS 23.003 : Définition IMEI
ETSI/3GPP TS 22.016 : Procédures d'allocation IMEI
W3C Verifiable Credentials Data Model (2022)
GSMA IMEI Database specifications

Institutions et régulateurs

ARCEP : Rapports annuels sur les communications électroniques
CNIL : Recommandations sur la protection des mineurs en ligne (2021)
ENISA : Guidelines on cybersecurity for minors
BEREC : Lignes directrices sur l'interopérabilité

Études et rapports

Eurostat : Statistiques sur l'usage numérique des jeunes européens
Commission européenne : Évaluation d'impact du DSA
Conseil de l'Europe : Lignes directrices sur le respect des droits de l'enfant dans l'environnement numérique

Cet article est publié sous licence Creative Commons BY-NC-SA.

Partager :