En mai 2026, le Service de recherche du Parlement européen (EPRS) — le think-tank interne qui produit les notes de fond pour les députés européens — a publié un document de cadrage qui met pour la première fois un outil précis à l’ordre du jour de la protection des mineurs : le réseau privé virtuel, ou VPN.

Le briefing ne propose pas de loi. Il ne fixe pas de calendrier. Mais il pose une question que Bruxelles commence à prendre au sérieux : si un pays impose aux plateformes de réseaux sociaux et aux sites pour adultes de vérifier l’âge de leurs utilisateurs, et que les enfants y répondent en téléchargeant un VPN pour contourner ce contrôle, la loi fonctionne-t-elle réellement ?

Ce guide explique ce qu’est un VPN dans des mots qu’un enfant peut comprendre, pourquoi le sujet devient soudain politique, ce que l’UE propose — et surtout ne propose pas — et ce que tout cela change concrètement pour une famille dès maintenant.

Ce qu’est réellement un VPN

Imaginez Internet comme une ville pleine de bâtiments (les sites web). Normalement, lorsqu’un téléphone ou un ordinateur visite l’un de ces bâtiments, il franchit la porte avec une étiquette indiquant : « Je viens de ce quartier. » Le site lit l’étiquette et décide ce qu’il fait — afficher la langue locale, bloquer les contenus interdits dans ce pays, ou vérifier que le visiteur est assez âgé.

Un VPN est un tunnel. Il collecte tout le trafic du téléphone à une extrémité, le transporte sous terre jusqu’à une autre ville, et le laisse ressortir avec une étiquette différente. Pour le site, le visiteur ressemble alors à quelqu’un d’Helsinki, de Singapour ou de Francfort — selon la sortie du tunnel utilisée.

Les VPN ont été conçus à l’origine pour que des salariés en télétravail puissent se connecter en sécurité au réseau de leur entreprise. Ils sont également utilisés tout à fait légalement pour protéger sa vie privée sur le Wi-Fi public, pour lire des informations dans des pays où elles sont censurées, et par des journalistes, des militants et des personnes hébergées dans des structures de protection dont la localisation ne doit pas être visible.

Le même outil dans les mains d’un enfant prend un autre visage : un VPN peut faire passer un téléphone de Munich pour un téléphone situé dans un pays sans vérification d’âge — et un site qui aurait refusé l’accès l’autorise alors.

Pourquoi le sujet fait la une en ce moment

Jusqu’à récemment, c’était une préoccupation théorique. Puis l’Online Safety Act est entré en vigueur au Royaume-Uni, et les sites pour adultes qui voulaient continuer à opérer dans le pays ont dû commencer à vérifier l’âge de chaque visiteur. En quelques semaines, les téléchargements d’applications VPN grand public ont bondi d’environ 1 800 % au Royaume-Uni. Une partie venait d’adultes opposés aux contrôles d’âge pour des raisons de vie privée. Une part importante venait d’adolescents.

Les régulateurs européens ont observé le phénomène. Le briefing EPRS tire la conclusion évidente : si d’autres pays de l’UE adoptent des lois similaires — et plusieurs y travaillent — le même contournement deviendra disponible partout, vendu aux enfants comme une solution en un clic, et publicisé sur les plateformes mêmes que la loi cherche à mettre hors d’atteinte des mineurs.

Ce que l’UE propose — et ce qu’elle ne propose pas

Le briefing examine trois idées différentes. Aucune n’est un projet de loi. Aucune n’a de calendrier.

1. Vérification d’âge chez les fournisseurs de VPN eux-mêmes. La voie la plus directe : exiger que les services VPN commercialisés dans l’UE vérifient l’âge de leurs clients. Techniquement et juridiquement complexe, puisque cela impose à un outil d’anonymat de collecter des pièces d’identité pour pouvoir offrir l’anonymat.

2. Protection de la jeunesse dans le règlement sur la cybersécurité. Le règlement européen sur la cybersécurité fixe des règles de base pour les produits numériques. Le briefing suggère d’y ajouter des critères de protection des mineurs, pour qu’un VPN agressivement commercialisé auprès des plus jeunes fasse face à un contrôle réglementaire plus strict qu’un VPN positionné vers les adultes.

3. Un « âge de la majorité numérique » à l’échelle de l’UE. Un âge unique (le briefing évoque 16 ans) à partir duquel un mineur peut consentir seul à certains services en ligne, en remplacement de la mosaïque actuelle où chaque État membre fixe son propre seuil au titre de l’article 8 du RGPD.

Ces propositions sont au stade de la discussion. Avant qu’un projet de loi n’arrive — si tant est qu’il arrive — il faut compter deux à trois ans.

Ce que cela change pour les familles cette année

Presque rien en 2026. Aucun service VPN européen ne sera tenu cette année de vérifier des pièces d’identité. Aucun app store ne retirera les VPN de ses rayons. Quiconque veut installer un VPN — y compris un adolescent — peut le faire aujourd’hui comme hier.

Ce qui change, c’est la conversation autour des VPN. Pendant une décennie, ils ont été vendus aux parents comme un produit de vie privée. Ils vont désormais être vendus aux parents aussi comme un risque — parfois à juste titre, parfois par des acteurs poursuivant leur propre agenda politique. Les deux récits sont partiellement vrais, et ce qui importe pour une famille, c’est de savoir lequel s’applique à sa situation propre.

Un VPN sur l’ordinateur portable d’un parent, utilisé pour lire un journal allemand depuis une location de vacances en Espagne ou pour consulter ses comptes bancaires depuis le Wi-Fi d’un hôtel, est de l’infrastructure de vie privée. Le même VPN, installé sur le téléphone d’un enfant de douze ans avec l’intention explicite de contourner le contrôle d’âge de TikTok, est autre chose. Même logiciel, problème différent.

Ce que les parents peuvent faire dès maintenant

Le paysage technique de 2026 donne déjà aux familles plus de moyens d’agir que ce que le débat politique laisse entendre :

1. Contrôler qui peut installer des applications. Sur iOS : Temps d’écran → Contenu et confidentialité → Installation d’apps : Ne pas autoriser empêche toute installation sans code parental. Sur Android, Family Link fait la même chose. Un VPN qui ne peut pas être installé n’est pas un problème.

2. Privilégier le filtrage au niveau du réseau, pas seulement les contrôles sur l’appareil. Les contrôles sur l’appareil ne fonctionnent que sur les appareils que la famille possède et gère. Un filtre de contenu basé sur le DNS qui s’intercale entre le réseau domestique et l’internet — pour tous les appareils du foyer, y compris ceux qui sont de passage — ferme les angles morts que les outils sur l’appareil laissent ouverts. Point souvent oublié : le VPN d’un enfant ne contourne pas un filtre DNS qui ne se trouve pas sur l’appareil, mais sur le réseau par lequel l’enfant se connecte.

3. Avoir la conversation, adaptée à l’âge. Les enfants qui comprennent pourquoi un outil est restreint investissent nettement moins d’énergie pour le contourner que les enfants qui vivent la restriction comme arbitraire. Ce qu’est un VPN, ce à quoi il sert réellement, et où son usage glisse vers un terrain qui n’est pas approprié à leur âge — cela se discute, pas seulement par une règle au mur.

La suite

Le briefing EPRS est la première fois qu’un organisme de recherche européen sérieux cadre les VPN grand public comme un sujet de protection des mineurs et plus uniquement comme un produit de vie privée. Ce cadrage ne va pas disparaître. Qu’il se traduise en loi dépendra de la diffusion des régimes de vérification d’âge dans l’UE et de la visibilité politique du contournement — laquelle, au vu des débats au Royaume-Uni, en France et en Allemagne, est probable.

Pour les douze à vingt-quatre prochains mois, l’impact pratique sur les familles restera limité. L’impact stratégique — sur la conception de la prochaine génération d’outils de contrôle parental, de filtres au niveau des fournisseurs d’accès et de règles de plateforme — sera considérable. Nous suivons l’évolution ici.

Mon enfant fait-il quelque chose d’illégal en utilisant un VPN?
Dans tous les États membres de l’UE actuels, télécharger et utiliser un VPN grand public est légal à tout âge. L’éventuelle illégalité concerne ce à quoi le VPN sert à accéder, pas le VPN lui-même.
Un VPN contourne-t-il les contrôles parentaux de la maison?
Cela dépend d’où se trouvent les contrôles. Les restrictions d’installation d’app et les limites de temps d’écran restent actives, parce qu’elles s’exécutent sur l’appareil lui-même, avant même que le VPN ne démarre. Un filtre DNS posé sur le routeur domestique est contourné par un VPN, parce que celui-ci fait passer tout le trafic à côté du routeur. Un filtre DNS posé sur l’appareil — ou sur un Wi-Fi managé auquel l’enfant se connecte — n’est pas contourné.
Faut-il que nous installions nous-mêmes un VPN?
Pour la plupart des adultes, oui — au moins en déplacement : sur le Wi-Fi public des aéroports, des cafés et des hôtels, un VPN est réellement utile. Sur le réseau domestique, le bénéfice est plus modeste. Pour l’appareil d’un enfant, un VPN destiné aux adultes sans fonctions familiales est le mauvais outil. Un service orienté famille avec des catégories de contenu intégrées — même technologie, configuration différente — est une réponse plus honnête.
Et les 1 800 % au Royaume-Uni — l’UE panique-t-elle?
Le chiffre est réel mais facile à mal interpréter. Il mesure des pics de téléchargement dans les semaines suivant l’entrée en vigueur d’une nouvelle loi, pas la base d’utilisateurs sur la durée. Une part importante de ces téléchargements provient d’adultes refusant les contrôles d’âge par principe. La préoccupation de fond — que le contournement soit bon marché et largement publicisé — est indépendante du chiffre choc.

Mis à jour le 14 mai 2026. Cet article sera actualisé au fur et à mesure de l’avancée de la consultation européenne.