L'amende GDPR de reddit pour l'ICO met en question les vérifications d'âge et la protection des données des enfants

Les régulateurs ont relancé le débat sur la vie privée, la sécurité en ligne des enfants et l’amende GDPR de Reddit après que l’autorité britannique a sanctionné la plateforme pour des données concernant les moins de 13 ans.

L’ICO sanctionne Reddit pour données d’enfants et vérifications d’âge

Le Bureau de l’information du Royaume-Uni (ICO) a infligé une amende de 14,47 millions de livres sterling (19,6 millions de dollars) à Reddit pour des violations présumées du RGPD impliquant des enfants, dans une décision annoncée le 24 février 2026. Cependant, les défenseurs de la vie privée avertissent que cette approche de l’application pourrait compromettre l’anonymat et la sécurité des utilisateurs sur toutes les plateformes en ligne.

Le régulateur a indiqué que l’amende de l’ICO à Reddit était basée sur deux défaillances principales. Premièrement, Reddit manquait de mesures « robustes » pour garantir l’âge, ce qui lui laissait sans base légale pour traiter les données personnelles des utilisateurs de moins de 13 ans. Deuxièmement, il n’a pas réalisé d’évaluation d’impact sur la protection des données (DPIA) formelle pour identifier et atténuer les risques pour les enfants sur le service avant janvier 2025.

Selon l’ICO, le montant de la sanction reflétait plusieurs facteurs. Parmi eux, le grand nombre d’enfants utilisant le site, le potentiel de préjudice qu’ils pouvaient subir, la durée pendant laquelle ces défaillances ont persisté et le chiffre d’affaires mondial de Reddit. De plus, les enquêteurs ont souligné la nature du contenu auquel les enfants ont pu être exposés.

Régulateur : Reddit a échoué avec les jeunes utilisateurs

John Edwards, commissaire à l’information, a déclaré que les enfants de moins de 13 ans avaient vu leurs informations personnelles collectées et utilisées de manières qu’ils ne pouvaient pas pleinement comprendre ou contrôler. Cela les exposait potentiellement à du contenu inapproprié pour leur âge, a-t-il affirmé dans une déclaration ferme.

« Les enfants de moins de 13 ans ont vu leurs informations personnelles collectées et utilisées de manières qu’ils ne pouvaient pas comprendre, accepter ou contrôler. Cela les a potentiellement exposés à du contenu qu’ils n’auraient pas dû voir. C’est inacceptable et cela a conduit à l’amende d’aujourd’hui », a déclaré Edwards. Il a souligné que les entreprises doivent concevoir leurs services en pensant aux enfants dès le départ.

Edwards a ajouté que les services en ligne susceptibles d’attirer des enfants ont une responsabilité claire de les protéger. Pour cela, ils doivent connaître, avec une confiance raisonnable, l’âge de leurs utilisateurs et déployer des vérifications d’âge appropriées et efficaces. Il n’a pas prescrit une technologie spécifique, insistant plutôt sur les résultats et la réduction des risques.

Réaction de Reddit et objections basées sur la vie privée

Reddit a répliqué en affirmant que ses choix de conception de longue date privilégiaient l’anonymat et la sécurité des utilisateurs. Dans un communiqué, la société a déclaré qu’elle « n’obligeait pas les utilisateurs à partager des informations sur leur identité, quel que soit leur âge, car nous sommes profondément engagés dans leur vie privée et leur sécurité ». Cependant, elle n’a pas contesté que des enfants avaient accédé à la plateforme.

La plateforme a introduit des barrières d’âge pour accéder à du « contenu mature » en juillet 2025 et a commencé à demander aux nouveaux utilisateurs de préciser leur âge lors de la création d’un compte. L’ICO a reconnu ces changements, mais a indiqué que l’auto-déclaration était trop facile à contourner et ne répondait pas aux normes GDPR pour les traitements à haut risque impliquant des mineurs.

Les spécialistes de la vie privée ont exprimé leur soutien à la position de Reddit, arguant que des vérifications plus strictes pourraient alimenter les préoccupations concernant la vérification d’âge. Ils ont averti que reproduire les exigences intrusives d’identité imposées à certains sites de contenu pour adultes pourrait augmenter la surface d’attaque pour les cybercriminels et affaiblir la protection globale de la vie privée.

Experts : préoccupations sur la vérification d’âge et la vie privée

Paul Bischoff, défenseur de la vie privée des consommateurs chez Comparitech, a déclaré espérer que Reddit résisterait à la pression d’implémenter des vérifications d’identité lourdes. Il a soutenu que les régimes de vérification obligatoires déplacent la charge de la preuve sur les utilisateurs qui ne sont pas suspectés de faute, soulevant des questions plus larges sur les libertés civiles.

« Le problème avec la vérification d’identité obligatoire, c’est qu’elle impose une charge de preuve excessive à la majorité des personnes qui ne sont pas suspectées d’avoir commis une faute », a averti Bischoff. De plus, il a indiqué qu’il existe peu de preuves solides que de tels systèmes offrent réellement les bénéfices de sécurité revendiqués, surtout à grande échelle.

Il a ajouté que des vérifications coercitives peuvent avoir un effet dissuasif sur la liberté d’expression et d’association. Selon lui, les parents doivent assumer davantage la responsabilité de la supervision des activités en ligne de leurs enfants, plutôt que de transférer cette tâche à des entreprises privées, des gouvernements ou au public en général.

Pieter Arntz, chercheur principal chez Malwarebytes, a également mis en garde contre les risques importants liés aux technologies d’évaluation d’âge. Il a notamment souligné que les systèmes reposant sur l’analyse biométrique, les données financières ou les référentiels d’identité centralisés présentent chacun de nouvelles voies d’abus, de surveillance ou de violations de données.

Arntz a cité l’estimation de l’âge facial par biométrie, les vérifications en open banking interrogeant des informations financières, les portefeuilles d’identité numérique et la correspondance avec une pièce d’identité comme exemples d’outils pouvant concentrer des données d’identité très sensibles. Même des mécanismes plus simples, comme les vérifications par carte de crédit, les inférences par email ou la vérification par réseau mobile, peuvent soulever des préoccupations concernant l’exclusion, le profilage et la fiabilité.

Modèles à double aveugle comme compromis possible

Pour concilier préoccupations de vie privée liées à la vérification d’âge et objectifs de sécurité des enfants, Arntz propose la vérification « double aveugle » comme une voie plus respectueuse de la vie privée. Dans ce modèle, un tiers de confiance confirme si un utilisateur atteint un seuil d’âge, par exemple 18+, puis délivre un jeton anonymisé au site de confiance.

Dans cette approche, le site ne reçoit qu’une indication simple, par exemple « 18+ », sans connaître l’identité complète de l’utilisateur ni le service de vérification utilisé. Cela peut réduire l’exposition des données, limiter le suivi interservices et éviter la création de « honeypots » de données sensibles, attractifs pour les attaquants.

Selon Arntz, de telles architectures pourraient offrir une protection de la vie privée plus forte que de nombreux schémas actuels tout en répondant aux exigences réglementaires. Cependant, elles nécessiteraient une conception technique soignée, une gouvernance claire et une supervision rigoureuse pour garantir qu’elles limitent réellement la collecte de données plutôt que de réintroduire des risques via des intégrations en arrière-plan.

Obligations de conformité et leçons de l’amende GDPR de Reddit pour l’industrie

L’amende GDPR de Reddit souligne également des obligations plus larges concernant la protection des données des enfants pour tout service en ligne utilisé par des mineurs, qu’ils soient la cible principale ou non. Les échecs en matière de stratégie et de gouvernance autour des DPIA et des vérifications d’âge risquent d’attirer une attention réglementaire accrue à mesure que l’application se renforce.

Chris Linnell, directeur associé de la protection des données chez Bridewell, a déclaré qu’en traitant les données des enfants, réaliser une DPIA n’est pas optionnel. C’est une exigence légale visant à ce que les organisations évaluent, documentent et atténuent les risques avant que des dommages ne surviennent, notamment en cas de profilage ou de ciblage de contenu.

Linnell a affirmé que l’absence d’une DPIA robuste suggère que les risques pour les enfants n’ont pas été correctement identifiés ou traités dès le départ. De plus, il a souligné que se reposer uniquement sur des termes et conditions stipulant que les moins de 13 ans ne doivent pas utiliser le service ne constitue pas une protection efficace si aucune mesure technique ne vient la soutenir.

« Si aucune mesure technique ou opérationnelle efficace n’est en place pour faire respecter cette règle, l’organisation ne peut pas légitimement prétendre avoir pris des mesures raisonnables pour empêcher l’accès », a-t-il déclaré. « La conformité ne peut pas se limiter à une rédaction contractuelle ; elle doit se refléter dans des sauvegardes pratiques. » Ses commentaires indiquent que des politiques papier ne suffiront pas dans les futures actions de conformité.

Enforcement récent et orientations pour les plateformes en ligne

La décision de Reddit fait suite à une autre affaire au Royaume-Uni concernant les données des enfants. Quelques semaines auparavant, MediaLab, la société mère de la plateforme de partage d’images Imgur, a reçu une amende de plus de 247 000 livres pour ne pas avoir utilisé la loi sur la protection des informations des enfants de manière légale. Ensemble, ces cas montrent que l’ICO intensifie sa surveillance sur la façon dont les plateformes sociales et de contenu traitent les jeunes utilisateurs.

Linnell a exhorté les fournisseurs de services en ligne à agir dès maintenant pour éviter des conséquences similaires. Premièrement, ils doivent identifier où les enfants sont susceptibles d’accéder à leurs services, même si ces utilisateurs ne sont pas leur public cible. Deuxièmement, ils doivent réaliser des DPIA pour les traitements à haut risque et s’assurer que ces évaluations sont régulièrement révisées et mises à jour.

Il a également conseillé aux entreprises d’établir et de documenter une base légale claire pour le traitement des données des enfants et de mettre en œuvre des contrôles proportionnés et efficaces plutôt que de se fier uniquement à des déclarations de politique. Ces contrôles doivent toutefois être équilibrés avec les principes de vie privée dès la conception pour éviter une collecte excessive de données, ce qui pourrait lui-même créer de nouveaux risques.

Perspectives pour les plateformes cherchant à équilibrer sécurité, vie privée et conformité

L’action de l’ICO contre Reddit annonce une période d’application plus stricte en matière de protection des enfants et des données en 2026 et au-delà. Les plateformes dépendant fortement du contenu généré par les utilisateurs devront faire face à une pression croissante pour concilier sécurité, vie privée et obligations légales, tout en maintenant des modèles économiques viables et la confiance de la communauté.

Concrètement, cela implique de concevoir des systèmes sensibles à l’âge, de réaliser des DPIA significatives et d’explorer des modèles de vérification respectueux de la vie privée, plutôt que de recourir systématiquement à des vérifications d’identité globales. À mesure que les régulateurs et l’industrie testent ces approches, l’issue du débat sur la conformité GDPR de Reddit pourrait façonner les normes mondiales pour la protection des mineurs en ligne.

Dans l’ensemble, l’affaire Reddit sert d’avertissement de haut niveau que la protection des données axée sur les enfants passe de la simple orientation à l’application stricte, incitant les plateformes à renforcer leurs mesures de sécurité tout en défendant la vie privée des utilisateurs.