La Cour de justice de l’Union européenne (CJUE) a rendu, lundi 16 juin 2026, un arrêt qui autorise les États membres – dont la France – à imposer aux sites pornographiques la vérification de l’âge de leurs utilisateurs. La décision, très attendue, encadre strictement le dispositif pour qu’il demeure compatible avec le règlement général sur la protection des données (RGPD).
La France, qui avait déjà inscrit dans la loi l’obligation de vérifier l’âge des internautes accédant à des contenus pour adultes, voit sa position confortée par la justice européenne. Le tribunal administratif de Paris, qui avait transmis plusieurs questions préjudicielles, va désormais pouvoir statuer sur les recours en cours.
Ce que dit exactement l’arrêt
La CJUE considère qu’imposer une vérification d’âge à l’accès d’un site pornographique constitue une ingérence dans la vie privée, mais qu’elle peut être justifiée par l’objectif de protection des mineurs. Les juges européens fixent néanmoins plusieurs conditions : la mesure doit être proportionnée, limitée à la finalité poursuivie, et ne pas conduire à une collecte massive de données personnelles.
Concrètement, les États membres doivent s’assurer que les dispositifs retenus ne nécessitent pas la transmission d’une pièce d’identité complète, et qu’ils n’entraînent pas un profilage généralisé des utilisateurs. Le recours à un tiers de confiance, sans conservation des données au-delà de la session, est l’un des schémas jugés compatibles avec le droit européen.
Un cadre désormais stabilisé pour la France
La loi française du 7 juillet 2023, votée après plusieurs années de débats, imposait déjà aux sites diffusant de la pornographie de mettre en place un système de vérification d’âge, sous le contrôle de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom). Le texte n’avait toutefois pas pu être pleinement appliqué, plusieurs décisions de justice ayant suspendu ou renvoyé la question devant la CJUE.
Avec l’arrêt du 16 juin, le cadre juridique européen apparaît désormais stabilisé. La France dispose d’une marge de manœuvre pour imposer ses propres modalités, à condition qu’elles respectent les principes posés par la Cour : proportionnalité, limitation de la finalité, absence de conservation non justifiée des données.
Les limites posées par les juges
La CJUE rappelle en effet qu’une obligation de vérification d’âge ne peut pas, en pratique, se transformer en obligation d’identification généralisée. Les États ne peuvent pas imposer aux utilisateurs de transmettre une copie de leur carte d’identité ou tout document équivalent aux exploitants des sites, sous peine de violer le RGPD.
La solution esquissée passe par des dispositifs techniques « auto-déclaratifs » couplés à un contrôle a posteriori par un tiers de confiance, voire par des méthodes d’estimation d’âge basées sur l’analyse du comportement de navigation. L’arrêt ne tranche pas la question de la méthode technique, mais fixe le périmètre juridique dans lequel elle doit s’inscrire.
Prochaines étapes en France
L’Arcom, qui doit s’assurer du respect effectif de la loi par les sites, va pouvoir reprendre la main sur les procédures de mise en demeure ouvertes contre les principaux acteurs du secteur, dont plusieurs refusaient jusqu’ici de mettre en place un dispositif jugé conforme. Le gouvernement doit, de son côté, préciser les modalités techniques retenues et le calendrier de déploiement.
Plusieurs associations de protection de l’enfance accueillent favorablement la décision, tout en rappelant que l’efficacité du dispositif dépendra in fine de sa capacité à être contrôlé sur le terrain. Les géants étrangers du secteur, régulièrement visés par les autorités françaises, disposent désormais d’un cadre européen plus net – mais aussi de contraintes renforcées.