La loi du 21 mai 2024, dite loi SREN, a profondément refondu le dispositif de protection des mineurs face aux contenus pornographiques en ligne. Elle impose désormais aux services en ligne diffusant de tels contenus — qu’il s’agisse de plateformes gratuites ou sur abonnement — de mettre en place des systèmes de vérification de l’âge robustes et conformes à un référentiel élaboré par l’Arcom, après avis de la CNIL.

Ce référentiel, formalisé par une délibération du 9 octobre 2024, et publié le 11 octobre 2024, fixe des exigences techniques minimales dont le respect est obligatoire depuis le 11 avril 2025.

L’accès aux contenus pornographiques est désormais conditionné à une vérification d’âge préalable, obligatoire à chaque session.

Les exigences désormais posées sont strictes : interdiction d’accès dès la page d’accueil sans vérification préalable, recours à des tiers indépendants pour l’authentification, interdiction de couplage des données permettant une réidentification, et anonymat garanti tant pour l’utilisateur que pour la plateforme. Le système doit également être auditable, sécurisé, et ne permettre aucun stockage des données à caractère personnel, sauf preuve d’âge pendant une durée limitée.

Le référentiel impose que la vérification soit robuste face à la fraude, notamment aux deepfakes, à l’usurpation et à la réutilisation d’images ou de vidéos. Lorsqu’elle repose sur une estimation de l’âge, la solution doit garantir l’absence de faux positifs et empêcher tout contournement par des mineurs.

Le référentiel consacre également (i) les principes de protection de la vie privée : exactitude, proportionnalité, minimisation des données, accessibilité, transparence et sécurité ainsi que (ii) le principe de double anonymat : la plateforme ne connaît pas l’identité de l’utilisateur, et le prestataire chargé de vérifier l’âge ignore le site concerné.

Depuis le 11 avril 2025, les plateformes devaient proposer au moins une méthode de vérification conforme à ce principe, en plus d’une double modalité de preuve d’âge (par exemple : estimation biométrique et justificatif d’identité anonymisé).

Une période transitoire de trois mois a permis, jusqu’au 11 avril 2025, le recours à des systèmes fondés sur la carte bancaire, sous réserve d’un service opéré par un tiers indépendant, d’une sécurisation forte (type 3D Secure) et d’une vérification effective de la validité de la carte.

Le référentiel a été rendu applicable par l’arrêté ministériel du 26 février 2025 à plusieurs prestataires établis dans l’Union européenne (notamment PornHub, YouPorn, ou encore Hammy Media Ltd, éditeur de xHamster).

En cas de manquement, l’Arcom peut non seulement prononcer des sanctions pécuniaires, mais aussi demander le blocage ou le déréférencement du site concerné. Ce cadre repose ainsi sur une logique de coresponsabilité technique et juridique, pensée pour protéger efficacement les mineurs tout en garantissant les libertés fondamentales des utilisateurs majeurs.

Quel était le raisonnement de l’ordonnance du 15 avril 2025 ici attaquée ?

A la demande de l’un des prestataires – la société Hammy Media Ltd (site « xhamster ») – visé dans l’arrêté par ces nouvelles obligations établies dans le référentiel, le juge des référés du tribunal administratif de Paris a suspendu l’exécution de cet arrêté le 16 juin 2025 par ordonnance[1].  

Cette décision faisait suite à une première tentative de la société requérante, rejetée par le juge des référés le 2 mai 2025[2] faute d’urgence caractérisée, celui-ci ayant estimé que l’arrêté ne portait pas, en lui-même, une atteinte grave et immédiate à sa situation.

Dans cette nouvelle ordonnance du 16 juin, le juge des référés avait estimé que les deux conditions prévues par l’article L. 521-1 du code de justice administrative pour prononcer une telle suspension, à savoir l’urgence et l’existence d’un doute sérieux sur la légalité, étaient satisfaites.

S’agissant de l’urgence, le juge a admis que l’impact économique immédiat sur l’éditeur justifiait la suspension. Il avait également admis l’existence d’un doute sérieux sur la légalité de l’arrêté, notamment en raison du contexte transfrontalier et de la question, toujours pendante devant la CJUE depuis le 6 mars 2024, du respect du principe de reconnaissance mutuelle entre États membres.

L’affaire illustre plusieurs enseignements procéduraux. D’abord, si les ordonnances du juge des référés sont exécutoires, elles ne bénéficient pas de l’autorité de chose jugée, en raison de leur caractère provisoire. Il en résulte qu’un requérant peut saisir à nouveau le juge des référés d’une demande de suspension identique, y compris sur les mêmes fondements juridiques, dès lors qu’il fait valoir des éléments nouveaux — ce qui a permis à la société Hammy Media Ltd d’introduire deux référés-suspension successifs à un mois d’intervalle.

Ensuite, cette affaire illustre que l’appréciation de l’urgence peut être influencée par l’évolution du contexte contentieux, en particulier lorsqu’un doute sérieux sur la légalité d’un acte administratif entre en conflit avec le droit de l’Union européenne. Le renvoi préjudiciel opéré par le Conseil d’État en mars 2024 sur un dispositif antérieur, ou encore un sursis à statuer, peuvent ainsi peser dans la balance de l’urgence. Cela explique que le juge des référés ait pu, dans un second temps, suspendre l’exécution de l’arrêté contesté malgré le rejet initial d’une demande identique.

Saisi par la ministre de la culture et la ministre déléguée chargée du numérique, le Conseil d’État a rejeté le 15 juillet 2025 pour défaut d’urgence, la demande de suspension.

Lexbase : Pourquoi la Haute juridiction prend-elle ici une décision inverse ?

Constatant l’absence d’urgence, le Conseil d’État a rejeté la demande de suspension l’arrêté du 26 février 2025 sans avoir à se prononcer ni sur sa légalité, ni sur la question prioritaire de constitutionnalité soulevée à l’encontre de la loi par le prestataire. 

Le Conseil d’Etat a considéré que le juge de première instance avait commis une erreur de droit en assimilant à tort l’existence d’un doute sérieux sur la légalité de l’arrêté à une situation d’urgence. Or, la jurisprudence constante impose que ces deux conditions soient appréciées distinctement.

En statuant lui-même en référé, le Conseil d’État rejette la demande de suspension. Il relève d’abord que la société Hammy Media Ltd ne démontre pas une atteinte grave et immédiate à sa situation économique. Elle se borne à produire des statistiques issues de certains États américains sans établir de lien concret avec sa fréquentation en France ni chiffrer l’impact sur son chiffre d’affaires global.

Ensuite, aucune atteinte disproportionnée à la liberté d’expression ou à la vie privée ne résulte de l’arrêté contesté. Celui-ci ne vise pas à interdire la diffusion de contenus pornographiques à destination des majeurs, mais impose simplement un système de vérification de l’âge respectueux de la vie privée, validé par la CNIL, et conforme aux exigences du RGPD.

Enfin, le Conseil d’État insiste sur l’intérêt public majeur attaché à la protection des mineurs. Il juge que, même si certains contournements sont techniquement possibles, les obligations issues de la loi SREN et du référentiel Arcom sont, en l’état, susceptibles de contribuer utilement à l’objectif poursuivi.

L’urgence n’étant pas caractérisée, la demande de suspension est rejetée sans que le juge ait besoin de se prononcer sur la question prioritaire de constitutionnalité soulevée par la société requérante.

À l’avenir, quelle solution technique serait satisfaisante pour assurer la protection des mineurs ?

Plusieurs pistes sont aujourd’hui explorées afin de concilier efficacité de la vérification de l’âge et respect des droits fondamentaux.

La solution la plus prometteuse repose sur un modèle en « double anonymat », recommandé par la CNIL : un tiers de confiance certifie que l’internaute est majeur, sans révéler son identité au site consulté, ni savoir lui-même de quel site il s’agit. Ce type d’architecture, fondée sur la séparation des rôles et la minimisation des données, permet d’assurer une véritable barrière à l’entrée tout en préservant la vie privée.

En parallèle, des travaux avancent sur des solutions décentralisées ou fondées sur des technologies de preuve à divulgation nulle (« zero-knowledge proofs »). Ces systèmes permettent de prouver un attribut – en l’occurrence, l’âge – sans transmettre aucune information personnelle. Ils sont au cœur des réflexions européennes autour du portefeuille d’identité numérique, qui doit intégrer des fonctions d’attestation d’âge interopérables, sécurisées et conformes au RGPD.

Ces travaux s’inscrivent dans une dynamique portée par la Commission européenne, qui œuvre à une approche harmonisée de la vérification d’âge à l’échelle de l’Union. Le 14 juillet 2025, elle a publié un blueprint de solution technique, surnommé « mini-wallet », qui permet aux utilisateurs de prouver qu’ils ont plus de 18 ans sans partager d’autres données personnelles. Cette solution, conçue pour être respectueuse de la vie privée, interopérable et facile d’usage, s’appuie sur les spécifications techniques des futurs portefeuilles d’identité numérique européens, attendus d’ici fin 2026. Le code source, publié en open source, pourra être adapté par les États membres — notamment pour des usages comme l’accès aux contenus réservés, aux jeux d’argent ou à la vente d’alcool en ligne — sans que ses garanties en matière de confidentialité puissent être altérées.

Cette solution entre actuellement en phase de test pilote dans plusieurs États membres, dont la France. Elle est expérimentée avec des plateformes, des utilisateurs et des éditeurs de solutions logicielles, avec le soutien du consortium T-Scy (Scytales/T-Systems).

En parallèle, la Commission a lancé des enquêtes formelles contre plusieurs plateformes soupçonnées de ne pas respecter leurs obligations de vérification d’âge dans le cadre du Digital Services Act.

Le déploiement à grande échelle de ces dispositifs impose une mobilisation coordonnée entre plateformes, prestataires techniques, régulateurs (comme l’Arcom ou la CNIL) et institutions européennes. Il ne s’agit pas seulement d’un défi technologique, mais aussi éthique et démocratique : protéger sans surveiller, filtrer sans censurer, responsabiliser sans exclure.

Autrement dit, bâtir une vérification de l’âge robuste, accessible, proportionnée et digne de la confiance numérique que le législateur entend restaurer.

---

[1] Ordonnance n° 2514377/5 du 16 juin 2025, Tribunal Administratif de Paris statuant en référé

[2] Ordonnance n°2511655 du 2 mai 2025, Tribunal Administratif de Paris statuant en référé

Sacha Bettach, Avocate à la Cour

Propos recueillis pour Lexbase