Les gouvernements du monde entier ont décidé que les VPN sont une faille. En 2026, ils essaient de la fermer. Résultats à ce jour : une législation techniquement naïve, une adoption record des VPN, et une foule de défenseurs de la vie privée en colère.
La vague mondiale : ce qui se passe vraiment
À la mi-2026, 25 États américains ont des lois de vérification d’âge en vigueur, dont le Texas, la Floride, l’Arizona, le Missouri, la Géorgie, le Dakota du Sud et l’Ohio. L’Online Safety Act britannique est entrée en vigueur le 25 juillet 2025. L’Australie a interdit les réseaux sociaux aux moins de 16 ans le 10 décembre 2025, et a étendu l’application aux contenus pour adultes en mars 2026. La loi brésilienne sur la vérification d’âge est entrée en vigueur en mars 2026. La Turquie a interdit les réseaux sociaux aux moins de 15 ans le 22 avril 2026. L’UE prépare un cadre unifié de vérification d’âge pour les 27 États membres avant la fin de cette année.
Chacune de ces lois a déclenché la même réaction : les gens ont téléchargé davantage de VPN.
Au Royaume-Uni, les téléchargements de VPN ont atteint 2 millions en août 2025 seulement, le mois suivant l’entrée en vigueur de l’Online Safety Act, et sont restés au-dessus d’un million par mois depuis. Une application a vu ses téléchargements bondir de 1 800 % dans le premier mois suivant la loi britannique. L’application de mars 2026 en Australie a déclenché un pic similaire. Ce ne sont pas des acteurs malveillants qui cherchent des contournements. Ce sont des gens ordinaires qui réagissent rationnellement à une infrastructure de surveillance construite autour de contenus légaux.
L’Utah est allé plus loin que n’importe qui d’autre
La plupart des lois de vérification d’âge contournent les VPN en les ignorant. L’Utah a fait quelque chose de différent.
Le SB 73 de l’Utah, signé par le gouverneur Spencer Cox le 19 mars 2026, est la première loi américaine à cibler directement les utilisateurs de VPN. Selon ses dispositions, une personne est considérée comme se trouvant en Utah quels que soient les outils qu’elle utilise pour masquer sa localisation. Les sites web sont tenus responsables si des utilisateurs basés en Utah contournent la vérification d’âge avec un VPN, un proxy ou un outil similaire. Les sites concernés ont également l’interdiction de publier des instructions sur l’utilisation de ces outils.
Les experts en droits numériques l’ont qualifié de “jeu du chat et de la souris technique.” La position de l’Electronic Frontier Foundation est directe : “Les VPN ne sont pas une solution aux mandats de contrôle d’âge”. Rendre les plateformes responsables des outils que les utilisateurs apportent n’est pas un problème technique avec une solution technique. C’est un fantasme d’application habillé en législation.
Aylo, la société mère de Pornhub, a poursuivi l’Utah en justice fédérale le 13 mai. L’Utah a accepté de reporter l’application jusqu’au 3 septembre 2026 pendant que l’affaire se poursuit. La question constitutionnelle centrale est réelle : un État peut-il réglementer des utilisateurs dont il ne peut vérifier la localisation physique ?
Le Wisconsin a traversé le même débat et est arrivé à une conclusion différente. La disposition sur l’interdiction des VPN a été retirée du SB 130 / AB 105 après une réaction du public. C’est le premier exemple concret d’une législature qui revient sur le ciblage des VPN après avoir vu la réaction.
Le Royaume-Uni a pris une approche différente
Plutôt que de cibler directement les VPN, le Royaume-Uni s’en est pris à la population des moins de 18 ans. En janvier 2026, la Chambre des Lords a voté 207 contre 159 pour interdire l’accès aux VPN aux moins de 18 ans dans le cadre de mesures de sécurité en ligne. Interdire à un groupe démographique d’utiliser un outil nécessite une application au niveau de l’appareil (surveillance de chaque connexion internet), un blocage au niveau du FAI, ou les deux.
L’Online Safety Act a été vendue comme une protection de l’enfance. Le vote de la Chambre des Lords montre où mène cette logique quand elle se heurte à la réalité que les VPN existent. Ce n’est plus une question de contenu pour adultes. C’est une question de contrôle des outils de confidentialité que certains groupes de personnes sont autorisés à utiliser.
L’Australie et le reste du monde se débattent
L’interdiction australienne des réseaux sociaux pour les moins de 16 ans, entrée en vigueur le 10 décembre 2025, était parmi les plus strictes au monde. L’extension de l’application aux contenus pour adultes en mars 2026 a poussé les choses plus loin. Les deux ont déclenché des pics d’utilisation des VPN. Les autorités australiennes ne se sont pas encore attaquées directement aux fournisseurs de VPN, mais le bras de recherche de l’UE a déjà qualifié les VPN de “faille”, ce qui est le genre de langage qui précède une action législative.
Le Brésil a lancé la vérification d’âge obligatoire en mars 2026. La Turquie a suivi en avril. Avec le cadre européen en cours d’élaboration pour la fin 2026, le tableau est celui d’un effort international mal coordonné pour vérifier qui est en ligne. L’internet que certains législateurs semblent avoir imaginé, où la localisation et l’identité sont connues de manière fiable, n’a jamais existé.
Qui est vraiment touché
Les personnes les plus affectées par les restrictions sur les VPN et les blocages d’IP au niveau des plateformes ne sont pas des adolescents qui cherchent des contournements. Les adolescents sont débrouillards. Ils trouvent des contournements.
Les personnes touchées sont des adultes soucieux de leur vie privée qui utilisent ProtonVPN ou des services similaires parce qu’ils ne veulent pas que leurs données de navigation soient vendues à des courtiers. Des journalistes qui travaillent dans des environnements sensibles. Des survivants de violences qui gardent leur localisation privée. Des télétravailleurs sur des réseaux publics. L’ensemble de la population des personnes ayant une raison légitime d’utiliser un VPN se retrouve pris dans le même filet conçu pour une cible différente.
L’EFF a souligné ce point directement dans son analyse du SB 73 de l’Utah. Les dommages collatéraux ne sont pas accidentels, ils sont structurels. Quand on construit l’application autour du blocage ou de la surveillance du trafic VPN, on construit une infrastructure de surveillance qui sera utilisée au-delà de son objectif initial. Ce n’est pas une spéculation. C’est le schéma observable dans chaque juridiction qui s’est engagée dans cette voie.
Pourquoi ces lois ne fonctionneront pas comme prévu
Le problème technique est réel. On ne peut pas identifier de manière fiable la localisation physique d’un utilisateur qui ne veut pas être identifié. Ce n’est pas un bug dans la technologie VPN qui peut être corrigé. C’est la fonction principale de l’outil. Rendre les sites web responsables de cette réalité, comme le fait l’Utah, ne résout pas le problème. Cela crée une crise de conformité pour les opérateurs de sites web pendant que le problème réel persiste.
La plupart des personnes qui utilisent un VPN pour accéder à du contenu réservé aux adultes ne sont pas non plus des adolescents. Ce sont des adultes qui préfèrent ne pas soumettre leur pièce d’identité à un site aux pratiques de données peu claires. Les lois de vérification d’âge poussent les deux groupes vers les VPN en même temps.
La dimension internationale aggrave les choses. Une loi adoptée en Utah ou au Royaume-Uni n’atteint pas les fournisseurs de VPN incorporés en Suisse ou au Panama. NordVPN a son siège au Panama. ProtonVPN opère selon le droit suisse. Ni l’un ni l’autre ne va restructurer son produit à cause d’un statut de l’Utah. Le cadre européen aura plus de portée en raison de la taille du marché, mais l’application contre des fournisseurs non-UE opérant au-delà des frontières est un problème différent de l’adoption d’une directive.
Ce qu’il faut surveiller au second semestre 2026
Le 3 septembre 2026 est la fin de la pause d’application de l’Utah. Si le procès d’Aylo n’a pas produit d’injonction d’ici là, les sites web feront face à une vraie décision de conformité. Le résultat déterminera si d’autres États suivent le modèle de l’Utah ou le traitent comme un exemple à ne pas suivre.
Le cadre unifié de l’UE est prévu pour la fin 2026. S’il se concentre sur les plateformes ou cible directement les fournisseurs de VPN sera important pour tous en Europe.
Le retrait du Wisconsin du langage d’interdiction des VPN vaut la peine d’être suivi. C’est la première législature à revenir sur cette disposition spécifique sous pression. Si ce schéma se répète, l’approche de l’Utah pourrait être une impasse avant même que les tribunaux ne la tranchent.
Les gouvernements veulent vérifier qui est en ligne. Les VPN rendent cela plus difficile. Aucune des approches législatives essayées jusqu’à présent n’a résolu le problème technique sous-jacent, et aucune ne le fera.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Les lois de vérification d'âge se multiplient plus vite qu'il n'existe de mécanismes d'application efficaces. Cibler spécifiquement les VPN, comme l'a fait l'Utah, est l'approche la plus agressive adoptée jusqu'à présent, et elle est actuellement contestée en justice. Les lois qui fonctionnent rendent surtout l'accès au contenu légal plus difficile pour les adultes, sans arrêter les mineurs. Si vous utilisez un VPN pour des raisons de confidentialité légitimes, l'outil fonctionne toujours. L'environnement réglementaire autour de lui change, cependant, et cela mérite d'être suivi de près.
À lire aussi : L’Utah vient de passer une loi ciblant les utilisateurs de VPN. Voici ce qu’elle fait vraiment. et Chat Control est mort. Going Dark est la prochaine tentative de l’UE, et cette fois les VPN sont sur la liste..
Sources : EFF sur le SB 73 de l’Utah | TechRadar sur le ciblage des VPN par l’Utah | Tom’s Hardware sur la recherche de l’UE et l’adoption des VPN | AndroidHeadlines sur les pics de téléchargement de VPN