
Online Safety Act britannique : ce qui a changé le 25 juillet 2025
L'Online Safety Act britannique et les contrôles d'âge expliqués : ce qui a changé le 25 juillet 2025 (et pourquoi les recherches de VPN ont explosé)
Le 25 juillet 2025, le Royaume-Uni est devenu, en toute discrétion, la plus grande démocratie occidentale à imposer que les contenus adultes et préjudiciables en ligne soient placés derrière un véritable contrôle d'âge. Ce matin-là, les sites hébergeant de la pornographie et certains autres contenus ont dû commencer à refuser l'accès à quiconque ne pouvait pas prouver avoir plus de 18 ans — non pas via une simple case à cocher auto-déclarative, mais au moyen de l'estimation faciale de l'âge, du téléversement d'une pièce d'identité, de vérifications par carte bancaire ou de contrôles via l'open banking. En quelques heures, les recherches et les téléchargements d'applications VPN ont bondi si fortement que cette réaction est elle-même devenue un sujet d'actualité.
Cet article explique ce qui a réellement changé, qui la loi vise, pourquoi la réaction du public a été si spectaculaire et — surtout — la nuance juridique que la plupart des publications virales ont mal comprise. Utiliser un VPN au Royaume-Uni n'est pas illégal, et les utilisateurs individuels ne sont pas la cible du dispositif répressif. Mais le tableau est plus complexe qu'un simple « c'est une interdiction » ou « il suffit d'utiliser un VPN », et la politique publique continue d'évoluer. Voici un compte rendu en langage clair et neutre vis-à-vis des fournisseurs d'un événement d'intérêt public bien réel.
Ce qu'exige réellement l'Online Safety Act
L'Online Safety Act 2023 est une loi britannique de grande ampleur qui encadre les contenus en ligne. Le volet qui a fait les gros titres à la mi-2025 est son obligation de mettre en place une « vérification d'âge hautement efficace » (highly effective age assurance, HEAA) sur les services qui publient ou hébergent de la pornographie et d'autres contenus jugés préjudiciables pour les enfants. Ces obligations sont contrôlées par l'Ofcom, le régulateur britannique des communications, qui a publié ses lignes directrices de mise en œuvre et fixé au 25 juillet 2025 la date limite de conformité pour les contrôles d'âge sur ce type de contenu.
« Hautement efficace » est l'expression clé. Une fenêtre demandant « Avez-vous 18 ans ? » ne suffit plus au regard de la loi. Les lignes directrices de l'Ofcom désignent les méthodes qu'elle estime capables de distinguer de manière fiable les adultes des enfants, notamment :
L'estimation faciale de l'âge — un selfie ou une courte vidéo analysés par un logiciel qui estime si vous avez plus de 18 ans.
Le téléversement d'une pièce d'identité — la transmission d'un passeport, d'un permis de conduire ou d'un document similaire.
Les vérifications par carte bancaire — confirmer la possession d'une carte réservée aux adultes.
Les contrôles via l'open banking ou l'opérateur mobile — confirmer l'âge auprès d'une banque ou d'un opérateur qui le détient déjà.
Les services d'identité numérique ou de jetons d'âge — des attestations réutilisables émises par un tiers, certifiant que vous avez « plus de 18 ans » sans repartager les documents bruts.
La loi est neutre sur le plan technologique quant à la méthode retenue par un service, mais elle exige que cette méthode soit exacte, robuste, fiable et équitable. L'auto-déclaration et les simples champs d'âge sur une page de paiement ne suffisent explicitement pas.
Sur qui pèse l'obligation — et qui la fait respecter
C'est le point le plus mal compris, il faut donc le dire sans détour : l'obligation légale pèse sur les plateformes et les services, pas sur les utilisateurs individuels. Si un site web publie son propre contenu pornographique, ou si une plateforme autorise du contenu adulte ou autrement préjudiciable généré par les utilisateurs et qu'elle est accessible depuis le Royaume-Uni, c'est à elle qu'il revient de mettre en place une vérification d'âge conforme. Les moteurs de recherche et les grandes plateformes sociales sont eux aussi soumis à des obligations connexes de protection de l'enfance.
L'Ofcom est l'autorité chargée de faire appliquer la loi. Elle n'inflige pas d'amende et n'engage pas de poursuites contre la personne qui tente de consulter une page ; elle agit contre le service qui manque à ses obligations. Ses pouvoirs sont considérables. En cas de manquement, l'Ofcom peut infliger des amendes pouvant atteindre 18 millions de livres sterling ou 10 % du chiffre d'affaires mondial éligible de l'entreprise, le montant le plus élevé étant retenu. Dans les cas graves, elle peut solliciter des mesures de perturbation de l'activité — y compris des injonctions judiciaires obligeant les prestataires de paiement ou les fournisseurs d'accès à Internet à cesser de servir ou à bloquer un site non conforme. Dans les scénarios les plus graves, les dirigeants peuvent voir leur responsabilité pénale engagée pour non-respect des demandes d'information de l'Ofcom.
La loi encadre les plateformes, pas le public. Les amendes et les pouvoirs de blocage de l'Ofcom visent les services qui manquent à leurs obligations — et non l'individu de l'autre côté de l'écran.
La réaction : flambée des recherches, ruée sur les inscriptions, applis dans le top 10
La réaction du public a été immédiate et mesurable. Dans les heures et les jours qui ont suivi le 25 juillet, des services de suivi et de nombreux médias ont fait état d'un bond spectaculaire de l'intérêt pour les VPN au Royaume-Uni — des chiffres avoisinant une flambée de 2 450 % des recherches liées aux VPN au Royaume-Uni ont été largement repris à partir des outils de suivi du trafic web. Ce phénomène n'avait rien de subtil ; il s'agit de l'un des plus brusques bonds de la demande en une seule journée que le marché grand public du VPN ait connus dans un pays occidental.
Les fournisseurs de VPN ont signalé des ruées correspondantes sur les inscriptions. Proton VPN a publiquement fait état d'un bond spectaculaire des inscriptions au Royaume-Uni — rapportant des taux d'inscription horaires plusieurs fois supérieurs à sa moyenne habituelle — et l'a directement attribué à l'entrée en vigueur des contrôles d'âge. NordVPN et d'autres ont rapporté des pics d'intérêt similaires au Royaume-Uni. Plusieurs applications VPN ont grimpé dans le top 10 des classements gratuits de l'App Store britannique, une position qu'elles occupent rarement, à mesure que des utilisateurs ordinaires n'ayant jamais utilisé de VPN en téléchargeaient un pour la première fois.
Il convient de préciser ce que ces données montrent et ne montrent pas. Elles documentent une flambée de l'intérêt et des installations, portée par des personnes cherchant un moyen de contourner la contrainte des contrôles d'identité. Elles ne prouvent rien sur ce que ces utilisateurs ont finalement fait, et ne constituent pas une recommandation en faveur d'un produit. Cette flambée est un fait relatif au comportement du public ; ce n'est pas un conseil.
La confusion sur la légalité, abordée sans détour
Une vague de publications virales a laissé entendre — parfois délibérément, parfois par confusion — que le Royaume-Uni avait « interdit les VPN » ou érigé en délit le fait d'en utiliser un pour accéder à du contenu bloqué. C'est faux, et la distinction a son importance.
Utiliser un VPN est légal au Royaume-Uni. Les VPN sont des outils de confidentialité et de sécurité courants et légitimes, utilisés chaque jour par les entreprises et les particuliers. Aucune disposition de l'Online Safety Act ne criminalise le fait pour un individu d'activer un VPN, et aucune disposition n'érige en infraction le fait de consulter un contenu qu'un contrôle d'âge britannique aurait autrement bloqué. L'utilisateur individuel n'est tout simplement pas la cible de ce dispositif.
Ce que l'Ofcom interdit se situe du côté des plateformes. Les services régulés n'ont pas le droit d'encourager ou de promouvoir l'usage de VPN (ou d'autres outils de contournement) comme moyen d'échapper à leurs obligations de vérification d'âge. Autrement dit, un site pornographique ne peut légalement répondre aux règles en affichant une bannière du type « impossible de vous vérifier ? utilisez simplement un VPN ». La ligne tracée par la loi sépare le choix privé d'un individu (non criminalisé) d'une plateforme qui inciterait activement les utilisateurs à déjouer les garde-fous qu'elle est légalement tenue de maintenir (interdit).
La vague répressive
La date limite du 25 juillet était un coup d'envoi, pas une ligne d'arrivée. L'Ofcom est rapidement passée à une phase de répression active. Elle a ouvert des enquêtes sur des services soupçonnés de ne pas avoir mis en place de contrôles d'âge conformes, et le nombre de dossiers a augmenté à la fin de 2025 puis en 2026. Début 2026, l'Ofcom avait ouvert plus de 90 enquêtes au titre des dispositions de l'Online Safety Act relatives à la protection de l'enfance et à la vérification d'âge, et avait prononcé ses premières amendes contre des services non conformes.
L'enseignement pratique, pour les observateurs, est que le sujet est traité comme un programme réglementaire vivant et continu, et non comme une simple case de conformité à cocher une fois pour toutes. L'Ofcom a fait savoir qu'elle poursuivrait aussi bien les sites de petite taille et hors Royaume-Uni que les grandes plateformes, et ses pouvoirs de blocage lui donnent des leviers même face à des opérateurs sans présence juridique au Royaume-Uni, car elle peut agir via l'infrastructure de paiement et d'accès qui les relie aux utilisateurs britanniques.
Le risque de second ordre : les VPN eux-mêmes pourraient-ils être réglementés ?
L'histoire la plus lourde de conséquences, pour quiconque suit la politique des droits numériques, est ce qui est venu après l'entrée en vigueur initiale — car le débat a commencé à tourner autour du VPN lui-même, et non plus seulement du contenu placé derrière le contrôle.
Deux évolutions se détachent. Premièrement, lors d'un débat parlementaire, la Chambre des lords a voté en faveur d'une mesure visant à restreindre la fourniture de services VPN aux moins de 18 ans — une tentative de combler ce que certains législateurs voyaient comme un moyen de contournement évident des contrôles d'âge. Un vote à la Chambre des lords n'équivaut pas à une loi promulguée : les mesures doivent encore franchir l'ensemble du processus législatif, et l'applicabilité pratique d'un contrôle d'âge sur l'accès aux VPN est vivement contestée. Mais cela a révélé une volonté claire de réglementer l'outil.
Deuxièmement, une consultation de 2026 a avancé une idée encore plus frappante : celle de savoir si l'activation d'un VPN devrait elle-même déclencher une obligation de vérification d'âge. Poussée à son terme logique, cette idée signifierait qu'il faudrait prouver que l'on est adulte avant de pouvoir activer un outil de confidentialité — un changement conceptuel majeur, puisqu'il soumettrait à un contrôle une technologie de sécurité à usage général plutôt qu'une catégorie de contenu précise. Elle en reste au stade de la consultation et se heurte à de sérieuses objections techniques, de confidentialité et de liberté d'expression. Elle figure ici non comme une prédiction, mais parce qu'elle définit la limite extrême vers laquelle se dirige ce débat politique.
Le Royaume-Uni comme modèle, non comme exception
Ce serait une erreur de lire la démarche britannique comme une singularité nationale. Elle constitue l'avant-garde d'une vague plus large d'obligations de vérification d'âge, et des mécanismes similaires apparaissent dans plusieurs juridictions :
La France a poursuivi la mise en place de ses propres obligations de vérification d'âge pour les sites adultes, appuyée par son régulateur des médias, ce qui a suscité des batailles judiciaires et, dans certains cas, le retrait de sites préférant se retirer plutôt que de se conformer.
Aylo, la société mère de plusieurs des plus grandes plateformes adultes, a réagi sur certains marchés — notamment en bloquant l'accès aux utilisateurs du Royaume-Uni et de certains États américains — plutôt que de déployer les contrôles exigés, transformant ainsi la charge de conformité en un retrait visible de service.
Les lois d'États américains imposant la vérification d'âge pour les contenus adultes se sont multipliées, formant une mosaïque de textes à travers de nombreux États, et cette approche a été pour l'essentiel validée sur le plan constitutionnel en 2025 — accélérant son adoption.
Le fil conducteur est le passage de l'auto-déclaration à une vérification d'âge avérée, avec une flambée de la demande de VPN dans chaque marché à mesure que les contrôles arrivent. Les règles précises, les sanctions et les organismes chargés de leur application varient d'un pays à l'autre, et les détails comptent si vous cherchez à comprendre votre propre juridiction. Pour ce détail juridique pays par pays, consultez notre article dédié à la légalité des VPN selon la juridiction plutôt que de considérer un exemple national isolé comme universel.
La vérité sur la confidentialité, sans fard
Voici la partie que le marketing explicite rarement, car elle complique le discours commercial. Un VPN et un contrôle d'âge protègent contre des choses différentes, et les confondre peut laisser les gens dans une situation pire qu'auparavant.
Un VPN réachemine votre trafic internet via un serveur situé ailleurs et masque votre véritable adresse IP aux sites que vous visitez ainsi qu'à votre FAI ou à votre réseau. Cela change réellement ce que votre opérateur réseau peut voir et l'emplacement qu'un site web déduit de votre connexion. Ce qu'un VPN ne fait pas, c'est protéger les données personnelles que vous confiez à un prestataire de vérification d'âge. Si vous téléversez un scan de passeport ou soumettez un scan de votre visage à un prestataire de vérification, un VPN ne vous offre exactement aucune protection sur ce document une fois qu'il a quitté votre appareil — le prestataire reçoit toujours votre pièce d'identité ou vos données biométriques, et sa conservation, sa sécurité et le risque de fuite deviennent désormais votre problème.
Les deux cadrages honnêtes sont donc les suivants. Si votre préoccupation est que votre FAI ou votre réseau puisse voir que vous avez visité une catégorie de site, un VPN répond à cette visibilité précise. Si votre préoccupation porte sur le scan d'identité ou de visage lui-même — où il est stocké, pour combien de temps, et s'il pourrait fuiter — un VPN n'y change rien, et les seules parades réelles consistent à choisir des méthodes de vérification qui minimisent les données (par exemple, les approches par jeton d'âge ou par estimation qui ne conservent pas de document) et à prêter attention aux pratiques de confidentialité du prestataire.
À retenir en pratique
La loi vise les plateformes, pas vous. L'Ofcom sanctionne les services qui manquent à leurs obligations, avec des amendes pouvant atteindre 18 M£ ou 10 % du chiffre d'affaires mondial — et non les internautes individuels.
Utiliser un VPN au Royaume-Uni est légal. L'usage individuel pour accéder à du contenu n'est pas criminalisé ; ce qui est interdit, c'est que les plateformes fassent la promotion des VPN comme moyen d'esquiver les contrôles.
Un VPN masque votre IP et votre trafic, pas votre identité. Il ne protège en rien un scan de passeport ou de visage que vous téléversez auprès d'un prestataire de vérification.
La politique publique évolue encore. Un vote des Lords sur la restriction de la fourniture de VPN aux moins de 18 ans et une consultation de 2026 sur le contrôle d'âge à l'activation d'un VPN montrent que le débat tourne désormais autour de l'outil lui-même.
Le Royaume-Uni est un modèle, pas une exception. La France, des États américains et les retraits de service d'opérateurs comme Aylo témoignent d'une tendance mondiale qui se répand — vérifiez les spécificités de votre propre juridiction plutôt que de présumer.
Questions fréquentes
Est-il illégal d'utiliser un VPN au Royaume-Uni au titre de l'Online Safety Act ?
Non. Utiliser un VPN est légal au Royaume-Uni, et l'Online Safety Act ne criminalise pas les individus qui en utilisent un pour accéder à du contenu placé derrière un contrôle d'âge. La loi britannique sur la vérification d'âge impose des obligations aux plateformes et aux services, que l'Ofcom fait respecter — et non aux personnes qui naviguent.
Qu'est-ce que la « vérification d'âge hautement efficace » au titre de la loi britannique ?
C'est la norme légale exigée par l'Online Safety Act pour les services hébergeant de la pornographie ou du contenu préjudiciable : les contrôles d'âge doivent être exacts et robustes plutôt qu'une simple case à cocher auto-déclarative. Les méthodes acceptées incluent l'estimation faciale de l'âge, le téléversement d'une pièce d'identité, les vérifications par carte bancaire et les contrôles via l'open banking. La date limite de conformité pour ces contrôles était le 25 juillet 2025.
Un VPN protège-t-il la pièce d'identité que je téléverse pour la vérification d'âge dans le cadre de l'Online Safety Act ?
Non. Un VPN masque votre adresse IP et votre trafic à votre FAI ou à votre réseau, mais il ne protège en rien un scan de passeport, un détail de carte bancaire ou un scan de visage une fois que vous les soumettez à un prestataire de vérification. Ces données parviennent quand même au prestataire, si bien que le risque de conservation et de fuite s'applique, que vous utilisiez un VPN ou non.
Qui fait appliquer la loi britannique sur la vérification d'âge et quelles sont les sanctions ?
L'Ofcom, le régulateur britannique des communications, gère l'application des règles de vérification d'âge. Elle peut infliger aux services non conformes des amendes pouvant atteindre 18 millions de livres sterling ou 10 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu, et solliciter des mesures judiciaires pour perturber ou bloquer les services. Début 2026, l'Ofcom avait ouvert plus de 90 enquêtes et prononcé ses premières amendes.
Pourquoi les recherches et téléchargements de VPN ont-ils explosé au Royaume-Uni le 25 juillet 2025 ?
Lorsque les contrôles d'âge sont entrés en vigueur, de nombreux utilisateurs ont cherché des moyens d'éviter de téléverser leur pièce d'identité, provoquant une flambée rapportée d'environ 2 450 % des recherches de VPN au Royaume-Uni et des ruées sur les inscriptions chez des fournisseurs comme Proton et Nord. Plusieurs applications VPN ont atteint le top 10 des classements gratuits de l'App Store britannique. Ces données reflètent un bond de l'intérêt et des installations, non une recommandation en faveur d'un produit.
Le Royaume-Uni pourrait-il interdire les VPN ou exiger un contrôle d'âge pour en utiliser un ?
Pas pour l'instant, mais le débat évolue en ce sens. La Chambre des lords a voté en faveur d'une restriction de la fourniture de VPN aux moins de 18 ans, et une consultation de 2026 a avancé l'idée de savoir si l'activation d'un VPN devrait elle-même exiger une vérification d'âge. Les deux restent des propositions se heurtant à d'importantes objections techniques et juridiques, et non des lois promulguées.



