CJUE: vérification d’âge pour sites porno étrangers, sous conditions

La CJUE confirme qu’un État membre peut imposer, au cas par cas, une vérification d’âge à des sites pornographiques établis dans un autre État de l’UE, sous réserve de respecter la procédure de dérogation de la directive « e‑commerce » et des exigences de nécessité et de proportionnalité.

Les faits

Dans les affaires jointes C‑188/24 et C‑190/24 rendues le 16 juin 2026, la Cour juge qu’un pays peut cibler un service précis opéré depuis un autre État membre pour exiger un contrôle d’âge, après notification à l’État d’établissement et examen de mesures adaptées. Ce cadre soutient les actions de l’ARCOM contre des sites étrangers n’empêchant pas l’accès des mineurs.

Cadre légal et fondement

• Directive 2000/31/CE (« e‑commerce »): application du principe du pays d’origine, avec possibilité de dérogation service par service (article 3, paragraphe 4) si la mesure est nécessaire, proportionnée, ciblée et notifiée.
• RGPD: toute solution d’âge entraîne des traitements de données. Il faut articuler la minimisation et la conservation limitée, la base légale appropriée, le privacy by design et une AIPD lorsque la technique est intrusive. Voir les exigences clés des articles 5, 6, 25 et 35 du RGPD.

Ce que cela change pour les entreprises luxembourgeoises

• Opérateurs +18 basés au Luxembourg: si la France ou la Belgique activent la dérogation « e‑commerce » après notification, votre service peut devoir déployer un contrôle d’âge conforme aux exigences locales, même si vous êtes établi au Luxembourg.
• Plateformes et app stores: attendez‑vous à des clauses d’audit et des SLA de blocage des mineurs lorsque l’intégration est profonde.
• Protection des données et sécurité: évitez la collecte massive d’identifiants; privilégiez des preuves d’âge sans identité et des suppressions rapides. Pour cadrer l’exécution CNPD, consultez nos ressources sur la conformité RGPD au Luxembourg.
• Délais: la mise en conformité peut être requise en quelques semaines après une injonction ciblée; préparez un plan de déploiement par marché et un dispositif de preuve d’audit.

Actions concrètes à entreprendre cette semaine

• Cartographier l’exposition: identifier les domaines/apps pouvant être visés « service par service » et ajuster les mentions/CGU par pays.
• Choisir une méthode « privacy‑first »: jetons anonymes, attestations cryptographiques, purge sous 24 h; éviter la biométrie sans nécessité démontrée dans l’AIPD.
• Lancer une AIPD et un PIA fournisseur: hébergement UE, chiffrement, absence de ré‑utilisation commerciale, tests de contournement; documenter la base légale par pays et mettre à jour le registre art. 30.
• Préparer la voie art. 3(4): point de contact légal/technique, dossier de proportionnalité, playbook de réponse aux autorités. Pour piloter ce volet, un mandat DPO certifié peut sécuriser l’analyse et les échanges.
• Mettre en place des contrôles d’audit: journaux non identifiants, indicateurs de faux positifs/contournements, tests réguliers « red team ».
• Adapter la communication utilisateur: expliquer le pourquoi, le comment (preuve sans identité), les durées de conservation et les garanties techniques.

Points à retenir

• L’obligation d’âge peut s’appliquer à des services établis à l’étranger si la procédure de dérogation est suivie.
• La proportionnalité et la minimisation guident la conception: pas de bases de documents d’identité, préférer des preuves d’âge sans identité et des durées très courtes.
• Anticiper une mise en conformité rapide avec une gouvernance claire et des preuves d’effectivité.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.