L’application de vérification de l’âge de l’UE ne prévoit pas de prise en charge sur desktop

 (github.com/eu-digital-identity-wallet)
2 points par GN⁺ 2025-09-25 | 1 commentaires | Partager sur WhatsApp
  • Le projet de portefeuille d’identité numérique de l’UE se concentre uniquement sur les plateformes mobiles (Android/iOS) et n’envisage pas la prise en charge du desktop
  • De nombreux citoyens se retrouvent exclus du service, notamment les personnes sans smartphone et les utilisateurs de divers systèmes d’exploitation
  • Les demandes fréquentes de vérification de l’âge et les problèmes de protection de la vie privée dégradent l’utilisabilité
  • Cette approche suscite des inquiétudes majeures concernant la dépendance à Google et Apple, la restriction de la concurrence et l’affaiblissement de la souveraineté numérique
  • La nécessité d’alternatives open source, via extensions de navigateur et fondées sur des standards génériques est mise en avant

Vue d’ensemble et problème central

  • Cette question soulève des inquiétudes sur l’utilisabilité du système de vérification de l’âge du portefeuille d’identité numérique de l’UE (eu-digital-identity-wallet)
  • Le projet actuel, centré sur les applications mobiles (Android et iOS), met en lumière l’exclusion de fait des personnes sans smartphone, des utilisateurs de PC et de ceux qui utilisent des OS alternatifs

Principaux problèmes d’utilisabilité

  • Le dispositif part du principe que tous les citoyens possèdent un smartphone, alors que des cas de non-équipement, notamment chez les personnes âgées, existent encore
  • Sur le web, en particulier en navigation privée ou en mode anonyme, les utilisateurs doivent vérifier leur âge à chaque fois, ce qui dégrade fortement l’accessibilité du web
  • Des extensions de navigateur ont aussi été évoquées pour automatiser le processus, mais elles présentent des limites en matière de fiabilité et de protection des données personnelles
  • Le coût de mise en œuvre technique est élevé, et le risque de dépendance à certains langages de programmation ou écosystèmes accroît la barrière à l’entrée pour les petites structures comme les startups

Réponse de l’UE et de la communauté

  • Le projet de l’UE précise que, pour accéder à certains contenus soumis à une limite d’âge, l’utilisateur doit pouvoir prouver son identité d’une manière fiable et respectueuse de la vie privée
  • Comme le mobile (Android/iOS) représente la grande majorité des utilisateurs et des cas d’usage réels, la prise en charge du desktop n’entre pas dans le périmètre actuel
  • Il est expliqué qu’il ne s’agit que d’un exemple d’implémentation de référence destiné à satisfaire à la législation sur la protection des données (DSA), et que d’autres solutions alternatives peuvent être mises en œuvre
  • Le projet indique également qu’une extension future à d’autres plateformes et diverses contributions sera envisagée

Objections et inquiétudes supplémentaires

  • Dans certains pays européens, plus d’un foyer sur dix ne possède pas de smartphone
  • Bien que le marché compte divers OS et appareils autres que les OS standards fournis par Google et Apple (Linux, Windows, Sailfish, etc.), l’approche actuelle les exclut
  • Une infrastructure publique d’identité se retrouverait ainsi dépendante d’une structure dominée par certaines entreprises (Google, Apple), au détriment du choix des utilisateurs et de la concurrence future
  • En tant qu’infrastructure publique, elle devrait garantir l’indépendance vis-à-vis des plateformes et la neutralité fournisseur, avec des alternatives comme les cartes à puce, les jetons matériels FIDO2 ou des frameworks de certification propres à l’UE

Propositions d’alternatives techniques et politiques

  • Une approche générique, fondée sur des standards comme la W3C Credential Management API, ainsi que sur les navigateurs, les systèmes d’exploitation et des extensions open source, est proposée
  • Concentrer le système d’identité numérique sur le mobile convient au remplacement des pièces d’identité physiques, mais pour l’authentification en ligne, il est indispensable de garantir une approche web et extensible
  • Avec l’avancée de la réglementation, de nombreuses voix s’inquiètent d’une situation où les citoyens de l’UE deviendraient dépendants de certaines entreprises américaines

Conclusion et demandes

  • Pour une infrastructure essentielle comme l’identité numérique (dont la vérification de l’âge), il est indispensable de garantir l’universalité, la neutralité fournisseur et l’indépendance vis-à-vis des plateformes
  • La nécessité de développer et d’adopter des solutions alternatives fondées sur divers matériels, OS, navigateurs et des API ouvertes est soulignée
  • Le projet actuel de l’UE ne constitue qu’un seul exemple, et l’autorisation d’implémentations open source et tierces, ainsi que l’extension au desktop et à d’autres plateformes, sont présentées comme des enjeux indispensables

À lire aussi

1 commentaires

 
GN⁺ 2025-09-25
Commentaire Hacker News

  • Actuellement, ce projet se concentre sur les plateformes mobiles, à savoir Android et iOS, au motif que ces deux plateformes couvrent la majorité des utilisateurs, et la prise en charge du desktop n’est pas incluse dans les plans actuels, je trouve que cela revient à demander « vous n’avez pas de téléphone ? », mais à une bien plus grande échelle, là où j’habite aussi j’utilise mon téléphone au strict minimum, même en travaillant dans la tech, mais je suis très inquiet de voir cela devenir de plus en plus contraignant, on va vers une société où il faut utiliser un téléphone pour être reconnu comme membre à part entière, surtout avec plusieurs pays (y compris le mien) qui poussent à la vérification de l’âge, et même des discussions sur le blocage du « sideloading » sur Android, au point qu’à la fin 2026 j’ai peur qu’on ne vous considère plus comme une vraie personne sans smartphone approuvé par le gouvernement, voir ce lien YouTube

    • Ces projets sont présentés comme un moyen d’améliorer l’accès à la société moderne via des smartphones simples et bon marché pour davantage de gens, mais en pratique ils renforcent la stratification sociale, mon frère déteste vraiment la technologie et n’utilise qu’un vieux téléphone à clapet, et le nombre de problèmes que cela engendre est presque surprenant, le pire étant les sites desktop qui exigent sans cesse l’installation d’une app et ne fonctionnent pas correctement

    • Je voudrais parler d’une actualité récente sur l’usage forcé des apps, Ryanair va supprimer les cartes d’embarquement imprimées à partir de novembre et les fournir uniquement via son app, même sur le site Ryanair dans un navigateur mobile, le QR code n’est pas affiché, il faut absolument utiliser l’app lien vers l’article

    • L’essentiel, c’est de rendre tout le monde traçable comme avec un « collier », les théoriciens du complot s’inquiètent des puces implantées, mais dans la société moderne le contrôle s’exerce en réalité d’une manière bien moins rebutante, cela donne l’impression d’une liberté et d’opportunités infinies, alors qu’en pratique c’est précisément le moyen de restreindre cette liberté, pour citer Postscript on the Societies of Control de Gilles Deleuze, les systèmes de contrôle suivent en temps réel la position de chaque élément (animal ou humain), cela ressemble à un badge ou à une carte numérique, mais en réalité l’ordinateur surveille entièrement notre position et nos actions lien vers le texte

    • D’une certaine façon, c’est presque une bonne chose que la vérification de l’âge ne s’applique pas au desktop, qui reste moins verrouillé, sur desktop il reste encore une forme de liberté

  • Je pense que c’est un bon exemple d’une exigence mise en œuvre sans vraie réflexion, d’après leurs propres propos, les apps desktop ne sont même pas incluses dans le périmètre de la vérification de l’âge, alors on peut espérer un retour des applications desktop au lieu des services web, mais dans l’immédiat ce sont surtout les adultes qui subissent davantage de friction, autre problème, cette politique bloque de fait le développement de nouveaux OS pour téléphone, si l’on ne peut pas faire valider un portefeuille en ligne, qui aurait encore envie de créer un nouvel OS mobile ?

    • À vrai dire, c’est déjà la réalité, les apps bancaires ou les apps eID gouvernementales ne fonctionnent que sur des appareils Google ou Apple

    • Cette politique donne fortement l’impression que « le PC est dépassé donc on s’en moque »

    • Je pense que cet exemple ne montre pas une politique maladroitement déployée, mais plutôt une mauvaise compréhension de ce que veulent réellement ses promoteurs, en réalité ils cherchent à bloquer ce contenu lui-même, l’habillage « réservé aux adultes » n’est qu’un prétexte, leur but est d’empêcher l’accès en tant que tel

    • En pratique, la vraie réponse, c’est « pour utiliser cette app desktop, vous avez besoin d’un smartphone »

    • Inutile d’espérer une renaissance des « applications desktop », même si c’est une app desktop, si la loi l’exige elle devra au final être liée à un smartphone

  • Je veux redire que ce projet n’est pas THE digital wallet mais un prototype initial, l’infrastructure vise à introduire des attestations non pas basées sur l’attestation matérielle mais sur des ZKP (Zero-Knowledge Proof) en double aveugle, une approche meilleure pour la vie privée que les systèmes classiques à clé publique, et interopérable entre plateformes, si vous n’êtes pas familier avec cela, dans ce système l’autorité de certification ne connaît rien d’autre qu’une affirmation sur un attribut (âge, permis, etc.), et l’UE ne sait ni quel attribut a été certifié à quel moment, ni qui a tenté quoi que ce soit

    • On peut dire que « les gens comprennent mal le projet », mais en réalité on explore seulement une méthode où l’émetteur ne peut pas être distingué, tandis qu’à l’heure actuelle on applique une solution chaînable fondée sur la cryptographie standard, donc si l’autorité de vérification (le gouvernement d’un État membre) et le demandeur de vérification (le site web) collaborent, ils peuvent facilement briser l’anonymat de l’utilisateur, SD-JWT et les signatures sont partagés, donc l’émetteur et le demandeur peuvent voir des identifiants, au final ce projet sert surtout de vitrine pour montrer que la vérification de l’âge est techniquement possible, des technologies de protection de la vie privée seront peut-être ajoutées plus tard, mais les rustines temporaires deviennent souvent les solutions les plus permanentes, et comme l’identification de l’émetteur est aujourd’hui bien trop facile dans cette conception, cela risque d’aggraver les problèmes de vie privée lien de référence

    • Je me demande s’il existe une documentation sur les ZKP (Zero-Knowledge-Proof)

    • Je ne comprends pas bien ce que veut dire « ce projet n’est pas THE digital wallet mais the wallet »

  • Pour expliquer la nature même de l’attestation matérielle, c’est vraiment une arme à double tranchant, le plus gros problème est que le matériel d’attestation et l’app cliente appartiennent au même constructeur et au même appareil, et le constructeur fera passer ses revenus avant la vie privée de ses clients, vu à quel point le camp pro-attestation est puissant aujourd’hui, j’aimerais qu’on apprécie tant qu’il existe encore ce moment d’« ouverture »

    • Je comprends la métaphore de « l’arme à double tranchant » comme l’idée qu’il y a des avantages et des inconvénients, mais j’ai du mal à voir quel peut être l’avantage de m’empêcher d’utiliser mon propre matériel comme je le souhaite

    • Le plus absurde, c’est que je ne comprends pas pourquoi l’UE voudrait faire de l’attestation matérielle contrôlée par deux entreprises privées américaines une condition obligatoire d’accès aux services, l’esprit même de la régulation européenne repose sur la protection des consommateurs, la lutte contre les monopoles et les droits fondamentaux des citoyens, et ces derniers temps on parle même de souveraineté numérique, or cela contredit frontalement tous ces principes, cela nuit aux clients (c’est en fait presque l’inverse du RGPD), cela profite uniquement aux grandes entreprises en situation de monopole, et cela revient à laisser des entreprises américaines décider de la capacité des citoyens à accéder à l’information, j’ai le sentiment que cela va totalement à l’encontre de l’esprit européen

    • J’essaie malgré tout de garder l’espoir que cette situation puisse créer une nouvelle opportunité matérielle

    • Je me demande comment le Private Access Token (PAT) porte atteinte à la vie privée au service de la monétisation

  • Au final, je pense que notre seule option est de ne pas utiliser ces services, mais en pratique les gens ne veulent pas accepter l’inconfort, donc il est peu probable qu’une action collective voie le jour, peut-être que cela pourrait fonctionner si tout le monde rejetait les services qui excluent les utilisateurs desktop, la vraie solution serait de « voter avec ses pieds » comme consommateur, mais la majorité ne se soucie pas de la manière dont ses données et ses droits sont utilisés, et accepte simplement ces contraintes, il faut acheter un nouveau téléphone tous les ans ? OK, confier toutes ses données de communication aux géants de la tech ? OK, accepter d’être surveillé par des entreprises privées plutôt que par des organismes publics ? Très bien aussi, dès qu’on aborde les problèmes techniques et sociaux, trop de gens décrochent immédiatement, la vraie question est de savoir comment amener le grand public à s’intéresser aux droits numériques

    • J’ai l’impression que cette bataille est perdue depuis longtemps, la liberté d’Internet va probablement continuer à être grignotée progressivement, et quand les gens se réveilleront il sera sans doute déjà trop tard, malgré tout j’espère de façon optimiste que les services fédérés deviendront dominants et pourront contrebalancer cette évolution

    • Je vois cela comme une première étape, la suivante sera de rendre obligatoire la vérification d’identité pour tous les services, et il ne restera alors que deux options : accepter ou renoncer complètement au service

    • La plupart des gens ne s’en soucient pas tant qu’ils ne vivent pas eux-mêmes un lien de cause à effet très concret entre le fait d’avoir cliqué sur OK dans un formulaire et une conséquence négative réelle pour leur famille, leur travail ou leur vie quotidienne, sinon tout cela reste à leurs yeux une inquiétude abstraite

  • Après avoir vérifié le DSA (Digital Services Act), je n’ai trouvé que trois passages qui mentionnent la vérification de l’âge, le considérant 71 et l’article 28 disent que la vie privée et la sécurité des mineurs doivent être spécialement protégées, mais interdisent tout traitement supplémentaire de données d’identification personnelle, seul l’article 35 laisse entendre que les « très grandes plateformes en ligne » pourraient introduire une vérification de l’âge, et le considérant 57 précise que les PME ne sont pas concernées par cette régulation, dans la situation actuelle, en dehors des grandes plateformes il n’existe donc pas d’obligation légale de vérification de l’âge, la Commission cherche à faire pression sur l’ambiance générale, mais juridiquement rien n’est encore imposé, voir aussi les guidelines et ce commentaire

    • Le portefeuille d’identité numérique ne fait pas partie du DSA, c’est un projet visant à « déplacer l’identité sur le téléphone », si tout se déroule comme prévu, carte d’identité, permis de conduire, diplôme, billet de train et même paiement pourront être gérés dans ce type d’app, comme il s’agit d’une vérification d’attribut, on pourrait par exemple prouver que l’on est autorisé à conduire sans révéler son numéro d’identité national, mais une fois cette infrastructure en place, je pense que les gouvernements ajouteront toutes sortes d’obligations au nom de la réduction des coûts, de la protection de l’enfance ou de la lutte contre le terrorisme, et le risque est qu’une authentification obligatoire s’étende ensuite à davantage d’entreprises lien du projet

  • Je pense que le titre « EU age verification app not planning desktop support » est trompeur, on dirait qu’il est impossible de faire de la vérification de l’âge sur desktop, alors qu’en réalité diverses solutions sont possibles, cette app n’est qu’un « exemple » parmi d’autres, donc un titre comme « EU age verification example app not planning desktop support » serait plus approprié, je ne suis pas d’accord avec cette implémentation, mais la critique doit rester précise

  • Cela peut paraître complotiste, mais je pense que c’est précisément pour cela que Google essaie de tuer le sideloading, le mobile est aujourd’hui la seule plateforme où l’installation forcée de logiciels et l’authentification à distance peuvent être imposées de manière réaliste, si le sideloading est bloqué, demain Google (ou Apple sur iOS) pourra aussi obliger toutes les app stores et tous les navigateurs à implémenter des API de certification gouvernementale

    • Si Google accueille favorablement ce type de loi sur la certification, c’est parce que cela correspond à son modèle économique, pour vendre de la publicité il faut que l’utilisateur soit une vraie personne, donc la certification a de la valeur, d’autres réseaux sociaux comme X ont des incitations similaires

  • « À cause de ce genre de politique, le web devient inutilisable dans son ensemble pour quiconque veut le parcourir de manière privée », ce n’est pas un accident, c’est leur « intention », il suffit de regarder les arrestations au Royaume-Uni et en Allemagne pour des propos tenus sur les réseaux sociaux

  • Ce type de politique est absurde et incompréhensible

    • En réalité, c’est tout à fait compréhensible, le but est de regarder de travers les utilisateurs de systèmes d’exploitation attachés à la liberté, comme Linux, et d’en faire des citoyens de seconde zone, voir cet exemple connexe

    • Cela dépend à qui l’on pose la question, Google veut contrôler ce que les utilisateurs peuvent exécuter via la vérification des développeurs ou les barrières au sideloading sur iOS, et comme il y a trop de liberté sur desktop, ce genre de politique finit au contraire par décourager l’usage du desktop et renforcer la dépendance à des écosystèmes fermés