CJUE et directive sur le commerce électronique – Partie 1 : Vérification de l’âge sur les sites pornographiques

Arrêt de la CJUE, Affaires jointes C‑188/24 et C‑190/24 du 16 juin 2026
Affaire C‑188/24
En France, l’art. 227–24 du Code pénal (CP) interdit la diffusion de messages à caractère pornographique susceptibles d’être vus par une personne mineure. L’art. 227–24(3) CP prévoit que l’infraction est réalisée, y compris si l’accès d’une personne mineure aux messages mentionnés au premier alinéa résulte d’une simple déclaration de celle-ci indiquant qu’il est âgé d’au moins dix-huit ans.
L’Autorité de régulation de la communication audiovisuelle (Arcom) française a mis deux éditeurs tchèques de sites Internet en demeure, leur enjoignant de prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé en vertu du décret no 2021–1306. Les deux entreprises ont saisi le Conseil d’État en contestant cette mesure.
Le Conseil d’État soumet des questions préjudicielles à la CJUE. Il souhaite savoir si relèvent du « domaine coordonné » de l’art. 2 let. h et i de la directive sur le commerce électronique (la directive) d’une part des dispositions générales et abstraites de droit pénal dont l’application n’est pas limitée aux prestataires de service de la société de l’information (« tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services », désormais défini à l’art. 1 par. 1 let. b de la Directive (UE) 2015/1535), et, d’autre part, l’obligation imposée à des éditeurs de services de communication d’implémenter des dispositifs destinés à prévenir la possibilité pour des mineurs d’accéder aux contenus pornographiques qu’ils diffusent. Le cas échéant, il est demandé à la Cour si les États membres peuvent prendre des mesures dans ce cadre pour protéger les personnes mineures en dérogation au principe du « pays d’origine ».
Principe du « pays d’origine » pour le « domaine coordonné »
La CJUE affirme que la mesure litigieuse fait partie du « domaine coordonné » consacré à l’art. 2 de la directive. Celui-ci ne se limite pas aux exigences régies par les dispositions d’harmonisation de la directive, mais comprend en principe toutes les exigences concernant l’accès ou l’exercice d’un service de la société de l’information. En l’occurrence, un dispositif de vérification de l’âge des personnes utilisant un service de la société de l’information permettant l’accès à des contenus pornographiques vise à conditionner l’accès de ces usagères et usagers à ce service (art. 2 let. h et i de la directive).
Selon le principe du « pays d’origine », consacré dans la directive sur le commerce électronique (consid. 22 de la directive), les services relevant du « domaine coordonné » sont soumis au seul droit de l’État membre d’établissement d’un prestataire de service de société de l’information.
Dérogations au principe du « pays d’origine »
L’application par la France de mesures à des prestataires établis dans d’autres États membres constitue une restriction à la libre circulation des services concernés, qui peut être permise moyennant que les mesures poursuivent des objectifs reconnus par la directive, qu’elles sont proportionnées, et que l’État membre prenant les mesures a, d’une part, demandé à l’État membre d’établissement d’adopter lui-même les mesures appropriées, et, d’autre part, notifié cet État membre et la Commission européenne de son intention de mettre en œuvre de telles mesures.
En l’occurrence, dans l’affaire C‑188/24, les mises en demeure adressées par l’Arcom visent la protection des mineurs, couverte par l’objectif d’ordre public reconnu dans la directive. Concernant la proportionnalité, cette mesure se concrétise par des décisions individuelles de mise en demeure et il ne s’agit donc pas uniquement d’une réglementation générale et abstraite applicable indistinctement à tous les prestataires de service de la société de l’information. Dans le cas d’espèce, la CJUE considère que la mesure est proportionnée à l’objectif de protection des mineurs et de la dignité humaine.
Si la France respecte l’ensemble des conditions posées, la Cour estime pour l’affaire C‑188/24 qu’elle peut, en tant qu’État, obliger des prestataires établis dans d’autres États membres à implémenter un système de vérification de l’âge afin de prévenir l’accès des mineurs à leurs sites pornographiques. Par conséquent, l’Arcom, qui a édicté un référentiel qui dicte quelles sont les exigences concrètes à remplir pour se conformer à son obligation de vérification d’âge conformément à l’art. 3 du décret no 2021–1306, peut, en cas de non-respect, mettre en demeure les entreprises (art. 1 du décret no 2021–1306).
En conséquence de cette décision de la Cour concernant l’affaire C‑188/24 et en vertu du droit français, les entreprises, y compris celles dont le siège est à l’étranger, ne peuvent plus se limiter à une simple déclaration des utilisateurs indiquant qu’ils sont âgés d’au moins 18 ans même si leur siège est établi dans un autre État membre.
Situation suisse
L’on peut saluer, d’un point de vue de la protection de la jeunesse, en particulier les réponses de la CJUE dans le cadre de l’affaire C‑188/24. En effet, d’une part, le principe du pays d’origine applicable dans la directive sur le commerce électronique peut être susceptible, en pratique, de compliquer la tâche de certains États membres de l’UE lorsqu’il s’agit de prendre des mesures de protection de la population face à des services de l’information basés dans d’autres États. En l’occurrence, il est rassurant de voir que la CJUE estime que la protection de la jeunesse en ligne sert d’intérêt public suffisant pour justifier qu’un État membre impose de simples mesures de vérification d’âge à des services de l’information ayant leur siège dans un autre État membre.
Cette décision intervient dans un contexte européen. Elle n’a donc pas vocation à s’appliquer en Suisse. La Suisse a récemment adopté la loi sur la protection des personnes mineures dans les secteurs du film et du jeu vidéo (LPMFJ), qui impose notamment des obligations de contrôle de l’âge à certains exploitants de sites de films et de jeux vidéo. Plusieurs questions se posent à ce stade, dont les suivantes.
Premièrement, les obligations de vérification d’âge ne sont pas encore en vigueur. À l’heure actuelle, leur date d’entrée en vigueur n’est actuellement pas publique.
Deuxièmement, l’application de ce type de nouvelles lois suisses à des entreprises ayant leur siège à l’étranger soulève comme d’habitude des questions. La LPMFJ n’apporte pas particulièrement de réponses à ces questions, en particulier lorsqu’il s’agit de contraindre des entreprises étrangères à respecter la réglementation suisse de protection des personnes mineures. A été abandonnée, en particulier, l’adoption de mesures permettant le blocage de sites Internet étrangers ne respectant pas les réglementations suisses de protection des personnes mineures, ou des prestataires suisses enfreignant de manière répétée ces dispositions. Il convient toujours de passer par une dérogation au principe de Cassis de Dijon (FF 2020 7907, p. 7937).
Troisièmement, la question de l’application de la loi aux exploitants de sites pornographiques n’est pas explicitement traitée. Concernant cette dernière question, il est crucial que les exploitants de sites pornographiques soient compris dans les acteurs actifs dans le secteur du film (art. 5 let. 1 LPMFJ).
Parmi ceux-ci, la LPMFJ distingue en particulier entre les prestataires de services à la demande et de services de plateforme :
« Service à la demande » : « tout service ou partie dissociable d’un service dont l’objet principal est de mettre à la disposition du public des films ou des jeux vidéo choisis par le prestataire que le consommateur peut visionner ou utiliser quand il le veut » (art. 5 let. d LPMFJ);
« Services de plateforme » (« tout service ou partie dissociable d’un service dont l’objet principal est de mettre à la disposition du public une plateforme électronique sur laquelle et de laquelle les consommateurs peuvent télécharger des films ou des jeux vidéo et dont le prestataire détermine l’organisation des contenus sans assumer de responsabilité rédactionnelle quant à ces contenus, qui sont générés par les utilisateurs » (art. 5 let. e LPMFJ). Il s’agit là typiquement de prestataires comme YouTube, qui gère l’organisation de l’offre (l’agencement visuel) au moyen notamment d’algorithmes (FF 2020 7907, p. 7966).
Les prestataires de services à la demande et les prestataires de services de plateforme seront soumis, lors de l’entrée en vigueur des art. 8 et 20 LPMFJ, à une obligation de prendre les mesures nécessaires pour assurer le contrôle de l’âge afin que les personnes mineures soient protégées des contenus qui ne leur sont pas adaptés. Les prestataires soumis à cette obligation sont ceux proposant des contenus non adaptés aux personnes mineures, y compris les actes sexuels explicites (art. 1 et 7 OPMFJ). A priori, les exploitants de sites pornographiques devraient donc être soumis à la législation.
Les mesures de contrôles de l’âge devront comprendre, au minimum, la création et l’exploitation d’un système de vérification de l’âge avant la première utilisation du service, et la mise à disposition d’un système de contrôle parental (art. 8 al. 2 LPMFJ). Ces obligations seront concrétisées aux art. 1 al. 1 et 7 al. 1 OPMFJ de la façon suivante : « Une procédure est considérée comme appropriée lorsqu’elle permet, sur la base des éléments fournis par la personne contrôlée, de déterminer correctement si elle est majeure ».
De plus amples précisions seront nécessaires en pratique pour clarifier l’étendue des mesures à prendre car l’ordonnance est rédigée de manière ouverte pour comprendre les évolutions technologiques à venir. Dans tous les cas, l’on peut considérer qu’une simple déclaration de l’utilisatrice ou utilisateur indiquant qu’il est âgé d’au moins dix-huit ans est insuffisante. En effet, le rapport explicatif de l’ordonnance précise que pour être appropriée, le système de vérification d’âge peut aujourd’hui typiquement reposer sur la vérification des caractères d’une pièce d’identité officielle. À l’avenir, ce système pourrait en particulier reposer sur l’e‑ID (Rapport explicatif OPMFJ, p. 8). Par ailleurs, le projet d’ordonnance sur l’e‑ID prévoyait par ailleurs la production, notamment, de l’e‑ID pour les contrôles de l’âge effectués par des fournisseurs de services de télécommunication mobiles (art. 41 OST). Une telle possibilité n’avait pas été prévue pour la LPMFJ au stade du projet (Rapport explicatif e‑ID, p. 42) .
Bien que la qualification d’un exploitant de site pornographique en tant que prestataire de service à la demande ou de prestataire de service de plateforme n’ait pas de conséquence sur l’obligation de contrôler l’âge des personnes visitant leur site Internet, celle-ci peut conduire à d’autres différences juridiques. Par exemple, le prestataire de service à la demande est soumis à une obligation d’indication de l’âge requis et descripteurs de contenu (art. 6 al. 1 LPMFJ), ainsi qu’à une obligation de mise en œuvre d’un système de contrôle parental (art. 8 al. 2 let. b LPMFJ). A contrario, le prestataire de services de plateforme est soumis à l’obligation de créer et exploiter un système permettant aux utilisateurs et utilisatrices de signaler au service de plateforme un contenu non adapté aux mineurs (art. 20 al. 2 let. b LPMFJ).
La question de l’application de la loi aux entreprises étrangères demeure ouverte et cruciale pour que la loi ait une réelle portée pratique. En outre, en l’attente de l’entrée en vigueur de cette obligation, les organisations de branche (organisations des acteurs de chaque secteur, art. 9 LPMFJ) peuvent édicter des réglementations et les déclarer de force obligatoire, y compris pour les acteurs qui ne sont pas membres de l’organisation. Ces réglementations de secteur doivent, le cas échéant, prévoir des règles relatives au contrôle de l’âge (art. 11 LPMFJ). Les questions, entre autres, de savoir à quelle branche les exploitants de site pornographique sont rattachés en pratique, s’ils sont soumis à des réglementations par celles-ci et s’ils les appliquent suscitent la curiosité.
Proposition de citation : Pauline Meyer, CJUE et directive sur le commerce électronique – Partie 1 : Vérification de l’âge sur les sites pornographiques, 2 juillet 2026 in www.swissprivacy.law/410
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
