La régulation de la pornographie en ligne en France et en Europe : cadre juridique, rôle de l’ARCOM et application concrète
I. Cadre juridique national : une évolution accélérée depuis 2020
A. Le fondement pénal : article 227-24 du Code pénal
Le socle de la régulation en matière de pornographie en ligne demeure l’article 227-24 du Code pénal, qui interdit la diffusion de contenus pornographiques susceptibles d’être vus ou perçus par des mineurs, quelle que soit la méthode de diffusion. L’infraction est punie de trois ans d’emprisonnement et 75 000 € d’amende.
Un ajout essentiel a été introduit le 1er août 2020 : il est désormais explicitement prévu qu’une simple déclaration d’âge ne saurait constituer une vérification valable. Cette précision est capitale, car elle empêche les exploitants de se soustraire à leurs obligations par le biais de mécanismes déclaratifs inefficaces.
B. L’intervention administrative : ARCOM et blocage judiciaire
Depuis une réforme de la loi du 30 juillet 2020, l’ancien CSA — devenu ARCOM au 1er janvier 2022 — peut saisir le tribunal judiciaire pour obtenir le blocage d’accès à des sites contrevenants. Il ne s’agit pas d’une voie pénale, mais d’un recours administratif à caractère préventif.
C. L’encadrement par la LCEN et l’introduction d’un référentiel contraignant
L’article 10-1 de la loi n° 2004-575 du 21 juin 2004 dite LCEN, dans sa version modifiée par la loi « SREN » du 21 mai 2024, confère à l’ARCOM un pouvoir de mise en demeure et de sanction, pour contraindre les exploitants à mettre en œuvre des dispositifs techniques de vérification d’âge.
L’ARCOM peut désormais exiger une vérification par des tiers indépendants et interdire tout accès au contenu avant preuve de majorité. Ces obligations techniques sont intégrées dans un référentiel contraignant adopté le 9 octobre 2024, après avis favorable de la CNIL.
Les sanctions prévues sont lourdes :
jusqu’à 150 000 € ou 2 % du chiffre d’affaires mondial HT en cas de premier manquement ;
250 000 € ou 4 % du CA mondial HT en cas d’absence de tout dispositif ou d’un simple formulaire déclaratif.
II. La régulation au niveau européen : entre convergence et pluralisme
A. Le Digital Services Act (DSA) : socle commun de régulation
Le règlement (UE) 2022/2065 (DSA), entré en vigueur le 16 novembre 2022, impose à toutes les plateformes en ligne accessibles aux mineurs d’adopter des mesures appropriées pour garantir un niveau élevé de sécurité, de confidentialité et de protection.
L’article 28 du DSA interdit notamment toute publicité ciblée fondée sur le profilage si l’utilisateur est un mineur, même présumé, et impose une obligation de diligence renforcée aux très grandes plateformes (plus de 45 millions d’utilisateurs actifs dans l’UE).
B. Loi française du 7 juillet 2023 : la « majorité numérique »
Cette loi, qui transcrit partiellement le DSA, impose aux plateformes l’obligation :
de procéder à une vérification d’âge technique et robuste, conformément à un référentiel ARCOM ;
d’informer les mineurs sur les risques liés à l’usage des plateformes ;
d’analyser et de limiter les risques systémiques affectant les mineurs.
Là encore, l’ARCOM est chargée de fixer les critères techniques, après consultation de la CNIL, ce qui ancre la régulation dans un cadre juridico-technique homogène.
C. Vers une convergence institutionnelle : EMFA, directive SMA et coopération européenne
L’ARCOM préside en 2025 le groupe de travail européen chargé de l’application du règlement sur la liberté des médias (EMFA) adopté le 11 avril 2024, et participe au réexamen de la directive SMA. L’objectif est de garantir une cohérence dans l’action de régulation, tout en renforçant la protection des mineurs sur l’ensemble du territoire européen.
III. Les pouvoirs de l’ARCOM : mécanismes d’intervention
A. Pouvoirs de mise en demeure
L’ARCOM peut adresser une lettre d’observations, premier stade avant la mise en demeure. Si aucune mesure n’est prise dans les 10 à 15 jours suivant, l’Autorité peut engager une mise en demeure officielle, assortie d’un délai de 15 jours pour se conformer.
B. Pouvoir de sanction et blocage des sites
En cas d’inertie persistante, l’ARCOM peut désormais :
exiger le blocage ou le déréférencement du site par les fournisseurs d’accès à Internet ;
prononcer une sanction pécuniaire directe, sans passer par le juge.
Ces actions ont été déclarées conformes au droit de l’Union européenne par le tribunal administratif de Paris, dans une décision du 15 avril 2025 : les mesures de blocage sont considérées comme des mesures de police administrative proportionnées, conformes à la Charte des droits fondamentaux (article 24 : protection de l’enfant).
IV. Application concrète : cas emblématiques et résultats observés
A. Mises en demeure et suites judiciaires
Depuis décembre 2021, plus d’une dizaine de mises en demeure ont été notifiées par l’ARCOM :
13 décembre 2021 : mises en demeure à Pornhub, Xnxx, Xvideos, Xhamster, Tukif ;
7 avril 2022 : RedTube et YouPorn sommés de se conformer ;
6 mars 2025 : lettres d’observation à cinq sites, dont Pornovore et Chaturbate, suivies de mises en demeure officielles.
B. Cas de mise en conformité ou de blocage
Parmi ces procédures :
Trois plateformes se sont conformées après la phase d’observation ;
Deux (Pornovore et Chaturbate) ont refusé, entraînant mise en demeure puis possible blocage sous 15 jours si elles ne s’exécutent pas ;
Un autre site, sans identifiants légaux accessibles, a fait l’objet d’une demande de blocage immédiate.
C. Validation contentieuse
Dans l’affaire Camschat, un fournisseur de service internet (Cloudflare) a contesté la notification de blocage reçue de l’ARCOM. Le tribunal administratif a confirmé la légalité du dispositif, jugeant qu’il ne s’agissait ni d’une sanction, ni d’une mesure discriminatoire au regard du droit européen.
V. Éléments contentieux récents : la QPC sur la procédure ARCOM
Une Question Prioritaire de Constitutionnalité a été soulevée devant le tribunal judiciaire de Paris par un éditeur de site pornographique. Elle vise :
la légalité des procédures de l’ARCOM ;
la compatibilité des sanctions avec les principes constitutionnels de légalité des délits et de liberté d’expression.
Cette QPC, toujours pendante à la date du 12 juin 2025, pourrait avoir un impact sur la procédure administrative actuellement suivie par l’ARCOM.
VI. Les exigences du référentiel ARCOM : la mise en œuvre technique de la vérification d’âge
A. Objectifs du référentiel
Le référentiel de vérification d’âge adopté par l’ARCOM le 9 octobre 2024 définit les exigences minimales que doivent respecter les systèmes de contrôle mis en place par les éditeurs de contenus à caractère pornographique. Ce texte, publié après avis favorable de la CNIL, constitue l’outil central du dispositif de protection.
L’objectif est double :
Éviter les dispositifs déclaratifs inopérants, par exemple les cases à cocher ou les champs de date de naissance ;
Assurer un contrôle effectif et proportionné, garantissant à la fois la sécurité des mineurs et la confidentialité des données personnelles.
B. Principes imposés par le référentiel
Parmi les points fondamentaux du référentiel :
Aucune donnée personnelle ne peut être conservée ;
La vérification d’âge doit précéder tout affichage de contenu ;
Elle doit être opérée par des tiers de confiance techniquement indépendants de l’exploitant du site ;
Une vérification active à chaque accès est requise — pas de système d’authentification persistante valable pour plusieurs visites.
C. Modalités techniques autorisées
Le référentiel permet le recours à plusieurs modalités, à condition qu’elles répondent aux critères de sécurité :
authentification via un opérateur de téléphonie mobile ;
vérification par application agréée conforme au référentiel ;
recours à une carte d’identité numérique (France Identité, etc.).
En revanche, sont exclues toutes les solutions :
ne reposant que sur l’auto-déclaration ;
impliquant la conservation de données sensibles.
L’ARCOM veille à ce que ces mécanismes soient proportionnés, dans le sens entendu par la jurisprudence constitutionnelle et européenne (principe de nécessité et d’adaptation).
VII. Les suites contentieuses et la doctrine judiciaire
A. Blocage validé par la justice administrative
Dans une décision du 15 avril 2025 (TA Paris, 5e sect., Camschat), le tribunal administratif a validé le blocage d’un site ordonné par l’ARCOM. Ce jugement constitue un précédent majeur, en ce qu’il :
qualifie les mesures comme administratives et non pénales, et donc non attentatoires à la liberté d’expression ;
constate la conformité du dispositif aux obligations de notification imposées par la directive (UE) 2015/1535 ;
écarte toute incompatibilité avec le règlement DSA, en raison de la compétence résiduelle laissée aux États membres pour les plateformes ne relevant pas du régime des VLOP (Very Large Online Platforms).
Ainsi, pour les services situés hors de l’UE ou de taille moyenne, les États conservent leur marge d’action en matière de protection des mineurs, ce que le juge français affirme nettement.
B. Questions prioritaires de constitutionnalité
Une QPC actuellement pendante vise à contester la conformité des procédures ARCOM à deux principes constitutionnels :
Légalité des délits et des peines (article 8 de la DDHC) ;
Liberté d’expression et de communication (article 11 de la DDHC).
Le requérant reproche à l’ARCOM d’exercer un pouvoir de contrainte sans intervention judiciaire systématique, ce qui selon lui violerait la séparation des pouvoirs et le principe de prévisibilité de la norme pénale.
La décision du Conseil constitutionnel, attendue au second semestre 2025, pourrait influencer en profondeur la répartition des compétences entre l’ARCOM, les juridictions, et les fournisseurs de services.
VIII. La coopération européenne et les perspectives d’harmonisation
A. L’ARCOM dans le système européen : rôle de coordination
Dans le cadre du Comité européen pour les services de médias (Media Board), l’ARCOM joue un rôle central. Elle a notamment :
présidé en 2025 le groupe de travail chargé de l’EMFA (European Media Freedom Act) ;
participé à la rédaction du règlement intérieur et de la stratégie 2025–2027 du Media Board ;
milité pour l’adoption rapide par la Commission européenne de lignes directrices communes sur la vérification d’âge.
L’ARCOM affirme que seule une approche transfrontière harmonisée permettrait de rendre les obligations effectives pour les plateformes situées en dehors du territoire français.
B. Les résistances à l’unification
Plusieurs plateformes invoquent le principe de liberté de prestation de services garanti par l’article 56 TFUE pour contester les décisions nationales. Toutefois, la jurisprudence de la CJUE admet des restrictions justifiées par des motifs impérieux d’intérêt général, au premier rang desquels la protection de l’enfance.
C. Le rôle de la directive SMA et du règlement DSA
Les plateformes pornographiques peuvent être soumises à :
la directive SMA si elles relèvent du champ des « services de médias audiovisuels à la demande » ;
le DSA si elles exercent une activité économique de nature intermédiaire (hébergement, plateforme).
Ces deux textes encadrent la modération, les obligations de retrait et les systèmes de signalement, mais ne fixent pas à eux seuls une norme de vérification d’âge, laissant cette mission aux États membres jusqu’à la publication de lignes directrices européennes communes.
IX. Bilan et éléments chiffrés
A. Résultats pratiques
Depuis la mise en œuvre du dispositif :
plus de dix mises en demeure officielles ont été adressées ;
plusieurs procédures de blocage ou déréférencement ont été engagées ;
un référentiel opposable a été adopté, imposant des standards précis ;
la CNIL a validé les principes du système ;
la justice administrative a reconnu la légalité du mécanisme ;
une QPC structurante est en cours d’examen.
B. Impact sur les éditeurs
Certaines plateformes se sont conformées, d’autres ont tenté des contournements (via redirections, changement de nom de domaine, domiciliation hors UE). Mais l’extension de compétence de l’ARCOM aux plateformes établies dans d’autres États membres à compter du 7 juin 2025 permet d’ores et déjà de neutraliser certains effets de l’externalisation juridique.
X. Approche technique : les modalités concrètes de vérification de l’âge sur les sites pornographiques
A. Objectifs techniques assignés par le référentiel ARCOM
L’ARCOM, dans son référentiel du 9 octobre 2024, fixe un cahier des charges technique strict applicable à tout dispositif de vérification de l’âge. Ce référentiel s’impose à tous les sites proposant des contenus à caractère pornographique et vise à remédier aux insuffisances des mécanismes déclaratifs antérieurement utilisés (cases à cocher, mentions « j’ai plus de 18 ans », etc.).
Les objectifs techniques assignés sont les suivants :
Contrôle effectif de la majorité de l’utilisateur avant tout accès au contenu ;
Absence de conservation de données personnelles permettant d’identifier un individu ;
Impossibilité d’accès partiel ou différé sans avoir franchi le contrôle ;
Prestation par des tiers indépendants agréés, à l’exclusion de solutions internes développées par les éditeurs eux-mêmes.
Ces principes sont conçus pour réconcilier protection de l’enfance et protection des données personnelles, dans un équilibre juridico-technique délicat.
B. Typologie des solutions de vérification d’âge conformes
Le référentiel ARCOM autorise plusieurs types de dispositifs, sous réserve de conformité aux principes énoncés ci-dessus. En voici les principales catégories :
1. Vérification par opérateur de téléphonie mobile
Les opérateurs (Orange, SFR, Free, Bouygues, etc.) peuvent, via des API sécurisées, confirmer qu’un utilisateur est majeur au vu de son abonnement mobile :
le système interroge la base de données de l’opérateur à partir du numéro ;
l’opérateur répond par un signal binaire (majeur/non-majeur), sans transmettre d’information nominative ;
aucune donnée n’est conservée par le site ni par le tiers vérificateur.
Ce modèle est techniquement robuste mais nécessite l’accord des opérateurs et la validation de l’utilisateur via une fenêtre de consentement.
2. Applications ou extensions vérificatrices indépendantes
Certaines start-ups agréées proposent des applications mobiles ou extensions de navigateur qui réalisent la vérification une seule fois, puis émettent un token anonymisé temporaire permettant d’accéder aux sites visés.
Exemple : l’utilisateur prouve une fois sa majorité (via pièce d’identité, connexion FranceConnect, etc.) ;
Le système enregistre un identifiant pseudonymisé, conservé sur l’appareil et non sur les serveurs ;
À chaque tentative d’accès, le token est lu localement pour valider ou non la majorité.
Ces solutions sont conformes au RGPD dans la mesure où elles évitent la transmission ou la conservation centralisée d’informations personnelles.
3. Authentification via France Identité ou eIDAS
Le projet France Identité (CNIe) permet une authentification forte par lecture de la puce électronique de la carte d’identité ou du passeport via une application officielle. Le système permettrait, via un SDK (kit de développement logiciel) :
une vérification de la date de naissance ;
une validation binaire (« majeur ou non ») sans exposition du nom ou du numéro de CNI ;
un traitement exclusivement local, sans journalisation des données.
À l’échelle européenne, des solutions similaires sont en cours de déploiement sous le règlement eIDAS 2, en vue d’un portefeuille d’identité numérique interopérable.
C. Dispositifs prohibés ou non conformes
Sont considérés comme non conformes au référentiel ARCOM, et donc susceptibles de sanctions :
les formulaires de déclaration (cases à cocher, mentions textuelles, menus déroulants) ;
les cookies ou identifiants de session valables pour plusieurs visites sans nouvelle vérification ;
toute forme de conservation des pièces d’identité, scan de carte ou photo de document ;
les systèmes ne permettant pas une vérification individuelle à chaque tentative d’accès.
L’ARCOM a souligné que la répétition de la vérification à chaque session était essentielle pour éviter le contournement par partage de comptes ou manipulation technique.
D. Intégration technique sur les plateformes : contraintes et défis
Les éditeurs de sites doivent intégrer, sur leur interface :
une interception préalable de tout contenu (filtrage au niveau serveur) ;
un interfaçage technique avec le prestataire tiers (via API, SDK, ou iframe sécurisée) ;
des logs de conformité technique, pour justifier de la mise en œuvre lors d’un éventuel contrôle de l’ARCOM.
Cette architecture suppose des coûts non négligeables, que certains éditeurs tentent de contourner en hébergeant les contenus dans des juridictions offshore, d’où l’importance du dispositif transfrontalier européen.