Chaque jour, des millions d’Européens prouvent leur âge en ligne en envoyant une photo de leur carte d’identité à un site web. Pour acheter de l’alcool, accéder à un site de jeux, ou simplement créer un compte sur un réseau social.
Le site avait besoin d’une seule information : « cette personne a-t-elle plus de 18 ans ? ». Il a reçu à la place votre nom complet, votre date de naissance, votre adresse, votre numéro de document, et votre photo.
Ces données s’accumulent dans des bases qui deviennent des cibles. En 2024, la CNIL a sanctionné plusieurs entreprises pour des fuites de données d’identité. Le problème n’est pas la négligence — c’est le modèle lui-même. On ne peut pas protéger des données qu’on n’aurait jamais dû collecter.
Le portefeuille européen change la donne — presque
Le règlement eIDAS 2.0 impose aux États membres de proposer un portefeuille d’identité numérique (EUDI Wallet) d’ici fin 2026. L’idée est simple : vos documents d’identité vivent dans votre téléphone, et vous choisissez quoi partager avec qui.
C’est un progrès énorme. Mais il y a un problème que le portefeuille seul ne résout pas.
Même avec un portefeuille, une vérification d’âge classique fonctionne ainsi : le site demande votre date de naissance, le portefeuille la transmet, le site calcule votre âge. Le site connaît maintenant votre date de naissance exacte. Il n’en avait pas besoin. Et il la stocke peut-être.
Ce que les preuves zero-knowledge changent
Une preuve zero-knowledge permet de prouver une affirmation sans révéler les données qui la sous-tendent.
Concrètement, pour une vérification d’âge : le portefeuille génère une preuve cryptographique que sa date de naissance correspond à une personne majeure, sans jamais transmettre cette date. Le site reçoit une preuve mathématique — il peut la vérifier en quelques millisecondes — et il apprend uniquement ce qu’il avait besoin d’apprendre : oui ou non.
Pas de date de naissance. Pas de document. Pas de photo. Juste une réponse binaire signée par le portefeuille européen.
Le même principe s’applique à d’autres attributs. Prouver qu’on est résident d’un pays sans donner son adresse. Prouver qu’on a un revenu au-dessus d’un seuil sans transmettre le montant. Prouver qu’on détient un diplôme sans révéler l’établissement.
Les standards sont là, l’infrastructure reste à construire
Les briques techniques existent. Le profil eu.europa.ec.av.1 publié par la Commission décrit comment un portefeuille et un site doivent dialoguer pour une vérification d’âge conforme. Les spécifications OpenID for Verifiable Presentations (OID4VP) et ISO 18013-5 normalisent les échanges. Des librairies cryptographiques comme Noir rendent les preuves zero-knowledge accessibles sans être cryptographe.
Ce qui manque encore, c’est l’infrastructure intermédiaire : les services que les éditeurs SaaS vont brancher pour recevoir et vérifier ces preuves sans avoir à implémenter la cryptographie eux-mêmes.
C’est ce que vise Tessaliq. Un vérificateur tiers qui parle le langage du portefeuille européen, qui vérifie les preuves, et qui rend au service appelant une réponse binaire — sans jamais stocker les données personnelles qui l’ont générée.
Pourquoi maintenant
Le calendrier est serré. Les portefeuilles nationaux se déploient en 2026. La loi SREN en France impose déjà aux sites adultes une vérification d’âge robuste, sous supervision de l’ARCOM. Les six États pilotes de la vérification d’âge (Chypre, Danemark, France, Grèce, Italie, Espagne) ont acté le profil technique.
Les éditeurs qui devront se mettre en conformité en 2026-2027 ont le choix : collecter des données d’identité comme aujourd’hui et assumer le risque réglementaire et réputationnel qui va avec, ou brancher un vérificateur qui fait le travail sans retenir la donnée.
Le deuxième chemin est techniquement disponible. Il reste à le rendre exploitable.