19 millions de données volées le jour où l'UE lançait sa vérification d'âge par IA : le signal que personne n'a lu

Le 15 avril 2026, deux événements se sont produits simultanément en Europe. D'un côté, la Commission européenne annonçait que sa solution de vérification d'âge était techniquement prête et disponible pour les États membres. De l'autre, le portail de l'Agence Nationale des Titres Sécurisés subissait une cyberattaque exposant les données de 18 à 19 millions de Français, via une faille qu'un développeur junior aurait dû identifier en quelques heures. Ce n'est pas une coïncidence à noter dans les marges. C'est la démonstration que gouvernance documentée et sécurité réelle ne sont pas la même chose - et que l'AI Act a été conçu précisément pour forcer cette distinction.

Ce qui s'est passé : un résumé sans ambiguïté

L'ANTS, rebaptisée France Titres, gère les demandes de passeports, de permis de conduire, de cartes grises et de cartes d'identité. C'est l'une des bases de données d'identité les plus denses de France. Le 15 avril 2026, un hacker identifié sous le pseudonyme "breach3d" a exploité une vulnérabilité IDOR sur l'API du portail moncompte.ants.gouv.fr.

Une faille IDOR signifie que le système ne vérifiait pas si la personne faisant une requête avait le droit d'accéder à la ressource demandée. Il suffisait de modifier un identifiant dans l'URL pour consulter la fiche d'un autre citoyen. Noms, prénoms, dates de naissance, adresses email, identifiants de connexion : tout était accessible. La faille figure au Top 10 de l'OWASP depuis plus d'une décennie. Le hacker lui-même l'a qualifiée de "vraiment stupide".

Ce type de vulnérabilité est enseigné en première année de développement web. La retrouver sur une plateforme régalienne gérant des millions de titres d'identité pose une question simple : où était la documentation de sécurité ? Où était l'audit ?

L'ANTS, pivot du futur système de vérification d'âge

Ce qui rend cet incident particulièrement significatif du point de vue de l'AI Act, c'est le contexte dans lequel il survient. La France s'est engagée à déployer un dispositif de vérification d'âge pour les réseaux sociaux avant le 1er septembre 2026, conformément à la proposition de loi visant à protéger les mineurs de moins de 15 ans. L'infrastructure nationale d'identité, dont l'ANTS est un composant central, devait servir de socle à ce dispositif.

Le même jour que le piratage, la Commission européenne annonçait que sa propre solution de vérification d'âge était "techniquement prête à être mise en oeuvre". Cette solution repose sur des mécanismes de preuve cryptographique permettant d'attester qu'un utilisateur a plus de 18 ans sans partager d'autres données personnelles. Elle est conçue pour être interopérable avec les futurs portefeuilles d'identité numérique européens, attendus fin 2026.

En d'autres termes : le jour où la France planifiait de s'appuyer sur son infrastructure d'identité nationale pour contrôler l'accès aux réseaux sociaux, cette même infrastructure démontrait qu'elle ne résistait pas à une attaque élémentaire. Le signal est difficile à manquer.

Ce que l'AI Act dit des systèmes de vérification d'âge

Un système de vérification d'âge basé sur l'intelligence artificielle, qu'il utilise l'estimation biométrique de l'âge par reconnaissance faciale ou qu'il s'appuie sur des données d'identité pour croiser et valider une information, n'est pas un outil ordinaire au regard du Règlement (UE) 2024/1689.

Classification : haut risque sans exception possible

L'Annexe III, point 1 de l'AI Act classe comme systèmes à haut risque tous les systèmes IA destinés à l'identification biométrique et à la catégorisation des personnes physiques. La vérification d'âge par analyse biométrique (scan facial, estimation à partir de caractéristiques physiques) relève directement de cette catégorie. Il n'existe pas de clause d'exception lorsque du profilage biométrique est impliqué.

Les obligations qui en découlent sont les plus lourdes du règlement : documentation technique conforme à l'Annexe IV, système de gestion des risques documenté (Article 9), gouvernance des données d'entraînement (Article 10), supervision humaine formalisée (Article 14), marquage CE, enregistrement dans la base de données européenne (Article 49).

La ligne rouge biométrique à surveiller

Certaines approches de vérification d'âge franchissent une ligne encore plus sensible. L'Article 5(1)(h) de l'AI Act interdit l'identification biométrique à distance en temps réel dans les espaces accessibles au public, sauf exceptions très strictes liées à la sécurité nationale. Un système qui procède à une reconnaissance faciale en temps réel pour déterminer l'âge d'un utilisateur sur une plateforme grand public entre potentiellement dans cette zone d'interdiction.

La distinction entre "vérification d'âge par biométrie" et "identification biométrique à distance" n'est pas toujours évidente. C'est précisément ce type de zone grise que la documentation technique AI Act est censée clarifier - et que l'absence de documentation laisse entièrement à la charge du déployeur en cas de contrôle.

Ce que l'AI Act aurait exigé à l'ANTS, et ce qu'il exige aux développeurs de solutions IA

L'ANTS n'est pas directement soumis à l'AI Act pour son portail de gestion des titres d'identité - la plateforme piratée est un service administratif, pas un système IA. Mais l'incident illustre précisément ce que l'AI Act impose aux systèmes qui, eux, en relèvent.

L'Article 9 : gestion des risques documentée

L'Article 9 impose aux fournisseurs de systèmes IA à haut risque un processus itératif d'identification, d'estimation et de maîtrise des risques. Ce processus inclut explicitement l'évaluation des risques liés à la sécurité du système - et notamment des risques d'accès non autorisé aux données traitées. Une vulnérabilité IDOR sur une API exposant des données d'identité est exactement le type de risque qu'un tel processus aurait dû identifier et documenter.

L'Article 10 : gouvernance des données sans compromis

L'Article 10 impose une gouvernance stricte des données utilisées par les systèmes IA à haut risque : traçabilité de l'origine, contrôles qualité, vérification de l'absence de biais, mesures de sécurité adaptées au niveau de sensibilité. Pour un système traitant des données biométriques ou d'identité à grande échelle, "mesures de sécurité adaptées" ne peut pas coexister avec l'absence de contrôle d'accès sur une API.

Ce n'est pas une exigence théorique. C'est un livrable documentaire que la CNIL, désignée autorité nationale de surveillance AI Act en France depuis février 2026, peut demander à consulter à tout moment après le 2 août 2026.

Ce que les développeurs de solutions de vérification d'âge IA doivent faire maintenant

Les entreprises qui travaillent sur des solutions de vérification d'âge IA, qu'elles répondent à des appels d'offres publics ou développent des produits B2B pour les plateformes, ont une fenêtre très courte avant les deux échéances qui convergent : le 1er septembre 2026 pour le dispositif français, le 2 août 2026 pour l'AI Act.

1. Classifier précisément le système - identifier si la solution relève de l'Annexe III (biométrie) ou risque de frôler les pratiques interdites de l'Article 5. La frontière entre estimation d'âge et identification biométrique doit être documentée explicitement.
2. Produire la documentation technique Annexe IV - les 9 sections obligatoires, y compris la description de l'architecture, la gouvernance des données d'entraînement, le système de gestion des risques et le plan de monitoring post-déploiement.
3. Documenter les mesures de sécurité dans l'Article 9 - lister formellement les risques identifiés (dont les risques d'accès non autorisé) et les mesures de maîtrise correspondantes. C'est la section qui, si elle avait existé pour l'ANTS, aurait forcé l'identification de la faille IDOR.
4. Anticiper la FRIA (Article 27) - si la solution est déployée par un organisme public, une évaluation d'impact sur les droits fondamentaux est obligatoire. La vérification d'âge des mineurs sur les réseaux sociaux est exactement le type de système concerné.
5. Vérifier la compatibilité avec l'Article 5 - s'assurer que la méthode de vérification choisie ne constitue pas une identification biométrique à distance en temps réel dans un espace accessible au public.

La documentation AI Act n'est pas une formalité administrative. C'est le processus qui force à poser les bonnes questions avant le déploiement - et à en garder la trace. Ce que le piratage de l'ANTS révèle, c'est précisément l'absence de ce processus sur un système critique.

Des plateformes comme AiActo permettent aux équipes qui développent ces solutions de structurer cette documentation section par section, avec une génération assistée par IA et un éditeur de validation humain avant export. Pour les fournisseurs qui doivent aller vite, c'est la différence entre avoir une documentation conforme le 2 août et ne pas en avoir.

Le vrai signal à retenir

L'incident ANTS du 15 avril 2026 n'est pas une leçon sur la cybersécurité des services publics. C'est une leçon sur ce qu'il se passe quand des systèmes traitant des données d'identité à grande échelle ne sont pas soumis à un processus de gouvernance documentée et opposable.

Les systèmes de vérification d'âge IA qui vont être déployés dans les prochains mois sont, eux, soumis à l'AI Act. Ils traitent des données biométriques ou d'identité sur des millions d'utilisateurs, dont des mineurs. L'Article 9, l'Article 10 et l'Annexe IV existent précisément pour éviter qu'un système critique soit mis en production avec une faille que son propre créateur n'aurait pas formellement évaluée.

Le signal du 15 avril n'était pas discret. La question est de savoir combien d'équipes l'ont lu.

Vous développez ou déployez un système IA de vérification d'âge ou traitant des données biométriques ? Le diagnostic gratuit AiActo identifie en moins de 3 minutes votre niveau de risque et vos obligations selon l'AI Act.