ECA Digital : la vérification de l'âge est désormais une obligation légale, et non plus une simple recommandation.
Par Thomas Hannickel, DPO – Legitimuz
La nouvelle loi ECA numérique (loi 15.211/2025), qui étend le statut des enfants et des adolescents au monde numérique, est désormais une obligation légale ayant force de loi, cessant d'être une simple recommandation vague sur la protection en ligne.
Une nouvelle phase de responsabilité s'ouvre désormais pour les plateformes, avec un impact direct sur la manière dont les enfants et les adolescents accèdent aux services numériques et sur la façon dont les entreprises doivent gérer les données et l'identité.
Le grand tournant de l'ECA numérique : l'autodéclaration ne suffit plus.
Pendant des années, la pratique courante sur Internet pour restreindre l'accès aux contenus inappropriés ou réservés aux adultes consistait en une simple déclaration sur l'honneur. Il suffisait de cliquer sur un bouton indiquant « J'ai plus de 18 ans », et c'était tout. Aucune vérification supplémentaire n'était requise. Mais cela vient de changer.
L'ECA Digital interdit expressément ces mécanismes inefficaces et exige des plateformes qu'elles mettent en œuvre une véritable vérification de l'âge, ne laissant aucune place au contournement.
En clair, cela signifie que pour accéder à du contenu pour adultes, à des produits dangereux ou à tout service réservé aux personnes majeures, il ne suffit plus de déclarer simplement que vous avez l'âge légal.
Il faut maintenant présenter des preuves concrètes.
Qu’est-ce que l’« accès présumé » et pourquoi est-ce important ?
L'un des concepts qui aura le plus d'impact sur le marché est celui de « l'accès présumé ».
Différent de e-commerces Pour les produits destinés exclusivement aux adultes ou les contenus clairement destinés aux adultes, la loi brésilienne sur le numérique (ECA Digital) couvre tout produit ou service numérique « susceptible d’être consulté » par des mineurs, même s’il n’est pas spécifiquement conçu pour eux.
Ce « droit d’accès présumé » est calculé en fonction de facteurs tels que :
⇒ Attractivité du service pour un public jeune
⇒ Facilité d'accès et d'utilisation
⇒ Risques pour le développement, la sécurité ou la vie privée des enfants et des adolescents
En pratique, cela peut inclure les réseaux sociaux, les jeux, les applications de messagerie, les plateformes vidéo, et même les sites web qui, techniquement, ne sont pas considérés comme du « contenu pour adultes ». S'il existe une probabilité raisonnable que des mineurs s'y trouvent, la règle s'applique.
Le poids des changements dans l'ECA numérique
Cette logique change la donne car elle passe d'un modèle de conformité minimaliste (une simple case à cocher) à un modèle complet de protection des données et de conception des produits.
Désormais, les plateformes doivent partir du principe que :
Des mineurs sont présents et doivent être traités comme tels.
⇒ Mesurer l'âge a posteriori ne suffit pas. Il est nécessaire d'empêcher tout accès non autorisé dès l'étape d'authentification.
Cette règle ne se limite pas à la pornographie ou au commerce électronique. Elle s'applique à presque tout ce qui pourrait « attirer » les mineurs.
L'un des impacts les plus importants est le fait que les entreprises devront intégrer des systèmes de vérification d'âge robustes, tels que : validation des documents, l'utilisation de jetons de confiance, d'API sécurisées et la certification des données.
Ces mécanismes doivent garantir la sécurité, l'exactitude et la conformité aux exigences légales, ce qui nécessite des investissements dans la technologie et la gouvernance de l'information.
De plus, il sera nécessaire de ne conserver que des journaux de bord minimaux, strictement limités à la finalité légale, en veillant à ce que les données collectées ne soient pas utilisées à d'autres fins commerciales.
Autrement dit, cela signifie que des pratiques telles que la personnalisation et la publicité basées sur ces informations seront soumises à des limitations plus strictes, renforçant ainsi la séparation entre la conformité réglementaire et les stratégies de monétisation.
Risques et limitations déjà visibles.
De manière générale, à ce jour, les technologies biométriques, les jetons cryptographiques et les identifiants numériques n'en sont encore qu'à leurs débuts d'adoption et peuvent créer des barrières d'accès pour ceux qui ne possèdent pas de documents numériques ou d'infrastructure fiable.
Du point de vue de la protection des données, un véritable dilemme se pose : comment prouver l’âge sans collecter une quantité excessive de données sensibles ?
L'ECA numérique tente de remédier à ce problème grâce aux principes de minimisation et de finalité stricte, mais sa mise en œuvre pratique sera un laboratoire de compromis lors des prochaines phases de réglementation de l'ANPD (Agence nationale de protection des données).
Le rôle de l'ANPD et le calendrier actuel.
L’Agence nationale de protection des données s’est vu confier un rôle central dans la réglementation, la définition des normes et la fixation des délais d’adaptation des entreprises, ce qui signifie qu’une grande partie des modalités pratiques d’application de cette règle sera définie dans les prochains mois.
La loi entrera en vigueur le 17 mars 2026, et son application effective dépendra désormais de la manière dont l'ANPD (Autorité nationale de protection des données) publiera des réglementations complémentaires qui pourraient créer des exigences supplémentaires en matière d'interopérabilité, d'audit, de certification et de rapports.
Ce scénario ouvre une phase de transition stratégique pour les entreprises : doivent-elles attendre que les règles se consolident ou doivent-elles anticiper des investissements dans l'architecture d'identité numérique ?
Dans le même temps, une réflexion inévitable s'impose sur la mesure dans laquelle la réglementation sera capable de concilier la protection globale des enfants et des adolescents avec l'innovation, l'inclusion numérique et la libre entreprise.
Le succès de l'ECA numérique ne dépendra peut-être pas uniquement de la lettre de la loi, mais aussi de la capacité institutionnelle à créer des lignes directrices claires, proportionnées et techniquement réalisables.
À propos de Legitimuz
Legitimuz est un idtech Une entreprise brésilienne leader dans les solutions de vérification d'identité et de prévention de la fraude. Forte d'une infrastructure performante et d'une expérience utilisateur optimale, elle compte plus de 150 clients, une capacité de traitement de 25 vérifications par seconde et traite plus de 400 millions de vérifications par an. Engagée en matière de gouvernance, de LGPD (Loi générale brésilienne sur la protection des données) et de protection des données, l'entreprise est certifiée IE.SO/IEC 27001 et a déjà empêché plus de 100 millions de reais de fraude grâce à ses processus de sécurité rigoureux.
Pour en savoir plus: https://www.legitimuz.com/br.
