Utah SB 73 : la première loi américaine ciblant les utilisateurs de VPN entre en vigueur le 6 mai 2026

Aujourd'hui, 6 mai 2026, l'Utah devient le premier État américain à placer les utilisateurs de VPN dans le viseur juridique d'une loi de vérification d'âge. Le Senate Bill 73 — formellement intitulé Online Age Verification Amendments et signé par le gouverneur Spencer Cox le 19 mars 2026 — entre en vigueur aujourd'hui, et sa Section 14 transforme en profondeur la relation entre les résidents de l'Utah, les fournisseurs de VPN et les sites web que ces résidents visitent.

Si vous êtes résident de l'Utah et lisez ces lignes, la loi ne rend pas votre VPN illégal. Mais elle marque le moment où les législateurs des États-Unis ont commencé à traiter les VPN commerciaux non plus comme l'outil de protection de la vie privée standard qu'ils ont été pendant deux décennies — utilisé quotidiennement par les entreprises, les journalistes, les étudiants sur des Wi-Fi publics et toute personne qui se connecte à une application bancaire depuis un café — mais comme une échappatoire réglementaire à refermer.

Voici ce que la SB 73 fait réellement, pourquoi les défenseurs des droits numériques, de l'Electronic Frontier Foundation à NordVPN, la qualifient de « piège à responsabilité », pourquoi elle n'atteindra presque certainement pas l'objectif annoncé, et ce qu'elle signifie pour votre vie privée en 2026.

Ce que la SB 73 de l'Utah fait réellement

La majeure partie de la SB 73 porte sur une taxe de 2 % sur les revenus issus des contenus pour adultes en ligne (effective en octobre 2026). Les dispositions qui prennent effet aujourd'hui sont différentes — elles modifient la Section 78B-3-1002 de la loi existante de l'Utah sur la vérification d'âge en ligne et ciblent explicitement l'usage des VPN de deux manières :

1. La localisation suit le corps, pas l'IP. En vertu de la nouvelle loi, une personne est considérée comme accédant à un site web depuis l'Utah si elle se trouve physiquement en Utah, qu'elle utilise ou non un VPN, un serveur proxy ou tout autre outil destiné à dissimuler sa localisation géographique. Autrement dit, même si votre IP indique que vous êtes au Wyoming, le texte vous traite comme un utilisateur de l'Utah dès l'instant où votre téléphone se trouve à Salt Lake City.
2. Les sites web ont l'interdiction de parler des VPN. Les entités commerciales qui hébergent « une part substantielle de contenus préjudiciables aux mineurs » se voient désormais interdire de faciliter ou d'encourager l'usage d'un VPN pour contourner les vérifications d'âge. Cela inclut le fait de publier des instructions sur la manière d'utiliser un VPN — une formulation suffisamment large pour que l'EFF y voie un problème au regard du First Amendment.

La loi ne va pas jusqu'à interdire explicitement l'usage des VPN en lui-même. Aucune amende n'est prévue pour les résidents de l'Utah qui se connectent à travers un VPN commercial. La pression juridique est dirigée droit sur les sites web — et c'est là que les ennuis commencent.

Le « piège à responsabilité » qui inquiète les défenseurs de la vie privée

La principale objection des groupes de défense des droits numériques est ce que l'EFF appelle un piège à responsabilité : sous la SB 73, un site web est tenu de vérifier l'âge de chaque utilisateur physiquement situé en Utah, y compris les utilisateurs qui semblent au site se trouver ailleurs. Comme aucun site commercial ne peut détecter de façon fiable la véritable géolocalisation de chaque utilisateur de VPN, deux options peu enviables subsistent :

• Bloquer toutes les IP de sortie de VPN connues. Maintenir une blocklist en croissance constante, accepter les dégâts collatéraux des faux positifs (clients légitimes utilisant un VPN qui se retrouvent exclus) et espérer suivre le rythme des nouvelles plages d'IP que les fournisseurs renouvellent régulièrement.
• Exiger une vérification d'âge de chaque visiteur, partout dans le monde. Traiter chaque utilisateur comme s'il pouvait être un résident de l'Utah derrière un VPN, et exiger une preuve d'âge de niveau pièce d'identité officielle de tout le monde — y compris des millions de personnes qui ne vivent pas en Utah et ne sont pas soumises à la loi.

L'équipe en charge de la politique chez NordVPN l'a qualifié exactement de cela — « un piège à responsabilité » — dans des commentaires à TechRadar. Les deux options étendent l'onde de choc d'une loi étatique en un régime mondial de vérification d'identité, et toutes deux imposent des coûts réels aux journalistes, aux survivants de violences, aux voyageurs d'affaires et aux utilisateurs ordinaires soucieux de leur vie privée qui s'appuient sur des VPN commerciaux pour la sécurité légitime de leurs données.

Le problème vis-à-vis du First Amendment

La seconde disposition — l'interdiction faite aux sites de partager de l'information sur les VPN — est la partie la plus susceptible de faire l'objet d'une contestation constitutionnelle. La SB 73 ne se contente pas de demander aux plateformes concernées d'imposer un filtrage par âge ; elle leur interdit d'informer leurs utilisateurs au sujet d'un logiciel parfaitement légal qui existe dans le monde.

L'EFF, le Cato Institute et les défenseurs de la liberté d'expression notent que cela restreint un discours véridique et non trompeur sur un outil légal de protection de la vie privée. Comme le résume le Cato Institute : « Quand une politique d'Internet peut être contournée par une technologie relativement courante qui apporte souvent des bénéfices significatifs en matière de vie privée et de sécurité, c'est peut-être la politique qui est le problème. »

La SB 73 va-t-elle réellement fonctionner ? La réalité technique

La réponse courte est non. La réponse plus longue, c'est qu'un succès même partiel exigerait un niveau d'analyse d'empreintes au niveau du réseau qu'aucun État seul ne peut imposer et qu'aucun opérateur de site ne peut livrer. Voici ce que feront les utilisateurs motivés — dans les heures qui suivent l'entrée en vigueur de la loi, pas dans les mois :

• Migrer vers des proxies résidentiels. Les proxies résidentiels routent le trafic à travers de vraies IP de FAI grand public, indiscernables d'un trafic domestique ordinaire. Ils existent depuis des années pour des cas d'usage légitimes de web scraping, de vérification publicitaire et de protection de marque — et ils contournent trivialement les blocklists de VPN commerciaux, parce qu'ils n'y figurent pas.
• Mettre en place des tunnels cloud privés. Un VPS à 5 $/mois sur AWS, DigitalOcean ou Hetzner faisant tourner WireGuard donne à un utilisateur un peu averti une IP de sortie VPN personnelle qu'aucune blocklist n'attrapera jamais — parce que c'est une IP unique qui n'existait pas hier et qui n'apparaîtra jamais dans une plage de VPN commercial.
• Utiliser Tor ou des installations Shadowsocks/V2Ray auto-hébergées. Les outils d'obfuscation open source développés pour les habitants de pays soumis à un contrôle strict d'Internet déjouent déjà des dispositifs de détection bien plus sophistiqués que tout ce qu'envisage le projet de loi de l'Utah.

Les dégâts collatéraux frappent le résident lambda de l'Utah qui veut simplement chiffrer son trafic bancaire sur le Wi-Fi d'un hôtel — et non l'adolescent techniquement motivé que la loi était censée protéger. Comme le notait l'EFF, « ces dispositions n'arrêteront pas un adolescent doué en informatique, mais elles affecteront à coup sûr la vie privée de chaque résident lambda de l'Utah qui veut simplement garder ses données hors de portée des courtiers ou d'acteurs malveillants. »

L'Utah n'est pas seule — le panorama mondial en 2026

La SB 73 marque un sommet aux États-Unis, mais elle s'inscrit dans un schéma mondial : des gouvernements répondent à la flambée d'usage des VPN qui suit chaque obligation de vérification d'âge. Le scénario s'est déroulé de la même façon dans plus d'une douzaine de juridictions au cours des trois dernières années :

• États américains avec des lois de vérification d'âge à l'origine de pics d'usage des VPN : Florida, Missouri, Texas, Utah (depuis 2023), Louisiana, Mississippi, Virginia, Tennessee, North Carolina, Idaho et d'autres — l'Utah est désormais le premier à riposter à la flambée d'usage des VPN en s'attaquant à l'outil lui-même.
• Wisconsin : a proposé un texte similaire ciblant les VPN ; les défenseurs des libertés ont obtenu son retrait en raison de préoccupations constitutionnelles et techniques. L'Utah a passé outre malgré les mêmes objections.
• UK : la Children's Commissioner a publiquement décrit les VPN comme « une échappatoire qu'il faut refermer » après que l'Online Safety Act eut entraîné un pic massif d'adoption des VPN.
• France : la ministre déléguée chargée de l'Intelligence artificielle et du Numérique a désigné les VPN comme le « prochain sujet » de l'agenda réglementaire après que le pays eut adopté une interdiction des réseaux sociaux pour les moins de 15 ans.
• Australia, Indonesia : tous deux ont mis en place des lois de vérification d'âge qui ont entraîné des pics d'usage des VPN, avec un suivi réglementaire en discussion active.

Le schéma est constant : la politique crée la demande pour l'outil, puis la politique se retourne contre l'outil. Savoir si la SB 73 résistera aux contestations juridiques ou sera discrètement abandonnée comme la version du Wisconsin est l'une des histoires de politique d'Internet les plus importantes de l'année 2026 aux États-Unis.

Ce que cela signifie pour les résidents de l'Utah

Si vous vivez en Utah et utilisez un VPN aujourd'hui pour les mêmes raisons que la plupart des gens — opérations bancaires sur Wi-Fi public, télétravail depuis un café, séparation de comptes professionnels et personnels, protection contre le doxing, ou simplement parce que vous ne voulez pas que votre FAI enregistre chaque site que vous visitez — rien dans votre usage quotidien d'un VPN n'est illégal sous la SB 73. La loi vise les sites web, pas les utilisateurs.

Ce qui change, c'est l'expérience d'utilisation d'un VPN pour visiter certains sites :

• Certains sites pour adultes pourraient désormais bloquer tout le trafic VPN. Si un site décide que la voie de conformité la plus sûre est d'interdire toutes les IP de VPN qu'il peut identifier, vous verrez des murs CAPTCHA ou des blocages durs alors même que vous vivez en Utah et utilisez un VPN pour des raisons légitimes.
• Certains sites pourraient exiger une vérification d'âge mondiale. S'ils choisissent plutôt la voie « vérifier tout le monde », vous verrez apparaître des invites de vérification d'âge de niveau pièce d'identité officielle qui n'existaient pas la semaine dernière — y compris sur des sites qui ne sont manifestement pas du contenu pour adultes.
• Vous verrez moins d'informations sur les VPN sur les plateformes concernées. La disposition de mise sous silence implique que les tutoriels, recommandations et même les explications de base sur les VPN pourraient disparaître des sites opérant sous le parapluie de conformité de la SB 73.

Comment protéger votre vie privée en 2026 (légitimement)

Quelle que soit votre opinion sur la politique de vérification d'âge, la question technique — « comment garder mon trafic Internet normal privé et sécurisé en 2026 » — a la même réponse qu'il y a une semaine. Choisissez un VPN commercial réputé doté de ces qualités :

• Politique no-logs vérifiée avec des rapports d'audit indépendants que vous pouvez lire.
• Prise en charge du protocole WireGuard (faible latence, cryptographie moderne).
• Serveurs obfusqués pour que le trafic VPN lui-même ne se laisse pas identifier par empreinte.
• Kill switch pour empêcher la fuite de votre IP réelle si le tunnel tombe.
• Juridiction hors de l'alliance de partage de renseignement 14 Eyes — Panama, les Îles Vierges britanniques et la Suisse sont des choix courants.

Pour les utilisateurs qui veulent aller un cran plus loin que les plages de VPN commerciaux mutualisés — en particulier les résidents de l'Utah qui s'attendent à être attrapés dans les blocklists de VPN commerciaux sur des sites adoptant la conformité la plus stricte à la SB 73 — un forfait Dedicated Residential IP chez un fournisseur comme CometVPN vous donne une IP de sortie fixe, issue d'un vrai FAI, qui ressemble à une connexion domestique ordinaire et qui n'apparaîtra pas sur les blocklists de VPN commerciaux. CometVPN fonctionne sur WireGuard, inclut un kill switch, propose des serveurs obfusqués, est basé au Panama, et démarre à 1,89 $/mois sur l'offre de deux ans, l'option Dedicated Residential IP étant disponible en module additionnel.

Les utilisateurs avancés qui ont besoin d'un contrôle plus fin — par exemple pour de l'automatisation de navigateur, des workflows multi-comptes ou du scraping — peuvent aussi recourir à des proxies résidentiels chez MarsProxies ou IPRoyal, qui livrent une origine IP de vrai FAI similaire à un palier VPN Dedicated Residential, mais avec un routage par application.

La vue d'ensemble

Les VPN sont, par essence, les outils qui rendent possible l'Internet moderne soucieux de la vie privée. Les attaquer — que ce soit par le piège à responsabilité de la mise sous silence en Utah, par le cadrage en « échappatoire » au UK, ou par l'agenda du « prochain sujet » en France — revient fondamentalement à attaquer l'architecture qui protège les journalistes, les voyageurs d'affaires, les survivants de violences et les utilisateurs ordinaires qui ne veulent simplement pas que leurs données soient vendues au plus offrant.

La SB 73 est la première loi d'État américaine à franchir ce pas. Elle ne sera probablement pas la dernière. La question réglementaire pour la suite de 2026 est de savoir si les contestations juridiques, les contournements techniques et la réaction de l'opinion suffiront à ralentir cette tendance — ou si la prochaine vague de projets de loi de vérification d'âge au niveau des États reprendra mot pour mot le scénario de l'Utah.

Pour l'instant, le 6 mai 2026 entre dans les annales comme le jour où les États-Unis ont franchi une ligne. Nous suivrons attentivement la suite des événements.

Sources : Electronic Frontier Foundation, Texte enrôlé du SB 73 par la législature de l'Utah, TechRadar / NordVPN, Tom's Hardware, CyberInsider, Cato Institute.