Proton, l’entreprise spécialisée dans la protection de la vie privée numérique et faisant confiance à plus de 100 millions d’utilisateurs, a lancé le 16 mars 2026 une initiative baptisée « Born Private ». Son principe est aussi simple que son ambition est forte : permettre aux parents de réserver une adresse e-mail chiffrée pour leur enfant, bien avant qu’il n’en ait besoin, et ce pour une durée pouvant aller jusqu’à quinze ans.
Derrière ce geste apparemment anodin se cache une réalité préoccupante pour quiconque s’intéresse à la protection des données personnelles des mineurs.
Le problème : des enfants déjà profilés avant de comprendre ce que cela signifie
Aujourd’hui, les applications scolaires, les jeux en ligne et les outils de messagerie réclament une adresse e-mail bien avant qu’un enfant soit en âge de comprendre ce qu’est la vie privée ou comment ses données peuvent être exploitées.
Les chiffres parlent d’eux-mêmes. Selon une enquête conduite par Proton, 43 % des enfants de moins de 18 ans possèdent déjà une adresse e-mail personnelle, et 74 % de ces comptes sont hébergés chez Gmail. Autrement dit, la très grande majorité des mineurs entre dans la vie numérique par la porte de Google, un acteur dont le modèle économique repose précisément sur la collecte et la valorisation des données comportementales.
Par ailleurs, 71 % des enfants américains possèdent leur propre appareil connecté avant l’âge de 10 ans, tandis que 62 % des parents souhaiteraient pouvoir effacer l’intégralité de l’historique numérique de leur enfant s’ils en avaient la possibilité.
Ce qui se joue ici dépasse la simple question du choix d’un fournisseur de messagerie. Les services grand public de messagerie font appel à des pratiques de collecte qui peuvent inclure des pixels de traçage insérés dans les messages, la collecte de métadonnées et l’analyse comportementale au service de systèmes publicitaires ou de l’entraînement de modèles d’intelligence artificielle. Dès l’ouverture d’un compte, une piste de données commence à se constituer : identifiants matériels, données de localisation, centres d’intérêt déduits. Ce sont ces « profils fantômes » que redoutent les parents, craignant qu’ils ne suivent leurs enfants à l’âge adulte.
À cela s’ajoute une dimension réglementaire souvent ignorée : certaines informations collectées par ces services peuvent être soumises à la législation américaine en matière de surveillance, y compris en dehors des États-Unis. Pour les familles européennes, cela signifie que les données de leurs enfants peuvent potentiellement faire l’objet d’un accès gouvernemental sans mandat judiciaire, indépendamment des garanties offertes par le RGPD.
Comment fonctionne « Born Private » concrètement ?
Le mécanisme proposé par Proton est pensé pour être à la fois simple et robuste sur le plan de la protection des données.
Les parents peuvent réserver une adresse Proton Mail au nom de leur enfant. Celle-ci reste verrouillée tant qu’il n’est pas prêt à l’utiliser. Proton garantit que la boîte mail ne sera pas désactivée pour inactivité pendant une durée pouvant aller jusqu’à quinze ans. Durant toute cette période, aucun contenu n’est collecté ni analysé : la boîte reste complètement scellée.
L’enfant n’existe tout simplement pas dans le système. Korben C’est un principe qui devrait parler à tout DPO ou responsable de traitement : minimisation des données portée à son maximum, avec une durée de conservation nulle tant que le compte n’est pas activé.
Quand vient le moment, le processus d’activation est sécurisé : les parents activent le compte à l’aide d’un système de voucher sécurisé. En cas de perte, Proton indique que ce bon d’activation peut être réémis.
Pour prévenir les abus de type cybersquatting ou réservation massive par des robots, Proton demande un don minimum d’un dollar, intégralement reversé à la Fondation Proton, qui finance des actions en faveur de la vie privée numérique à l’échelle mondiale.
Les garanties techniques et normatives de Proton Mail
Proton Mail n’est pas un acteur récent dans le paysage de la messagerie chiffrée. Le service utilise le chiffrement de bout en bout et une architecture dite « zero-access », ce qui signifie que Proton elle-même ne peut pas lire le contenu des messages. Le service est également open source, permettant à des chercheurs indépendants d’auditer le code.
Du point de vue du droit applicable, la localisation suisse de Proton constitue un avantage non négligeable. Proton étant basé en Suisse, les données restent protégées par la législation helvétique, ce qui signifie l’absence d’accès sans mandat judiciaire. La Suisse, bien que n’étant pas membre de l’Union européenne, bénéficie d’une décision d’adéquation de la Commission européenne, ce qui facilite les transferts de données depuis l’espace RGPD.
Un angle RGPD à ne pas négliger : la protection des données des mineurs
Pour les professionnels de la conformité, « Born Private » illustre un enjeu que le RGPD encadre mais que la pratique néglige fréquemment : la protection des données des mineurs.
Le Règlement européen impose que le consentement d’un mineur de moins de 16 ans (ou moins selon les États membres, 15 ans en France) soit recueilli via l’autorisation parentale pour tout traitement fondé sur le consentement. Or, lorsqu’un parent crée un compte Gmail pour son enfant, il accepte des conditions générales dont les implications en termes de collecte et de profilage sont rarement lues ni comprises.
Seuls 14 % des parents accordent une confiance forte aux grandes entreprises technologiques pour protéger les données de leurs enfants. 65 % estiment que ces entreprises ne protègent pas correctement la vie privée des mineurs, et 63 % pensent qu’elles tirent profit de leurs données personnelles. Ce fossé entre la méfiance déclarée et les comportements réels témoigne d’un déficit d’alternatives crédibles et accessibles. « Born Private » tente précisément de combler ce vide.
Réserver l’adresse e-mail d’un enfant : un acte militant autant que pratique
Avec sa campagne « Born Private », Proton cherche à offrir une solution aux parents soucieux du respect de la vie privée de leur enfant, leur permettant de créer dès maintenant un compte pour leur enfant plutôt que de les envoyer vers Google ou Microsoft.
Andy Yen, cofondateur et CEO de Proton, résume la démarche ainsi : « Nous avons été la première génération à devenir dépendante d’un internet fondé sur la surveillance, mais la suivante n’est pas obligée de l’être ».
Réserver une adresse e-mail pour un enfant qui ne sait pas encore lire peut sembler prématuré. C’est pourtant exactement le bon moment pour le faire. Car une fois les habitudes prises, une fois l’écosystème Google ou Microsoft installé dans le quotidien d’un foyer, la migration devient une contrainte que peu de familles franchissent. Le choix de la première adresse est souvent le dernier choix réellement libre.
