Chat Control 2.0 : le Conseil de l'UE approuve un nouveau mandat favorisant la surveillance de masse

Ravivant le débat sur le chiffrement et l'analyse côté client qui menacent la fiabilité des communications

Chat Control 2.0 : le Conseil de l'UE approuve un nouveau mandat favorisant la surveillance de masse,
ravivant le débat sur le chiffrement et l'analyse côté client qui menacent la fiabilité des communications

Le Conseil de l’Union européenne vient d’approuver un mandat controversé relançant le projet Chat Control, ouvrant la porte à une surveillance algorithmique potentielle de l’ensemble des communications privées. Derrière un discours officiel de protection de l’enfance, experts et défenseurs des libertés numériques dénoncent une dérive structurelle menaçant le chiffrement, la vie privée et l’architecture fondamentale des communications modernes en Europe.

Pendant presque trois ans, le projet était enlisé. Les États membres n’arrivaient pas à trancher sur la question centrale : peut-on autoriser le scanning systématique des messages privés, chiffrés ou non, sans violer les droits fondamentaux ?

Les pays de l'UE ont finalement trouvé un accord mercredi sur une position commune concernant le règlement relatif aux abus sexuels sur les enfants, après des années de divisions et une opposition farouche de la part d'experts en matière de confidentialité et de sécurité qui craignaient que cette loi ne conduise à une surveillance massive des citoyens européens.

En octobre, une mobilisation massive des citoyens et des défenseurs de la vie privée contre la proposition controversée de la Commission visant à obliger les entreprises technologiques à scanner les messages privés à la recherche de contenus pédopornographiques (CSAM) a de nouveau bloqué les négociations, faisant échouer un autre vote provisoire.

Cette situation s'est répétée à plusieurs reprises depuis que les pays ont commencé à discuter de leur position à la mi-2022, mais cette semaine, les capitales ont finalement surmonté l'impasse et adopté un mandat en supprimant l'élément le plus controversé de la loi : la détection obligatoire.

Voici quelques points soulevés dans le communiqué :

• Évaluation et atténuation des risques : Avec les nouvelles règles, les fournisseurs de services en ligne seront tenus d'évaluer le risque de détournement de leurs services aux fins de la diffusion de matériel relatif à des abus sexuels sur enfants ou de la sollicitation d'enfants. Sur la base de cette évaluation, ils devront mettre en œuvre des mesures d'atténuation pour contrer ce risque. De telles mesures pourraient inclure la mise à disposition d'outils permettant aux utilisateurs de signaler les abus sexuels sur enfants en ligne, de contrôler quels contenus les concernant sont partagés avec d'autres utilisateurs et de mettre en place des paramètres de confidentialité par défaut pour les enfants.
• Centre de l'UE : La nouvelle législation prévoit la création d'une nouvelle agence de l'UE, le centre de l'UE chargé de prévenir et de combattre les abus sexuels sur enfants, pour appuyer la mise en œuvre du règlement. Le centre de l'UE évaluera et traitera les informations fournies par les prestataires de services en ligne concernant le matériel relatif à des abus sexuels sur enfants détecté dans leurs services et créera, tiendra à jour et exploitera une base de données des signalements qui lui seront communiqués par les prestataires. Il aidera en outre les autorités nationales à évaluer le risque que ces services puissent être utilisés pour diffuser du matériel relatif à des abus sexuels sur enfants.
• Assistance aux victimes : Les entreprises opérant en ligne doivent fournir une assistance aux victimes qui souhaiteraient que du matériel relatif à des abus sexuels sur enfants où elles sont représentées soit retiré ou rendu inaccessible. À cette fin, les victimes peuvent également solliciter l'aide du centre de l'UE. Celui-ci se chargera, par exemple, de vérifier si les entreprises concernées ont supprimé ou rendu inaccessibles le ou les élément(s) qu'une victime souhaite faire retirer.

Ces formulations laissent supposer l'accès au contenu de communications privées : bien que l'objectif est noble, cela justifie-t-il la situation ?

Le Danemark retire sa proposition relative au projet de loi controversé Chat Control

La proposition danoise visait à lutter contre les contenus pédopornographiques en ligne (CSAM) en obligeant les fournisseurs de services en ligne (tels que WhatsApp, Signal, etc.) à analyser automatiquement les messages et les fichiers des utilisateurs à la recherche de contenus illégaux, même dans le cadre de communications chiffrées de bout en bout.

D'ailleurs, le ministre danois de la Justice a estimé que « nous devons rompre avec l'idée erronée selon laquelle tout le monde a le droit, au nom de la liberté civile, de communiquer via des services de messagerie chiffrée ».

Le projet a fait l’objet de vives critiques par les organisations de défense des libertés civiles, les experts en cybersécurité et les entreprises technologiques (notamment X, Signal et WhatsApp), qui ont fait valoir qu'il créerait un système de surveillance de masse, porterait atteinte aux droits fondamentaux à la vie privée et compromettrait la sécurité du chiffrement. Signal a même menacé de se retirer du marché européen si la loi était adoptée dans sa forme initiale.

La proposition n'a pas reçu un soutien suffisant de la part des États membres de l'UE, se heurtant notamment à une forte opposition de la part de l'Allemagne, des Pays-Bas et de la Pologne. Le vote prévu en octobre 2025 a été annulé en raison de cette impasse. Le ministre danois de la Justice, Peter Hummelgaard, a donc annoncé le 30 octobre 2025 que les ordonnances de détection obligatoire seraient supprimées de la proposition du pays.

Le Danemark se concentre désormais sur une approche révisée qui maintient le cadre volontaire permettant aux plateformes de détecter et de signaler les contenus pédopornographiques, comme c'est le cas actuellement. Il prévoit d'introduire une clause de révision afin de réévaluer la situation à l'avenir, dans le but de mettre en place un nouveau cadre avant l'expiration du cadre temporaire actuel en avril 2026.


La crainte de voir une surveillance de masse écartée ? Non, selon Patrick Breyer, qui parle d'un « tour de passe-passe trompeur »

La crainte était que la proposition de la Commission ouvre la voie à une surveillance de masse en obligeant les plateformes de messagerie à scanner même les communications fortement chiffrées – ce qu'on appelle le chiffrement de bout en bout (E2EE) – ce qui a valu à cette proposition d'être qualifiée de « loi sur le contrôle des chats » par ses détracteurs.

Dans un communiqué, Patrick Breyer, ancien député européen et militant pour la protection de la vie privée, affirme que la Commission a discrètement réintroduit le scan obligatoire des messages privés après qu'il ait été précédemment rejeté. Il qualifie cette mesure de « tour de passe-passe trompeur », insistant sur le fait qu'elle transforme un cadre supposé volontaire en un système qui pourrait contraindre tous les fournisseurs de services de chat, de messagerie électronique et de messagerie instantanée à surveiller les utilisateurs.

« Il s'agit d'une tromperie politique de premier ordre », a déclaré Patrick Breyer. « À la suite de vives protestations publiques, plusieurs États membres, dont l'Allemagne, les Pays-Bas, la Pologne et l'Autriche, ont dit "non" au contrôle indiscriminé des chats. Aujourd'hui, cette mesure revient par la petite porte, sous une forme déguisée, plus dangereuse et plus complète que jamais. Le public est pris pour des imbéciles. »

En vertu du nouveau texte, les fournisseurs seraient tenus de prendre « toutes les mesures appropriées d'atténuation des risques » afin de prévenir les abus sur leurs plateformes. Alors que la Commission présente cette mesure comme une exigence de sécurité flexible, Patrick Breyer insiste sur le fait qu'il s'agit d'une faille qui pourrait justifier d'obliger les entreprises à scanner tous les messages privés, y compris ceux protégés par un chiffrement de bout en bout.

« Cette faille rend inutile la suppression tant louée des ordonnances de détection et nie leur caractère prétendument volontaire », a-t-il déclaré.

Il prévient que cela pourrait même conduire à l'introduction d'un « scan côté client », où les appareils des utilisateurs eux-mêmes effectueraient une surveillance avant l'envoi des messages.

« Ce que le Conseil a approuvé aujourd'hui est un cheval de Troie. En consolidant le scan "volontaire" de masse, ils légitiment la surveillance de masse sans mandat et sujette à erreur de millions d'Européens par des entreprises américaines, tout en supprimant l'anonymat en ligne par le biais de la vérification de l'âge. »

Conclusion

Après des années de va-et-vient entre les présidences successives du Conseil, les pays de l'UE se sont finalement mis d'accord mercredi sur un texte juridique qui supprime les ordonnances de détection obligatoires, optant plutôt pour un renforcement des exigences imposées aux plateformes en matière d'adoption de mesures d'atténuation.

L'analyse volontaire des services de messagerie à la recherche de CSAM reste sur la table comme mesure d'atténuation possible que les entreprises peuvent appliquer pour réduire les risques sur leurs plateformes.

Les défenseurs de la vie privée restent donc inquiets que l'analyse CSAM devienne une nécessité de facto, si les régulateurs finissent par s'appuyer sur les plateformes E2EE pour atténuer les risques, malgré l'ajout par les pays d'une formulation dans le considérant de la version du Conseil de la proposition qui stipule la nécessité de préserver le chiffrement.

Le Conseil se prépare désormais à entamer des négociations avec le Parlement, qui a arrêté sa position sur le dossier en novembre 2023 après que les députés européens ont accepté de supprimer les ordonnances de détection sur les plateformes E2EE. Un compromis devra être trouvé entre les colégislateurs de l'UE pour que la loi soit adoptée, ce qui pourrait encore prendre plusieurs mois.

Peter Hummelgaard, ministre danois de la Justice, s'est félicité de cette évolution. « Je suis heureux que les États membres se soient enfin mis d'accord sur la voie à suivre », a-t-il déclaré dans un communiqué. « Chaque année, des millions de fichiers représentant des abus sexuels sur des enfants sont partagés. »

Les discussions entre le Parlement et le Conseil pourraient encore prendre des mois avant que la loi ne soit finalisée, de sorte que la forme définitive des règles de l'UE en matière de scan CSAM ne sera pas connue avant un certain temps.

Sources : Conseil européen, Patrick Breyer

Et vous ?

Comment concilier la lutte contre la criminalité et la préservation d’un espace privé réellement inviolable dans une société numérisée ?

Le client-side scanning peut-il être compatible avec un État de droit, ou représente-t-il une rupture fondamentale avec la notion même de vie privée ?

Quel précédent ce mandat peut-il créer pour d’autres formes de surveillance algorithmique dans l’Union européenne ?

Si l’Europe affaiblit le chiffrement au nom d’une cause légitime, comment empêcher d’autres gouvernements d’utiliser ce précédent pour justifier des dérives autoritaires ?

Les citoyens ont-ils réellement conscience de l’ampleur de la surveillance que Chat Control pourrait instaurer au quotidien ?