Chat Control 2.0 : le Conseil de l'UE approuve un nouveau mandat favorisant la surveillance de masse

Ravivant le débat sur le chiffrement et l'analyse côté client qui menacent la fiabilité des communications

Le Conseil de l’Union européenne vient d’approuver un mandat controversé relançant le projet Chat Control, ouvrant la porte à une surveillance algorithmique potentielle de l’ensemble des communications privées. Derrière un discours officiel de protection de l’enfance, experts et défenseurs des libertés numériques dénoncent une dérive structurelle menaçant le chiffrement, la vie privée et l’architecture fondamentale des communications modernes en Europe.

Pendant presque trois ans, le projet était enlisé. Les États membres n’arrivaient pas à trancher sur la question centrale : peut-on autoriser le scanning systématique des messages privés, chiffrés ou non, sans violer les droits fondamentaux ?

Les pays de l'UE ont finalement trouvé un accord mercredi sur une position commune concernant le règlement relatif aux abus sexuels sur les enfants, après des années de divisions et une opposition farouche de la part d'experts en matière de confidentialité et de sécurité qui craignaient que cette loi ne conduise à une surveillance massive des citoyens européens.

En octobre, une mobilisation massive des citoyens et des défenseurs de la vie privée contre la proposition controversée de la Commission visant à obliger les entreprises technologiques à scanner les messages privés à la recherche de contenus pédopornographiques (CSAM) a de nouveau bloqué les négociations, faisant échouer un autre vote provisoire.

Cette situation s'est répétée à plusieurs reprises depuis que les pays ont commencé à discuter de leur position à la mi-2022, mais cette semaine, les capitales ont finalement surmonté l'impasse et adopté un mandat en supprimant l'élément le plus controversé de la loi : la détection obligatoire.

Voici quelques points soulevés dans le communiqué :

• Évaluation et atténuation des risques : Avec les nouvelles règles, les fournisseurs de services en ligne seront tenus d'évaluer le risque de détournement de leurs services aux fins de la diffusion de matériel relatif à des abus sexuels sur enfants ou de la sollicitation d'enfants. Sur la base de cette évaluation, ils devront mettre en œuvre des mesures d'atténuation pour contrer ce risque. De telles mesures pourraient inclure la mise à disposition d'outils permettant aux utilisateurs de signaler les abus sexuels sur enfants en ligne, de contrôler quels contenus les concernant sont partagés avec d'autres utilisateurs et de mettre en place des paramètres de confidentialité par défaut pour les enfants.
• Centre de l'UE : La nouvelle législation prévoit la création d'une nouvelle agence de l'UE, le centre de l'UE chargé de prévenir et de combattre les abus sexuels sur enfants, pour appuyer la mise en œuvre du règlement. Le centre de l'UE évaluera et traitera les informations fournies par les prestataires de services en ligne concernant le matériel relatif à des abus sexuels sur enfants détecté dans leurs services et créera, tiendra à jour et exploitera une base de données des signalements qui lui seront communiqués par les prestataires. Il aidera en outre les autorités nationales à évaluer le risque que ces services puissent être utilisés pour diffuser du matériel relatif à des abus sexuels sur enfants.
• Assistance aux victimes : Les entreprises opérant en ligne doivent fournir une assistance aux victimes qui souhaiteraient que du matériel relatif à des abus sexuels sur enfants où elles sont représentées soit retiré ou rendu inaccessible. À cette fin, les victimes peuvent également solliciter l'aide du centre de l'UE. Celui-ci se chargera, par exemple, de vérifier si les entreprises concernées ont supprimé ou rendu inaccessibles le ou les élément(s) qu'une victime souhaite faire retirer.

Ces formulations laissent supposer l'accès au contenu de communications privées : bien que l'objectif est noble, cela justifie-t-il la situation ?

Le Danemark retire sa proposition relative au projet de loi controversé Chat Control

La proposition danoise visait à lutter contre les contenus pédopornographiques en ligne (CSAM) en obligeant les fournisseurs de services en ligne (tels que WhatsApp, Signal, etc.) à analyser automatiquement les messages et les fichiers des utilisateurs à la recherche de contenus illégaux, même dans le cadre de communications chiffrées de bout en bout.

D'ailleurs, le ministre danois de la Justice a estimé que « nous devons rompre avec l'idée erronée selon laquelle tout le monde a le droit, au nom de la liberté civile, de communiquer via des services de messagerie chiffrée ».

Le projet a fait l’objet de vives critiques par les organisations de défense des libertés civiles, les experts en cybersécurité et les entreprises technologiques (notamment X, Signal et WhatsApp), qui ont fait valoir qu'il créerait un système de surveillance de masse, porterait atteinte aux droits fondamentaux à la vie privée et compromettrait la sécurité du chiffrement. Signal a même menacé de se retirer du marché européen si la loi était adoptée dans sa forme initiale.

La proposition n'a pas reçu un soutien suffisant de la part des États membres de l'UE, se heurtant notamment à une forte opposition de la part de l'Allemagne, des Pays-Bas et de la Pologne. Le vote prévu en octobre 2025 a été annulé en raison de cette impasse. Le ministre danois de la Justice, Peter Hummelgaard, a donc annoncé le 30 octobre 2025 que les ordonnances de détection obligatoire seraient supprimées de la proposition du pays.

Le Danemark se concentre désormais sur une approche révisée qui maintient le cadre volontaire permettant aux plateformes de détecter et de signaler les contenus pédopornographiques, comme c'est le cas actuellement. Il prévoit d'introduire une clause de révision afin de réévaluer la situation à l'avenir, dans le but de mettre en place un nouveau cadre avant l'expiration du cadre temporaire actuel en avril 2026.


La crainte de voir une surveillance de masse écartée ? Non, selon Patrick Breyer, qui parle d'un « tour de passe-passe trompeur »

La crainte était que la proposition de la Commission ouvre la voie à une surveillance de masse en obligeant les plateformes de messagerie à scanner même les communications fortement chiffrées – ce qu'on appelle le chiffrement de bout en bout (E2EE) – ce qui a valu à cette proposition d'être qualifiée de « loi sur le contrôle des chats » par ses détracteurs.

Dans un communiqué, Patrick Breyer, ancien député européen et militant pour la protection de la vie privée, affirme que la Commission a discrètement réintroduit le scan obligatoire des messages privés après qu'il ait été précédemment rejeté. Il qualifie cette mesure de « tour de passe-passe trompeur », insistant sur le fait qu'elle transforme un cadre supposé volontaire en un système qui pourrait contraindre tous les fournisseurs de services de chat, de messagerie électronique et de messagerie instantanée à surveiller les utilisateurs.

« Il s'agit d'une tromperie politique de premier ordre », a déclaré Patrick Breyer. « À la suite de vives protestations publiques, plusieurs États membres, dont l'Allemagne, les Pays-Bas, la Pologne et l'Autriche, ont dit "non" au contrôle indiscriminé des chats. Aujourd'hui, cette mesure revient par la petite porte, sous une forme déguisée, plus dangereuse et plus complète que jamais. Le public est pris pour des imbéciles. »

En vertu du nouveau texte, les fournisseurs seraient tenus de prendre « toutes les mesures appropriées d'atténuation des risques » afin de prévenir les abus sur leurs plateformes. Alors que la Commission présente cette mesure comme une exigence de sécurité flexible, Patrick Breyer insiste sur le fait qu'il s'agit d'une faille qui pourrait justifier d'obliger les entreprises à scanner tous les messages privés, y compris...