La communauté de la cybersécurité vit rarement des moments d’unanimité. Pourtant, le projet de loi « Chat Control » réussit l’exploit de rassembler experts, entreprises axées sur la protection de la vie privée, chercheurs et activistes autour d’un même constat : nous sommes face à « un désastre annoncé ». La formule reflète un malaise profond. Ce texte, avancé par l’Union européenne, entend instaurer une surveillance proactive des communications numériques, y compris les messages privés chiffrés. Pour les spécialistes de la sécurité, c’est un point de bascule.Sous sa promesse de lutter plus efficacement contre les crimes en ligne, notamment l’exploitation des mineurs, le Chat Control s’inscrit dans une tendance inquiétante où l’exception devient la norme. Derrière la rhétorique protectrice se cache un mécanisme perçu comme une brèche législative capable de fragiliser l’ensemble de l’infrastructure de sécurité moderne.
Pendant presque trois ans, le projet était enlisé. Les États membres n’arrivaient pas à trancher sur la question centrale : peut-on autoriser le scanning systématique des messages privés, chiffrés ou non, sans violer les droits fondamentaux ?
Les pays de l'UE ont finalement trouvé un accord mercredi le 26 novembre sur une position commune concernant le règlement relatif aux abus sexuels sur les enfants, après des années de divisions et une opposition farouche de la part d'experts en matière de confidentialité et de sécurité qui craignaient que cette loi ne conduise à une surveillance massive des citoyens européens.
En octobre, une mobilisation massive des citoyens et des défenseurs de la vie privée contre la proposition controversée de la Commission visant à obliger les entreprises technologiques à scanner les messages privés à la recherche de contenus pédopornographiques (CSAM) a de nouveau bloqué les négociations, faisant échouer un autre vote provisoire.
Cette situation s'est répétée à plusieurs reprises depuis que les pays ont commencé à discuter de leur position à la mi-2022, mais la semaine dernière, les capitales ont finalement surmonté l'impasse et adopté un mandat en supprimant l'élément le plus controversé de la loi : la détection obligatoire.
Envoyé par Conseil européen
Activités volontaires des fournisseurs
Le Conseil souhaite également rendre permanente une mesure actuellement temporaire qui permet aux entreprises de passer en revue – volontairement – leurs services pour déterminer si ceux-ci permettent la diffusion de matériel relatif à des abus sexuels sur enfants. À l'heure actuelle, les fournisseurs de services de messagerie, par exemple, peuvent examiner sur une base volontaire les contenus partagés sur leurs plateformes à la recherche de matériel relatif à des abus sexuels sur enfants, signaler ce matériel et le retirer. Cela est rendu possible par une dérogation à certaines règles propres au secteur des communications électroniques. Bien que cette dérogation arrive à échéance le 3 avril 2026, la position du Conseil prévoit qu'elle continue de s'appliquer.
Le Conseil souhaite également rendre permanente une mesure actuellement temporaire qui permet aux entreprises de passer en revue – volontairement – leurs services pour déterminer si ceux-ci permettent la diffusion de matériel relatif à des abus sexuels sur enfants. À l'heure actuelle, les fournisseurs de services de messagerie, par exemple, peuvent examiner sur une base volontaire les contenus partagés sur leurs plateformes à la recherche de matériel relatif à des abus sexuels sur enfants, signaler ce matériel et le retirer. Cela est rendu possible par une dérogation à certaines règles propres au secteur des communications électroniques. Bien que cette dérogation arrive à échéance le 3 avril 2026, la position du Conseil prévoit qu'elle continue de s'appliquer.
Le compromis sur le « scan volontaire des conversations » n'a pas recueilli le soutien de tous les États
Bien qu'il ait obtenu la majorité, le compromis sur le scan volontaire des chats n'a pas recueilli le soutien de tous les États, l'Italie, la République tchèque, la Pologne et les Pays-Bas restant opposés au texte actuel. Les experts en matière de protection de la vie privée ne sont pas non plus prêts à se réjouir.
« C'est un jour très triste pour la vie privée et une occasion manquée d'investir dans des efforts visant à protéger efficacement les enfants », a commenté le cryptographe belge Bart Preneel sur LinkedIn. Preneel faisait partie des scientifiques qui ont signé une lettre ouverte quelques jours avant le vote pour avertir que le compromis « comporte toujours des risques élevés pour la société ».
Selon Patrick Breyer, ancien député européen du Parti pirate allemand et juriste spécialisé dans les droits numériques, le Conseil de l'UE a approuvé un cheval de Troie plutôt que de corriger les problèmes précédents du projet de loi.
« En consolidant le scan de masse "volontaire", ils légitiment la surveillance de masse sans mandat et sujette à erreur de millions d'Européens par des entreprises américaines », a-t-il déclaré. « Ce n'est pas une victoire pour la vie privée, c'est un désastre en puissance. »
Malgré les réactions négatives en matière de protection de la vie privée, l'accord du 26 novembre signifie que la proposition danoise passera à l'étape finale du processus législatif. Le Conseil de l'UE, le Parlement et la Commission sont prêts à entamer les négociations en trilogue afin de confirmer le texte final, dont l'adoption est prévue d'ici avril 2026.
Patrick Breyer : « Nous devons cesser de prétendre que la surveillance de masse "volontaire" est acceptable dans une démocratie »
Le changement le plus important apporté par le nouveau texte danois sur le contrôle des chats concerne l'approche adoptée en matière d'analyse des conversations. Alors qu'auparavant, les services de messagerie, y compris ceux utilisant un chiffrement de bout en bout, étaient...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
