«Une catastrophe annoncée» : Le monde des technologies de protection de la vie privée réagit au nouveau projet de loi Chat Control.

Censé protéger les mineurs, il pourrait fragiliser tout le chiffrement en UE

« Une catastrophe annoncée » : Le monde des technologies de protection de la vie privée réagit au nouveau projet de loi Chat Control
censé protéger les mineurs, il pourrait fragiliser tout le chiffrement européen

La communauté de la cybersécurité vit rarement des moments d’unanimité. Pourtant, le projet de loi « Chat Control » réussit l’exploit de rassembler experts, entreprises axées sur la protection de la vie privée, chercheurs et activistes autour d’un même constat : nous sommes face à « un désastre annoncé ». La formule reflète un malaise profond. Ce texte, avancé par l’Union européenne, entend instaurer une surveillance proactive des communications numériques, y compris les messages privés chiffrés. Pour les spécialistes de la sécurité, c’est un point de bascule.

Sous sa promesse de lutter plus efficacement contre les crimes en ligne, notamment l’exploitation des mineurs, le Chat Control s’inscrit dans une tendance inquiétante où l’exception devient la norme. Derrière la rhétorique protectrice se cache un mécanisme perçu comme une brèche législative capable de fragiliser l’ensemble de l’infrastructure de sécurité moderne.

Pendant presque trois ans, le projet était enlisé. Les États membres n’arrivaient pas à trancher sur la question centrale : peut-on autoriser le scanning systématique des messages privés, chiffrés ou non, sans violer les droits fondamentaux ?

Les pays de l'UE ont finalement trouvé un accord mercredi le 26 novembre sur une position commune concernant le règlement relatif aux abus sexuels sur les enfants, après des années de divisions et une opposition farouche de la part d'experts en matière de confidentialité et de sécurité qui craignaient que cette loi ne conduise à une surveillance massive des citoyens européens.

En octobre, une mobilisation massive des citoyens et des défenseurs de la vie privée contre la proposition controversée de la Commission visant à obliger les entreprises technologiques à scanner les messages privés à la recherche de contenus pédopornographiques (CSAM) a de nouveau bloqué les négociations, faisant échouer un autre vote provisoire.

Cette situation s'est répétée à plusieurs reprises depuis que les pays ont commencé à discuter de leur position à la mi-2022, mais la semaine dernière, les capitales ont finalement surmonté l'impasse et adopté un mandat en supprimant l'élément le plus controversé de la loi : la détection obligatoire.

Le projet de loi, surnommé « Chat Control », devrait désormais être adopté.


Le compromis sur le « scan volontaire des conversations » n'a pas recueilli le soutien de tous les États

Bien qu'il ait obtenu la majorité, le compromis sur le scan volontaire des chats n'a pas recueilli le soutien de tous les États, l'Italie, la République tchèque, la Pologne et les Pays-Bas restant opposés au texte actuel. Les experts en matière de protection de la vie privée ne sont pas non plus prêts à se réjouir.

« C'est un jour très triste pour la vie privée et une occasion manquée d'investir dans des efforts visant à protéger efficacement les enfants », a commenté le cryptographe belge Bart Preneel sur LinkedIn. Preneel faisait partie des scientifiques qui ont signé une lettre ouverte quelques jours avant le vote pour avertir que le compromis « comporte toujours des risques élevés pour la société ».

Selon Patrick Breyer, ancien député européen du Parti pirate allemand et juriste spécialisé dans les droits numériques, le Conseil de l'UE a approuvé un cheval de Troie plutôt que de corriger les problèmes précédents du projet de loi.

« En consolidant le scan de masse "volontaire", ils légitiment la surveillance de masse sans mandat et sujette à erreur de millions d'Européens par des entreprises américaines », a-t-il déclaré. « Ce n'est pas une victoire pour la vie privée, c'est un désastre en puissance. »

Malgré les réactions négatives en matière de protection de la vie privée, l'accord du 26 novembre signifie que la proposition danoise passera à l'étape finale du processus législatif. Le Conseil de l'UE, le Parlement et la Commission sont prêts à entamer les négociations en trilogue afin de confirmer le texte final, dont l'adoption est prévue d'ici avril 2026.

Patrick Breyer : « Nous devons cesser de prétendre que la surveillance de masse "volontaire" est acceptable dans une démocratie »

Le changement le plus important apporté par le nouveau texte danois sur le contrôle des chats concerne l'approche adoptée en matière d'analyse des conversations. Alors qu'auparavant, les services de messagerie, y compris ceux utilisant un chiffrement de bout en bout, étaient contraints d'effectuer une analyse indiscriminée à la recherche de contenus pédopornographiques (CSAM), les fournisseurs auront désormais la possibilité de choisir d'analyser ou non les conversations de tous les utilisateurs.

Cette mesure est considérée comme une victoire par beaucoup, car elle évite que le chiffrement ne soit compromis par une porte dérobée. Callum Voge, directeur des affaires gouvernementales et du plaidoyer à l'Internet Society, a déclaré qu'il s'agissait « d'une avancée positive pour la sécurité des communications des résidents européens ».

Mais le diable se cache peut-être dans les détails. Le texte comprend en effet une disposition qui pourrait obliger les entreprises à analyser les messages si leurs services sont considérés comme « à haut risque ». Le projet de loi prévoit également la possibilité pour la Commission européenne de réviser la loi tous les trois ans, de sorte qu'une analyse généralisée pourrait être mise en œuvre à une date ultérieure.

Et bien que le considérant 17 bis stipule que « rien dans le présent règlement ne doit être interprété comme imposant des obligations de détection aux fournisseurs », il reste à voir comment cette formulation sera interprétée lors des négociations tripartites.

Ce qui est certain, c'est que pour Breyer, le scan « volontaire » ne suffit toujours pas à protéger les citoyens européens contre la surveillance de masse. Il a déclaré : « Qualifier cela de "volontaire" ne rend pas la violation du secret numérique de la correspondance moins grave. Nous devons cesser de prétendre que la surveillance de masse "volontaire" est acceptable dans une démocratie. »

Cette position est également partagée par l'un des meilleurs VPN du marché, Mullvad VPN. « Le Conseil de l'UE n'a pas réussi à mettre en place une surveillance de masse obligatoire. Cependant, dans sa proposition, il pose les bases d'une surveillance de masse à l'avenir. »

Un système de détection technologiquement incertain

En dehors de la surveillance en elle-même, l’un des aspects les plus critiqués concerne la fiabilité des algorithmes de détection. Les systèmes capables de repérer automatiquement des contenus illégaux dans des messages privés reposent sur des modèles statistiques loin d’être infaillibles.

Les faux positifs pourraient conduire à des signalements injustifiés, voire à des enquêtes disproportionnées contre des citoyens innocents. Cette problématique devient encore plus préoccupante lorsqu’on considère l’échelle européenne, avec des millions de messages scannés en continu.

Les défenseurs des droits numériques craignent une dérive : la création d’un environnement où chaque conversation devient potentiellement suspecte. Les services de messagerie pourraient être contraints de redessiner leurs architectures pour satisfaire des exigences ambiguës, sans aucune garantie que les technologies proposées puissent réellement distinguer efficacement le licite de l’illicite.

Une pression réglementaire qui pourrait fragmenter l’écosystème numérique européen

Les experts insistent sur les conséquences géopolitiques du Chat Control. En imposant une obligation de surveillance préventive, l’UE pourrait pousser certaines entreprises à retirer leurs services du marché européen pour ne pas compromettre leurs principes de sécurité ou leur modèle technique.

L’épisode du retrait temporaire de certaines fonctionnalités chiffrées dans d’autres juridictions sert d’avertissement. Notons par exemple que le Royaume-Uni a exigé qu'Apple crée une porte dérobée afin d'accéder aux données stockées dans iCloud. La situation était telle que les législateurs américains ont dénoncé la volonté du Royaume-Uni de briser le chiffrement du service de stockage iCloud d'Apple :

La conséquence ? Plutôt que d'ajouter des portes dérobées comme l'a exigé le gouvernement, Apple a opté pour retirer les fonctionnalités de chiffrement de bout en bout d'iCloud au Royaume-Uni.


Des dispositions qui pourraient compromettre les droits numériques des citoyens de l'UE

Si la nouvelle réglementation sur le contrôle des chats tente de résoudre les problèmes actuels de confidentialité et de sécurité liés aux portes dérobées obligatoires en matière de chiffrement, elle ajoute également d'autres dispositions qui, selon les experts, pourraient compromettre les droits numériques des citoyens de l'UE.

En vertu de la proposition du 13 novembre, les fournisseurs de services de messagerie doivent prendre toutes les mesures nécessaires pour protéger les enfants, notamment en effectuant des contrôles de vérification de l'âge afin « d'identifier de manière fiable les utilisateurs mineurs ».

Bien que le Conseil ait souligné que les méthodes de vérification de l'âge doivent « préserver la vie privée », beaucoup pensent que cela sera impossible à réaliser dans la pratique.

« Même si la vérification de l'âge est effectuée de manière à respecter la vie privée (il n'est pas certain que ce soit le cas), elle est facile à contourner (il suffit de voir ce qui s'est passé au Royaume-Uni) », a écrit Preneel sur LinkedIn. Il faisait probablement référence à la forte augmentation de l'utilisation des VPN liée aux lois sur la vérification de l'âge.

En résumé, Preneel déclare : « L'évaluation de l'âge pose un problème majeur en matière de confidentialité. Aucune étude scientifique ne démontre l'efficacité de ces technologies. »

Le nouveau texte du projet de loi contient également des dispositions relatives aux obligations de blocage de sites web qui inquiètent l'équipe de Mullvad. « Une fois cette infrastructure mise en place, elle ouvre la voie à une pente glissante en matière de censure », a déclaré la société suédoise de VPN.

Source : Mullvad VPN, Bart Preneel, Conseil de l'UE

Et vous ?

Comment concilier lutte contre la criminalité en ligne et préservation du chiffrement sans instaurer un précédent dangereux pour la sécurité globale des communications ?

Le « client-side scanning » peut-il réellement être considéré comme respectueux de la vie privée s’il implique l’analyse systématique des échanges avant leur chiffrement ?

Les technologies actuelles de détection automatique sont-elles suffisamment robustes pour supporter un cadre légal, alors qu’elles génèrent encore des taux élevés de faux positifs ?

Quelle serait la légitimité démocratique d’un dispositif de surveillance généralisée voté au niveau européen, alors même que les experts en sécurité en dénoncent les risques structurels ?

Le Chat Control pourrait-il provoquer une fragmentation du marché numérique européen, voire inciter certaines entreprises à retirer leurs services plutôt que de compromettre leur architecture ?