La communauté de la cybersécurité vit rarement des moments d’unanimité. Pourtant, le projet de loi « Chat Control » réussit l’exploit de rassembler experts, entreprises axées sur la protection de la vie privée, chercheurs et activistes autour d’un même constat : nous sommes face à « un désastre annoncé ». La formule reflète un malaise profond. Ce texte, avancé par l’Union européenne, entend instaurer une surveillance proactive des communications numériques, y compris les messages privés chiffrés. Pour les spécialistes de la sécurité, c’est un point de bascule.Sous sa promesse de lutter plus efficacement contre les crimes en ligne, notamment l’exploitation des mineurs, le Chat Control s’inscrit dans une tendance inquiétante où l’exception devient la norme. Derrière la rhétorique protectrice se cache un mécanisme perçu comme une brèche législative capable de fragiliser l’ensemble de l’infrastructure de sécurité moderne.
Pendant presque trois ans, le projet était enlisé. Les États membres n’arrivaient pas à trancher sur la question centrale : peut-on autoriser le scanning systématique des messages privés, chiffrés ou non, sans violer les droits fondamentaux ?
Les pays de l'UE ont finalement trouvé un accord mercredi le 26 novembre sur une position commune concernant le règlement relatif aux abus sexuels sur les enfants, après des années de divisions et une opposition farouche de la part d'experts en matière de confidentialité et de sécurité qui craignaient que cette loi ne conduise à une surveillance massive des citoyens européens.
En octobre, une mobilisation massive des citoyens et des défenseurs de la vie privée contre la proposition controversée de la Commission visant à obliger les entreprises technologiques à scanner les messages privés à la recherche de contenus pédopornographiques (CSAM) a de nouveau bloqué les négociations, faisant échouer un autre vote provisoire.
Cette situation s'est répétée à plusieurs reprises depuis que les pays ont commencé à discuter de leur position à la mi-2022, mais la semaine dernière, les capitales ont finalement surmonté l'impasse et adopté un mandat en supprimant l'élément le plus controversé de la loi : la détection obligatoire.
Envoyé par Conseil européen
Activités volontaires des fournisseurs
Le Conseil souhaite également rendre permanente une mesure actuellement temporaire qui permet aux entreprises de passer en revue – volontairement – leurs services pour déterminer si ceux-ci permettent la diffusion de matériel relatif à des abus sexuels sur enfants. À l'heure actuelle, les fournisseurs de services de messagerie, par exemple, peuvent examiner sur une base volontaire les contenus partagés sur leurs plateformes à la recherche de matériel relatif à des abus sexuels sur enfants, signaler ce matériel et le retirer. Cela est rendu possible par une dérogation à certaines règles propres au secteur des communications électroniques. Bien que cette dérogation arrive à échéance le 3 avril 2026, la position du Conseil prévoit qu'elle continue de s'appliquer.
Le Conseil souhaite également rendre permanente une mesure actuellement temporaire qui permet aux entreprises de passer en revue – volontairement – leurs services pour déterminer si ceux-ci permettent la diffusion de matériel relatif à des abus sexuels sur enfants. À l'heure actuelle, les fournisseurs de services de messagerie, par exemple, peuvent examiner sur une base volontaire les contenus partagés sur leurs plateformes à la recherche de matériel relatif à des abus sexuels sur enfants, signaler ce matériel et le retirer. Cela est rendu possible par une dérogation à certaines règles propres au secteur des communications électroniques. Bien que cette dérogation arrive à échéance le 3 avril 2026, la position du Conseil prévoit qu'elle continue de s'appliquer.
Le compromis sur le « scan volontaire des conversations » n'a pas recueilli le soutien de tous les États
Bien qu'il ait obtenu la majorité, le compromis sur le scan volontaire des chats n'a pas recueilli le soutien de tous les États, l'Italie, la République tchèque, la Pologne et les Pays-Bas restant opposés au texte actuel. Les experts en matière de protection de la vie privée ne sont pas non plus prêts à se réjouir.
« C'est un jour très triste pour la vie privée et une occasion manquée d'investir dans des efforts visant à protéger efficacement les enfants », a commenté le cryptographe belge Bart Preneel sur LinkedIn. Preneel faisait partie des scientifiques qui ont signé une lettre ouverte quelques jours avant le vote pour avertir que le compromis « comporte toujours des risques élevés pour la société ».
Selon Patrick Breyer, ancien député européen du Parti pirate allemand et juriste spécialisé dans les droits numériques, le Conseil de l'UE a approuvé un cheval de Troie plutôt que de corriger les problèmes précédents du projet de loi.
« En consolidant le scan de masse "volontaire", ils légitiment la surveillance de masse sans mandat et sujette à erreur de millions d'Européens par des entreprises américaines », a-t-il déclaré. « Ce n'est pas une victoire pour la vie privée, c'est un désastre en puissance. »
Malgré les réactions négatives en matière de protection de la vie privée, l'accord du 26 novembre signifie que la proposition danoise passera à l'étape finale du processus législatif. Le Conseil de l'UE, le Parlement et la Commission sont prêts à entamer les négociations en trilogue afin de confirmer le texte final, dont l'adoption est prévue d'ici avril 2026.
Patrick Breyer : « Nous devons cesser de prétendre que la surveillance de masse "volontaire" est acceptable dans une démocratie »
Le changement le plus important apporté par le nouveau texte danois sur le contrôle des chats concerne l'approche adoptée en matière d'analyse des conversations. Alors qu'auparavant, les services de messagerie, y compris ceux utilisant un chiffrement de bout en bout, étaient contraints d'effectuer une analyse indiscriminée à la recherche de contenus pédopornographiques (CSAM), les fournisseurs auront désormais la possibilité de choisir d'analyser ou non les conversations de tous les utilisateurs.
Cette mesure est considérée comme une victoire par beaucoup, car elle évite que le chiffrement ne soit compromis par une porte dérobée. Callum Voge, directeur des affaires gouvernementales et du plaidoyer à l'Internet Society, a déclaré qu'il s'agissait « d'une avancée positive pour la sécurité des communications des résidents européens ».
Mais le diable se cache peut-être dans les détails. Le texte comprend en effet une disposition qui pourrait obliger les entreprises à analyser les messages si leurs services sont considérés comme « à haut risque ». Le projet de loi prévoit également la possibilité pour la Commission européenne de réviser la loi tous les trois ans, de sorte qu'une analyse généralisée pourrait être mise en œuvre à une date ultérieure.
Et bien que le considérant 17 bis stipule que « rien dans le présent règlement ne doit être interprété comme imposant des obligations de détection aux fournisseurs », il reste à voir comment cette formulation sera interprétée lors des négociations tripartites.
Ce qui est certain, c'est que pour Breyer, le scan « volontaire » ne suffit toujours pas à protéger les citoyens européens contre la surveillance de masse. Il a déclaré : « Qualifier cela de "volontaire" ne rend pas la violation du secret numérique de la correspondance moins grave. Nous devons cesser de prétendre que la surveillance de masse "volontaire" est acceptable dans une démocratie. »
Cette position est également partagée par l'un des meilleurs VPN du marché, Mullvad VPN. « Le Conseil de l'UE n'a pas réussi à mettre en place une surveillance de masse obligatoire. Cependant, dans sa proposition, il pose les bases d'une surveillance de masse à l'avenir. »
Un système de détection technologiquement incertain
En dehors de la surveillance en elle-même, l’un des aspects les plus critiqués concerne la fiabilité des algorithmes de détection. Les systèmes capables de repérer automatiquement des contenus illégaux dans des messages privés reposent sur des modèles statistiques loin d’être infaillibles.
Les faux positifs pourraient conduire à des signalements injustifiés, voire à des enquêtes disproportionnées contre des citoyens innocents. Cette problématique devient encore plus préoccupante lorsqu’on considère l’échelle européenne, avec des millions de messages scannés en continu.
Les défenseurs des droits numériques craignent une dérive : la création d’un environnement où chaque conversation devient potentiellement suspecte. Les services de messagerie pourraient être contraints de redessiner leurs architectures pour satisfaire des exigences ambiguës, sans aucune garantie que les technologies proposées puissent réellement distinguer efficacement le licite de l’illicite.
Une pression réglementaire qui pourrait fragmenter l’écosystème numérique européen
Les experts insistent sur les conséquences géopolitiques du Chat Control. En imposant une obligation de surveillance préventive, l’UE pourrait pousser certaines entreprises à retirer leurs services du marché européen pour ne pas compromettre leurs principes de sécurité ou leur modèle technique.
L’épisode du retrait temporaire de certaines fonctionnalités chiffrées dans d’autres juridictions sert d’avertissement. Notons par exemple que le Royaume-Uni a exigé qu'Apple crée une porte dérobée afin d'accéder aux données stockées dans iCloud. La situation était telle que les législateurs américains ont dénoncé la volonté du Royaume-Uni de briser le chiffrement du service de stockage iCloud d'Apple :
Apple ne produit pas de versions différentes de son logiciel de chiffrement pour chaque marché. Si Apple est contraint d'intégrer une porte...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.