Chat Control : l'UE prépare une loi pour surveiller tous vos messages privés
Chat Control affole les réseaux sociaux. Pour lutter contre la pédocriminalité, ce projet de loi européenne prévoit d'analyser tous les messages, photos et autres fichiers des utilisateurs avant leur envoi, même sur les messageries chiffrées.
Depuis quelques jours, les messages alarmistes se multiplient sur les réseaux sociaux sur les réseaux sociaux. "Imaginez que vous envoyiez une blague à un ami ou une photo à votre femme et qu'un algorithme de l'UE vous désigne comme criminel. C'est la réalité de la réglementation européenne sur le contrôle des chats. Un logiciel espion est installé directement dans votre téléphone et analyse chaque message que vous envoyez et recevez avant que le cryptage ne puisse le protéger", alerte l'assistant parlementaire européen Sebastian Lukomski sur X. Une inquiétude partagée par de très nombreux internautes, si l'on en croit le nombre croissant de prises de parole sur les réseaux sociaux au sujet d'un projet surnommé Chat Control. Mais de quoi parle-t-on exactement ?
Officiellement appelé Règlement sur la détection des contenus d'abus sexuels sur mineurs (CSAM), il s'agit d'un projet de loi européen proposé pour la première fois en mai 2022, mais qui n'est jusqu'ici jamais parvenu à convaincre la Commission européenne. Mais il refait surface aujourd'hui, après que le Danemark l'a remis au centre des priorités, avec in fine un vote en octobre prochain. L'objectif de Chat Control est de traquer le contenu pédopornographique en imposant à toutes les applications de communication un système de surveillance automatisée.
Une volonté qui découle d'un constat alarmant : en 2021, plus de 1,5 million de signalements de contenus d'abus sexuels sur mineurs ont été recensés, dont la diffusion s'effectuait principalement sur des services de messagerie comme Gmail ou Facebook Messenger. L'idée est donc de vérifier ce que les utilisateurs envoient sur les plateformes en obligeant les entreprises de communication à installer des logiciels gouvernementaux pour scanner tous les messages, photos et autres fichiers, même chiffrés, de façon à empêcher la propagation de ce contenu et à permettre aux autorités de démanteler les réseaux de pédocriminels. Autant dire que ce projet est loin de faire l'unanimité…
Chat Control : un projet controversé vieux de plusieurs années
La première mention du projet Chat Control remonte au 11 mai 2022, avec la publication de la part de la Commission européenne d'une proposition de règlement "établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants". Pour cela, l'UE s'inspire d'outils mis en œuvre depuis plusieurs années par les grandes entreprises du Web, comme Meta, Apple et Microsoft. Mais, faute de consensus, le projet a été modifié, atténué et ajourné à plusieurs reprises. En juin 2024, la Belgique avait ainsi proposé une version amendée nécessitant l'accord préalable de l'utilisateur. En février 2025, la Pologne avait à son tour tenté d'introduire une version du texte écartant le scan des messages chiffrés. Finalement, en juillet 2025, le Danemark a officiellement entamé sa présidence de l'Union européenne et a décidé de remettre le projet de loi à l'ordre du jour, avec une nouvelle version jugée encore plus extrême que les précédentes.
Chat Control repose sur la technologie du "client-side scanning" (littéralement "analyse côté client"), qui permet d'analyser les messages privés, photos et liens directement sur l'appareil de l'utilisateur, avant leur chiffrement, et donc avant qu'ils soient envoyés. Elle serait directement installée dans les applications en question. L'algorithme comparerait chaque contenu à une base de données de contenus "connus" pédopornographiques, déjà répertoriés par les autorités. De même, l'intelligence artificielle serait capable de reconnaître les photos ou les vidéos susceptibles de constituer de la pédopornographie, mais qui n'auraient pas été identifiées comme telles, ainsi que les comportements suspects "types", tels que le grooming ou le pédopiégage, en analysant le texte. Tout élément suspect serait ensuite transmis à une future Agence européenne pour investigation.
Le projet Chat Control doit à terme s'appliquer à un nombre particulièrement important d'acteurs, dont les "fournisseurs de services de communications interpersonnelles" – c'est-à-dire les messageries en ligne telles que Signal, Whatsapp ou Telegram –, les fournisseurs de mail, les réseaux sociaux, les applications de rencontre, mais aussi les messageries intégrées de façon accessoire à d'autres services – comme des jeux par exemple –, les "fournisseurs de services d'hébergement" – NextCloud, iCloud, DropBox, etc. – et les boutiques d'applications.
Chat Control : vers la fin du chiffrement et une surveillance de masse ?
Depuis ses premières heures, le projet Chat Control suscite de vives inquiétudes et oppositions. La première concerne l'exposition des utilisateurs aux cybercriminels et le fait que sa mise en œuvre risque d'affaiblir le chiffrement de bout en bout. "Il n'existe aucun moyen de mettre en œuvre un tel système sans créer une faille majeure, avec des conséquences mondiales", alerte Meredith Whittaker, présidente de Signal. Une critique balayée par les défenseurs du projet, qui estiment que comme le "client-side scanning" est censé intervenir avant le chiffrement, il ne le briserait pas, préservant ainsi la sécurité globale des échanges.
Mais, surtout, de nombreuses associations, ONG et entreprises technologiques, comme Proton et la Cour européenne des droits de l'homme dénoncent une surveillance de masse – une accusation réfutée par les pro-Chat Control, qui arguent que la sécurité des enfants doit primer sur la vie privée des criminels et que les citoyens honnêtes n'ont de toute façon rien à cacher. "En affichant l'objectif de protéger les enfants, l'Union européenne tente en réalité d'introduire une capacité de contrôle gigantesque de l'ensemble des vies numériques, concrétisant le rêve de surveillance de tout gouvernement", alertait déjà la Quadrature du Net en 2023. Mais les partisans insistent : il ne s'agit pas d'une surveillance généralisée, mais d'un outil ciblé, proportionné et déclenché uniquement en cas de nécessité, avec des garde-fous légaux et techniques.
Matthias Pfau, le PDG de Tuta Mail, souligne dans un billet de blog la contradiction majeure dans l'approche européenne de la cybersécurité. D'un côté, l'Allemagne finance le développement d'une solution de stockage utilisant le chiffrement post-quantique, une technologie conçue pour résister aux attaques orchestrées par les futurs ordinateurs quantiques. De l'autre, la Commission européenne s'apprête à voter une loi qui détruirait ce niveau de sécurité avancé. Pour lui, autoriser le "client-side scanning" reviendrait tout simplement à installer un logiciel espion sur chaque téléphone, qui scannerait en masse les communications de personnes non suspectes. Seules exceptions qui échapperaient à cette surveillance : les communications gouvernementales et militaires. Un système qui se rapprocherait bien trop de la surveillance appliquée dans les régimes autoritaires, et serait en réalité le produit des lobbies de l'IA, qui feraient actuellement pression sur Bruxelles.
Une vision partagée par la Quadrature du Net, qui souligne le basculement autoritaire progressif de certains États, qui affichent depuis plusieurs années maintenant leur volonté de contrôler les messageries chiffrées – c'est notamment le cas d'Emmanuel Macron, de Bernard Cazeneuve, de Bruno Retailleau ou encore de Gérard Darmanin. Pour elle, "le règlement CSAR s'inscrit dans cette continuité et constitue une opportunité parfaite pour les États membres pour enfin concevoir et généraliser un outil de surveillance des échanges de la population et ainsi mettre fin aux obstacles posés par les services trop protecteurs de la vie privée". Le danger n'est pas que l'Europe devienne brutalement totalitaire, mais que les droits des citoyens s'érodent progressivement, loi après loi, jusqu'à donner à n'importe quel gouvernement les outils nécessaires à l'oppression.
Le pire, selon les opposants de ce projet de loi, c'est que les mesures imposées ne seraient même pas efficaces pour lutter contre les abus sexuels et protéger les enfants, à cause de leurs taux d'erreurs élevés (faux positifs/négatifs). Mais les soutiens du projet misent sur une amélioration progressive des algorithmes et sur l'intégration de garde-fous (supervision humaine, recours en cas de signalement erroné) pour limiter les erreurs.
Chat Control : l'épineuse question de la conformité juridique
Matthias Pfau a été très clair : si la loi est votée, il traînera l'Union européenne en justice. Et il pourrait bien obtenir gain de cause. De nombreux juristes européens ont déjà averti que cette législation est disproportionnée – une notion cruciale d'un point de vue judiciaire –, illégale et peu susceptible de survivre à un contrôle judiciaire. En 2023, l'avis officiel du service juridique du Conseil estimait déjà que le projet Chat Control ne respecterait probablement pas les droits fondamentaux et qu'il serait certainement annulé par la Cour de justice de l'Union européenne (CJUE).
Même son de cloche du côté du service de recherche du Parlement européen (EPRS), qui conclut que le projet viole les articles 7 et 8 de la Charte des droits fondamentaux de l'UE, relatifs à la vie privée et à la protection des données. Il suggère que, pour pouvoir être compatibles avec les droits fondamentaux, les ordres de détection doivent être spécifiques – ciblés sur des personnes ou groupes suspects, ou des cas déjà existants – et non applicables à tous les usagers.
La loi Chat Control doit de nouveau être discutée le 12 septembre prochain, date butoir à laquelle les États membres doivent finaliser leurs évaluations. Le prochain vote aura lieu le 14 octobre 2025 et, s'il est favorable, un vote final sur le règlement pourrait arriver fin 2025 ou début 2026. Dix-neuf pays, dont la France, le Danemark, l'Espagne, l'Italie, la Suède, la Belgique et la Hongrie, soutiennent actuellement le projet, sur les 27 États membres. La position de l'Allemagne est particulièrement scrutée, car elle est considérée comme un État pivot. Le 10 septembre dernier, une représentante du ministère fédéral allemand de l'Intérieur a a déclaré que "la position danoise ne pouvait pas être soutenue à 100 pour cent", et qu'il s'opposait notamment à son approche du chiffrement. L'objectif de l'Allemagne serait plutôt d'élaborer une proposition de compromis commune.
Dans la société civile, la mobilisation s'intensifie. Des campagnes comme "Stop Scanning Me", menée par l'ONG EDRi, appellent les citoyens à interpeller leurs gouvernements pour défendre leur droit à la vie privée. Une tentative d'influencer les États indécis ou, du moins, de modérer l'ambition du texte.