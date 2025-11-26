Le Conseil européen vient de valider une nouvelle version du projet de loi dite Chat Control, censé lutter contre la pédocriminalité en ligne. Et si certaines mesures ont été adoucies, d'autres posent de réels problèmes pour la vie privée.

On le pensait enfin enterré, mais le projet de loi européen surnommé Chat Control est revenu par la petite porte ! Officiellement appelé Règlement sur la détection des contenus d'abus sexuels sur mineurs (CSAM), il a été proposé pour la première fois en mai 2022, mais n'était jusqu'ici jamais parvenu à convaincre la Commission européenne. Son objectif est de traquer le contenu pédopornographique en imposant à toutes les applications de communication un système de surveillance automatisée (voir notre article). Toutefois, la mesure a été écartée fin octobre, après que l'Allemagne a publiquement annoncé qu'elle ne soutiendrait pas le texte, considérant qu'il présentait une atteinte "disproportionnée" au respect de la vie privée.

Mais le texte n'a pas fini son chemin législatif pour autant. Les ambassadeurs des 27 États membres se sont réunis ce mercredi 26 novembre 2025 et se sont finalement mis d'accord sur une nouvelle version de Chat Control, comme le rapporte le Conseil européen dans un communiqué. Cette dernière évacue l'obligation de détection de contenus pédopornographiques, mais introduit une autre disposition qui inquiète grandement les défenseurs des droits numériques.

Chat Control : un scan sur la base du volontariat

Finalement, la nouvelle version de Chat Control constitue une forme de compromis. Elle abandonne le côté "obligatoire" de la surveillance pour y substituer un système "volontaire" laissé à l'appréciation des fournisseurs. De ce fait, elle prolonge le régime actuel de Chat Control, qui permet aux plateformes comme WhatsApp, Signal ou Messenger de scanner les messages des utilisateurs pour y détecter les contenus pédopornographiques sur la base du volontariat.

Mais la nouvelle version ne s'arrête pas là. Les fournisseurs de services en ligne vont devoir évaluer le risque que leurs services puissent être utilisés à mauvais escient pour la diffusion de contenu pédopornographique, et ce, selon trois niveaux : faible, moyen, à haut risque. Ils auront ensuite, sur la base de cette évaluation, l'obligation de mettre en œuvre "des mesures d'atténuation" pour contrer ce risque.

Mesures qui "pourraient inclure la mise à disposition d'outils permettant aux utilisateurs de signaler les abus sexuels commis en ligne sur des enfants, de contrôler les contenus les concernant qui sont partagés avec d'autres personnes et de mettre en place des paramètres de confidentialité par défaut pour les enfants", précise le Conseil. Le texte mentionne également la création d'une agence européenne pour coordonner les signalements et soutenir Europol.

Même sans scan obligatoire, le texte prévoit des mesures controversées. Les associations de défense des libertés numériques restent très préoccupées par les risques pour la confidentialité. L'article 4, notamment, fait craindre des dérives, puisqu'il impose aux fournisseurs de services de messagerie électronique, de messagerie instantanée et de chat de prendre "toutes les mesures appropriées de mitigation des risques". Une formulation suffisamment floue pour ouvrir la voie à des abus et, in fine, à la surveillance de masse.

Chat Control : des mesures trop floues qui suscitent la méfiance

Pour l'ex-eurodéputé du parti pirate allemand Patrick Breyer, fervent opposant à Chat Control, il s'agit ni plus ni moins que d'une "tromperie politique", puisque l'article 4 "signifie que [les services] peuvent toujours être contraints de scanner tous les messages privés, y compris sur les services chiffrés de bout en bout". Cela soulève d'autant plus de problèmes que les algorithmes utilisés pour détecter les comportements inappropriés génèrent un taux d'erreurs élevé. Selon lui, la police fédérale allemande (BKA) a avoué que près de 50% des signalements effectués par ces algorithmes n'ont aucune pertinence pénale, ce qui remet en question l'efficacité de tels systèmes. De plus, des experts en cybersécurité soulignent que cette surveillance pourrait nuire aux véritables victimes en masquant les vrais signaux d'alerte sous un flot de faux positifs.

Enfin, une autre mesure pose problème : la vérification obligatoire de l'âge pour les messageries, qui impose de montrer sa pièce d'identité ou de scanner son visage lors de l'ouverture d'un nouveau compte. Un tel dispositif détruirait à coup sûr la communication anonyme, pourtant essentielle pour les lanceurs d'alerte, journalistes et réfugiés politiques. Cette vérification pourrait également créer des barrières pour les jeunes adultes et les adolescents, conduisant à un isolement numérique. Sans compter que les utilisateurs pourraient se détourner des services de messagerie qui appliquent de telles mesures de surveillance pour migrer vers des plateformes non surveillées.

© Tuta

Ainsi, paradoxalement, ces mesures visant à protéger les jeunes utilisateurs créeraient plus de vulnérabilités, en excluant les moins de 18 ans des plateformes de communication, en mettant en danger les utilisateurs nécessitant l'anonymat, et en augmentant les faux profils et l'utilisation de technologies de contournement.

Après l'accord politique obtenu ce 26 novembre, le Conseil européen adoptera formellement le texte le 8 décembre prochain, sans débat entre les ministres. Les trilogues avec le Parlement et la Commission pourront ensuite débuter en 2026 en vue de convenir du règlement final, mais cela pourrait durer un long moment. En 2023, le Parlement avait déjà rejeté le scan obligatoire des messages et souhaitait exclure totalement la communication chiffrée. Cette phase de négociations pourrait donc s'éterniser sur des années au vu des points de friction qui persistent encore. Affaite à suivre donc.