Chat Control : l’Europe ouvre nos messages privés

Le 9 juillet 2026 restera peut-être comme l’une des dates les plus inquiétantes de l’histoire récente des libertés numériques européennes.

Ce jour-là, le Parlement européen a permis le rétablissement d’une dérogation autorisant des entreprises privées à analyser automatiquement les communications de leurs utilisateurs afin d’y rechercher des contenus liés aux abus sexuels sur mineurs.

L’objectif affiché est évidemment incontestable. Il faut combattre l’exploitation sexuelle des enfants, poursuivre les criminels et secourir les victimes. Mais aucun objectif, aussi légitime soit-il, ne devrait servir de passe-partout pour installer une surveillance générale des conversations privées.

Car derrière l’expression administrative « dérogation au règlement ePrivacy » se cache une réalité beaucoup plus brutale : des courriels, des photographies, des vidéos et certains messages privés peuvent être inspectés par des systèmes automatisés, alors même que leur auteur n’est soupçonné d’aucune infraction.

On ne parle plus ici de surveiller un individu identifié dans le cadre d’une enquête judiciaire. On accepte que les communications de millions de personnes innocentes puissent être examinées préventivement, dans l’espoir qu’une machine y découvre quelque chose de suspect.

C’est un renversement fondamental de notre conception de la justice. La surveillance ne découle plus du soupçon. Elle précède le soupçon et doit précisément le fabriquer.

Illustration warning about online privacy in the EU: a smartphone, security icons, and a magnifying glass over chat bubbles amid stars and surveillance imagery, with 'Chat Control' text and a security shield left.

Qu’est-ce que Chat Control ?

« Chat Control » n’est pas le nom officiel d’une loi européenne. C’est le surnom donné par ses opposants à plusieurs textes autorisant ou imposant l’analyse automatisée de communications électroniques privées.

Deux dispositifs sont régulièrement confondus.

Le premier, souvent appelé Chat Control 1.0, est une dérogation temporaire aux règles européennes protégeant la confidentialité des communications électroniques. Il autorise certains fournisseurs à rechercher volontairement des contenus pédocriminels dans les messages de leurs utilisateurs.

Le second, appelé Chat Control 2.0, est un projet de règlement permanent présenté par la Commission européenne en mai 2022. Celui-ci prévoit un dispositif beaucoup plus structuré comprenant des évaluations de risques, des obligations imposées aux plateformes, des ordres de détection et la création d’un Centre européen chargé de lutter contre les abus sexuels sur mineurs.

Le règlement permanent n’est pas encore définitivement adopté. Il fait toujours l’objet de négociations entre le Parlement européen, le Conseil de l’Union européenne et la Commission.

Mais Chat Control 1.0 est loin d’être une simple formalité technique. Il habitue les citoyens, les entreprises et les institutions à une idée particulièrement dangereuse : la confidentialité des communications pourrait devenir une règle assortie d’exceptions toujours plus larges.

De la mesure temporaire au projet permanent

L’histoire commence véritablement en 2021.

L’Union européenne adopte alors le règlement 2021/1232, une dérogation temporaire à certaines dispositions de la directive ePrivacy. Cette dernière protège en principe la confidentialité des communications électroniques.

La dérogation permet aux fournisseurs de services de messagerie d’utiliser volontairement des technologies automatisées afin de détecter et de signaler des contenus pédocriminels.

La mesure est présentée comme provisoire. Mais, comme souvent en matière de surveillance, le temporaire s’installe.

Le 11 mai 2022, la Commission européenne présente un projet permanent intitulé « règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants ».

Le texte ne se contente plus d’autoriser certaines pratiques. Il organise un système dans lequel les services numériques devraient évaluer les risques, prendre des mesures de prévention et, dans certaines circonstances, appliquer des ordres de détection.

Les contenus recherchés ne se limiteraient pas nécessairement aux images déjà identifiées et répertoriées. Les outils pourraient également tenter de repérer de nouveaux contenus ou des comportements assimilés à des sollicitations d’enfants.

C’est là que le projet change radicalement de nature.

Comparer une image avec l’empreinte numérique d’un fichier criminel déjà connu est une opération relativement déterministe. Demander à une intelligence artificielle de comprendre une conversation, d’interpréter une photographie inconnue ou de détecter une intention de manipulation est infiniment plus incertain.

Une plaisanterie, une conversation familiale, une photographie médicale ou un échange entre adolescents peuvent alors être interprétés hors contexte par une machine.

Le Parlement avait pourtant limité le projet en 2023

Face aux critiques, la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a profondément modifié la proposition initiale.

En novembre 2023, le Parlement a adopté son mandat de négociation. Cette position comportait plusieurs garanties importantes.

Les communications protégées par un chiffrement de bout en bout devaient être exclues des ordres de détection. Le texte parlementaire voulait également éviter une surveillance sans distinction de tous les utilisateurs et privilégier des mesures ciblées sur des personnes ou groupes raisonnablement soupçonnés.

Le Parlement supprimait également certaines possibilités d’analyse généralisée des communications écrites et audio.

Cette position était loin d’être parfaite. Le Comité européen de la protection des données reconnaissait lui-même les améliorations apportées, tout en estimant que le risque d’une surveillance générale et indifférenciée n’avait pas complètement disparu.

L’autorité européenne s’inquiétait notamment du maintien de technologies cherchant à détecter de nouveaux contenus pédocriminels. Ces systèmes probabilistes présentent des taux d’erreur difficilement compatibles avec l’examen de communications personnelles à grande échelle.

Mais le mandat de 2023 avait au moins posé une ligne rouge : la lutte contre la criminalité ne devait pas justifier la lecture automatique et indiscriminée des conversations de toute la population.

Le vote très contestable du 9 juillet 2026

La dérogation temporaire devait expirer le 3 avril 2026.

En mars 2026, le Parlement européen avait soutenu une prolongation plus limitée, assortie de garanties : exclusion des communications chiffrées de bout en bout, limitation aux contenus déjà identifiés et ciblage de personnes soupçonnées sous le contrôle d’une autorité judiciaire.

Mais les négociations institutionnelles n’ont pas abouti avant l’expiration du dispositif.

Après plusieurs tentatives infructueuses, la question est revenue devant le Parlement en juillet 2026 selon une procédure accélérée. Celle-ci a réduit le temps de discussion et contourné une partie du travail habituellement réalisé en commission parlementaire.

Le résultat est politiquement sidérant.

Lors du vote du 9 juillet, 314 députés ont voté pour rejeter le texte, 276 ont voté contre son rejet et 17 se sont abstenus.

Autrement dit, parmi les députés ayant exprimé un choix, davantage de parlementaires voulaient empêcher le rétablissement de la dérogation que l’accepter.

Mais il ne suffisait pas d’obtenir la majorité des suffrages exprimés. La procédure exigeait une majorité absolue de 361 députés pour bloquer le texte.

La motion de rejet a donc échoué. Le dispositif a été considéré comme adopté par le Parlement alors qu’une majorité des votants venait de se prononcer contre lui.

Cette situation est peut-être conforme au règlement parlementaire. Elle n’en est pas moins démocratiquement détestable.

Lorsque 314 élus disent non et 276 disent oui, présenter le résultat comme une approbation parlementaire relève d’une acrobatie institutionnelle qui ne peut qu’alimenter la défiance envers l’Union européenne.

Une question aussi fondamentale que la confidentialité des correspondances aurait mérité un débat public approfondi, un examen complet en commission et un vote politique parfaitement lisible.

Elle a été traitée par une procédure d’urgence dont le fonctionnement a transformé une majorité de refus en défaite juridique.

Ce que cela change pour nos communications

Les défenseurs du dispositif insistent sur son caractère volontaire. Les entreprises seraient autorisées à analyser les communications, mais elles n’y seraient pas toutes obligées.

Cet argument ne devrait rassurer personne.

Le caractère volontaire signifie surtout que la décision d’inspecter ou non nos messages est confiée à des sociétés privées. Ce sont leurs politiques internes, leurs outils techniques et leur appréciation des risques qui déterminent le niveau réel de confidentialité accordé aux utilisateurs.

Or un message privé n’est pas moins privé parce qu’il transite par les serveurs d’une multinationale.

Une lettre confiée à La Poste ne devient pas un document public. Nous n’accepterions pas qu’une entreprise ouvre automatiquement toutes les enveloppes, photographie leur contenu et transmette aux autorités celles qu’un logiciel juge suspectes.

C’est pourtant la logique que l’on cherche à normaliser dans le monde numérique.

Le mot « analyse » adoucit artificiellement la réalité. Pour déterminer si une photographie, une vidéo ou un texte est suspect, un système doit accéder au contenu, le comparer, le classifier ou l’interpréter.

Qu’un humain ne lise pas immédiatement le message ne supprime pas l’atteinte à la confidentialité. La surveillance automatisée reste une surveillance.

Le chiffrement est-il vraiment protégé ?

Le texte adopté en juillet 2026 prévoit que les communications protégées par un chiffrement de bout en bout restent exclues du dispositif.

C’est une garantie importante. WhatsApp, Signal et les autres services réellement chiffrés ne sont donc pas directement assimilables aux messageries dont les serveurs peuvent accéder au contenu.

Mais cette protection demeure fragile.

Le chiffrement de bout en bout garantit que seuls l’expéditeur et le destinataire peuvent normalement lire le message. Pour analyser le contenu sans casser officiellement le chiffrement, certains proposent un contrôle directement sur le téléphone avant l’envoi ou après la réception. Cette technique est appelée « client-side scanning ».

Le message resterait chiffré pendant son transport, mais il aurait déjà été inspecté sur l’appareil.

Prétendre que le chiffrement reste intact dans un tel système revient à dire qu’un coffre-fort est sécurisé parce que personne ne le force, alors qu’un appareil photographie chaque document avant qu’il soit placé à l’intérieur.

Pour le moment, les garanties obtenues au Parlement limitent ce danger. Mais le règlement permanent reste en négociation et les formulations finales seront décisives.

Une obligation d’analyser les communications avant leur chiffrement détruirait la confidentialité tout aussi sûrement qu’une porte dérobée classique.

Les faux positifs vont mettre des innocents en danger

Les technologies de détection ne sont pas infaillibles.

Pour les images déjà connues, les systèmes peuvent utiliser des empreintes numériques. Même dans ce cas, les procédures de vérification, la qualité des bases de données et les risques de détournement doivent être surveillés.

Pour les contenus inconnus et les conversations supposées suspectes, le problème devient beaucoup plus grave.

Une intelligence artificielle ne comprend pas une relation familiale, une consultation médicale, un contexte pédagogique, une œuvre artistique ou une plaisanterie comme le ferait un enquêteur humain.

Elle calcule une probabilité.

Appliquée à des centaines de millions de conversations, même une marge d’erreur minuscule produit un nombre considérable de signalements injustifiés.

Des parents pourraient être signalés pour des photos de leurs enfants. Des adolescents pourraient voir des échanges intimes et consentis transmis à des organismes de contrôle. Des médecins, des associations, des enseignants ou des chercheurs pourraient être inquiétés en raison de contenus parfaitement légitimes.

Les conséquences ne sont pas abstraites.

Un faux signalement peut entraîner le blocage d’un compte, la conservation de données sensibles, la transmission d’informations aux autorités, une enquête policière ou une suspicion durable.

Une photographie familiale sortie de son contexte peut devenir une donnée de police.

Et une fois l’information transmise, il est extrêmement difficile de savoir qui y a accédé, combien de temps elle sera conservée et comment elle pourra être rectifiée.

Journalistes, avocats, médecins et artistes concernés

La confidentialité des communications n’est pas un luxe réservé à ceux qui auraient quelque chose à cacher.

Elle protège le secret médical, les échanges entre un avocat et son client, les sources des journalistes, les victimes qui contactent une association, les opposants politiques, les lanceurs d’alerte et les citoyens vivant sous la menace d’un conjoint violent.

Elle protège aussi les créateurs et les professionnels de la culture.

Un compositeur envoie des œuvres inédites. Un éditeur échange des contrats, des manuscrits et des coordonnées personnelles. Des musiciens partagent des enregistrements de travail. Un photographe transmet des images non publiées. Un journaliste culturel protège une source.

La confidentialité est la condition normale de ces échanges.

Lorsqu’une infrastructure d’inspection est installée, rien ne garantit que son usage restera éternellement limité à l’objectif initial.

Une technologie conçue pour rechercher un type de contenu peut techniquement être adaptée à d’autres catégories : terrorisme, stupéfiants, atteintes au droit d’auteur, discours interdits ou documents considérés comme sensibles.

Le précédent juridique et technique est donc aussi important que la mesure elle-même.

Le danger ne réside pas seulement dans ce que Chat Control recherche aujourd’hui, mais dans ce qu’une infrastructure comparable pourra rechercher demain.

Protéger les enfants sans surveiller toute la population

Critiquer Chat Control ne revient pas à minimiser les violences sexuelles commises contre les enfants.

C’est précisément parce que ces crimes sont atroces qu’ils méritent des politiques efficaces plutôt que des solutions technologiques spectaculaires et potentiellement contre-productives.

Les moyens devraient être concentrés sur les enquêtes ciblées, les unités spécialisées, la coopération judiciaire, l’identification des victimes, le retrait rapide des contenus signalés, la prévention, l’éducation et l’accompagnement des familles.

Les autorités pourraient également mieux exploiter les signalements existants. Accumuler des millions de rapports automatisés de qualité inégale risque d’engloutir les enquêteurs sous un volume gigantesque de données et de ralentir le traitement des dossiers réellement urgents.

La surveillance massive n’est pas nécessairement l’outil le plus efficace contre des criminels organisés.

Ceux-ci peuvent déplacer leurs échanges vers des réseaux fermés, utiliser leurs propres systèmes de chiffrement ou abandonner les plateformes grand public. Pendant ce temps, les citoyens ordinaires restent les plus faciles à inspecter.

On obtient alors le pire des deux mondes : une population surveillée et des criminels qui s’adaptent.

La protection des enfants ne devrait jamais être utilisée comme argument émotionnel pour empêcher toute discussion sur la proportionnalité d’une loi.

Dans une démocratie, poser des limites au pouvoir de surveillance ne protège pas les criminels. Cela protège l’ensemble de la société contre des dispositifs excessifs, faillibles et susceptibles d’être détournés.

La bataille de Chat Control 2.0 continue

Le vote du 9 juillet 2026 ne clôt pas le dossier.

Le règlement permanent proposé en 2022 reste en négociation. Le Parlement européen avait arrêté sa position en novembre 2023. Le Conseil de l’Union européenne a adopté son propre mandat de négociation en novembre 2025.

Les institutions doivent maintenant parvenir à un compromis.

Le texte final pourrait différer sensiblement des versions actuellement connues. Il faudra surveiller de très près la définition des services concernés, les obligations de réduction des risques, les ordres de détection, l’analyse de contenus inconnus, la vérification de l’âge et la protection réelle du chiffrement.

La prudence est d’autant plus nécessaire que le vocabulaire juridique peut dissimuler des mécanismes extrêmement intrusifs.

Une « mesure d’atténuation des risques » peut devenir une pression indirecte pour analyser les contenus. Une « détection volontaire » peut devenir une pratique imposée de fait par la responsabilité juridique ou commerciale. Une « vérification de l’âge » peut conduire à l’identification systématique des internautes.

Il faudra donc juger le règlement non sur ses intentions affichées, mais sur les capacités techniques et les pouvoirs qu’il créera.

Une frontière que l’Europe ne devrait jamais franchir

L’Union européenne s’est longtemps présentée comme un espace particulièrement protecteur de la vie privée. Le RGPD est même devenu une référence mondiale.

Chat Control révèle aujourd’hui une contradiction inquiétante.

D’un côté, l’Europe impose aux sites Internet d’obtenir un consentement pour déposer certains cookies. De l’autre, elle envisage des mécanismes permettant d’inspecter des correspondances privées à une échelle sans précédent.

La confidentialité des communications est pourtant bien plus fondamentale qu’une bannière publicitaire ou qu’un outil de mesure d’audience.

Le vote du 9 juillet 2026 est d’autant plus choquant qu’il ne traduit même pas clairement la volonté de la majorité des députés ayant voté. La motion de rejet a obtenu davantage de voix favorables que défavorables, mais elle a échoué en raison du seuil exceptionnel qui lui était imposé.

Une décision aussi lourde pour les libertés publiques ne devrait jamais entrer en vigueur par défaut, à la faveur d’une procédure où l’abstention et l’absence contribuent indirectement à l’adoption.

Les citoyens européens ont le droit de communiquer sans que leurs conversations soient systématiquement examinées par des algorithmes privés.

Ils ont le droit d’écrire à leurs proches, à leur médecin, à leur avocat ou à un journaliste sans être traités comme des suspects potentiels.

La lutte contre les abus sexuels sur mineurs est une obligation absolue. Mais une démocratie digne de ce nom doit savoir protéger les enfants sans ouvrir le courrier de toute la population.

Lorsque la surveillance générale devient acceptable au nom d’une cause unanimement reconnue, la question suivante n’est plus de savoir si le dispositif sera étendu.

La seule question est de savoir quand, par qui et au nom de quelle nouvelle urgence.

Sources et documents complémentaires

Textes officiels et procédure européenne

Positions et votes du Parlement européen

Avis des autorités européennes de protection des données

Position du Conseil de l’Union européenne

Les expressions « Chat Control 1.0 » et « Chat Control 2.0 » ne sont pas les intitulés officiels des textes européens. Elles sont principalement employées par leurs opposants pour désigner respectivement la dérogation temporaire au règlement ePrivacy et le projet de règlement permanent.

Ajoutez votre grain de sel à cet article

Votre email ne sera pas publiéLes champs requis sont marqués *

Vous pouvez utiliser HTML tags et attributs : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.