Résumé : Malgré l'opposition de plusieurs États membres, le Conseil de l'UE a approuvé le Règlement sur la lutte contre les abus sexuels sur enfants (CSAR), surnommé « Chat Control », le 26 novembre 2025. Le nouveau texte opère un changement majeur en rendant le scan des communications (y compris celles chiffrées de bout en bout) pour la détection de CSAM (Child sexual abuse material - abus sur enfants) volontaire pour les fournisseurs, une mesure perçue par certains comme une victoire pour le chiffrement, mais dénoncée par les experts comme une « surveillance de masse » qui pose les jalons d'un futur contrôle généralisé. Ces inquiétudes sont renforcées par des dispositions qui pourraient forcer le balayage des services jugés « à haut risque », ainsi que par l'inclusion de mesures controversées telles que l'obligation de vérification de l'âge — considérée comme impossible à mettre en œuvre de manière confidentielle et sans preuve d'efficacité — et l'introduction d'obligations de blocage de sites Web qui soulèvent des craintes de censure. Le projet de loi passe maintenant en négociations en trilogue (Parlement, Conseil, Commission) pour finaliser le texte, les défenseurs de la vie privée exhortant le Parlement à rejeter toute forme de surveillance sans mandat judiciaire et toute exigence d'identification.
Après trois ans de discussions, le Conseil de l'UE a finalement approuvé le projet de loi controversé sur la réglementation relative aux abus sexuels sur les enfants (CSAR) le 26 novembre 2025. Ce projet de loi, surnommé « Chat Control », devrait désormais être adopté.
Bien qu'il ait obtenu la majorité, le compromis sur le scan volontaire des conversations n'a pas recueilli le soutien de tous les États, l'Italie, la République tchèque, la Pologne et les Pays-Bas restant opposés au texte actuel. Les experts en matière de protection de la vie privée ne se réjouissent pas non plus.
« C'est un jour très triste pour la vie privée et une occasion manquée d'investir dans des efforts visant à protéger efficacement les enfants », a commenté le cryptographe belge Bart Preneel sur LinkedIn. M. Preneel faisait partie des scientifiques qui ont signé une lettre ouverte quelques jours avant le vote pour avertir que ce compromis « comporte toujours des risques élevés pour la société ».
Selon Patrick Breyer, ancien député européen du Parti pirate allemand et juriste spécialisé dans les droits numériques, le Conseil de l'UE a approuvé un cheval de Troie plutôt que de corriger les problèmes initiaux du projet de loi.
« En consolidant le scan de masse « volontaire », ils légitiment la surveillance de masse sans mandat et sujette à erreur de millions d'Européens par des entreprises américaines », a-t-il déclaré. « Ce n'est pas une victoire pour la vie privée, c'est un désastre annoncé. »
Malgré les réactions défavorables concernant la protection de la vie privée, l'accord du 26 novembre signifie que la proposition danoise passera à l'étape finale du processus législatif. Le Conseil de l'UE, le Parlement et la Commission sont prêts à entamer les négociations en trilogue afin de confirmer le texte final, dont l'adoption est prévue d'ici avril 2026.
« Surveillance de masse volontaire »
Le changement le plus important apporté par le nouveau texte danois concernant Chat Control réside dans son approche du scan des messages. Alors qu'auparavant, les services de messagerie, y compris ceux utilisant un chiffrement de bout en bout, étaient contraints d'effectuer un scan systématique à la recherche de contenus pédopornographiques (CSAM), les opérateurs auront désormais la possibilité de choisir de scanner ou non les messages de tous les utilisateurs.
Cette mesure est considérée comme une victoire par beaucoup, car elle évite que le chiffrage ne soit compromis par une porte dérobée. Callum Voge, directeur des affaires gouvernementales et du plaidoyer à l'Internet Society, a déclaré à TechRadar qu'il s'agissait d'« une avancée positive pour la sécurité des communications des résidents européens ».
Mais le diable se cache peut-être dans les détails. Le texte comprend en effet une disposition qui pourrait obliger les entreprises à scanner les messages si leurs services sont considérés comme « à haut risque ». Le projet de loi prévoit également la possibilité pour la Commission européenne de réviser la loi tous les trois ans, de sorte qu'un scan généralisé pourrait être mis en œuvre à une date ultérieure.
Et bien que le considérant 17 bis stipule que « rien dans le présent règlement ne doit être interprété comme imposant des obligations de détection aux fournisseurs », il reste à voir comment cette formulation sera interprétée lors des négociations en trilogue.
Ce qui est certain, c'est que pour M. Breyer, le scan « volontaire » ne suffit toujours pas à protéger les citoyens européens contre la surveillance de masse. Il a déclaré : « Qualifier cela de « volontaire » ne rend pas la violation du secret de la correspondance numérique moins grave. Nous devons cesser de prétendre que la surveillance de masse « volontaire » est acceptable dans une démocratie. »
Cette position est également partagée par l'un des meilleurs VPN du marché, Mullvad VPN. « Le Conseil de l'UE n'a pas réussi à mettre en place une surveillance de masse obligatoire. Cependant, dans sa proposition, il pose les bases d'une surveillance de masse à l'avenir. »
Au-delà du scan et du chiffrement
Si la nouvelle réglementation sur le contrôle des discussions tente de résoudre les problèmes actuels de confidentialité et de sécurité liés aux portes dérobées obligatoires dans le chiffrement, elle ajoute également d'autres dispositions qui, selon les experts, pourraient compromettre les droits numériques des citoyens de l'UE.
En vertu de la proposition du 13 novembre, les fournisseurs de services de messagerie doivent prendre toutes les mesures nécessaires pour protéger les enfants, notamment en effectuant des contrôles de vérification de l'âge afin d'« identifier de manière sûre les utilisateurs mineurs ».
Bien que le Conseil ait souligné que les méthodes de vérification de l'âge doivent « préserver la vie privée », beaucoup pensent que cela sera impossible à réaliser dans la pratique.
« Même si la vérification de l'âge est effectuée de manière à respecter la vie privée (il n'est pas certain que ce soit le cas), elle est facile à contourner (il suffit de voir ce qui s'est passé au Royaume-Uni) », a écrit Preneel sur LinkedIn. Il faisait probablement référence à la forte augmentation de l'utilisation des VPN liée aux lois sur la vérification de l'âge.
En résumé, M. Preneel a déclaré : « L'évaluation de l'âge pose un problème majeur en matière de confidentialité. Aucune étude scientifique ne démontre l'efficacité de ces technologies. »
Le nouveau texte du projet de loi contient également des dispositions relatives aux obligations de blocage de sites Web qui inquiètent l'équipe de Mullvad. « Une fois cette infrastructure mise en place, elle ouvre la voie à une pente glissante en matière de censure », a déclaré la société suédoise de VPN.
Et ensuite ?
Malgré la controverse, la présidence danoise a réussi à convaincre la majorité des membres de l'UE de soutenir son compromis, ouvrant ainsi la voie au lancement des négociations en trilogue.
Cela signifie que le Parlement européen, le Conseil et la Commission vont désormais travailler ensemble pour s'accorder sur un texte final contraignant.
« Je m'attends à ce qu'il y ait une forte pression pour conclure rapidement ces négociations », a déclaré M. Voge à TechRadar. Il a toutefois ajouté que la date limite fixée au mois d'avril pourrait être trop précoce pour finaliser le projet de loi.
Alors que les discussions doivent débuter prochainement, Mullvad exhorte le Parlement à rester ferme et à ne pas dévier de ses positions précédentes, invitant les députés européens à dire « non à toute surveillance de masse sans soupçon ni mandat judiciaire, non aux exigences de vérification d'identité et non à la censure des contenus légaux ».
Selon M. Voge, c'est la Commission européenne qui est la plus susceptible de faire preuve de fermeté si nécessaire. Il a déclaré : « La Commission est celle qui a un point de vue divergent en matière de chiffrement. Nous devrons suivre de près le trilogue pour voir quel compromis les trois parties pourraient accepter. »
traduction de : https://www.techradar.com/vpn/vpn-privacy-security/a-disaster-waiting-to-happen-the-privacy-tech-world-reacts-to-the-new-chat-control-bill
Enregistrer un commentaire
Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.