Chat Control : état des lieux d’un projet européen controversé
10/10/2025 - Article rédigé par Ninon MAIRE
Sommaire
Introduction
Le projet de règlement de l'Union européenne officiellement intitulé « Règlement visant à prévenir et combattre les abus sexuels sur enfants en ligne » (CSAR), communément surnommé « Chat Control », a été proposé par la Commission européenne le 11 mai 2022
Son objectif affiché est de créer un cadre légal permanent et obligatoire pour forcer les services de communication en ligne à détecter, signaler et retirer les contenus pédopornographiques (CSAM). Cette initiative, dite « Chat Control 2.0 », vise à succéder à une dérogation temporaire de 2021 qui autorisait le scan volontaire des communications.
La mesure la plus controversée du projet est l'instauration d'un scan automatisé et généralisé de toutes les communications privées, y compris celles chiffrées de bout en bout. Ce mécanisme, connu sous le nom d'analyse côté client (client-side scanning), reviendrait à analyser le contenu des messages directement sur l'appareil de l'utilisateur avant son chiffrement, ce qui, selon une quasi-unanimité d'experts, compromettrait fondamentalement la sécurité et la confidentialité des échanges numériques.
Le projet se heurte à une opposition massive et plurielle.
Sur le plan juridique, des institutions comme le Service juridique du Conseil de l'UE, le Contrôleur européen de la protection des données (EDPS) et le Comité européen de la protection des données (EDPB) ont averti que cette surveillance de masse indiscriminée serait contraire aux droits fondamentaux garantis par la Charte européenne, notamment le droit à la vie privée et la confidentialité des correspondances.
Sur le plan technique, les spécialistes dénoncent les risques de sécurité majeurs créés par l'affaiblissement du chiffrement, le taux élevé de faux positifs des algorithmes de détection, et la facilité de contournement pour les criminels déterminés.
Politiquement, le projet est dans une impasse. Alors que le Parlement européen a adopté une position en commission s'opposant au scan de masse et protégeant le chiffrement, le Conseil de l'UE (représentant les États membres) est profondément divisé. Une minorité de blocage, consolidée par l'opposition ferme de l'Allemagne en octobre 2025, a jusqu'à présent empêché l'adoption d'une position commune, conduisant à l'annulation de votes décisifs. L'avenir du texte est incertain, suspendu à d'éventuels compromis ou à un remaniement complet, tandis que le régime transitoire de scan volontaire a été prolongé jusqu'en avril 2026.
Contexte et objectifs du projet « Chat Control »
Le projet de règlement connu sous le nom de « Chat Control » a été officiellement présenté par la Commissaire européenne aux Affaires intérieures, Ylva Johansson, le 11 mai 2022. Son appellation officielle est Règlement visant à prévenir et combattre les abus sexuels sur enfants en ligne (CSAR, pour Child Sexual Abuse Regulation).
Origine et justification
Ce projet s'inscrit dans la continuité d'une mesure temporaire adoptée par l'UE en 2021. Cette dérogation autorisait, à titre provisoire, les fournisseurs de services de communication à scanner volontairement les échanges pour y détecter des contenus pédopornographiques, malgré les règles de confidentialité de la directive ePrivacy. Surnommée « Chat Control 1.0 » par ses détracteurs, cette mesure arrivait à expiration en 2024.
La Commission européenne a jugé nécessaire de pérenniser et de renforcer ce dispositif en proposant « Chat Control 2.0 ». Les justifications avancées sont les suivantes :
- Combler les lacunes : De nombreux services en ligne ne participaient pas aux efforts volontaires, laissant des « zones d'ombre » dans la détection.
- Rendre la détection obligatoire : Le nouveau règlement imposerait le scan à tous les fournisseurs concernés.
- Réduire la dépendance extérieure : L'UE dépend largement de signalements provenant d'acteurs étrangers, notamment des États-Unis, ce qui entraîne des retards et des inefficacités dans les enquêtes.
- Centraliser et coordonner : Le projet prévoit la création d'un Centre européen spécialisé (EU Centre on Child Sexual Abuse) pour centraliser les signalements, coordonner la lutte et améliorer l'allocation des ressources d'enquête.
L'objectif principal est de protéger plus efficacement les enfants face à l'ampleur des abus sexuels en ligne en obligeant les plateformes à détecter, signaler et retirer activement les contenus illicites.
Une initiative controversée
Dès sa présentation, le projet a été qualifié de très controversé. Le surnom « Chat Control » est principalement utilisé par ses opposants pour dénoncer ce qu'ils considèrent comme l'instauration d'un contrôle généralisé et sans précédent des communications privées de près de 450 millions de citoyens européens.
Contenu et mécanismes du règlement proposé
La version initiale du règlement CSAR introduit plusieurs obligations majeures, dont la plus débattue est le scan systématique des communications.
Le scan automatisé des communications privées
La mesure centrale est l'obligation pour les services en ligne (messageries, réseaux sociaux, e-mails) d'analyser le contenu de toutes les communications privées de leurs utilisateurs (messages, photos, vidéos, etc.).
- Périmètre : Le scan s'appliquerait à toutes les communications, y compris celles protégées par le chiffrement de bout en bout (E2EE), comme sur WhatsApp, Signal ou Telegram.
- Méthode technique : Le procédé envisagé est l'analyse côté client (client-side scanning). Un module de détection serait intégré directement dans l'application sur l'appareil de l'utilisateur. Ce logiciel analyserait le contenu avant son envoi ou son chiffrement en le comparant à des bases de données de contenus illicites.
- Conséquence sur la sécurité : De l'avis quasi unanime des experts en sécurité, cette méthode revient à « casser » le chiffrement de bout en bout en installant un logiciel de type spyware (mouchard) sur chaque appareil. Cela compromet l'intégrité des communications et crée de nouvelles failles de sécurité, un scénario qualifié de « cauchemar » par de nombreux spécialistes.
Autres dispositions notables
Outre le scan des messages, le projet comporte plusieurs autres volets :
Disposition | Description | Enjeux et critiques |
Détection de contenus "connus" et "nouveaux" | Les plateformes devraient repérer les images CSAM déjà identifiées (via des bases de hachages) et les nouveaux contenus inconnus (via l'IA), ainsi que les tentatives de grooming (sollicitation d'enfants) dans les textes. | La fiabilité des technologies d'IA pour détecter de nouveaux contenus ou du grooming est sujette à caution et génère un taux élevé de faux positifs. |
Vérification de l'âge des utilisateurs | Le texte suggère d'imposer des contrôles d'âge obligatoires pour accéder à certains services de communication, afin de protéger les mineurs. | Soulève des questions majeures sur la vie privée (collecte de données sensibles), la fin de l'anonymat en ligne et l'exclusion des personnes sans identité numérique. |
Blocage de sites | Les autorités pourraient ordonner aux fournisseurs d'accès internet de bloquer l'accès aux sites web hébergeant des contenus pédopornographiques. | Similaire aux dispositifs de censure ciblée existants. |
Obligations de signalement et de retrait | Les prestataires auraient une obligation légale de signaler rapidement les abus détectés au Centre européen et de retirer les contenus illicites. | Vise à harmoniser et rationaliser un processus aujourd'hui fragmenté. |
Enjeux juridiques et conformité aux droits fondamentaux
Le projet « Chat Control » soulève de profondes inquiétudes quant à sa compatibilité avec le droit européen, notamment le respect de la vie privée, la protection des données (RGPD) et la confidentialité des communications.
Violation des droits fondamentaux
Plusieurs instances juridiques et de protection des données ont émis des avis très critiques :
- Service juridique du Conseil de l'UE : A estimé qu'une surveillance généralisée sans suspicion préalable porterait atteinte aux droits fondamentaux.
- Cour de justice de l'UE (CJUE) : Sa jurisprudence constante (arrêts Digital Rights Ireland, Tele2 Sverige) interdit les mécanismes de surveillance de masse indiscriminée.
- Cour européenne des droits de l'Homme (CEDH) : A rappelé en 2024 que forcer l'affaiblissement du chiffrement de bout en bout « ne saurait être considéré comme nécessaire dans une société démocratique ».
- EDPS et EDPB (Contrôleur et Comité européens de la protection des données) : Dans un avis conjoint de 2022, ils ont alerté sur le risque d'un « balayage généralisé et indiscriminé » des communications, incompatible avec les articles 7 (vie privée) et 8 (protection des données) de la Charte des droits fondamentaux, et susceptible de créer un effet dissuasif sur la liberté d'expression.
Les critiques soulignent également une atteinte au secret des correspondances et au principe de présomption d'innocence, en soumettant tous les citoyens à une surveillance préventive.
Problèmes de conformité au RGPD et plainte de NOYB
Le projet contrevient aux principes de proportionnalité et de minimisation des données inscrits dans le RGPD. Bien que le règlement crée sa propre base légale, celle-ci pourrait être invalidée par la justice si elle est jugée contraire aux droits fondamentaux.
L'association NOYB (None of Your Business) a illustré ce conflit en déposant une plainte en novembre 2023 contre la Commission européenne elle-même. NOYB l'accuse d'avoir violé le RGPD lors de sa campagne publicitaire en faveur de Chat Control sur Twitter (X). La Commission aurait utilisé des données sensibles (opinions politiques, croyances religieuses) pour du micro-ciblage publicitaire, une pratique interdite par le RGPD. Pour NOYB, cet épisode démontre que même pour promouvoir le projet, la Commission a eu recours à des pratiques illégales en matière de protection des données.
Implications techniques et risques de sécurité
Au-delà des aspects juridiques, le projet est vivement critiqué par les experts en technologie pour son inefficacité potentielle et les dangers qu'il ferait peser sur la sécurité numérique.
Fiabilité des algorithmes et faux positifs
Les technologies de détection ne sont pas infaillibles et génèrent un nombre important de faux positifs.
- Exemple en Irlande : La police a rapporté que seuls 20,3 % des signalements des plateformes correspondaient à des abus avérés, tandis que 11 % étaient des faux positifs patents.
- Cas individuel documenté : En 2022, Google a signalé un père de famille pour des photos médicales de son enfant, entraînant la clôture de son compte et une enquête judiciaire avant qu'il ne soit blanchi.
Ces erreurs peuvent causer des préjudices graves à des innocents et submerger les forces de l'ordre, détournant les ressources des enquêtes sur les vrais criminels.
Contournement par les criminels et efficacité douteuse
Les délinquants déterminés peuvent facilement contourner une telle surveillance en utilisant :
- Des services non européens.
- Des canaux de communication clandestins.
- Des techniques de dissimulation (stéganographie) ou de modification d'images.
Les critiques estiment que des approches plus ciblées (infiltration de réseaux, coopération policière internationale, prévention) seraient plus efficaces qu'un « scan de tout le monde tout le temps », qui dilue les efforts d'enquête.
Impact dévastateur sur le chiffrement et la cybersécurité
Le scan des communications chiffrées est le point le plus alarmant pour les experts.
- Création de portes dérobées : Imposer une analyse avant chiffrement revient à créer une vulnérabilité systémique qui pourrait être exploitée par des pirates, des criminels ou des États étrangers.
- Affaiblissement de la sécurité collective : Cela mettrait en danger la confidentialité des échanges sensibles pour tous (citoyens, entreprises, journalistes, avocats, etc.) et augmenterait les risques de cybercriminalité et d'espionnage.
- Perte de confiance : Les utilisateurs et entreprises pourraient se détourner des services numériques européens jugés moins sûrs.
Opposition ferme des entreprises technologiques
De nombreuses entreprises du secteur ont pris position contre le projet, arguant de l'incompatibilité entre le scan de masse et la sécurité.
- Signal et WhatsApp ont déclaré qu'ils refuseraient de compromettre le chiffrement de bout en bout de leurs services.
- La présidente de Signal, Meredith Whittaker, a affirmé que l'entreprise quitterait le marché de l'UE plutôt que de se conformer à une telle loi.
- Apple a abandonné en 2022 un projet similaire de scan côté client après une levée de boucliers des experts.
Processus législatif état du débat politique
Le parcours de Chat Control est marqué par de profondes divisions entre les institutions et les États membres de l'UE.
Chronologie du processus
- Mai 2022 : Proposition du texte par la Commission.
- Novembre 2023 : La commission LIBE du Parlement européen adopte une position amendée s'opposant au scan de masse, protégeant le chiffrement et limitant la surveillance à des cas ciblés sur ordonnance judiciaire.
- Début 2024 : Blocage au Conseil de l'UE (États membres). Le vote est reporté et la dérogation temporaire de 2021 est prolongée jusqu'au 3 avril 2026 pour donner plus de temps aux négociations.
- Septembre 2025 : Les positions des États se cristallisent. Une carte de l'eurodéputé Patrick Breyer montre une division nette : une douzaine de pays (dont la France et l'Espagne) soutiennent le texte, tandis qu'un groupe de huit pays (dont l'Autriche, les Pays-Bas, la Pologne) s'y oppose fermement. L'Allemagne est alors considérée comme l'arbitre décisif.
- Octobre 2025 : Un vote clé prévu au Conseil le 14 octobre est annulé. Le 7 octobre, l'Allemagne annonce officiellement son opposition au projet en l'état, garantissant ainsi une minorité de blocage et actant l'impossibilité d'un accord.
Acteurs et positions
Camp | Acteurs Principaux | Arguments Clés |
Promoteurs | Commission Européenne (DG Affaires intérieures), États membres comme la France, l'Espagne, le Danemark, la Hongrie, certaines associations de protection de l'enfance. | Nécessité de disposer d'outils puissants pour lutter contre la prolifération des contenus pédopornographiques et protéger les enfants. Les garde-fous techniques peuvent limiter les risques pour la vie privée. |
Opposants | Parlement européen (majoritairement), États membres comme l'Allemagne, l'Autriche, les Pays-Bas, la Pologne. Une large coalition d'ONG (EDRi, La Quadrature du Net, NOYB), d'experts en cybersécurité, et d'entreprises technologiques (Signal, WhatsApp, Apple). | Le projet instaure une surveillance de masse illégale et disproportionnée. Il viole les droits fondamentaux, détruit le chiffrement, crée des failles de sécurité majeures et risque d'être inefficace tout en nuisant à des innocents. |
Situation actuelle et perspectives
À ce jour, le projet « Chat Control » est bloqué. Le Parlement européen a adopté une ligne protectrice des libertés, et le Conseil des ministres de l'UE est incapable de trouver une majorité qualifiée en raison de l'opposition d'une solide minorité d'États.
Plusieurs scénarios sont désormais envisageables :
- Recherche d'un compromis : La présidence du Conseil pourrait proposer une version considérablement allégée du texte (par exemple en excluant le scan des communications chiffrées) pour tenter de rallier les États récalcitrants. Si un accord est trouvé au Conseil, des négociations (trilogue) s'ouvriraient avec le Parlement.
- Stagnation et retrait : Si les divisions persistent, le projet pourrait être abandonné. La Commission pourrait alors le retirer ou le réécrire entièrement. L'expiration du régime transitoire en 2026 sans nouvelle législation créerait un vide juridique.
- Évolution du contexte politique : Le Parlement et la Commission renouvelés après les élections de 2024 pourraient adopter une nouvelle approche sur ce dossier sensible.
En conclusion, le débat sur Chat Control a mis en lumière une tension fondamentale entre la sécurité et la liberté à l'ère numérique. Le processus législatif européen a pour l'instant freiné une proposition jugée par beaucoup comme excessivement intrusive. Quel que soit son sort final, ce projet aura marqué un moment clé dans la définition des limites de la surveillance dans les démocraties européennes.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
Articles et actualités RGPD
Chat Control : état des lieux d’un projet européen controversé
Présenté en 2022 pour lutter contre les abus sexuels sur mineurs, le projet de règlement « Chat Control » suscite de vives oppositions. Entre enjeux juridiques, techniques et politiques, le texte est aujourd’hui à l’arrêt, dans l’attente d’un compromis européen.En savoir plus
Vidéosurveillance dissimulée : Manquement au principe de transparence — sanction CNIL (La Samaritaine)
La CNIL a infligé une amende de 100 000 € à La Samaritaine pour avoir déployé des caméras déguisées en détecteurs de fumée, dotées de microphones. Cet article revient sur les faits, rappelle les manquements au RGPD (loyauté, minimisation, notification, rôle du DPO) et en tire les leçons pratiques pour les dirigeants.En savoir plus
Whitebridge AI : la vérification d'identité dans la mire du RGPD
Whitebridge AI promet de lutter contre les arnaques en ligne, mais son modèle viole-t-il le RGPD ? Analyse d’un outil controversé de vérification d’identité.En savoir plus
Projet de réforme et bannières cookies : simplification ou affaiblissement du consentement ?
Réforme ePrivacy 2025 et vie privée : L’Union européenne veut réduire les pop-ups cookies. La réforme ePrivacy pourrait simplifier la navigation, mais attention au risque de recul sur les droits des internautes.En savoir plus
