Chat Control : l'Europe s'engage-t-elle vers une surveillance de masse ?

Dans quel contexte est né le règlement Chat Control ?

Tout commence en 2020 lorsque la Commission européenne laisse entendre qu'elle souhaite mettre en place un outil de détection pour les contenus en ligne d'abus sexuels sur mineurs.

Cette idée se concrétise finalement en 2021 avec l'adoption d'un règlement autorisant pour une période de 3 ans les services de communication électronique à faire de l'analyse de contenus dans le but de détecter ceux liés à ce type d'abus.

De quoi parle Chat Control ? Infographie réalisée par Lorna Schütte

Mais le caractère provisoire de ce précédent règlement pousse le législateur européen à proposer le 11 mai 2022, un nouveau règlement « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants ». Ce dernier sera dénommé « Chat control » ou « CSAR » (pour « Child sexual abuse regulation »).

Cette autorisation a pris fin en 2024 mais ce n'est pas pour autant que l'idée a disparu puisqu'un second texte a fait son apparition : « Chat Control 2.0 ». L'objectif affiché par ce dernier est de rendre obligatoire de manière définitive la détection, le signalement et la suppression des contenus pédopornographiques.

Quel est l'objet de cette régulation ?

La proposition législative de la Commission européenne vise à prévenir et à combattre les abus sexuels des enfants en ligne. Elle pose le constat que sur la seule année 2021, 85 millions de photos et de vidéos représentant des abus sexuels commis sur des enfants ont été signalés.

Il faut cependant se montrer prudent sur ce nombre du National Center for Missing and Exploited Children (NCMEC) puisqu'il ne tient pas compte des images partagées plusieurs fois et celles qui ne sont pas supprimées (le bilan consolidé est proche des 22 millions d'enregistrements selon Patrick Breyer, député européen membre du Parti Pirate).

En France, selon l'INSEE, « entre 2016 et 2020, 23,4 % des victimes enregistrées par les services de sécurité pour violences sexuelles hors cadre familial sont des femmes de 15 à 19 ans ».

SSMSI, bases des victimes de crimes et délits enregistrés par la police et la gendarmerie 2016 à 2020

La Commission note également une exacerbation avec la pandémie de COVID-19, la Fondation Internet Watch (IWF) a ainsi constaté une augmentation de 64 % des signalements d'abus sexuels confirmés sur des enfants en 2021 par rapport à l'année précédente.

Ce constat est également nuancé par le député européen Patrick Breyer. Il explique que ces nouveaux signalements ne sont pas vraiment représentatifs d'une évolution de la quantité des contenus pédopornographiques. Effectivement, la configuration des algorithmes joue a un impact important sur le nombre de signalements.

Il faut également prendre conscience de l'augmentation importante des vidéos d'abus sexuels sur mineurs réalisés avec de l'IA. Les données de Channel 4 News montrent que 1300 vidéos ont été trouvées dans le monde de janvier jusqu'à juillet 2025, contre seulement 2 à la même époque l'année dernière.

Dans son communiqué, la Commission européenne explique que cette proposition fait suite à la stratégie de l'UE de juillet 2020, en faveur d'une lutte plus efficace contre les abus sexuels commis contre des enfants. C'est également le prolongement de la stratégie de l'UE sur les droits de l'enfant que la Commission a présentée en mars 2022.

Quelles sont les principales dispositions de Chat Control 2.0 ?

Le règlement Chat Control 2.0 a donc pour objet d'établir des règles uniformes pour lutter « contre l'utilisation à mauvais escient des services de la société de l'information pertinents à des fins d'abus sexuels sur enfants en ligne dans le marché intérieur ».

Par les termes « services de la société de l'information pertinents », sont entendus les services d'hébergement de données (iCloud, Dropbox ou NextCloud), les services de communications interpersonnelles (Proton Mail, Olvid, applications de rencontre, jeux vidéo intégrant des espaces de discussion), les boutiques d'applications logicielles (App Store, Play Store) et les fournisseurs d'accès à l'internet (Orange, SFR).

Mort assurée de la confidentialité, du chiffrement et de l'anonymisation des données

Les dispositions prévues aux articles 3 et 4 imposent une obligation pour ces derniers d'évaluer et de réduire les risques de partage de contenus pédopornographiques. Cela signifie que les fournisseurs doivent être en capacité de donner des informations sur le type d'utilisateur utilisant leur service (majeur, mineur) et quel type de contenu y est échangé (texte, vidéo). Le problème étant que pour certains d'entre eux, cela implique de récolter des données personnelles qu'ils ne possèdent pas aujourd'hui.

Vers la fin de l'anonymat en ligne

L'article 6 va d'ailleurs plus loin en préconisant le recours à des solutions de vérification d'âge. Rappelons qu'aucun outil de vérification d'âge actuellement disponible n'offre de garanties suffisantes en matière de fiabilité technique tout en respectant le droit à la vie privée.

D'autre part, le recours à ces solutions pose un problème plus fondamental encore : celui de la protection de l'anonymat en ligne. L'anonymat est un pilier essentiel de la liberté d'expression sur Internet, permettant notamment aux lanceurs d'alerte, militants, journalistes ou personnes issues de groupes vulnérables d'accéder à l'espace numérique sans crainte de représailles.

👀 Les dérives de la surveillance financière menacent nos démocraties, par Alexandre Stachtchenko

Un outil de contrôle automatisé au service de multiples dérives

D'autre part, les articles 7 à 11, autorisent l'installation de dispositifs intrusifs au sein même des infrastructures techniques des plateformes. Dès lors qu'un « risque important » d'utilisation du service à des fins d'abus sexuels sur mineurs est identifié, les fournisseurs peuvent être contraints de scanner l'ensemble des contenus transitant sur leurs services (messages privés, photos et vidéos) à la recherche de signes d'activité illicite.
Pour permettre cette détection, le CSAR prévoit l'usage de la technique dite de client-side scanning (CSS), ou analyse côté client. Concrètement, cela signifie que l'analyse des contenus se fera directement sur les appareils des utilisateurs, avant même que les données ne soient chiffrées ou transmises.

Cela revient à installer une forme de surveillance constante et invisible sur les terminaux personnels, transformant chaque appareil en outil de contrôle automatisé, explique le collectif de la Quadrature du Net.

Institutionnalisation d'une censure technique

L'article 16 confère à l'autorité de coordination nationale le pouvoir de demander à une autorité judiciaire ou administrative d'émettre une injonction de blocage visant à empêcher l'accès à des contenus pédopornographiques hébergés en ligne.

Plus précisément, ces injonctions s'adressent aux fournisseurs d'accès à Internet (FAI), qui seront tenus de prendre des mesures raisonnables pour bloquer l'accès aux contenus illicites identifiés par une liste d'URL fournie par le centre européen compétent.

D'un point de vue purement technique, le blocage d'URL est une mesure notoirement inefficace et facile à contourner (VPN, réseau Tor, proxy). Cette technique ne supprime pas le contenu à la source : il reste accessible, seulement moins visible.

Ce type de mesure pose un précédent inquiétant en matière de gouvernance d'Internet. En effet, elle revient à institutionnaliser une forme de censure technique.

Big Brother is watching you

Il n'est pas étonnant de constater que cette initiative s'inspire directement d'outils déjà déployés depuis plusieurs années par les géants du web tels que WhatsApp, ou encore l'outil de comparaison PhotoDNA développé par Microsoft.

Aujourd'hui seuls quelques services étasuniens qui n'appliquent pas de chiffrement sur leurs services comme Gmail, Facebook, Instagram ou encore Snapchat, inspectent volontairement les communications privées de leurs utilisateurs.

🧑‍💻 Se former - Comment sécuriser votre environnement numérique et financier ?

Le chiffrement de bout en bout représente encore un rempart essentiel contre la surveillance invasive. Or, avec la mise en œuvre du Chat Control 2.0, ce mur de protection est en passe de tomber.

Le règlement prévoit en effet d'imposer à l'ensemble des services de communication numérique (y compris ceux qui n'ont aujourd'hui aucune vocation commerciale à exploiter les données personnelles) l'obligation de scanner les contenus pour détecter les abus sexuels sur mineurs.

Pourquoi est-ce dangereux ? Infographie réalisée par Lorna Schütte

Ainsi, Chat Control pourrait renforcer la position dominante des grandes plateformes en rendant économiquement invivable l'existence de services alternatifs plus respectueux de la vie privée.

Les petites plateformes, les projets open source ou les services européens indépendants seraient contraints de choisir entre intégrer des outils de surveillance coûteux, intrusifs et contraires à leur philosophie ou se retirer du marché européen.

Au-delà de l'aspect commercial, le plus préoccupant réside dans le potentiel de dérive étatique. Même si le but affiché est la lutte contre la pédocriminalité, rien ne garantit que l'usage de ces technologies ne sera pas élargi à d'autres finalités à l'avenir.

✅ Voici 6 astuces pour renforcer votre sécurité numérique au quotidien

L'actualité récente nous donne le parfait exemple que ces dérives ne sont pas de l'ordre de l'imaginaire complotiste. Les Twitter Files ont aussi exposé des pressions politiques sur les modérateurs du réseau social, des demandes d'effacement de contenus critiques envers certains gouvernements, et plus généralement, un glissement inquiétant vers un contrôle étatique du discours public en ligne. Le tout, souvent sans contrôle judiciaire indépendant ni transparence réelle, ce qui peut questionner dans un gouvernement démocratie.

Le chapitre des Twitterfiles français s'ouvre enfin !

Contexte : en 2022, suite au rachat de Twitter par Elon Musk, ce dernier ouvrait à une demi douzaine de journalistes la messagerie interne de l'entreprise, ouvrant la voie à une multitude de révélations sur la façon dont… pic.twitter.com/iG0FBFEn6l

— Fabrice Epelboin (@epelboin) September 4, 2025

Des libertés fondamentales facultatives

Ce texte a suscité tant de réactions que l'EDRI (European Digital Rights), l'une des principales coalitions européennes de défense des libertés numériques, se demande si le CSAR ne serait pas la loi européenne la plus critiquée de tous les temps.

En effet, les conclusions de l'EDRI sont sans équivoque : « toutes les évaluations juridiques et techniques formelles ont conclu que les mesures proposées pourraient constituer des violations disproportionnées de la vie privée, des données personnelles et de la liberté d'expression en ligne de chacun, et s'appuyer sur des mesures techniquement irréalisables ou dangereuses ».

Au delà des considérations éthiques et morales sur les pratiques de surveillance de masse par des États de droit (droits fondamentaux à la vie privée et à la protection des données consacrés par l'article 7 et 8 de la Charte de l'UE), d'un point de vue technique, ce qui est demandé est irréalisable.

Contre proposition du Parlement européen, opposé à la version de la Commission européenne. Infographie réalisée par Lorna Schütte

Si les messages sont analysés avant d'être envoyés à leur destinataire, le « chiffrement de bout en bout » n'a plus aucune raison d'être, la confidentialité devient un terme désuet et l'affaiblissement de la sécurité des communications laisse la porte ouverte aux individus hostiles du monde entier.

Comme le résume Thomas Baignères, docteur en cryptographie et PDG d'Olvid, l'idée d'une backdoor sécurisée revient à exiger qu'une pomme lâchée dans les airs reste en suspension quand la gravité est une loi universelle.

Imaginons que le chiffrement devienne interdit, les honnêtes gens n'auraient plus rien pour se protéger et les criminels, eux, se ficheraient totalement de la loi puisque par définition ils s'en fichent déjà.

Il faut également noter que ce procédé repose sur le déploiement de technologies automatisées de reconnaissance de contenus propulsé par de l'Intelligence Artificielle (IA). Avec le récent essor du contenu généré par l'IA, inutile de préciser les risques de faux positifs ou d'hallucinations encourus par ce type de pratique.

Enfin pour terminer, le texte préconise que les fournisseurs aient recours à des solutions de vérification d'âge pour réduire les risques. Cette mesure se traduit par des mécanismes de profilage et de vérification d'identité afin de répondre à l'obligation d'évaluation des risques. Le recours à ces solutions pose de sérieux problèmes quant à la protection de l'anonymat en ligne.

« Je n'ai rien à cacher »

Le 12 septembre prochain, le groupe de travail du Conseil de l'UE se réunira afin de faire connaître sa position. À ce jour, seulement 6 pays ont exprimé leur opposition à ce texte : l'Autriche, la Belgique, la République tchèque, la Finlande, les Pays-Bas et la Pologne. Sur les 21 restants, 6 États membres n'ont pas encore pris de décision et 15 gouvernements se sont montrés favorables.

Résultat de l'étude menée par la Commission pour sonder l'espace public en 2021 quant à l'assentiment de Chat Control

La France est l'un des 15 États membres de l'Union européenne à soutenir activement le projet. Le dilemme entre sécurité publique et protection de la vie privée avait déjà émergé avec force lors des débats parlementaires entourant la promulgation de la loi « Narcotrafic » en juin 2025.

⚖️ Sur la même thématique - Crypto et blanchiment, quand la régulation devient la véritable fraude

Ainsi, qu'il s'agisse de lutter contre le trafic ou contre les abus sexuels, on retrouve la même ligne de fracture : comment concilier l'efficacité des enquêtes avec le respect des libertés individuelles ?

Comment agir ? Infographie réalisée par Lorna Schütte

Si après avoir lu ces lignes la phrase « de toute façon je n'ai rien à cacher » résonne dans votre esprit, je vous invite à relire cet article depuis le début !

Vous pouvez également rejoindre la campagne stopchatcontrol.fr, Stop Scanning me et suivre l'évolution de la position des États membres sur Fight Chat Control.

Sources : Dossier Chat Control 2.0 par Patrick Breyer ; blog de Jean Abou Samra ; la Quadrature du Net ; blog du Parti Pirate

Ressources complémentaires : Chat Control 1.0 ; proposition d'un Chat Control 2.0 ; Rapport de l'IWF relatif aux signalements d'abus sexuels ; Twitter Files

Cyber-enthousiaste depuis toujours, j'ai nourri ma curiosité et ma passion avec le temps… est-ce que ça aurait dû être l'inverse ? Maximaliste convaincu, j'aurais pu faire partie des cypherpunks si j'étais né quelques années avant. Convaincu que l'information et la connaissance sont les armes ultimes de la liberté, je brandis ma plume comme une épée, défendant cette noble cause avec ferveur. Ne me croyez pas sur parole, vérifiez 🐰

Rabbitcoin

135 articles

Tous ses articles