Chat Control : quand la protection des mineurs menace la cybersécurité européenne

Le projet européen Chat Control prévoit de scanner les communications avant chiffrement pour détecter les contenus préjudiciables aux mineurs. Si l’objectif est louable, cette mesure soulève de graves risques pour la cybersécurité, le chiffrement et la souveraineté numérique européenne, et divise les États membres. Analyse des enjeux techniques, historiques et stratégiques de cette initiative controversée.

Le projet de Chat Control a relancé un débat d’une importance capitale au sein de l’Union Européenne. Comment parvenir à garantir la protection des mineurs en ligne, tout en garantissant la sécurité des communications et la souveraineté numérique ? Voté le 14 octobre 2025 au conseil de l’UE, le projet de loi a été retiré temporairement faute de consensus.

Pour faire simple, ce règlement vise à instaurer un système de scan qui viendrait analyser toutes les conversations avant leur chiffrement. Le but ? Détecter des contenus préjudiciables. Sur le papier, l’idée est plus que louable. Qui ne souhaiterait pas la n’importe quelle mesure pour lutter contre la protection des mineurs. Pour autant, les méthodes interrogent profondément. Dans une tribune publiée dans Le Monde, Yasmine Douadi rappelle que, souvent, “l'enfer est pavé de bonnes intentions”.

‍

Une idée ancienne qui revient dans l’agenda européen

‍

Le terme de Chat Control s’est imposé récemment dans le débat public. Pour autant, l’idée sous-jacente ne date pas d’hier. En effet, elle a émergé dès la fin des années 2010 dans certains Etats membres de l’Union européenne, favorables à une approche plus proactive contre les contenus pédopornographiques en ligne.

À lire aussi : Carte Vitale numérique : attention aux arnaques et phishing en 2025

La Commission européenne publiait en 2020, une stratégie ambitieuse pour un internet plus sûr. Dans ce plan, il y avait une volonté affirmée de renforcer les obligations des plateformes. Hors d’Europe, plusieurs initiatives ont nourri le débat :

• L’Australie, avec son Assistance and Access Act (2018), qui avait suscité un tollé parmi les experts.
• Les tentatives américaines (notamment le billet "Going Dark" du FBI et le projet EARN IT Act), critiquées pour l’impact potentiel sur le chiffrement.

Chat Control n’est ainsi pas une exception du vieux continent. Pour autant, la nouvelle itération de l’ordre mondiale est une conciliation entre sécurité publique et contrôle des communications. 

‍

Comment fonctionne le client-side scanning ? Les risques d’une backdoor légale

‍

Chat Control repose sur un principe technique : le client-side scanning (CSS). Ce mécanisme analyse les fichiers et messages directement sur l’appareil de l’utilisateur. Le tout avant même qu’ils ne soient chiffrés de bout en bout. 

Risques et inquiétudes identifiés par plusieurs acteurs institutionnels :

• Le Contrôleur européen de la protection des données (EDPS) a exprimé sa « profonde inquiétude » face à la création potentielle d’un système de surveillance généralisée.
• La CNIL, en France, a rappelé qu’une telle mesure pourrait « porter une atteinte disproportionnée au secret des correspondances ».
• Plus de 300 chercheurs en cybersécurité ont signé des tribunes expliquant qu’une backdoor, même légale, reste exploitable par des acteurs malveillants.

Impacts concrets :

• Fragilisation du chiffrement, qui devient contournable par conception.
• Risques pour le secret des affaires, un enjeu majeur pour les entreprises européennes.
• Possibilité d’erreurs ou de faux positifs générés par l’IA, problématique déjà observée dans des modèles de détection utilisés aux États-Unis.

Ainsi, pour détecter quelque chose d’exceptionnel, le texte prévoit un mécanisme qui sera permanent. Surtout, il sera directement intégré dans des milliards d’appareils.

‍

Une bataille politique et géopolitique au sein de l’Union

‍

Pour autant, ce n’est pas forcément le simple aspect technique qui a mis à mal le vote du texte. Ce sont plutôt les fractures politiques internes au sein de l’Union Européenne. Par exemple, l’Allemagne a marqué son opposition ferme, citant les risques sur le chiffrement. De leurs côtés, les Pays-Bas, la Finlande ou encore l’Autriche ont également émis des réserves fortes. Ils se sont confrontés à certaines délégations qui, elles, soutiennent un dispositif robuste pour lutter contre les contenus abusifs.

À lire aussi : Ordinateurs quantiques : l’avenir de la cybersécurité en jeu

De surcroît, le Contrôle européen des données ou encore la CNIL ont publiquement critiqué le texte. Selon eux, un tel scan pourrait confier une part de la surveillance des citoyens européens à des plateformes privées, souvent américaines. Cela soulève des interrogations quant à la souveraineté numérique du vieux continent. Un argument qui prend de l’ampleur au sein du Conseil.

Ce débat fait écho à une tension plus large : comment l’Europe peut-elle protéger ses citoyens sans perdre son indépendance technologique ni affaiblir ses infrastructures de cybersécurité ?

‍

Ce que montrent les expériences internationales et les alternatives existantes

‍

Les exemples étrangers fournissent un retour d’expérience précieux :

• En Australie, les dispositions contre le chiffrement ont entraîné des critiques massives des experts, une perte de confiance dans les outils locaux, et aucun résultat significatif démontré.
• Aux États-Unis, les projets visant à affaiblir le chiffrement ont été stoppés ou modifiés après l’opposition conjointe d’entreprises tech et de chercheurs.

Des alternatives existent :

• Le développement d’outils de signalement renforcés.
• Une coopération judiciaire internationale modernisée.
• Une meilleure prise en charge des victimes et des investigations ciblées, plutôt qu’un scan global.

Ces solutions démontrent qu’il est possible d’agir sans introduire une fragilité structurelle dans le chiffrement européen.

‍

Un texte loin d’être enterré : compromis européens et retour par la petite porte

‍

À l’automne, l’absence de consensus entre États membres avait laissé penser que Chat Control était à l’arrêt. Le texte n’avait pas pu être adopté, révélant de profondes divergences sur le chiffrement et la vie privée. Pourtant, le projet n’a pas disparu : il a évolué.

‍

Un consensus minimal et l’ouverture du trilogue

‍

Depuis novembre, un consensus minimal s’est dessiné, permettant l’ouverture du trilogue entre la Commission européenne, le Parlement et le Conseil de l’UE, étape clé où se jouent désormais les arbitrages les plus sensibles.

À lire aussi : Fuites de données : les télécoms français (Free, Bouygues, Orange, SFR) face à une crise de confiance

‍

Client-side scanning “volontaire” et contrôle de l’âge : de faux compromis ?

‍

Pour lever certaines oppositions, le texte a été amendé. Le client-side scanning, initialement obligatoire, deviendrait « volontaire », laissant aux plateformes le choix de l’implémenter ou non. Une évolution qui, sur le papier, se veut rassurante, mais qui interroge : soumises à une pression réglementaire constante, les grandes plateformes pourraient être incitées à généraliser ces mécanismes par anticipation.

Autre modification majeure : l’introduction d’un contrôle obligatoire de l’âge sur les réseaux sociaux, reposant notamment sur la vérification d’identité. Là encore, l’objectif est clair, mais les implications en matière de traçabilité et de protection des données suscitent des inquiétudes.

À ce stade, une chose est acquise : Chat Control n’a pas disparu, il s’est transformé. Derrière les ajustements sémantiques, le cœur du dispositif demeure. Le trilogue sera donc décisif. Car en matière de chiffrement, il n’existe pas de fragilisation « maîtrisée ». À force de vouloir protéger à tout prix, l’Union pourrait affaiblir l’un des piliers de sa sécurité numérique.

‍