Le terme chat control EU s’est imposé dans le débat public européen en quelques mois. Derrière cette expression polémique se cache un projet de règlement visant à lutter contre les abus sexuels sur enfants en ligne, mais aussi une confrontation directe entre deux priorités : la protection des mineurs et la défense de la vie privée numérique.
Pour comprendre les enjeux, il faut revenir sur le contexte, les textes en discussion, les positions des différents acteurs et les conséquences possibles pour les utilisateurs de messageries chiffrées comme WhatsApp, Signal ou Telegram.
Qu’est-ce que « Chat Control » au niveau européen ?
« Chat Control » n’est pas le nom officiel d’une loi, mais le surnom donné par ses opposants à un ensemble de mesures européennes autour des contenus pédopornographiques en ligne. Le cœur du dispositif est le projet de règlement sur les abus sexuels sur enfants, souvent appelé CSAR ou CSAM, proposé par la Commission européenne en 2022.
Objectif affiché : obliger les grandes plateformes et services de messagerie à détecter, signaler et retirer les contenus d’abus sexuels sur mineurs, et mieux protéger les enfants en ligne. L’Union européenne s’appuie sur des chiffres alarmants : des millions de signalements de contenus pédopornographiques sont remontés chaque année par les plateformes aux autorités, avec une progression rapide des sollicitations sexuelles visant des mineurs.
Dans ce cadre, « Chat Control » désigne principalement deux volets :
- un régime temporaire dit « Chat Control 1.0 », dérogatoire à la directive ePrivacy, permettant le scan volontaire des messages privés pour lutter contre les contenus pédopornographiques ;
- un règlement permanent, « Chat Control 2.0 » (CSAR/CSAM), qui fixerait un cadre plus strict et durable, avec des obligations légales pour les services numériques.
Chat Control 1.0 : la dérogation ePrivacy et le scan volontaire des messages
Depuis 2002, la directive ePrivacy encadre la confidentialité des communications électroniques en Europe : téléphone, e-mails, SMS, messageries en ligne. En principe, aucun tiers ne peut consulter des communications privées sans base juridique claire.
En 2021, une dérogation temporaire a été adoptée. Elle autorise les fournisseurs de messageries et de services de communication (WhatsApp, Messenger, webmails, etc.) à utiliser, sur une base volontaire, des technologies automatisées pour :
- détecter des images et vidéos déjà répertoriées comme pédopornographiques ;
- repérer des contenus nouveaux susceptibles d’être des abus sexuels sur mineurs ;
- identifier des comportements de sollicitation d’enfants dans des conversations.
Concrètement, des algorithmes comparent les fichiers à des bases de données de contenus illicites ou analysent des signaux dans les messages. En cas de suspicion, le contenu peut être retiré et signalé aux autorités.
Ce régime dérogatoire, prolongé une première fois jusqu’en avril 2026, a ensuite expiré après que le Parlement européen a refusé une nouvelle prolongation. Mais le Conseil de l’UE, qui représente les gouvernements nationaux, a tenté de réintroduire un dispositif très proche, valable jusqu’en 2028, au nom de la lutte contre un « vide juridique ».
Le Parlement, de son côté, a cherché à encadrer plus strictement cette dérogation, notamment en excluant les communications chiffrées de bout en bout du champ de la surveillance.
Chat Control 2.0 : vers un règlement CSAR/CSAM permanent
Au-delà de ce régime transitoire, l’enjeu central de chat control EU est le règlement CSAR/CSAM. Présenté en 2022, ce texte viserait à créer un cadre permanent pour la prévention et la lutte contre les abus sexuels sur enfants en ligne.
Par rapport à la dérogation ePrivacy, plusieurs différences majeures :
- Caractère obligatoire : la détection, le signalement et le retrait des contenus illicites ne reposeraient plus sur le volontariat des plateformes, mais sur des obligations juridiques.
- Champ plus large : le texte concernerait non seulement les messageries, mais aussi d’autres services en ligne exposés aux contenus d’abus sexuels sur enfants.
- Création d’un centre européen : un organisme dédié coordonnerait la lutte contre les abus sexuels sur mineurs et centraliserait les signalements.
- Évaluation des risques : les fournisseurs devraient analyser et documenter les risques d’utilisation de leurs services pour la pédocriminalité, puis mettre en place des mesures proportionnées.
La proposition initiale de la Commission prévoyait des méthodes de détection très intrusives, notamment pour les messageries chiffrées de bout en bout, ce qui a provoqué une levée de boucliers chez les défenseurs des libertés numériques.
Messageries chiffrées et « client-side scanning » : le point le plus sensible
Le débat autour de chat control EU se concentre largement sur les applications chiffrées de bout en bout : WhatsApp, Signal, Telegram, iMessage, Proton Mail, etc. Dans ces systèmes, seuls l’expéditeur et le destinataire peuvent lire les messages ; la plateforme elle-même n’a, en principe, pas accès au contenu.
Pour contourner cette limite, certaines versions de compromis ont évoqué une solution technique : le « client-side scanning ». Le principe :
- installer des fonctions de scan directement sur l’appareil de l’utilisateur (smartphone, ordinateur) ;
- analyser les images, vidéos ou messages avant leur chiffrement et leur envoi ;
- comparer ces contenus à des bases de données ou les passer à des algorithmes d’intelligence artificielle.
De nombreux cryptographes et experts en cybersécurité estiment qu’il est impossible de généraliser ce type de scan sans fragiliser fortement le chiffrement de bout en bout. Installer, par défaut, un logiciel capable de fouiller tous les contenus sur des centaines de millions d’appareils est assimilé à une forme de « mouchard » généralisé.
Au-delà des risques techniques, des organisations comme des ONG de défense des droits numériques ou des institutions internationales soulignent que compromettre le chiffrement violerait le droit à la vie privée et au secret des communications, protégé par la Charte des droits fondamentaux de l’UE et par la jurisprudence européenne.
Surveillance de masse ou protection ciblée ? Les arguments en présence
Le projet chat control EU cristallise une opposition forte, car il touche à des questions sensibles : la protection des enfants, la surveillance de masse, la présomption d’innocence, le rôle des plateformes et les pouvoirs de l’État.
Les partisans du règlement mettent en avant plusieurs points :
- le volume et la gravité des abus sexuels sur mineurs en ligne, qui justifient selon eux des moyens d’enquête renforcés ;
- la nécessité d’empêcher que les messageries chiffrées ne deviennent un refuge pour les réseaux pédocriminels ;
- le rôle crucial des signalements automatisés pour identifier des victimes et démanteler des réseaux.
Les opposants, eux, soulignent d’autres risques :
- une surveillance généralisée des communications privées, y compris de personnes non soupçonnées d’infraction ;
- des faux positifs, c’est-à-dire des signalements injustifiés d’utilisateurs innocents ;
- une atteinte à la liberté d’expression et au secret professionnel (médecins, avocats, journalistes) ;
- la tentation, à terme, de réutiliser ces outils pour d’autres objectifs (opinions politiques, religieuses, militantes).
Des associations et collectifs mettent aussi en avant le risque de dépendance technologique : les outils de détection sont souvent développés par des entreprises privées, parfois extra-européennes, ce qui pose des questions de souveraineté et de protection des données.
Vérification d’âge et anonymat en ligne : un autre front de débat
Pour appliquer certaines mesures de chat control EU, la Commission a envisagé d’imposer une vérification d’âge à l’installation ou à l’utilisation de services de messagerie. L’idée est de mieux protéger les mineurs, mais les modalités techniques restent très controversées.
Les outils actuels de vérification d’âge sont jugés intrusifs et peu fiables par de nombreux chercheurs. Ils impliquent souvent la collecte de données personnelles ou de documents officiels, ce qui risque :
- de réduire l’anonymat en ligne, pourtant essentiel pour les lanceurs d’alerte, les militants, certaines minorités ou personnes vulnérables ;
- d’exclure les utilisateurs dépourvus de pièces d’identité numériques ;
- d’installer une forme de contrôle permanent sur l’accès aux outils de communication.
C’est un point sur lequel le Parlement européen a adopté une position plus prudente, en demandant des critères stricts pour limiter les dérives et en refusant de compromettre la liberté d’expression au nom de la protection des mineurs.
Où en est la procédure législative européenne ?
L’un des éléments clés pour comprendre chat control EU est la complexité du processus législatif. Contrairement à certaines rumeurs, le règlement n’a pas été « adopté en secret » : plusieurs étapes sont encore en cours.
Trois institutions sont au centre du jeu :
- La Commission européenne : elle a proposé le texte initial et continue de jouer un rôle moteur dans les discussions.
- Le Conseil de l’Union européenne : il rassemble les gouvernements des États membres et arrête une position commune pour négocier.
- Le Parlement européen : il représente les citoyens et doit, lui aussi, adopter une position puis négocier avec le Conseil.
Fin 2025, le Conseil s’est accordé sur une version révisée du projet, supprimant l’obligation de détection automatique au profit d’une détection reposant sur le volontariat des plateformes. Ce compromis a été présenté comme une victoire pour les défenseurs de la vie privée, mais certains observateurs soulignent que des obligations indirectes pourraient, en pratique, inciter les services à scanner massivement les contenus.
La prochaine phase est celle des « trilogues », ces négociations à trois (Commission, Conseil, Parlement) qui aboutiront, ou non, à un texte final commun. Le règlement ne pourra entrer en vigueur que si le Parlement et le Conseil approuvent la même version.
Quels impacts possibles pour les utilisateurs et les entreprises ?
Pour les utilisateurs de messageries, les conséquences du projet chat control EU dépendront fortement de la version finale du texte :
- si la détection reste volontaire et encadrée, certaines plateformes pourraient choisir de ne pas scanner les communications, notamment les services très attachés au chiffrement et à la vie privée ;
- si des obligations plus fortes sont introduites, les utilisateurs pourraient voir apparaître des systèmes de scan, de vérification d’âge ou des restrictions d’accès pour les mineurs ;
- en cas de compromis fragile, le débat pourrait se déplacer vers la confiance accordée aux plateformes et vers l’usage massif d’outils alternatifs plus sécurisés ou auto-hébergés.
Pour les entreprises numériques, le règlement signifierait de nouvelles obligations de conformité, d’audit et de coopération avec les autorités. Les acteurs proposant des services chiffrés de bout en bout seraient particulièrement concernés, car ils devraient concilier la promesse de confidentialité avec des exigences de détection imposées par la loi.
Pourquoi le débat « Chat Control EU » va continuer
Le dossier chat control EU est loin d’être clos. Les États membres restent divisés, le Parlement défend une position plus protectrice sur la vie privée, et la société civile s’est fortement mobilisée, avec des campagnes, des pétitions et des prises de position de chercheurs en cryptographie et en droits numériques.
Dans les prochains mois, plusieurs questions resteront au centre du débat :
- comment concilier la lutte contre les abus sexuels sur enfants avec le respect du chiffrement de bout en bout ?
- jusqu’où aller dans la détection automatisée sans basculer dans une surveillance de masse ?
- quelles garanties offrir aux citoyens pour éviter les dérives et les usages détournés de ces technologies ?
Pour les internautes européens, suivre l’évolution du projet est crucial. Au-delà des termes techniques, il s’agit de trancher une question de société : quelle place donner à la vie privée numérique dans un contexte de menaces bien réelles, mais aussi de pouvoirs technologiques sans précédent ?