Les experts chargés de l’application des lois et les décideurs politiques devraient se réunir le 12 septembre pour délibérer sur des propositions qui obligeraient les entreprises technologiques, notamment des plateformes comme Signal et WhatsApp, à analyser les messages cryptés avant leur transmission. Cette réunion précède un vote prévu sur les propositions, connu sous le nom de « Chat Control », d’ici le 14 octobre, une initiative lancée par la présidence danoise du Conseil de l’UE.
Les propositions « Chat Control » préconisent l’analyse massive des téléphones mobiles et des ordinateurs afin d’identifier les contenus potentiellement pédopornographiques au sein des services de communication cryptés. Cependant, cette initiative a suscité une opposition significative de la part des experts en sécurité et des défenseurs de la vie privée.
Le 9 septembre, plus de 500 cryptographes et chercheurs en sécurité ont publié une lettre ouverte avertissant que les propositions sont techniquement irréalisables et « porteraient complètement atteinte » à la sécurité et à la vie privée des citoyens européens. Ils soutiennent que de telles mesures créeraient des vulnérabilités qui pourraient être exploitées par des pirates informatiques et des États-nations hostiles.
WhatsApp, un service de messagerie cryptée largement utilisé, a également exprimé ses inquiétudes concernant les projets de propositions de l’UE. Un porte-parole de WhatsApp a déclaré que les propositions compromettraient le cryptage de bout en bout, mettant ainsi en danger la vie privée, la liberté et la sécurité numérique des utilisateurs.
La Commission européenne avait initialement proposé d’obliger les entreprises technologiques à analyser les e-mails et les messages à la recherche de contenus potentiellement pédopornographiques en 2022. Cependant, ces projets ont été bloqués en raison de l’opposition d’une minorité d’États membres qui craignaient que les propositions compromettent la sécurité et la vie privée des citoyens de l’UE.
En juillet 2025, la présidence danoise a introduit un compromis visant à équilibrer la sécurité des communications cryptées avec la nécessité d’identifier les contenus potentiellement illégaux. Ce compromis affirme que le règlement proposé ne doit pas être interprété comme interdisant, affaiblissant ou contournant le cryptage, et il permet aux entreprises technologiques de continuer à proposer des services cryptés de bout en bout.
Cependant, le compromis exige également que les entreprises technologiques mettent en œuvre des « technologies approuvées » sur les appareils pour analyser les messages à la recherche d’images, de vidéos ou d’URL potentiellement associées à du contenu connu concernant la maltraitance des enfants avant le cryptage et la transmission. Ces entreprises seraient également tenues de déployer des algorithmes d’intelligence artificielle (IA) et d’apprentissage automatique pour détecter des images d’abus jusqu’alors inconnues.
Au 10 septembre, 15 États membres soutenaient les propositions danoises, tandis que six restaient indécis et six s’y opposaient. Les États opposés, notamment la Belgique, la Pologne, la Finlande et la République tchèque, ont exprimé leurs inquiétudes quant à la surveillance massive des communications des citoyens. Parmi les partisans figurent la France, l’Italie, l’Espagne et la Suède, tandis que l’Allemagne reste indécise. Le pouvoir de vote de chaque État membre est proportionnel à son nombre de représentants.
L’accord de compromis danois définit des exigences spécifiques concernant le cryptage :
- Des services de messagerie accessibles au public utilisant un chiffrement de bout en bout seraient nécessaires pour détecter les contenus abusifs avant leur transmission.
- Les fournisseurs doivent rester libres de proposer des services utilisant le chiffrement de bout en bout et ne doivent pas être obligés de déchiffrer les données ou de créer un accès aux données chiffrées de bout en bout.
- Les utilisateurs de services chiffrés seraient invités à consentir à ce que les images, vidéos et URL qu’ils envoient soient surveillées.
- Les utilisateurs qui n’y consentent pas peuvent être en mesure d’envoyer des messages sans images, vidéos ou URL.
- Les technologies de détection des services chiffrés de bout en bout seraient certifiées et testées par un centre de l’UE afin de vérifier que leur utilisation n’affaiblit pas le chiffrement.
- La Commission européenne aurait le pouvoir d’approuver les technologies de détection.
- Les fournisseurs de services de détection doivent bénéficier d’une surveillance humaine pour réduire les faux positifs et les faux négatifs.
- Les technologies de détection ne doivent pas “introduire de risques de cybersécurité pour lesquels il n’est pas possible de prendre des mesures efficaces pour atténuer ces risques”.
Les opposants aux propositions soutiennent que le « Chat Control » introduit effectivement une surveillance de masse « sans soupçon » pour des centaines de millions d’Européens. La lettre ouverte des cryptographes et des chercheurs en sécurité prévient que la détection sur l’appareil, également connue sous le nom d’analyse côté client, compromet intrinsèquement les protections du cryptage de bout en bout sans garantir une meilleure protection des enfants.
Ils soutiennent que le mécanisme de détection deviendrait une cible privilégiée pour les pirates informatiques et les États-nations hostiles, qui pourraient le reconfigurer pour cibler d’autres types de données, telles que des intérêts financiers ou politiques. Cela compromettrait la sécurité des applications de messagerie cryptées utilisées par les politiciens, les journalistes, les défenseurs des droits de l’homme, les fonctionnaires de l’UE, les forces de l’ordre et les citoyens ordinaires.
Les propositions « violent sans équivoque » les principes du cryptage de bout en bout et affaiblissent sa protection, menaçant le droit du public à la vie privée. Les scientifiques mettent en garde contre des conséquences potentiellement graves pour la démocratie et la sécurité nationale. Ils affirment également que la technologie de numérisation pourrait être réutilisée par des régimes moins démocratiques pour surveiller les dissidents et les opposants ou pour censurer les communications, créant ainsi des capacités de surveillance, de contrôle et de censure sans précédent.
Les propositions danoises pourraient conduire à ce qu’un grand nombre de personnes innocentes fassent l’objet d’enquêtes erronées pour avoir envoyé des images identifiées à tort comme suspectes. Les chercheurs préviennent que les détecteurs existants produiraient des taux de faux positifs et de faux négatifs inacceptablement élevés, ce qui les rendrait impropres aux campagnes de détection à grande échelle. Ils soutiennent également qu’il n’existe aucun algorithme d’apprentissage automatique connu capable d’identifier de manière fiable les images illégales sans commettre un grand nombre d’erreurs.
Le fournisseur allemand de messagerie cryptée Tuta Mail a déclaré qu’il intenterait une action en justice contre l’UE plutôt que de compromettre la vie privée de ses utilisateurs en introduisant des portes dérobées dans son service de messagerie cryptée. Le PDG Matthias Pfau estime que les propositions saperaient la confiance dans la technologie européenne, poussant les utilisateurs vers des géants technologiques étrangers.
Alexander Linton, président de la Session Technology Foundation, affirme qu’il est impossible d’introduire le scan sans créer de nouveaux risques de sécurité. Il déclare qu’aucune des technologies disponibles ne répond à la norme consistant à ne pas introduire de risques inatténuables.
Matthew Hodgson, PDG d’Element, une plateforme de communication sécurisée utilisée par les gouvernements européens, estime que le règlement proposé sur le « Chat Control » est fondamentalement défectueux et mettrait en danger la vie privée et les données de 450 millions de citoyens. Il affirme que saper le chiffrement en introduisant une porte dérobée pour une interception légale introduit délibérément une vulnérabilité qui sera exploitée.
Hodgson a fait référence à une opération de piratage chinoise qui a duré plusieurs années, baptisée Salt Typhoon, qui utilisait des portes dérobées des forces de l’ordre dans le réseau téléphonique public américain pour accéder aux enregistrements d’appels et aux communications non cryptées de citoyens américains. Il a noté que les États-Unis continuent donc d’inciter leurs citoyens à adopter des systèmes cryptés de bout en bout.
Signal a prévenu l’année dernière qu’il retirerait son service de messagerie de l’Union européenne plutôt que de compromettre ses garanties de confidentialité. Callum Voge, directeur des affaires gouvernementales et du plaidoyer à l’Internet Society, a déclaré que l’analyse côté client crée des opportunités pour les acteurs malveillants de faire de l’ingénierie inverse et de corrompre les bases de données d’analyse sur les appareils. Il a comparé l’analyse côté client à quelqu’un qui lit par-dessus votre épaule pendant que vous écrivez une lettre, par opposition à la rupture du cryptage, ce qui revient à ouvrir l’enveloppe.
Voge a déclaré que même si l’analyse de l’IA était efficace à 99,5 % pour identifier les abus, elle entraînerait des milliards de fausses identifications chaque jour, ce qui pourrait surcharger le système et conduire à ce que des personnes innocentes soient étiquetées à tort comme partageant du matériel illégal sur la maltraitance des enfants.
Les scientifiques soutiennent que, plutôt que de s’appuyer sur une « solution technique », les gouvernements devraient investir dans l’éducation, les lignes d’assistance téléphonique et d’autres techniques éprouvées pour lutter contre les abus. Voge suggère que les décideurs politiques devraient donner la priorité aux approches qui protègent les enfants tout en favorisant un Internet ouvert et fiable. Cela comprend des ressources accrues pour des approches ciblées telles que les enquêtes autorisées par les tribunaux, l’analyse des métadonnées, la coopération transfrontalière, le soutien aux victimes, la prévention et la formation à l’éducation aux médias.
Apple avait précédemment abandonné son projet d’introduire une analyse côté client pour détecter les abus sur les enfants sur l’iPhone après que d’éminents scientifiques ont publié un article selon lequel les tentatives du fournisseur ne seraient pas efficaces contre la criminalité ni ne protégeraient contre la surveillance.
