Par Thomas Fazi - Le 27 novembre 2025 - Source Unherd
En théorie, le contrôle des messages privés aurait dû être enterré le mois dernier. L' inquiétant plan de l'UE de scanner en masse les messages privés des citoyens s'est heurté à une résistance écrasante du public en Allemagne, le gouvernement du pays refusant de l'approuver. Mais Bruxelles recule rarement simplement parce que le public l'exige. Et donc, fidèle à sa forme, une version retravaillée du texte est déjà avancée - cette fois à l'abri des regards, à huis clos.
Le contrôle des messages privés, officiellement connu sous le nom de Règlement sur les abus sexuels sur enfants, a été proposé pour la première fois par la Commission européenne en 2022. Le plan initial aurait obligé les fournisseurs de messagerie électronique et de messagerie à analyser les communications privées, même cryptées - dans le but prétendu de détecter les potentiels abus sexuel d'enfants.
L'outil a été vendu comme une noble croisade contre certains des crimes les plus horribles du monde. Mais les critiques ont fait valoir que l'outil risquait de devenir un modèle de surveillance généralisée, en donnant essentiellement aux États et aux institutions de l'UE la possibilité de scanner chaque message privé. En effet, une consultation publique précédant la proposition a révélé qu'une majorité de répondants s'opposaient à de telles obligations, plus de 80% rejetant explicitement son application aux communications cryptées de bout en bout.
Pourtant, malgré des blocages répétés et des critiques généralisées pour violation de la vie privée et des droits fondamentaux, le texte n'a jamais été abandonné. Au lieu de cela, il a été reconditionné et continuellement poussé d'une présidence du Conseil à l'autre. Chaque fois que la résistance démocratique a arrêté le plan initial, il revenait sans cesse sous de nouvelles formes, sous de nouvelles étiquettes, chaque fois déguisé en outil « nécessaire » et « urgent » pour protéger les enfants en ligne, tout en préservant toujours sa logique fondamentale : normaliser la surveillance mandatée par le gouvernement des communications privées à une échelle sans précédent.
En mai, la Commission européenne a de nouveau présenté sa proposition. Pourtant, plusieurs États s'y sont opposés. Parmi eux, l'Allemagne mais aussi la Pologne, l'Autriche et les Pays-Bas. En conséquence, le Danemark, qui assure actuellement la présidence tournante du Conseil européen, a immédiatement commencé à rédiger une nouvelle version, connue sous le nom de "Chat Control 2.0" et dévoilée plus tôt ce mois-ci, version qui supprimait l'obligation de surveillance générale des discussions privées ; les recherches resteraient désormais formellement volontaires pour les fournisseurs. Tout cela s'est passé sous les auspices du Coreper, le Comité des représentants permanents - l'une des institutions les plus puissantes, mais les moins visibles, du processus décisionnel de l'UE. C'est là que la plupart de la législation de l'UE est effectivement négociée ; si le Coreper s'accorde sur un dossier législatif, les États membres l'approuvent presque toujours.
Le pari a fonctionné. Hier, cette version révisée a été discrètement approuvée par le Coreper, ouvrant essentiellement la voie à l'adoption du texte par le Conseil, peut-être dès décembre. Comme l'a dit Patrick Breyer, militant des droits numériques et ancien député européen, cette manœuvre équivaut à "un tour de passe-passe trompeur" visant à contourner un débat et un contrôle démocratiques significatifs.
Bien que la suppression de la détection obligatoire sur l'appareil soit une amélioration par rapport à la première version, le nouveau texte contient toujours deux fonctionnalités extrêmement problématiques. Premièrement, il encourage le balayage de masse « volontaire » par les plateformes en ligne - une pratique déjà autorisée sous forme "temporaire", qui deviendrait désormais une caractéristique durable du droit de l'UE. Deuxièmement, il interdit effectivement la communication anonyme en introduisant des systèmes obligatoires de vérification de l'âge.
Une lettre ouverte signée par 18 des plus grands universitaires européens en matière de cybersécurité et de protection de la vie privée a averti que la dernière proposition posait "des risques élevés pour la société sans avantages évidents pour les enfants". Le premier, à leur avis, est l'expansion du balayage "volontaire", y compris l'analyse automatisée de texte à l'aide de l'IA pour identifier les comportements ambigus de "toilettage". Cette approche, soutiennent-ils, est profondément imparfaite. Les systèmes d'IA actuels sont incapables de faire correctement la distinction entre une conversation innocente et un comportement abusif. Comme l'expliquent les experts, la détection de toilettage basée sur l'IA risque de balayer un grand nombre de conversations normales et privées dans un filet, submergeant les enquêteurs de faux positifs et exposant les communications intimes à des tiers.
Breyer a en outre souligné ce danger en notant qu'aucune IA ne peut distinguer de manière fiable entre le flirt innocent, le sarcasme humoristique et le toilettage criminel. Il a averti que cela équivaut à une forme de chasse aux sorcières numérique, où la simple apparition de mots comme "amour" ou "rencontre" dans une conversation entre membres de la famille, partenaires ou amis pourrait déclencher un examen intrusif. Il ne s'agit pas de protection de l'enfance, a soutenu Breyer, mais de soupçons massifs dirigés contre l'ensemble de la population. Même sous le régime volontaire existant, la police fédérale allemande avertit qu'environ la moitié de tous les signalements reçus sont sans pertinence pénale, ce qui représente des dizaines de milliers de discussions juridiques divulguées chaque année. Selon la Police fédérale suisse, 80% des contenus signalés par la machine ne sont pas illégaux. Cela pourrait, par exemple, englober des photos de vacances inoffensives montrant des enfants nus jouant sur une plage. Le nouveau texte augmenterait considérablement ces risques.
D'autres préoccupations découlent de l'article 4 de la nouvelle proposition de compromis, qui oblige les fournisseurs à mettre en œuvre "toutes les mesures appropriées d'atténuation des risques". Cette clause pourrait permettre aux autorités de faire pression sur les services de messagerie cryptés pour qu'ils activent l'analyse, même si cela compromet leur modèle de sécurité de base. En pratique, cela pourrait signifier exiger que des fournisseurs tels que WhatsApp, Signal ou Telegram analysent les messages sur les appareils des utilisateurs avant que le cryptage ne soit appliqué.
L'Electronic Frontier Foundation a noté que cette approche risque de créer une infrastructure de sécurité permanente, qui pourrait progressivement devenir universelle. Meta, Google et Microsoft scannent déjà volontairement le contenu non crypté ; étendre cette pratique au contenu crypté nécessiterait simplement des modifications techniques. De plus, ce qui commence comme une option volontaire peut facilement devenir obligatoire dans la pratique, car les plateformes font face à des pressions réputationnelles, juridiques et commerciales pour "coopérer" avec les autorités. De plus, cela n'affecte pas seulement les citoyens de l'UE, mais du monde entier, y compris les États-Unis. Si les plateformes décidaient de rester dans l'UE, elles seraient obligées de scanner les conversations de tous les membres du bloc. Si vous n'êtes pas dans l'UE, mais que vous discutez avec quelqu'un qui l'est, votre vie privée est également compromise.
Un autre danger majeur est l'introduction de systèmes obligatoires de vérification de l'âge pour les boutiques d'applications et les services de messagerie privée. Bien que le Conseil affirme que ces systèmes peuvent être conçus pour "préserver la vie privée", les critiques insistent sur le fait que le concept même est technologiquement irréalisable. Les évaluations de l'âge reposent inévitablement sur des données biométriques et comportementales, qui nécessitent toutes deux une collecte de données invasive. Loin de protéger les enfants, ces systèmes augmenteraient le volume d'informations personnelles sensibles stockées et potentiellement exploitées.
Exiger des documents d'identité officiels pour la vérification en ligne exclurait des millions de personnes qui n'ont pas facilement accès à des pièces d'identité numériques ou qui ne fourniront pas de documents aussi sensibles simplement pour utiliser un service de messagerie. En pratique, cela signifierait la fin de la communication anonyme en ligne, obligeant les utilisateurs à présenter des scans d'identité ou de visage simplement pour ouvrir un compte de messagerie ou de messagerie. Breyer a averti que de telles mesures seraient particulièrement désastreuses pour les lanceurs d'alerte, les journalistes, les militants politiques et autres dépendants de l'anonymat en ligne. Cela pousserait également les moins de 16 ans vers des alternatives moins sûres et mal réglementées qui manquent de cryptage ou de protections de sécurité de base.
En fin de compte, les critiques soutiennent que la surveillance de masse n'est tout simplement pas la bonne approche pour lutter contre l'exploitation sexuelle des enfants. La numérisation des messages privés n'arrête pas la circulation du matériel de maltraitance des enfants. Des plateformes telles que Facebook utilisent des technologies de numérisation depuis des années, mais le nombre de rapports automatisés continue d'augmenter. De plus, l'analyse obligatoire ne permettrait toujours pas de détecter les auteurs qui distribuent du matériel via des forums secrets décentralisés ou via des archives cryptées partagées en utilisant uniquement des liens et des mots de passe - des méthodes que les algorithmes d'analyse ne peuvent pas pénétrer avec succès. La stratégie la plus efficace consisterait à supprimer les contenus abusifs connus des hébergeurs en ligne, ce qu'Europol n'a pas réussi à faire à plusieurs reprises.
En bref, le contrôle des messages privés ne ferait pas grand-chose pour aider réellement les enfants victimes d'exploitation sexuelle tout en faisant du mal à tout le monde. Chaque message ferait l'objet d'une surveillance, sans aucun contrôle judiciaire, contrairement aux garanties de longue date de correspondance privée. Il y a aussi une question juridique ici. La Cour de justice de l'UE a déjà statué que l'analyse générale et automatique des communications privées violait les droits fondamentaux, mais l'UE est maintenant sur le point d'adopter une législation qui contrevient à ce précédent. Une fois adopté, il pourrait s'écouler des années avant qu'une nouvelle contestation judiciaire ne l'annule.
La confidentialité des communications électroniques - essentielle pour la vie privée, le secret des affaires et la participation démocratique - serait sacrifiée. Des conversations sensibles pourraient être lues, analysées, signalées à tort ou même utilisées à mauvais escient, comme l'ont montré des scandales passés impliquant des responsables du renseignement et des employés de la technologie. L'un des cas les plus notoires d'abus de renseignements est venu de l'Agence de sécurité nationale des États-Unis, dans lequel plusieurs employés de la NSA ont été surpris en train d'utiliser les puissants outils de surveillance de l'agence pour espionner des partenaires romantiques et des ex-amants. Des documents divulgués ont également montré que l'agence de renseignement britannique GCHQ capturait et stockait des images de chats webcam Yahoo, y compris des millions d'images sexuellement explicites d'utilisateurs totalement innocents. Il y a également eu plusieurs cas d'employés de grandes technologies - de Google à Facebook - utilisant des outils internes pour espionner des utilisateurs sans méfiance.
De plus, le cryptage sécurisé, fondement de la cybersécurité, serait compromis par l'introduction de portes dérobées ou d'outils d'analyse côté client que les services de renseignement étrangers ou les acteurs criminels pourraient exploiter. Dans le même temps, la responsabilité des enquêtes criminelles passerait d'autorités démocratiquement responsables à des algorithmes d'entreprise opaques, avec un minimum de transparence ou de surveillance.
Les opposants soutiennent donc que l'UE devrait plutôt adopter une approche fondamentalement différente : une approche qui protège les enfants sans porter atteinte aux droits fondamentaux. Ils proposent de mettre fin à l'analyse volontaire actuelle des messages privés par les sociétés Internet américaines - rétablissant le principe selon lequel la surveillance ciblée nécessite un mandat judiciaire et doit être limitée aux personnes raisonnablement soupçonnées d'actes répréhensibles - et maintiennent que le cryptage sécurisé de bout en bout et le droit à la communication anonyme doivent être préservés.
La question du fluage fonctionnel est particulièrement préoccupante, le processus par lequel une technologie introduite dans un but étroitement défini s'étend progressivement pour servir des objectifs plus larges, et parfois entièrement différents, au fil du temps. La Loi britannique sur la sécurité en ligne, adoptée en octobre 2023, oblige les entreprises à développer des systèmes de détection des abus sexuels sur enfants, même si le gouvernement britannique lui-même admet qu'une telle infrastructure n'est pas encore techniquement disponible, créant une autorité légale en attente de capacité technique. Aux États-Unis, les mesures de surveillance "temporaires" introduites dans le cadre du Patriot Act post-9/11 sont devenues permanentes et ont même élargi leur portée. Une fois qu'une infrastructure technologique de surveillance en ligne complète existe, elle peut facilement être réutilisée et est difficile à démanteler. Les technologies conçues pour détecter les contenus préjudiciables peuvent rapidement être étendues à la répression politique ; des exemples d'États autoritaires montrent comment des systèmes similaires sont utilisés pour identifier et cibler les dissidents.
Breyer a résumé ce schéma de manière catégorique : "Ils nous vendent de la sécurité mais fournissent une machine de surveillance totale. Ils promettent la protection des enfants mais punissent nos enfants et criminalisent la vie privée. » Les implications sont inquiétantes. L'Europe est effectivement sur le point de construire une machine qui peut tout voir. Une fois construit, elle servira non seulement les autorités politiques actuelles - l'idée que l'Usrsula Von der Leyen espionne les messages de chacun est déjà assez inquiétante - mais aussi quiconque exercera le pouvoir ensuite. Avec cette autre tentative, la fenêtre pour arrêter le contrôle des messages privés se rétrécit.
Thomas Fazi
Traduit par Wayan, relu par Hervé, pour le Saker Francophone.