Chat Control, ça s’en va… et ça revient

La directive dite Chat Control, actuellement discutée au niveau européen, pourrait bouleverser en profondeur nos usages numériques quotidiens. Présentée comme une mesure pour lutter contre la pédocriminalité en ligne, elle obligerait les services de messagerie et de communication à analyser systématiquement tous les messages, photos et vidéos échangés par les utilisateurs, y compris les conversations privées chiffrées. En clair, cela reviendrait à instaurer une surveillance de masse automatique, sans distinction entre suspects et citoyens ordinaires. Si ses objectifs affichés paraissent légitimes, les moyens proposés posent de graves questions de respect de la vie privée, d’efficacité réelle, et de compatibilité avec les droits fondamentaux. Cet article revient sur les principaux enjeux et dérives possibles de Chat Control, afin d’éclairer un débat qui, au-delà de la technique, concerne la liberté de chacun à communiquer sans être épié.

---

Dans La baleine et le réacteur, Langdon Winner montre (chap. 8) que les politiques encadrant les technologies se réduisent souvent à une analyse des risques. On compare risques et bénéfices, sans considérer que le risque est souvent perçu de manière subjective — peur légitime ou courage — et comporte toujours une part irrationnelle, même si, dans l’histoire, on a multiplié des instruments efficaces de mesure du risque. Winner souligne que fonder une décision politique sur la mesure du risque oblige les opposants à prouver que le bénéfice ne vaut pas le préjudice, lequel devient alors une conséquence acceptable plutôt qu’un problème en soi.

C’est cette manière d’envisager les choses qui prévaut depuis mai 2022 lorsque la Commission Européenne a présenté un projet de Règlement (COM(2022) 209) dans le cadre de sa stratégie relative à « un Internet plus sûr pour les enfants ». Porté par la DG Home, le projet s’inscrit dans un programme général de prévention des abus sexuels sur mineurs (Child Sexual Abuse Regulation, CSAR). Le projet CSAR est surnommé Chat Control par ses détracteurs, insistant par là sur les conséquences hautement préjudiciables du projet sur les droits fondamentaux. Tout se passe néanmoins comme si le débat ne se limitait qu’à un compromis rendu obligatoire au nom des droits de l’enfance entre politique sécuritaire et liberté de communiquer.

Comme vous le verrez plus bas, le projet est toujours sur la table des négociations et il faut cette fois encore se mobiliser (avant le 14 octobre prochain !)

Pourquoi est-ce la Commission Européenne et non le Parlement qui a proposé ce projet de régulation ? Il appartient à la Commission de traduire dans les décisions la volonté politique de l’UE. L’exposé des motifs présente donc les arguments non pas sous l’aspect politique mais sous l’aspect de l’expression d’un besoin constaté :

1. les abus sexuels sur mineurs en ligne seraient en forte augmentation,
2. les outils actuels seraient insuffisants pour détecter et supprimer les contenus pédocriminels,
3. il faudrait un cadre juridique harmonisé dans l’UE pour obliger les plateformes à détecter ces contenus,
4. en tant qu’organe exécutif, la Commission agit dans le cadre de ses mandats, notamment l’article 114 et l’article 83 du Traité sur le fonctionnement de l’Union Européenne, et propose donc un projet de régulation.

Dès l’instant que la Commission Européenne propose un dispositif de lutte contre la pédocriminalité, le débat est biaisé car il ne s’agit plus de discuter des effets probables du dispositif en matière d’éthique, d’équité, ou même de politique : le sujet est posé, il lui faut une solution technique. Toute controverse implique d’abord de se départir de l’accusation implicite de vouloir remettre en cause la protection de l’enfance. C’est au nom de l’article 24 des Droits fondamentaux de l’UE (droits de l’enfant), qui font écho avec la Charte des Nations Unies, que le principe fondamental du projet de régulation est posé. Mais ce faisant, on peut toutefois s’interroger : peut-on ériger un droit fondamental au dessus des autres ? Le principe de l’égalité des droits fondamentaux semble le contredire, mais dans certains cas, la situation peut être déclarée temporaire. C’est dans cette brèche que s’engouffrent la plupart des problématiques touchant à la surveillance électronique : par exemple, quel équilibre trouver entre le droit à la liberté d’expression et la protection de la vie privée ? vieux problème, n’est-ce pas ?

Dans une telle situation, le préjudice est à la mesure du risque : d’un côté le risque d’une croissance de la pédocriminalité, de l’autre la confidentialité des communications. Par son projet de régulation, la Commission ne prétend pas résoudre un dilemme, elle prétend d’emblée vouloir trouver une solution technique qui puisse satisfaire la tension entre risque et préjudice. La conséquence est la négation du système économique, social et politique dans lequel s’inscrit ce solutionnisme.

Pourquoi Framasoft en parle ?

En tant qu’association d’éducation populaire, voilà des années que nous promouvons les solutions alternatives, respectueuses de données personnelles des utilisateurs et permettant à chacun d’exercer son droit à la communication privée. C’est pour cela que nous avons à multiples reprises plébiscité les solutions… les moins pire. L’utilisation de Signal, par exemple risque d’être très largement empêchée en cas de compromis fonctionnel du CSAR entre les pays européens. La présidente de Signal, Meredith Whittaker, s’est clairement prononcé pour un retrait de l’application du marché européen si tel était le cas.

D’autres solutions existent et on peut en trouver une petite liste dans ce billet. Néanmoins, alors que voilà déjà deux ans que nous avions relayé la mobilisation à l’encontre de Chat Control, force est de constater une très forte insistance de certains élus européens et des institutions elles-mêmes à l’encontre du chiffrement et du droit à la communication privée.

Notre responsabilité ne consiste pas seulement à promouvoir des logiciels libres mais aussi de prévenir les utilisateurs des effets potentiellement sacrificiels auxquels ils s’exposent. Dans un monde où l’utilisation de technologies de chiffrement n’est plus associée à la vie privée et à l’hygiène numérique mais à un comportement potentiellement suspect, nous sommes en devoir de les alerter et de participer à la mobilisation.

• La Quadrature du Net se mobilise depuis longtemps sur cette question.
• Les Chatons se sont groupés contre Chat Control
• French Data Network prévenait déjà au mois d’août
• Une pétition existe sur change.org
• Un site recense la position de nos élus sur le CSAR
• On peut aussi se mobiliser plus activement en contactant les députés

Client-side scanning

Le texte de la proposition CSAR ne mentionne pas explicitement les techniques censées être utilisées dans le cadre de la surveillance des communications interpersonnelles. Il laisse cependant des portes ouvertes en ces termes (texte initial) :

(…) le processus de détection est, de manière générale, le plus intrusif pour les utilisateurs (…), vu qu’il nécessite l’examen automatique du texte des communications interpersonnelles. Il importe, à cet égard, de tenir compte du fait qu’un tel examen est souvent la seule manière de détecter de tels abus et que la technologie utilisée ne « comprend » pas le contenu des communications, mais y recherche plutôt des schémas connus, définis à l’avance, qui indiquent la possibilité d’un pédopiégeage.

L’analyse automatisée des messages privés est par nature incompatible avec le chiffrement de bout en bout. Mais la Commission ne peut pas affirmer explicitement que le chiffrement de nos communications présente en soi un danger pédocriminel, en particulier parce que le chiffrement des communications est nécessaire dans bien des cas d’usage : pensez par exemple lorsque vous communiquez avec votre banque. La seule conclusion qui s’impose, et qui fait primer la logique sur l’éthique (et même l’économie), c’est que l’analyse doit être faite avant chiffrement, donc sur le dispositif lui-même, votre smartphone, votre ordinateur, avec l’application utilisée. Charge aux fournisseurs de se débrouiller pour mettre en place un dispositif de contrôle automatique, c’est-à-dire ouvrir une porte (une backdoor) pour scanner ce que vous faites. Imaginez par exemple être épié par dessus votre épaule lorsque vous écrivez une lettre : personne ne vous empêche de la mettre sous enveloppe et la poster, par contre un tiers aura analysé, et donc lu, ce que vous avez écrit.

C’est ce qu’on appelle le client-side scanning (CSS). L’annexe 9 (pages 284 sq) de l’étude d’impact de la proposition de régulation porte sur la question du difficile équilibre entre le droit à la communication privée (le chiffrement des communication) et la détection de contenus pédocriminels. La solution qui semble la meilleure à retenir en l’état consiste à réaliser un scan et une analyse de correspondance directement sur le dispositif lui-même ou sur un serveur distant avant l’envoi du contenu au destinataire (voir p. 309 et p. 310).

On peut noter hélas que cette annexe technique est rédigée un peu à la va-vite. Par exemple, la question de l’évaluation des risques de faux positifs liés aux contenus pédocriminels sont réduits à des chiffres épars notamment fournis par des dispositifs qui, eux, ont tout intérêt rassurer. Par exemple PhotoADN, fourni par Microsoft, qui estime à 1/50 milliards le nombre de faux positifs (voir note p. 281 : comment est-évalué ? avec de l’IA ?). Par ailleurs, servant la soupe à l’approche comparative des dispositifs envisagés, on peut noter le lobbying assez intense de la « fondation » Thorn qui s’est positionné pour promouvoir son dispositif de surveillance auprès des fonctionnaires européens, ce qui fut assez commenté et documenté dès 2022.

En réalité, tout le projet s’expose à des contradictions assez évidentes avec les dispositions mêmes de l’Union Européenne :

• L’article 7 de la Charte des droits fondamentaux de l’UE qui garantit le respect de la vie privée et des communications : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».
• Le principe de proportionnalité : les mesures proposées sont disproportionnées par rapport à l’objectif poursuivi et généralise le caractère potentiellement criminel de toute activité de communication privée. Tout le monde serait un pédocriminel en puissance.
• Malgré l’exhaustivité de l’étude d’impact, le projet ne prévoit pas de mécanismes clairs pour éviter les abus ou limiter l’usage du CSS à la seule lutte contre la pédocriminalité sur Internet.

Du côté de la société civile, on note depuis 2022 la multiplication des analyses techniques démontrant que le CSS est une mauvaise solution. Comme le rappelle l’Internet Society, l’analyse côté client :

• est à la source d’une augmentation de la surface d’attaque des dispositifs exposant ainsi les individus à un risque accru de criminalité profitant de ces vulnérabilités,
• pose un ensemble de défis quasiment insurmontables : la puissance de traitement pour pouvoir analyser tous les contenus en temps réel, la maintenance des bases de données, le contrôle de ces bases de données (qui a accès ? qui contrôle ?),
• expose à des détournements à d’autres fin que la lutte contre la pédocriminalité : la surveillance de masse à des fins répressives.

Depuis 2022, les prise de position se multiplient à l’avenant. En 2023, le Contrôleur européen de la protection des données lui-même dans un communiqué concluant un séminaire spécialement consacré, qualifie le projet CSAR comme une tentative inadaptée, inefficace, et potentiellement nuisible. Un an plus tard, Netzpolitik rapporte encore :

Depuis des années, des légions d’experts en informatique et chercheurs en sécurité, des juristes, des experts en protection des données, des organisations numériques, des entreprises technologiques, des fournisseurs de messagerie, des représentants des Nations Unies, des experts en protection de l’enfance, des gardiens des normes Internet, des scientifiques et toutes sortes d’experts ont tiré la sonnette d’alarme dans le monde entier : Chat Control est dangereux. Il s’agit d’une nouvelle forme de surveillance de masse. Elle affaiblira la sécurité informatique de chacun d’entre nous. Elle introduirait une infrastructure de surveillance sur les applications et les terminaux au-delà de l’UE, que les États autoritaires utiliseraient à leur avantage.

Les arguments sont controversés mais attention aux fachos

Considérant que l’expertise ne lui était guère favorable, la Commission Européenne a beaucoup communiqué pour promouvoir son projet. Le député européen Patrick Breyer (Verts/Alliance Libre, membre du Parti Pirate) a réalisé un long dossier sur Chat Control dans lequel il démonte plusieurs arguments fallacieux utilisés par la Commission (voir en anglais et en français). Il ici inutile de les répéter, le dossier étant sur ce point assez complet.

En revanche, la saga de la Commission fut émaillée de plusieurs épisodes pour le moins affligeants. Par exemple, cette affaire de pantouflage de deux agents d’Europol chez Thorn, la multiplication de réunions à rythme soutenu pour passer le projet en force, les eurodéputés eux-mêmes qui ne veulent pas de surveillance de masse, etc.

Un épisode de cette saga mérite toutefois de s’y attarder un peu. Celui de l’affaire de microciblage illégal employé par la Commission pour communiquer auprès du public des Pays Bas afin de faire tourner l’opinion en sa faveur. Ce qui est intéressant, dans cette histoire, c’est que ce microciblage visait à exclure des groupes dont les opinions sont plus ou moins proches de l’extrême droite. La raison est à la fois trouble et double. En premier lieu parce que la rapporteuse initiale du projet, la suédoise Ylva Johansson est à l’aile gauche du parti social-démocrate suédois. Un échec de ses multiples prises de parole verrait sa position pro-européenne battre de l’aile, une position qui, encore récemment, mise énormément sur la recherche de compromis entre les pays européens, en particulier en faveur d’une politique migratoire accueillante. En second lieu, il faut prendre en compte que Chat Control est aussi bien décrié par les élus européens d’extrême droite qui y voient un double avantage : d’une part démontrer que l’UE remet en cause les principes souverainistes auxquels ils adhèrent et d’autre part leur permet à peu de frais de se positionner en défenseurs des libertés. Pour les élus français on peut voir par exemple la lettre écrite par Virginie Joron et Tom Vandendriessche sur X ou cette Question à la Commission par Mathilde Androët. Bien sûr, il s’agit d’une question d’affichage et de posture, mais voir nos principes fondamentaux défendus par une engeance pareille me fait vraiment froid dans le dos (remarquons toutefois que ce genre de position est à géométrie variable, puisque les illibéraux fascisants comme Viktor Orban sont plutôt favorables à des logiciels espions comme Pegasus, plus discrets sans doute…).

Les compromis ont bon dos

En fait, si l’on regarde bien la chronologie de la proposition de Règlement, les multiples réunions de compromissions se soldant ou non par des accords, elle suit une route parfaitement rectiligne jusqu’à aujourd’hui. Devant les désaccords, les présidences tournantes du Conseil n’ont jamais cessé de remettre le projet sur la table, montrant ainsi que plusieurs pays le soutiennent activement et que le texte risque de devenir un sujet particulièrement clivant.

Il se trouvait néanmoins qu’en juin 2024 on pouvait croire la situation définitivement bloquée. En effet, alors que la Belgique avait tenté de remettre un proposition de compromis qui relançait le débat sur le client-side scanning, plusieurs pays ont annoncé leur refus de principe ou leur abstention. Comme le projet n’avait alors aucune possibilité de trouver un accord qualifié, le Conseil l’avait donc supprimé de l’ordre du jour. Venait ensuite la présidence de la Hongrie et son gouvernement particulièrement pro-surveillance, qui relança… heureusement encore un échec, appuyé notamment en août 2024, par une lettre ouverte de plus de 300 chercheurs européens montrant que « les solutions techno-centrées basées sur la surveillance ne sont pas une bonne option pour lutter contre la propagation des contenus pédocriminels ». Entre-temps l’Autriche s’est abstenue, et la Pologne a proposé une refonte assez radicale, fidèle à sa position selon laquelle le projet CSAR est bien trop intrusif (elle privilégiait la détection volontaire sur le mode de la prévention (les fournisseurs signalent d’eux-mêmes les contenus illicite). D’autre pays encore s’étant positionnés à l’encontre, les compromis sont restés hasardeux.

Sauf que… le 1er juillet 2025, le Danemark a pris la tête du Conseil de l’Union européenne et a relancé un projet de compromis. Les négociations seraient censées aboutir à une validation du texte le 14 octobre 2025. Une étude assez complète du texte du compromis danois peut-être trouvée sur edri.org. On retrouve le retour de la détection obligatoire (et de masse) cette fois automatisée par IA, le client-side scanning avec un consentement plus ou moins rendu obligatoire ( !), la classification de tous les systèmes de messagerie chiffrés comme étant à haut risque (donc aucune exception), un système de vérification d’âge (dont on connaît déjà les limites, ne serait-ce qu’en termes de faisabilité et de fiabilité et qui exclurait d’emblée les enfants de la possibilité d’utiliser du chiffrement).

Avec un peu d’optimisme, Edri.org note toutefois :

Étant donné que bon nombre de ces éléments sont précisément à l’origine de l’opposition de longue date de la minorité de blocage (les 11 États membres qui empêchent l’adoption du règlement CSA au Conseil), il est évident que les Danois courent à un nouvel échec. Leur tentative ressemble davantage à un exercice de relations publiques qu’à une véritable volonté de faire avancer les choses…

À l’heure de la rédaction de cet article, bien que quelques médias secondaires affirment que la France s’est enfin positionnée et serait favorable à une mouture du projet proposé par le Danemark, aucune position officielle du gouvernement Français n’est parue… Mais… récemment encore, en mars 2025, le gouvernement de Bruno Retailleau était prêt à beaucoup de concessions avec les libertés pour surveiller les communications à l’encontre du chiffrement. Cela fait suite à de nombreuses tentatives de limitation du droit des correspondances dans l’histoire récente de la France. Ainsi, il fut nullement étonnant de voir les représentants du gouvernement français dans le groupe de travail sur l’application de la loi du 12 octobre 2025 (version diffusée par la représentation allemande ; ce groupe de travail vise à préparer et coordonner les décisions politiques liées à la coopération policière européenne) tenir la position favorable suivante :

La France s’est largement déclarée en faveur du texte actuel. Elle a salué le fait que les ordonnances de détection aient été réintroduites. Elle s’est également félicitée de l’inclusion de la classification des risques et de l’analyse côté client. La proportionnalité a été maintenue. Il était important de garantir un examen humain des résultats positifs. La France souhaiterait donc que le Hit-System [système de correspondance de résultats dans une analyse côté client] soit réintroduit dans le texte afin de réduire le nombre de faux positifs. En outre, il doit exister un moyen de faire passer rapidement les services au statut « à haut risque » sur la base de conclusions pertinentes. La sextorsion étant un problème majeur en France, celle-ci a plaidé en faveur d’une période d’examen plus courte pour le grooming [pédopiégeage] (18 mois au lieu de 3 ans). La France s’est également félicitée de la certification des technologies de détection et de la prolongation prévue de 72 mois du règlement provisoire.

Sans vouloir dépeindre négativement la situation, il faut reconnaître que ce dernier document est assez alarmant. La majorité des représentants y soutiennent le texte, malgré quelques réserves techniques secondaires. Seules la Pologne, l’Allemagne et la Tchéquie font preuve d’assez d’intelligence pour pouvoir, espérons-le, empêcher l’avènement du CSAR.