Le “Chat Control” est un projet de règlement de l’Union européenne (proposé par la Commission le 11 mai 2022) qui instaurerait un cadre légal pour détecter, signaler et retirer les contenus d’abus sexuels sur mineurs en ligne (CSAM). Dans sa version la plus controversée, il impose aux messageries et services en ligne de scanner automatiquement ce que les utilisateurs envoient — textes, images, vidéos — y compris dans des conversations censées rester privées et chiffrées de bout en bout. Techniquement, cela revient à déplacer la surveillance au plus près de la source : sur votre appareil même, avant que le chiffrement ne protège vos messages (“client-side scanning”, ou CSS). Cette approche a été jugée problématique par de nombreuses autorités de protection des données et par le service juridique du Conseil, car elle revient à une fouille généralisée dépourvue de soupçon individuel préalable.

Concrètement, l’application de messagerie embarque un module qui calcule une “empreinte” (hash perceptuel) pour chaque image ou analyse chaque message avant l’envoi, puis compare le résultat à des bases de références jugées illégales (catalogues de hachages CSAM, listes de motifs, modèles d’IA). Si l’algorithme “pense” reconnaître un contenu prohibé, il génère un rapport et déclenche une chaîne d’alerte vers un centre désigné ou les autorités. Le problème tient à la fois au principe et à la pratique : sur le principe, vous êtes scanné en permanence sans lien avec une enquête ; sur la pratique, ces systèmes ne sont ni parfaits ni neutres. La littérature scientifique montre des vulnérabilités structurelles : on peut fabriquer de faux positifs à la chaîne, empoisonner les bases de hachage, ou dissimuler un “objectif caché” (ex. reconnaissance faciale ciblée) dans un algorithme de hachage censé ne rechercher que du CSAM. Dans tous les cas, des erreurs se produisent et elles ont des conséquences humaines (comptes fermés, enquêtes injustifiées). On l’a vu dès 2022 : Google a signalé à la police des pères qui avaient pris des photos médicales de leurs enfants à la demande d’un médecin ; les comptes ont été fermés et la suspicion a perduré malgré la clôture des enquêtes.

Le cœur du problème tient au secret des correspondances et à la protection des données. La Charte des droits fondamentaux de l’UE (art. 7 et 8) et la CEDH (art. 8) protègent la vie privée et l’intégrité des communications. La jurisprudence de la CJUE a, à plusieurs reprises, interdit les mécanismes de surveillance généralisée et indifférenciée — même motivés par des objectifs légitimes — au motif qu’ils ne visent pas des personnes déterminées et proportionnées (Digital Rights Ireland, Tele2 Sverige). En d’autres termes : on ne peut pas passer l’intégralité de la population au crible “au cas où”. L’EDPB et l’EDPS, autorités phares en matière de protection des données, ont explicitement averti que le projet, en l’état, conduirait de facto à un balayage généralisé de presque toutes les communications, avec des effets dissuasifs notables sur la liberté d’expression (journalistes, ONG, professions protégées).

Plusieurs signaux sérieux indiquent que non, si le texte impose des détections indifférenciées. Le service juridique du Conseil a souligné l’atteinte aux droits fondamentaux d’une telle surveillance de contenus interpersonnels sans ciblage. Le Parlement (via la commission LIBE) a voté en novembre 2023 une position refusant les scans de masse et protégeant explicitement le chiffrement de bout en bout. Cela ne signifie pas que tout scan est impossible, mais qu’il doit être strictement ciblé, proportionné, et encadré par un contrôle judiciaire robuste. Toute solution qui contourne le chiffrement par un scan systématique côté client se heurte à ces principes.

Un règlement est un acte législatif de l’UE (art. 288 TFUE) qui a portée générale, est obligatoire dans tous ses éléments et directement applicable dans chaque État membre. Contrairement à une directive, il ne nécessite pas une loi nationale pour produire ses effets : il s’applique tel quel, à la même date et de la même manière partout. C’est l’outil qu’utilise l’UE lorsqu’elle veut une règle uniforme pour l’ensemble du marché et des citoyens.

La Commission propose le texte. Puis il est co-décidé par le Parlement européen (députés élus) et le Conseil de l’UE (ministres des États membres) dans la procédure législative ordinaire. En pratique, cela avance par lectures successives, amendements et, souvent, des “trilogues” de compromis Commission–Conseil–Parlement. Si Parlement et Conseil n’adoptent pas le même texte, le règlement ne passe pas. Le résultat final est donc un compromis politique entre gouvernements et représentants élus.

Après la proposition de 2022, le dossier a connu plusieurs blocages politiques en 2024. Depuis juillet 2025, sous présidence danoise du Conseil, il a repris de la vitesse : plusieurs médias spécialisés rapportent un objectif politique de boucler un accord à l’automne, avec une date mentionnée pour un vote autour du 14 octobre 2025 et une cristallisation des positions des États en septembre. Rien n’est joué : la position du Parlement protège l’E2EE, et au Conseil les équilibres changent au gré des coalitions nationales ; certaines capitales ont déjà formé des “minorités de blocage” par le passé. Mais le calendrier s’accélère et les arbitrages techniques (scan opt-in ? limitation aux images connues ? exclusion du grooming ?) restent controversés.

Le rapport de force au Conseil a réellement bougé depuis juillet 2025. Sous présidence danoise, un nouveau texte — largement inspiré des compromis belge et hongrois de 2024 — remet sur la table le scannage obligatoire (y compris avant chiffrement) et une catégorisation des risques par service. Un compte-rendu interne de la réunion du groupe “application de la loi” du 11 juillet 2025, divulgué par netzpolitik.org, résume bien l’état d’esprit : une majorité de pays “peut vivre” avec la proposition danoise, une minorité de blocage demeure, et quelques indécis clés (Allemagne, France, Belgique, Finlande, Luxembourg, Estonie, Tchéquie…) pèsent lourd dans l’équation.

Visuellement, la carte de juillet 2025 publiée par l’eurodéputé Patrick Breyer permet de voir en un coup d’œil les gouvernements “favorables”, “opposés/ neutres” et “indécis”. C’est une photographie militante mais utile pour situer son pays.

Pays explicitement “favorables” dans la réunion du 11/07 (ou positifs sur le texte danois) … Italie, Espagne, Hongrie, Lettonie, Lituanie, Chypre, Croatie, Suède (soutien du gouvernement, feu vert parlementaire requis), Danemark (auteur du texte). La France s’est dite prête à “soutenir dans son principe” le texte, notamment la reconduction du régime transitoire, ce qui la fait basculer dans le camp des plutôt favorables à ce stade. Le Portugal est “très positif” mais garde des réserves sur la partie chiffrement.
Pays “opposés” (ou formellement critiques sur les points clés) … Pologne (refuse la contrainte de scannage et l’inclusion de l’E2EE, souligne les risques cybersécurité et l’invalidité d’un “consentement” forcé), Autriche (liée par une position parlementaire ferme contre le CSS et l’affaiblissement du chiffrement), Pays-Bas (préoccupations fortes sur les “ordres de détection” et le CSS). La Slovénie et le Luxembourg expriment des doutes sérieux sur la proportionnalité et le client-side scanning.
Pays “indécis / en examen” (ou divisés en interne) … llemagne (nouvelle coalition encore en arbitrage, historiquement opposée au scannage E2EE), Belgique (terrain politique “difficile” sur le chiffrement après son propre compromis 2024), Estonie (conflit interne sécurité vs. protection des données sur le CSS), Finlande (texte “plutôt problématique”, examen en cours), Tchéquie (campagne électorale, position à venir), Irlande (salue les garde-fous cybersécurité mais reste prudente), Slovaquie (plutôt positive sur l’ambition, mais sujette à contre-arguments), Roumanie (non citée dans ce compte-rendu précis). Ces nuances comptent : l’avis du Service juridique du Conseil continue de juger le CSS contraire aux droits fondamentaux, ce qui pèse sur les hésitants.

À retenir : l’adoption dépend d’une poignée de capitales (Paris, Berlin, Bruxelles, Helsinki, Luxembourg, Prague, Dublin). Et même chez les “favorables”, plusieurs parlements nationaux pourraient mettre des garde-fous. Pour un panorama grand public, vois la carte juillet 2025 (indicative)

Apple. A abandonné en 2022 son projet de détection CSAM dans iCloud Photos (scannage côté appareil), salué par les défenseurs du chiffrement. Depuis, Apple met plutôt en avant le renforcement de l’E2EE (Advanced Data Protection). Cela reste incompatible avec un CSS généralisé, et l’entreprise communique sur la sécurité systémique plutôt que sur un filtrage par IA des terminaux. Meta / WhatsApp. Position publique constante : pas de porte dérobée et pas de scannage imposé qui affaiblirait l’E2EE. Will Cathcart répète que l’app ne “cassera” pas le chiffrement — messages similaires lors des débats Royaume-Uni/UE. Les médias tech rappellent que les mesures de scannage côté client compromettent la confidentialité revendiquée par WhatsApp. Google. Défend l’E2EE (notamment sur Messages/RCS) et, plus largement, la lutte anti-CSAM par hashing côté serveur là où c’est légal et proportionné, sans endommager l’E2EE universelle. La littérature européenne rappelle les limitations des technologies type PhotoDNA (utile pour contenus connus, pas pour l’“inconnu” ni le “grooming”), ce qui nourrit l’argument contre le CSS généralisé. Microsoft. Promoteur historique de PhotoDNA (détection par empreintes de contenus déjà connus, pas CSS), Microsoft plaide côté UE pour des règles proportionnées et des outils de traçabilité/provenance, pas pour scanner toutes les conversations chiffrées en temps réel. Là encore, la portée technique de PhotoDNA n’équivaut pas à du CSS d’“inconnu”. Signal. Ligne inflexible : plutôt quitter un marché que d’affaiblir l’E2EE. Meredith Whittaker l’a redit publiquement : Signal n’intégrera pas de scannage obligatoire (CSS) ni de “dérogation” à l’E2EE. Threema. Oppose fermement la proposition “Chat Control” et alerte sur l’insécurité systémique que créerait tout CSS. Element / Matrix. Avertit contre le retour du scannage de masse et l’atteinte à l’écosystème open-source (serveurs auto-hébergés, fédération), où imposer des scanners côté client/server serait peu réaliste et dangereux. Proton (Mail/Drive/Pass/VPN). Salue la position du Parlement européen (2023) qui exclut l’E2EE du périmètre de détection et estime que le CSS est techniquement et juridiquement intenable. Telegram. Pas de position officielle claire au niveau UE sur le CSS ; son chiffrement n’est pas activé par défaut dans tous les chats, ce qui en fait un cas hybride dans le débat.

Tendances globales : toutes les messageries réellement E2EE refusent le CSS obligatoire. Chez les “GAFAM”, la ligne publique est de protéger l’E2EE et d’éviter un mécanisme généralisé de scannage côté client.

Si un scan généralisé côté client voyait le jour, chaque appareil deviendrait un poste d’inspection permanent. Vos messages et photos seraient passés au crible avant même d’être chiffrés, et des erreurs pourraient déclencher des signalements — fermeture de compte, blocage de services essentiels (mail, cloud), voire enquête policière. Des cas documentés montrent à quel point ces erreurs peuvent détruire une vie numérique en quelques heures. Au-delà, l’affaiblissement de l’écosystème E2EE ouvre des surfaces d’attaque : plus de code, plus d’accès, plus de risques. Pour les professions protégées (avocats, médecins, journalistes), c’est une remise en cause frontale du secret professionnel ; pour les victimes de violences ou les militants, c’est une perte de refuges sécurisés. Enfin, à l’échelle industrielle, la confiance dans les services numériques européens serait entamée si l’UE devenait la première région démocratique à imposer un tel scan de masse.

Non, pas unilatéralement. En cas d’adoption, un règlement prime sur toute règle nationale contraire (principe de primauté du droit de l’UE) et s’applique directement. Un État ne peut pas “faire exception” nationalement sans s’exposer à une procédure d’infraction par la Commission et, in fine, à une condamnation par la CJUE. En revanche, avant l’adoption, la France peut peser au Conseil, former des coalitions pour amender ou bloquer, et après l’adoption, contester devant la CJUE (action en annulation), ou, si le texte laisse des marges, mettre en place des garanties maximales dans la zone de flexibilité permise (contrôle judiciaire renforcé, audits publics, exclusion du CSS, etc.). Mais une interdiction nationale frontale d’une obligation prévue par un règlement serait contraire au droit de l’Union.

Oui, en droit européen le secret des communications et la confidentialité des échanges avocat-client font partie du cœur du droit au respect de la vie privée (Charte, CEDH art. 8). La Cour européenne des droits de l’homme parle d’une protection “renforcée” du legal professional privilege, car sans confidentialité, le droit à la défense et le journalisme d’investigation deviennent illusoires. De même, l’ePrivacy impose la confidentialité des communications électroniques. Or le client-side scanning (CSS) insère un dispositif qui inspecte les messages avant chiffrement, ce qui fragilise mécaniquement cette confidentialité, y compris pour les professions protégées. Les autorités européennes de protection des données (EDPB/EDPS) ont déjà alerté : imposer des technologies de détection aux messageries peut conduire à un balayage quasi-généralisé des communications, avec des taux d’erreur préoccupants. Autrement dit, même avec des “exemptions” sur le papier, le principe même d’un scanner généralisé côté appareil est difficilement conciliable avec le secret professionnel tel qu’il est protégé en Europe.

Parce qu’un droit fondamental ne dépend pas de ce que vous avez à cacher mais du pouvoir que l’État ou des entreprises peuvent exercer sur votre vie. La surveillance préventive de tous dilue la présomption d’innocence, crée un effet de froid (on s’autocensure), et multiplie les erreurs. Les technologies de détection “découvrent” aussi des innocents : les faux positifs déclenchent des signalements, des clôtures de compte, des enquêtes, avec des dégâts bien réels. Même du point de vue de l’efficacité policière, saturer les services d’alertes douteuses détourne des ressources des cas avérés. Les autorités européennes de protection des données le disent : les taux d’erreur sur la détection de “nouveaux” contenus restent préoccupants. Enfin, la confidentialité protège aussi… les autres : victimes de violences, militants, professions médicales et juridiques, lanceurs d’alerte, journalistes. Affaiblir l’un, c’est affaiblir tous.

Tout le monde partage l’objectif de protéger les enfants. La question est l’efficacité réelle et le coût pour la société. Les analyses techniques indiquent que le CSS élargit massivement le filet, génère de lourds faux positifs et peut être contourné par les délinquants déterminés (réseaux fermés, outils hors UE, adversarial ML). Chaque faux positif absorbe du temps d’enquête et retarde les cas avérés. Des approches plus ciblées existent et donnent des résultats : renforcement des moyens humains et judiciaires, infiltration et filatures ciblées, coopération internationale ciblée, meilleur soutien à la suppression à la source, éducation, et priorisation des signalements réellement exploitables. Autrement dit, privilégier des outils efficaces et proportionnés, plutôt qu’un balayage indistinct de la population.

En juin 2025, la Commission a publié une “feuille de route” pour assurer un “accès légal et effectif aux données” par les forces de l’ordre. Elle prévoit notamment un “technology roadmap” sur le chiffrement dès 2026 et le financement de capacités de déchiffrement à l’horizon 2030 (ex. dotations Europol). Ce contexte stratégique entretient la pression politique sur le chiffrement de bout en bout et explique en partie la volonté de faire passer, à court terme, un texte comme le CSAR. Il est donc crucial de rappeler que le chiffrement fort protège aussi… les hôpitaux, les entreprises, les administrations et les citoyens contre le crime et l’espionnage. Le fragiliser au nom de l’accès “légal” crée des failles utilisables aussi par des acteurs malveillants.

À ce stade, la mise au point et l’exploitation reposeraient largement sur des acteurs privés : grands groupes (Apple, Meta, Microsoft, Google) et sociétés spécialisées (ex. PhotoDNA/MS). Cela pose trois soucis majeurs. D’abord, la transparence : les modèles, seuils et jeux de données d’entraînement relèvent du secret industriel, donc difficilement auditables. Ensuite, la dépendance : l’UE s’exposerait à une externalisation stratégique d’une fonction régalienne (la détection) vers des fournisseurs pour l’essentiel extra-européens, avec des mises à jour unilatérales et des biais importés. Enfin, la dérive de finalité (“function creep”) : une fois l’infrastructure en place, rien n’empêche d’élargir le périmètre (terrorisme, “désinformation”, fraude…), sauf à graver des garde-fous stricts et justiciables. L’épisode Apple 2021 illustre bien ces risques : l’entreprise avait annoncé un système de scan CSAM sur iPhone, puis a reculé face au tollé des cryptographes et régulateurs, précisément en raison de ces dérives potentielles et de la difficulté de garantir un usage strictement borné.

Des gouvernements et autorités de données — notamment en Allemagne, aux Pays-Bas et ailleurs — ont avancé des objections de fond : incompatibilité avec les droits fondamentaux, insécurité technique, inefficacité opérationnelle (trop d’alertes et de faux positifs). Le ministre allemand de la Justice a, par exemple, déclaré que la “chat control” n’a pas sa place dans un État de droit, et la Chambre néerlandaise a publiquement freiné des versions antérieures du texte. Attention toutefois : le paysage est mouvant, et certains pays qui freinaient en 2024 soutiennent désormais des compromis qui réintroduisent du scan côté client. D’où l’importance de suivre au jour le jour la position de votre gouvernement.

Côté Parlement européen, la position de référence reste celle portée en novembre 2023 (LIBE + mandat de négociation) : pas de surveillance de masse, exclusion de l’E2EE du périmètre de détection, ciblage sur base de suspicion raisonnable. Cette ligne a été défendue par une large majorité des groupes (Verts/ALE, La Gauche, S&D et une grande partie de Renew). Elle contredit l’idée d’un CSS généralisé. Après les européennes 2024, la nouvelle législature 2024-2029 a renouvelé les délégations françaises (RN/Patriotes pour l’Europe, LR/PPE, Renaissance-MoDem-Horizons/Renew, PS-Place Publique/S&D, LFI/La Gauche, Écologistes/Verts). À ce jour, la plupart des prises de position publiques suivent la ligne des groupes : • Écologistes (Verts/ALE) et LFI (La Gauche) : opposition frontale au CSS et à toute atteinte au chiffrement. Ils ont soutenu la ligne LIBE 2023. • S&D (PS/Place Publique) et Renew (Renaissance/Modem/Horizons) : plutôt alignés avec la position LIBE 2023 (protection de l’E2EE, approche ciblée), même si certains élus peuvent se dire “ouverts” à des mesures très circonscrites contre du contenu connu, sous contrôle judiciaire. • PPE (Les Républicains) : divisés entre une sensibilité “sécurité” (favorable à des obligations de détection) et une sensibilité “état de droit/technique” préoccupée par la proportionnalité et la sécurité du chiffrement. • Patriotes pour l’Europe / ID héritée (RN, alliés) : hétérogènes selon les dossiers sécurité/vie privée ; pas de ligne publique française univoque sur le CSS obligatoire à l’instant T. • ECR (Identité Libertés) : plutôt favorable à des outils d’investigation renforcés, mais pas au prix d’une faille généralisée dans l’E2EE (nuances internes).

Expliquez d’abord le mécanisme sans jargon : “On veut installer un logiciel sur nos téléphones qui lit nos messages avant qu’ils soient chiffrés, pour comparer ce qu’on envoie à des bases d’images et à des modèles automatiques. Si la machine se trompe, elle peut nous signaler à tort.” Puis l’enjeu : “Ce n’est pas un débat pour ou contre la protection des enfants, c’est un débat sur la méthode : scanner tout le monde tout le temps, c’est disproportionné et inefficace. Les délinquants s’adaptent ; en revanche, on fragilise la sécurité et la vie privée de tous.” Enfin la solution : “Mettre des moyens humains, cibler les enquêtes, coopérer entre États, démanteler les réseaux à la source, éduquer et prévenir — sans casser le chiffrement.” Pour un pitch de 30 secondes : “Le ‘Chat Control’, c’est un scanner sur nos téléphones qui lit nos messages avant envoi. Ça peut se tromper et signaler des innocents. Ça casse le secret des échanges (médecins, avocats, journalistes) et crée des failles pour les pirates. Protégeons les enfants avec des moyens efficaces et ciblés, pas en surveillant 450 millions d’Européens.” Pour un échange plus long, utilisez des analogies concrètes : “Accepteriez-vous qu’un agent ouvre toutes vos lettres ‘au cas où’ ?” Rappelez qu’en Europe, la confidentialité des communications et le secret professionnel sont des droits protégés — et que les autorités de protection des données ont mis en garde contre les erreurs et les dérives. Proposez une action claire : signer la pétition, écrire à ses eurodéputés, en parler au travail et à l’école, et préférer des messageries qui s’engagent publiquement contre le CSS obligatoire.