Vendredi 12 septembre 2025, les membres du Conseil de l’UE doivent communiquer leur position finale sur le projet de loi controversé de balayage des messages visant à combattre les abus sexuels sur mineurs — une proposition qui a rouvert le débat sur la surveillance chats privés et la protection de l’encryption.
Origines et évolution depuis mai 2022
Le texte trouve son origine en mai 2022, lorsque la Commission européenne a présenté la première proposition de règlement sur la protection des enfants contre les abus sexuels (CSAR). L’objectif affiché est de rendre l’environnement en ligne plus sûr pour les mineurs en empêchant le partage de contenus d’abus sexuels sur mineurs (CSAM). Mais la méthode proposée — le scan des messages privés — a déclenché d’intenses débats politiques et techniques.
Après plus de trois ans d’efforts infructueux pour obtenir une majorité au Conseil, la présidence danoise a dévoilé, le 1er juillet 2025, une nouvelle version de ce qui est désormais surnommé « Chat Control ». Cette itération impose aux services de messagerie opérant en Europe d’analyser les conversations des utilisateurs — y compris lorsque celles-ci sont chiffrées — afin de détecter des URLs, photos et vidéos connues ou inconnues de CSAM. La numérisation devrait se dérouler au niveau de l’appareil, avant chiffrement.
Seules les comptes gouvernementaux et militaires sont exclus du champ d’application du projet de loi. Selon les dernières données disponibles, 15 pays soutiennent la proposition, 6 sont indécis et 6 s’y opposent.
Pourquoi la surveillance chats privés inquiète les experts et les techniciens
Plusieurs voix scientifiques et de la société civile mettent en garde contre les risques techniques et juridiques d’un tel dispositif. Le 9 septembre, plus de 500 cryptographes et chercheurs ont signé une lettre ouverte adressée au Conseil de l’UE pour souligner les dangers d’une adoption de la proposition sous sa forme actuelle. C’est la troisième lettre de ce type depuis 2022.
Le texte danois conserve, selon certains experts, des éléments jugés problématiques : bien qu’il limite le balayage aux URLs et aux fichiers multimédia comme dans la proposition belge, il réintroduit aussi la détection indiscriminée de CSAM inconnu, ce qui, estiment-ils, revient à revenir aux méthodes initiales controversées.
Patrick Breyer, ancien député européen du parti Pirate allemand et juriste des droits numériques, a qualifié la proposition danoise de « more radical version », alertant sur « intrusive and unreliable scanning ». D’autres spécialistes consultés par TechRadar estiment que la réglementation est trop large et probablement inefficace.
Risques pour l’encryption et la sécurité nationale
Le principal enjeu est la remise en cause de l’encryption de bout en bout. Bart Preenel, cryptographe belge, professeur à l’université de Leuven et signataire de la lettre du 9 septembre, insiste : « [Lawmakers] try to deny it, but encryption means that only the sender and receiver can see the message. If anybody has looked at it [even before getting encrypted], then you destroy the value offered by the encryption, ».
Callum Voge, directeur des affaires gouvernementales et du plaidoyer à l’Internet Society, avertit que le système dit de « client‑side scanning » ne violerait pas seulement le droit à la vie privée et au secret des correspondances, il introduirait aussi des vulnérabilités exploitables par des forces de l’ordre comme par des cybercriminels. « This is a very big threat to national security in the EU. A weakness that the EU should not be creating at all, » dit-il, ajoutant : « Given the current geopolitical situation, we think governments should really be encouraging more encryption, not trying to weaken it, or undermine it. »
Voge pointe aussi une contradiction politique : « What’s very telling of the Danish proposal is that government and military accounts are exempt from scanning. So, clearly [lawmakers] understand there’s a security risk, but they think that risk is acceptable for the public but not acceptable for themselves, ». Des autorités comme les forces armées suédoises et l’agence de renseignement néerlandaise ont mis en garde contre les risques pour la sécurité nationale.
Matthias Pfau, PDG du fournisseur de messagerie chiffrée Tuta, prévient que son entreprise est prête à saisir la justice européenne si la loi danoise était adoptée : « We will not stand by while the EU destroys encryption, ».
Le rôle décisif de l’Allemagne et la suite procédurale
Vendredi 12 septembre 2025, les États membres doivent rendre publiques leurs positions finales sur la version danoise. Un autre rendez‑vous formel avec le ministre de la Justice de l’UE est fixé au 14 octobre, mais il ne devrait être qu’un acte de validation formel si les positions nationales ne changent pas.
Si le Conseil parvient à une majorité, le règlement CSAR sera transmis au Parlement européen pour négociation dans le cadre du trilogue avec la Commission. Parmi les pays favorables figurent la France, l’Italie et l’Espagne ; parmi les opposants se retrouvent l’Autriche, la Belgique, la République tchèque, la Finlande, les Pays‑Bas et la Pologne. L’Allemagne, listée parmi les indécis, est perçue comme le facteur déterminant pour l’adoption finale.
Selon Callum Voge, la nouvelle coalition gouvernementale allemande envoie des signaux contradictoires, ce qui rend incertaine la décision allemande : « no one can definitively say what’s going to happen on Friday, ». Enfin, certains observateurs craignent que la pression pour accéder aux données chiffrées dépasse le seul dossier CSAM et s’étende à d’autres textes comme ProtectEU, ce qui, selon Bart Preenel, ferait de CSAM « an excuse to open the door ».
Le débat autour du Chat Control oppose donc la volonté de protéger les mineurs en ligne et les risques systémiques liés à l’affaiblissement de l’encryption, avec des implications techniques, juridiques et de sécurité qui resteront au cœur des discussions dans les semaines à venir.