Peu de dossiers européens produisent autant de malentendus. Le terme « Chat Control » circule depuis des années en désignant, selon les jours, deux textes différents dont l'un n'est même pas adopté. Voici ce qui a effectivement été décidé, et ce qui ne l'a pas été.

Deux textes qu'il faut distinguer

Le premier est une dérogation temporaire à la directive ePrivacy. Depuis 2021, elle autorise les plateformes de messagerie et de courrier électronique à analyser volontairement les contenus qu'elles hébergent afin d'y détecter des images d'abus sexuels sur mineurs, puis à les signaler. C'est un régime d'autorisation, pas d'obligation.

Le second, souvent appelé « Chat Control 2.0 », est un projet de règlement permanent sur la lutte contre les abus sexuels sur enfants. Celui-là créerait de véritables obligations de détection imposées aux fournisseurs. Il est toujours en discussion entre le Parlement, le Conseil et la Commission, sans accord à ce jour, comme le documente l'organisation European Digital Rights.

C'est le premier texte, et lui seul, qui vient d'être prolongé.

Un vote gagné par défaut

La mécanique parlementaire mérite d'être expliquée, car elle explique l'incompréhension. Une majorité relative de députés européens a bel et bien voté pour rejeter la prolongation : 314 voix en ce sens, contre 276 et 17 abstentions, rapporte Euronews.

Sauf qu'à ce stade de la procédure, rejeter un texte exige une majorité absolue, soit 360 voix. Le seuil n'ayant pas été atteint, et le vote suivant s'étant soldé par 276 voix pour le rejet contre 286, la prolongation est passée et le texte est parti au Conseil. La dérogation court désormais jusqu'au 3 avril 2028.

Autrement dit : une majorité de votants s'est prononcée contre, et le texte est adopté quand même. Ce n'est pas une irrégularité, c'est la règle applicable, mais elle nourrit le sentiment d'un passage en force.

Le chiffrement, cœur du malentendu

L'affirmation la plus répandue veut que Bruxelles s'apprête à casser le chiffrement de bout en bout de Signal ou WhatsApp. Elle est inexacte s'agissant du texte prolongé.

La position amendée du Parlement prévoit explicitement d'exclure du champ d'application les communications protégées par un chiffrement de bout en bout, précise Euronews, tout en notant que la portée pratique de cet amendement reste à préciser. Les observateurs restent donc prudents : l'exclusion est écrite, ses effets concrets sont à surveiller.

Le vrai enjeu se situe dans le règlement permanent, encore en négociation. C'est là que se pose la question de savoir si l'on peut imposer une détection généralisée sans affaiblir le chiffrement, question sur laquelle les cryptographes sont largement unanimes depuis des années : une analyse des contenus avant chiffrement revient à créer une faille exploitable par d'autres que les autorités.

Ce que valent les critiques

Les objections ne viennent pas seulement de militants. Le Contrôleur européen de la protection des données alerte de longue date sur le risque d'une surveillance indifférenciée des communications, et sur le volume de faux positifs qu'une détection automatisée génère nécessairement. Des collectifs de chercheurs en sécurité informatique publient régulièrement des lettres ouvertes en ce sens.

À l'inverse, les partisans du dispositif rappellent qu'il constitue aujourd'hui la base légale des signalements effectués par les grandes plateformes, et que sa disparition brutale priverait les enquêteurs d'une source importante.

Où en est-on réellement

Résumons. La détection volontaire sur les messages non chiffrés est prolongée jusqu'en avril 2028. Aucune obligation générale de scanner les communications n'a été adoptée. Le chiffrement de bout en bout n'est pas visé par le texte qui vient de passer, mais la question reste ouverte dans le règlement permanent.

C'est sur ce dernier que se jouera la décision de fond, et les négociations doivent reprendre à la rentrée. Pour le lecteur français, retenir une chose : ce qui a été voté en juillet prolonge l'existant, il ne l'étend pas.