Chat Control, la loi européenne qui fait trembler la sécurité numérique des PME

En octobre, les États membres de l’Union européenne se prononceront sur le controversé projet de loi « Chat Control ». Ce qui inquiétait déjà les particuliers pourrait dorénavant menacer également les entreprises. « Le chiffrement est le Saint Graal de la sécurité numérique », avertit Matthias Dobbelaere-Welvaert, directeur de Ministry of Privacy. « Dès que vous y introduisez une porte dérobée, vous ouvrez la boîte de Pandore. »

En 2022, la Commission européenne a déposé un projet de loi, le « Chat Control 2.0 ». Il s’agit d’une proposition de règlement européenne visant à prévenir et combattre la diffusion de contenus pédopornographiques (CSAM – Child Sexual Abuse Material, ndlr). Ce projet impose un scan automatique, effectué par des intelligences artificielles, des messages, photos et vidéos issus des plateformes de messagerie (WhatsApp, Signal, etc.).

La méthode de scan préconisée repose sur le « client-side scanning ». Cela veut dire que le contenu est scanné avant son cryptage, soit directement sur l’appareil de l’utilisateur. Ce qui rend techniquement possible la détection de CSAM sans passer par un accès aux serveurs.

Et c’est là que le bât blesse, car cette méthode pose question et soulève bien des controverses, à commencer par des risques pour le chiffrement et la sécurité, ainsi que le problème de la surveillance de masse, avec les dérives d’atteinte à la vie privée qui pourraient en découler. En effet, en affaiblissant le cryptage de bout en bout, ce dispositif pourrait créer des « portes dérobées » (backdoors), fragilisant la sécurité des communications. Sans oublier qu’une fois en place, cette infrastructure pourrait être étendue à d’autres types de surveillance (terrorisme, discours haineux, médisance, etc.)

Même si son objectif est louable, ce projet de loi est loin de faire l’unanimité et le texte initial de 2022 a été repoussé à plusieurs reprises faute de consensus politique. Ainsi, la première version du projet a d’ailleurs été rejetée par le Parlement européen, ce dernier lui préférant une approche de surveillance ciblée plutôt qu’indiscriminée.  Selon le Conseil juridique de l’UE, une régulation généralisée violerait les Droits fondamentaux à la vie privée garantis par la Charte européenne. Finalement, en février 2024, la Cour européenne des droits de l’homme (CEDH) a jugé que l’affaiblissement du chiffrement ne peut pas être considéré comme « nécessaire dans une société démocratique ».

Depuis le 1er juillet 2025, le Danemark assure la présidence tournante du Conseil de l’Union européenne, un rôle qu’il occupe jusqu’au 31 décembre de la même année. Et le pays a décidé de faire du Chat Control une priorité. Ainsi, les États membres ont jusqu’au 12 septembre pour finaliser leurs positions au sein du Conseil de l’Union européenne. Et le vote final du Conseil, sous la présidence danoise, aura lieu le 14 octobre 2025.

Les entreprises technologiques devront également adapter leurs systèmes de sécurité à cette loi, dont les conséquences pourraient être considérables.

Explication de Matthias Dobbelaere-Welvaert, directeur de Ministry of Privacy  et militant pour la protection de la vie privée. 

Commençons par le début. En quoi consiste exactement Chat Control ?

MATTHIAS DOBBELAERE-WELVAERT. « La proposition veut briser le cryptage afin de rendre possible le client-side scanning. Dans la première version, chaque photo devait être analysée par un algorithme. Désormais, il s’agit uniquement d’images connues d’abus sexuels sur mineurs. Mais le chiffrement est quelque chose de binaire : soit il offre une protection totale, soit aucune. Cela signifie que toute communication deviendrait potentiellement accessible.

« L’impact pour les entreprises ne doit pas être sous-estimé. L’attention se porte surtout sur WhatsApp et Signal, mais il existe aussi des plateformes professionnelles comme Slack et Microsoft Teams. Les entreprises doivent se préparer au fait que leurs communications ne seront plus totalement protégées. De nombreuses PME utilisent des groupes WhatsApp pour leur communication interne. Si Chat Control est adopté, aucune forme de cryptage ne subsistera. »

Pourquoi Chat Control est-il, selon vous, si risqué pour les entreprises ?

DOBBELAERE-WELVAERT. « Le chiffrement est le Saint Graal de la sécurité numérique. Dès que vous y introduisez une porte dérobée, vous ouvrez la boîte de Pandore. On ne sait jamais qui y aura accès : des hackers, des gouvernements étrangers ou des concurrents. Pour des secteurs comme la pharma, la technologie ou la défense, où circulent d’énormes budgets et des données de recherche sensibles, cela peut être désastreux. Dans ces domaines, une seule fuite ou une interception peut coûter des millions d’euros. Et dans d’autres secteurs également, on sous-estime souvent l’importance de la confidentialité. »

Les partisans affirment que c’est nécessaire pour lutter contre les abus sexuels sur mineurs. Qu’en pensez-vous ?

DOBBELAERE-WELVAERT. « Tout le monde est évidemment contre de tels crimes, mais cet argument est systématiquement utilisé pour imposer des restrictions à la vie privée en ligne. En réalité, la criminalité organisée se trouve depuis longtemps sur le dark web. Surveiller WhatsApp ou Telegram touche surtout les citoyens ordinaires et les entreprises, qui perdent leur confidentialité numérique. »

La Belgique hésite

Quels sont les risques juridiques ?

DOBBELAERE-WELVAERT. « Lorsque les gouvernements disposent d’une porte dérobée dans les outils de communication, ce n’est pas seulement la police et la justice qui peuvent regarder. Le fisc a déjà accès aux données financières des entreprises. Les banques sont obligées de communiquer les avoirs chaque trimestre. Pourquoi la communication ne serait-elle pas la prochaine étape ? »

Cela ne contredit-il pas le RGPD, la réglementation européenne sur la protection des données ?

DOBBELAERE-WELVAERT. « Non. Le RGPD légitime surtout le traitement des données lorsqu’il existe une base légale. Chat Control deviendrait simplement une obligation légale supplémentaire. Pour ceux qui pensaient que le RGPD protégerait réellement notre vie privée, c’est une désillusion. »

Quelle est la position des États membres de l’UE sur ce projet ?

DOBBELAERE-WELVAERT. « L’Autriche, les Pays-Bas et la Pologne y sont fermement opposés. La Belgique hésite encore, tandis que l’Allemagne a traditionnellement une forte culture de protection de la vie privée. Un lobbying intense est en cours. De nombreux pays initialement contre se sont entre-temps ralliés. Le Conseil européen votera en octobre. D’ici là, la bataille du lobbying fait rage. »

Le choix le plus fiable pour les entreprises

Les entreprises ne doivent pas rester passives, plaide Dobbelaere-Welvaert. « Il n’est de toute façon pas judicieux de placer toutes ses données confidentielles dans des services cloud américains », estime-t-il. « Il existe des alternatives européennes plus respectueuses de la vie privée. Les grandes entreprises devraient progressivement s’éloigner des produits Google et Microsoft. Pour les petites, c’est plus difficile, faute de budget et de compétences. Mais la prise de conscience est cruciale. »

Certaines applications sont-elles plus sûres que d’autres ?

DOBBELAERE-WELVAERT. « Toutes les applications ne fournissent pas le même niveau de protection. Signal reste le choix le plus fiable. Telegram donne l’impression d’être sûr, mais les conversations standard ne sont pas chiffrées de bout en bout. Seuls les ‘secret chats’ offrent cette protection. WhatsApp, par défaut, assure une meilleure sécurité qu’une conversation classique sur Telegram. »

Que peuvent faire les entreprises ?

DOBBELAERE-WELVAERT. « Il faut toujours garder à l’esprit que ce qui semble sûr aujourd’hui peut ne plus l’être demain. Ceux qui misent dès maintenant sur des alternatives européennes et des procédures internes de sécurité renforcées seront demain moins vulnérables. »