Les applications de messagerie WhatsApp et Signal se sont publiquement opposées au projet « Chat Control » de l’Union européenne, visant à renforcer la lutte contre les abus sexuels sur les enfants en ligne. Un positionnement qui, à première vue, pose question.
La relance du débat autour du projet de loi de « Chat Control » de la Commission européenne fait à nouveau réagir, tant du côté des associations de défense des droits numériques que des services de messagerie tels que WhatsApp et Signal. Les deux ont d’ailleurs publiquement signifié leur opposition à la proposition européenne, en raison du risque pour la vie privée qu’elle représente.
La présidente de Signal, Meredith Whittaker, a alerté sur Bluesky que le projet « pourrait signifier la fin des communications privées – et la présence de Signal – dans l’UE ».
Même mise en garde du côté du PDG de WhatsApp (Meta), Wil Cathcart : « La proposition de la présidence de l’UE, divulguée aujourd’hui, supprimerait le chiffrement de bout en bout tel que nous le connaissons, compromettant ainsi considérablement la vie privée des citoyens », a-t-il écrit sur X.
Pourtant, derrière ce projet de loi à première vue liberticide se cache un objectif louable : renforcer la lutte contre les abus sexuels sur les enfants en ligne. Alors, où est le problème ? Il réside dans la manière dont l’UE souhaite mettre le CSAR (Child Sexual Abuse Regulation) en place.
Scanner tous les messages
La proposition de loi vise à obliger les plateformes et services de messagerie à scanner l’ensemble des messages (texte, image/vidéo et audio) envoyés par leurs utilisateurs, dans le but de détecter et de signaler les contenus potentiellement problématiques. Les SMS, mais aussi les applications de messagerie dites « chiffrées », donc WhatsApp et Signal, sont également concernés par le projet.
Dans les faits, la « proposition de règlement établissant des règles pour prévenir et combattre les abus sexuels commis contre des enfants » obligerait les fournisseurs de services (WhatsApp, Signal, Telegram, Instagram et autres) à espionner leurs utilisateurs en installant des outils d’analyse (“client-side scanning”) directement dans leurs applications. L’analyse se ferait directement sur le smartphone ou l’ordinateur de l’expéditeur, avant l’envoi et donc avant le chiffrement de son message.
Il est intéressant de noter qu’Apple avait annoncé un projet similaire en 2021 sur iCloud, son service de stockage en ligne, mais avait rapidement fait marche arrière suite au tollé que son projet avait provoqué.
Plusieurs failles pointées du doigt
De nombreux chercheurs en cybersécurité, ONG et entreprises technologiques y voient une atteinte grave à la vie privée, mais aussi un risque accru pour la sécurité, car cela créerait des portes dérobées généralisables. De plus, la logique de la Commission européenne vise à considérer chaque individu comme un suspect potentiel.
Dans une lettre ouverte, 500 cryptographes, chercheurs en sécurité et scientifiques de renommée mondiale, issus de 34 pays, ont démonté les principaux arguments en faveur du « Chat Control », avertissant que la technologie ne fonctionne tout simplement pas et créerait une infrastructure de surveillance propice aux abus, rapporte Patrick Breyer, défenseur des droits numériques et ancien député européen du Parti pirate.
Analyser des centaines de millions de photos et messages privés avec un « niveau de précision acceptable » est tout bonnement impossible. Le système prévu par la Commission européenne déclencherait forcément une avalanche de « faux positifs » concernant des photos de famille envoyées à des proches ou entre adolescents consentants.
« Les recherches existantes confirment que les détecteurs de pointe produiraient des taux de faux positifs et de faux négatifs inacceptablement élevés, les rendant inadaptés aux campagnes de détection à grande échelle, à l’échelle de centaines de millions d’utilisateurs. »
Mais plus encore, les chercheurs confirment que les algorithmes de détection sont « faciles à contourner » par les malfaiteurs, ce qui ferait de l’outil de l’UE une menace pour les innocents.
« Il n’existe aucun algorithme d’apprentissage automatique capable de [détecter les contenus CSAM inconnus] sans commettre un grand nombre d’erreurs… et tous les algorithmes connus sont fondamentalement susceptibles d’être contournés. »
Enfin, ils critiquent sévèrement le fait que la proposition créerait des « capacités sans précédent de surveillance, de contrôle et de censure » avec un risque inhérent de « dérive fonctionnelle et d’abus par des régimes moins démocratiques ».
Quid maintenant ?
Les premières discussions concernant le projet CSAR remontent en réalité à 2022, sans trouver de consensus entre les États membres. En juillet 2025, le Danemark, qui occupe la présidence de l’UE, a relancé le débat, alors que le Parlement européen s’y était déjà opposé en 2023. L’Allemagne, la France, l’Espagne et la Pologne se sont montrées ouvertes aux discussions : elles estiment qu’il est devenu indispensable de scanner chaque message dans la lutte contre les réseaux pédocriminels. Quant à la Belgique, la N-VA avait fait part, en août dernier, de son opposition claire au projet.
La proposition de loi sera à nouveau discutée le 14 octobre prochain, si le Danemark obtient suffisamment de soutien. Si un accord venait à être voté la semaine prochaine, cela ne veut pas dire que le texte sera adopté. Des négociations complexes avec le Parlement européen et la Commission suivront certainement.