La Commission européenne s'apprête à imposer à 450 millions de citoyens une surveillance généralisée de leurs conversations privées. WhatsApp, Signal, Telegram, SMS... toutes vos messageries, sans exception, pourront être contraintes de scruter vos messages avant même de les envoyer. Pourtant, Ursula von der Leyen, qui préside la Commission, est “incapable” de fournir ses messages portant sur un contrat public de 35 milliards d'euros[1]. Trois condamnations de la Cour de justice de l'UE pour manque de transparence[2]... mais pas de sanctions ni de SMS.
Un cheval de Troie
Le texte porte le nom officiel de règlement CSAR (Child Sexual Abuse Regulation), plus communément appelé « Chat Control 2.0 ». Après l'échec retentissant de la version 2022, jugée trop intrusive, une mouture remaniée a été relancée fin 2024. Un accord politique a été scellé le 28 novembre 2025 lors d'un trilogue entre Commission, Conseil et Parlement européen. Le vote final au Parlement, réduit à une simple validation du texte négocié en huis clos, est attendu mi‑décembre 2025 ou début janvier 2026. Dernière étape avant l'entrée en vigueur : un vote formel au Conseil de l'UE.
Le principe est techniquement trivial mais inacceptable : les autorités nationales pourront émettre des « ordres de détection » contraignants, obligeant les messageries comme WhatsApp, Signal, Telegram ou iMessage à analyser les contenus avant leur chiffrement – ce qu'on appelle le "scanning côté client". Concrètement, votre téléphone ou ordinateur scannera vos messages avant même de les envoyer, comparant leur empreinte numérique à des bases de données de contenus “illicites”. Le secret des correspondances privées, garanti par la Charte des droits fondamentaux, devient ainsi une exception activable sur décision des exécutifs des États membres.
Comme nous l'évoquions déjà dans un article précédent[3], ce genre de réglementation s'apparente à un cheval de Troie : vendue comme un rempart contre la pédopornographie et le harcèlement en ligne, elle cache en réalité un objectif liberticide. Le CSAR s'inscrit dans une stratégie rodée : brandir la protection de l'enfance comme bouclier moral, tout en posant l'infrastructure d'un contrôle généralisé des communications, où toute parole dissidente pourra demain être requalifiée en « menace à la cohésion sociale ».
Une dérive institutionnelle majeure
Première alerte : le pouvoir de lever le secret des correspondances, traditionnellement réservé à un juge indépendant, est largement transféré à l'exécutif. Dans le texte actuel, ce sont des autorités nationales – souvent administratives ou rattachées aux ministères de l'Intérieur, donc directement sous contrôle politique – qui pourront émettre les « ordres de détection ».
Les plateformes privées deviennent alors des auxiliaires obligés de police, sous peine d'amendes pouvant atteindre 6% de leur chiffre d'affaires mondial, sans que la décision initiale ne passe systématiquement par un magistrat du siège.
L'histoire récente parle d'elle‑même : états d'urgence prolongés indéfiniment, lois antiterroristes élargies bien au‑delà de leur objectif initial, scandales d'espionnage politique révélés en Grèce (Predator Gate), en Espagne (Catalangate) ou en Pologne (Pegasus). L'exécutif, dès qu'il obtient des outils de surveillance, a une fâcheuse tendance à en abuser.
Vous ne communiquerez plus de la même manière
La connaissance d'une surveillance potentielle modifie profondément les comportements. Des recherches académiques montrent que la simple possibilité d'être surveillé pousse entre 20 et 45 % des utilisateurs à modifier leur comportement en ligne[4] : autocensure des opinions, évitement de certains sujets, restriction des échanges sensibles. Journalistes d'investigation, avocats, militants des droits humains ou simples citoyens critiques du pouvoir hésiteront à s'exprimer librement. L'effet dissuasif est avéré et l'autocensure devient la norme.
Signal et Threema, deux messageries parmi les plus sécurisées, ont déjà réaffirmé qu'elles quitteront le marché européen plutôt que de compromettre leur chiffrement. Au‑delà de la perte de souveraineté numérique que cela représente, c'est un signal clair : les acteurs les plus sérieux en matière de confidentialité préfèrent renoncer à 450 millions d'utilisateurs potentiels plutôt que de mettre en place un système de surveillance.
Le piège des faux positifs
Les expériences nationales sous le régime transitoire « Chat Control 1.0 » sont éloquentes. En Allemagne, la police fédérale reconnaît que près de 50% des signalements automatiques n'ont aucune pertinence pénale. En Irlande, seuls 20% des signalements correspondent effectivement à du matériel d'exploitation[5]. Des photos de vacances en famille, des images médicales, des œuvres d'art, voire de simples mèmes partagés entre amis.
Avec une généralisation du scanning côté client à l'échelle européenne, le volume de photos et messages intimes transmis par erreur aux forces de police explosera, transformant des dizaines de millions de citoyens ordinaires en suspects. Chaque parent ayant photographié son enfant dans son bain, chaque couple ayant échangé des photos intimes, devient un cas potentiel à vérifier “manuellement" par des agents de police.
Le glissement fonctionnel inéluctable
L'histoire des lois d'exception suit toujours le même schéma. Une infrastructure créée pour un objectif précis – aussi noble soit‑il – finit invariablement par servir d'autres finalités. Les prétextes ne manquent pas : discours de haine, terrorisme, ingérence étrangère, désinformation, atteintes à la sécurité nationale (définition extensible à souhait).
Le Patriot Act américain, voté dans l'urgence post‑11 septembre pour combattre le terrorisme, a rapidement servi à surveiller des militants et des journalistes. La loi française sur le renseignement de 2015 permet aujourd'hui d'espionner bien au‑delà des suspects terroristes. Une fois le dispositif technique en place, son extension ne dépend plus que d'une volonté politique… qui très souvent ne tarde pas.
Un problème de proportionnalité
Personne ne conteste la nécessité de protéger les enfants. Mais la Cour de justice de l'UE, comme la Cour européenne des droits de l'homme, impose une règle simple : une mesure aussi grave que la levée systématique du secret des correspondances privées doit être strictement proportionnée et ne doit être adoptée que s'il n'existe aucune autre solution moins intrusive capable d'atteindre le même objectif.
Or ces solutions existent bel et bien :
- Enquêtes judiciaires ciblées sur soupçon concret, avec autorisation d'un juge indépendant – ce qui nécessite de donner à la justice les moyens humains et budgétaires qu'on lui refuse depuis des années
- Renforcement massif des unités spécialisées dans les polices nationales : recrutement, formation continue, outils d'investigation modernes, coopération internationale renforcée
- Coopération renforcée avec les plateformes pour les contenus publics (forums, groupes ouverts, commentaires)
- Signalements volontaires améliorés, avec formation des modérateurs et outils de détection sur les serveurs (et non côté client)
- Éducation et prévention massive : programmes scolaires, campagnes de sensibilisation, soutien aux victimes
Ces méthodes sont déjà appliquées avec succès dans plusieurs États membres. Les Pays‑Bas, par exemple, ont démantelé plusieurs réseaux pédocriminels majeurs en 2023‑2024 grâce à des enquêtes ciblées et à la coopération avec les plateformes, sans scanning généralisé. Elles sont recommandées par l'UNICEF, ECPAT et la quasi‑totalité des experts indépendants en cybersécurité. Elles permettent de démanteler les réseaux sans transformer 450 millions d'Européens en suspects permanents.
À cela s'ajoute un paradoxe qui ruine l'efficacité même du dispositif : les véritables réseaux pédocriminels migreront vers des canaux de communication hors de portée dès que le système sera opérationnel. Le scanning de masse ne surveillera donc que les utilisateurs ordinaires, tout en perdant la trace des organisations ou des individus que le dispositif prétend cibler.
Le CSAR viole donc ouvertement le principe de proportionnalité consacré par l'article 52 de la Charte des droits fondamentaux : il impose une mesure extrême alors que des alternatives efficaces, plus ciblées et moins attentatoires aux libertés existent. Elles semblent juste avoir un petit défaut : elles ne permettent pas de vous surveiller massivement et en toute légalité.
L’étau se resserre
L'Allemagne reste le pivot. Le ministère de l'Intérieur (SPD) pousse pour l'adoption, tandis que le ministère de la Justice (FDP) et les Verts résistent. Une minorité de blocage théorique subsiste encore au Conseil (Allemagne, Pays‑Bas, Autriche, Pologne, Slovénie représentent environ 35% de la population de l'UE, au‑delà du seuil des 35% nécessaires), mais la pression de la Commission et de la présidence danoise est considérable.
Côté Parlement européen, plusieurs eurodéputés – notamment Patrick Breyer (Pirate, Allemagne), Sophie in 't Veld (Renew, Pays‑Bas) et les groupes Verts/ALE – ont annoncé qu'ils tenteraient d'amender ou de rejeter le texte lors du vote final. Mais la marge de manœuvre est étroite : le texte ayant été négocié à huis clos entre Commission, Conseil et Parlement, le Parlement ne peut plus amender substantiellement, seulement accepter ou rejeter en bloc.Et qui osera s'opposer à un texte qui prétend protéger les enfants ? Probablement pas une majorité…
Pendant que vous lisez ceci
L'Union européenne s'apprête à franchir une ligne rouge historique : faire du secret des correspondances privées une exception plutôt qu'une règle. Sous prétexte de protéger les enfants – un objectif que personne ne conteste –, c'est l'ensemble de l'écosystème de confiance numérique européen qui risque de s'effondrer.
Le véritable enjeu n'est pas technique, il est politique : qui surveille qui ? Une démocratie saine repose sur la capacité des citoyens à contrôler leurs dirigeants, pas l'inverse. Le CSAR inverse cette logique fondamentale. Curieusement, les instances qui prétendent défendre les « valeurs démocratiques » ne semblent pas très favorables à la transparence des institutions et au respect de la vie privée.
Le calendrier se resserre dangereusement. L'accord politique du 28 novembre 2025 doit encore être validé par un vote formel au Conseil de l'UE, puis par le Parlement européen (prévu mi‑décembre 2025 ou début janvier 2026). Entre ces deux votes, il reste une fenêtre de quelques semaines pour qu'une minorité de blocage au Conseil se reforme ou qu'une coalition d'eurodéputés rejette le texte. Nous pouvons encore agir :
- Contacter les eurodéputés nationaux avant le vote final (mi‑décembre ou début janvier)
- Soutenir les organisations qui se battent : EDRi (European Digital Rights)[6], La Quadrature du Net[7], Chaos Computer Club[8], noyb[9]
- Relayer l'information : la majorité ignore les vrais dangers
Après, tout sera lu. Vos messages à votre conjoint. Vos échanges avec votre avocat. Vos photos intimes. Vos discussions. Vos critiques. Vos doutes, vos peurs, vos secrets.
Votre intimité aura disparu. Penser et communiquer sans se sentir observé ne sera plus qu'un souvenir.
Marcan pour BAM!
[1] BAM! News - Ursula, fossoyeuse de l’Europe ?
[2] 17 juillet 2024 : Arrêt T‑44/21 - Refus d'accès aux contrats de vaccins COVID‑19 conclus avec les laboratoires pharmaceutiques
17 juillet 2024 : Arrêt T‑158/21 - Refus d'accès aux documents relatifs aux conflits d'intérêts potentiels dans la gestion de la pandémie
14 mai 2025 : Refus de divulgation des échanges entre Ursula von der Leyen et le PDG de Pfizer concernant le contrat de 35 milliards d'euros
[3] Censure : la France sur le podium
[4] The Chilling Effects of Digital Dataveillance: A Theoretical Model and an Empirical Research Agenda - Moritz Büchi, Noemi Festic, Michael Latzer, 2022
[5] Chat Control : l'Allemagne fait basculer l'opposition européenne - Frédéric Boisdron - Conseil en robotique