Chat Control : une version allégée qui menace toujours la cybersécurité européenne

Achraf Hamid
Mailinblack

Le Conseil de l'UE s'est mis d'accord sur une version allégée du règlement abandonnant le scan obligatoire des communications mais contenant toujours d'autres mesures fragilisant la sécurité.

Le 26 novembre 2025, après trois ans d’impasse, le Conseil de l’Union Européenne a enfin arrêté sa position sur le règlement CSAR (Child Sexual Abuse Regulation), plus connu sous le nom de « Chat Control ». Si le texte abandonne les détections obligatoires des messages privés qui auraient imposé le scan des communications chiffrées, il maintient un mécanisme ambigu : des obligations de « mitigation des risques », dans lesquelles figure toujours la possibilité de scanner volontairement les échanges, y compris sur des services chiffrés de bout en bout (E2EE).

Ce compromis marque une inflexion politique, mais il ne résout pas le cœur du problème : dès lors qu’un système de scan est envisageable, la sécurité globale de l’écosystème numérique s’en trouve fragilisée.

Un risque technique toujours présent : le chiffrement affaibli par design 

Les experts en cryptographie le soulignent depuis 2022 : analyser des communications E2EE nécessite d’introduire du “client-side scanning”, c’est-à-dire un module inspectant les contenus avant leur chiffrement. Qu’il soit obligatoire ou volontaire ne change rien : toute brique d’analyse généralisée constitue une porte dérobée potentielle.

Les conséquences sont nombreuses et identifiées : 

  • augmentation de la surface d’attaque sur les terminaux, 
  • risques d’exfiltration ou d’injection de contenus falsifiés, 
  • contournements faciles par les criminels,
  • faux positifs massifs saturant les services de police,
  • perte de confiance dans les messageries, avec migration vers des outils moins sûrs. 

En d’autres termes : la sécurité de tous est réduite, sans garantie d’améliorer la détection des contenus criminels. 

Un risque institutionnel : la dérive fonctionnelle toujours possible 

Le Conseil insiste sur la nécessité de « préserver le chiffrement ». Pourtant, en intégrant le scan dans l’arsenal des mesures de mitigation, le texte crée un précédent. Avec la création du nouvel EU Centre on Child Sexual Abuse, chargé de collecter les signalements, de maintenir une base d’indicateurs et d’orienter les mesures à mettre en œuvre, l’Europe installe une infrastructure centrale d’inspection, susceptible d’être étendue demain à d’autres finalités : lutte contre l’extrémisme, désinformation, contenus politiques sensibles, etc. Les chercheurs appellent ce phénomène le “function creep”. Dès qu’une capacité technique existe, la tentation de l’élargir apparaît. L’expérience montre que le risque n’est pas théorique, mais bien réel.

Un risque stratégique pour les acteurs européens 

Les entreprises européennes spécialisées dans le chiffrement (Tuta, Proton, Element, Threema) ont déjà exprimé leurs inquiétudes. Si la conformité implique indirectement d’adopter un scan volontaire, certains acteurs pourraient : 

  • réduire les protections de chiffrement,
  • se retirer du marché européen (comme l’a déjà fait Proton suite à une incertitude juridique du gouvernement suisse entourant les propositions visant à introduire une surveillance de masse),
  • pousser les utilisateurs vers des solutions non chiffrées ou hors-UE, plus dangereuses.

Ce scénario contredit la stratégie européenne de souveraineté numérique et affaiblit l’avantage concurrentiel créé par le RGPD. 

Sécuriser sans surveiller la population 

La recherche, les ONG et les professionnels de terrain convergent sur trois approches réellement efficaces qui permettaient de sécuriser les citoyens sans affaiblir les organisations. Tout d’abord, renforcer les enquêtes ciblées : coopération policière, moyens humains spécialisés, infiltration et traitements judiciaires proportionnés permettront d’arrêter des abuseurs. 

Ensuite, prioriser la prévention et la formation : la majorité des situations d’abus ne se détecte pas via des algorithmes car elles s’inscrivent dans des dynamiques sociales et éducatives qui nécessitent une approche humaine, continue et contextualisée : l’éducation au numérique, le développement d’une culture de la vigilance, la formation des parents, des enseignants et des professionnels, et des outils de signalement simples et accessibles. Les programmes de sensibilisation démontrent que lorsqu’un individu comprend les mécanismes d’ingénierie sociale, reconnaît les signaux faibles et adopte des pratiques numériques saines, il devient plus efficace que n’importe quel dispositif technique de surveillance.

Enfin, explorer des solutions réellement privacy-by-design comme la classification sécurisée via calcul multipartite, la détection opt-in, l’analyse locale totalement décentralisée, etc. Des propositions suggérées par des chercheurs depuis 2019. Si elles ne sont pas miraculeuses, elles respectent un principe essentiel : ne jamais affaiblir le chiffrement pour l’ensemble de la population.

Le texte adopté par le Conseil ce mercredi 26 novembre permet certes d’avancer dans le processus législatif, mais il laisse persister un problème essentiel : tant que le scan des messages reste une mesure de mitigation possible, la cybersécurité européenne demeure menacée. La prochaine réunion de négociations sera déterminante car les institutions devront arbitrer entre deux visions de l’Europe : l’une fondée sur la confiance numérique, l’autre sur une logique d’inspection généralisée risquant d’affaiblir les acteurs européens.