331 contre 304 : vos conversations privées ne vous appartiennent plus

331 contre 304 : vos conversations privées ne vous appartiennent plus

Vie PrivéeChiffrementUEDroitCybersécurité

Sources:HN + web research · HN

Le 7 juillet 2026, dans l’après-midi, à Strasbourg, le Parlement européen a adopté une motion d’urgence par 331 voix pour, 304 contre et 11 abstentions. En une phrase, le contenu de cette motion : autoriser les entreprises technologiques à analyser vos conversations privées. WhatsApp, Signal, iMessage — si le fournisseur le souhaite, il pourra examiner chacun de vos messages, un par un.

Trois mois plus tôt, ce même Parlement avait rejeté une proposition identique.

Le 26 mars 2026, 311 députés avaient voté contre (228 pour, 92 abstentions). L’amendement clé — le n° 34, qui refusait « l’évaluation automatisée des photos et textes inconnus » — était passé à 307 voix contre 306, soit une seule voix d’écart. Le texte était arrivé à expiration.

Ce qui a été rejeté par les électeurs, comment est-ce revenu ? C’est l’histoire que nous allons raconter aujourd’hui.

欧洲议会大楼外观 Photo : le bâtiment du Parlement européen à Strasbourg. C’est ici que se sont déroulés les différents votes sur Chat Control. Source : Shutterstock / Tero Vesalainen, via heise online


Deux lois, un seul nom

Pour comprendre cette affaire, il faut d’abord dissiper une confusion fréquente. Ce que la presse appelle « Chat Control » recouvre en réalité deux textes législatifs distincts — qui avancent en parallèle dans la machinerie législative de l’UE et qui s’entremêlent.

Chat Control 1.0, officiellement le Règlement (UE) 2021/1232, adopté en juillet 2021. Il s’agit essentiellement d’un « laissez-passer temporaire » : il autorise (sans l’imposer) les entreprises technologiques à analyser volontairement les messages privés, les e-mails et les conversations de leurs utilisateurs, dans le but de détecter des contenus pédocriminels. C’est une loi provisoire, qui devait expirer en août 2024 avant d’être prolongée jusqu’au 3 avril 2026. À cette échéance, le Parlement a refusé une nouvelle prolongation — elle a expiré.

Chat Control 2.0, officiellement le Règlement CSA, présenté par la Commission européenne en mai 2022. Si le 1.0 était un laissez-passer temporaire, le 2.0 visait à inscrire dans le marbre l’obligation permanente de « scanner les conversations privées ». La proposition initiale était radicale : analyse obligatoire de tous les contenus, y compris les communications chiffrées de bout en bout, sans qu’il soit nécessaire de nourrir un soupçon raisonnable à l’égard d’un utilisateur particulier — une surveillance généralisée et indifférenciée. Ces cinq dernières années, le Parlement et le Conseil de l’UE ont mené cinq cycles de négociations en trilogue, qui ont tous échoué. Le dernier en date, le 29 juin 2026, a buté sur la question centrale — « peut-on analyser les communications de citoyens qui ne font l’objet d’aucun soupçon ? » — et les discussions ont été repoussées après la présidence irlandaise du Conseil.

Deux trajectoires parallèles, et ces derniers mois, toute l’attention s’est concentrée sur la première.


Comment ressusciter une loi morte : un tour de passe-passe procédural

Si vous pensiez qu’un texte rejeté par le Parlement ne peut pas revenir, l’opération qui suit risque de vous surprendre.

D’après le suivi de fightchatcontrol.eu, le processus s’est déroulé en sept étapes :

  1. 26 juin : les ambassadeurs des États membres de l’UE s’accordent pour pousser un nouveau projet de règlement « formellement nouveau, mais au contenu strictement identique ». La subtilité : le règlement d’origine étant expiré, il ne peut techniquement pas être « prolongé » — il doit être reconditionné en nouvelle loi.
  2. 2 juillet : le Conseil de l’UE adopte formellement la position de cette « nouvelle » loi par procédure écrite.
  3. 7 juillet : la présidente du Parlement, Roberta Metsola, inscrit cette motion d’urgence à l’ordre du jour du jour même. Il reste moins de 48 heures avant la suspension estivale des travaux parlementaires.

L’architecture procédurale est décisive : le texte étant en « deuxième lecture », le modifier ou le rejeter exige une majorité absolue — au moins 361 voix sur les 720 députés que compte le Parlement. En revanche, l’adopter ne requiert qu’une majorité simple des députés présents ce jour-là. Or, ce jeudi est la dernière journée de travail avant les vacances — et un grand nombre de députés ont déjà quitté les lieux.

Autrement dit : pour le bloquer, il faut réunir 361 voix contre (les absents comptent comme un vote manquant) ; pour le faire passer, il suffit que les voix pour l’emportent sur les voix contre parmi les présents.

Chat Control 法案立法流程示意图 Schéma : le parcours législatif de Chat Control au sein des institutions européennes. Source : closednetwork.io

Un utilisateur de HN a cité l’aveu célèbre de Jean-Claude Juncker, ancien président de la Commission européenne : « Nous prenons une décision, nous la posons là, et nous regardons ce qui se passe. Si personne ne proteste — parce que la plupart des gens ne comprennent pas ce que nous avons décidé — nous avançons pas à pas, jusqu’à ce qu’il n’y ait plus de retour en arrière possible. » Un autre internaute a écrit : « La démocratie, c’est pousser les lois impopulaires jusqu’à ce qu’elles passent. Plus on les pousse, plus c’est démocratique. »

Cette fois-ci, la résurrection du texte a été portée par le Parti populaire européen (PPE, centre-droit). Le basculement décisif est venu du groupe social-démocrate (S&D), qui a changé de position juste avant le vote et annoncé son soutien à la procédure d’urgence, apportant les voix nécessaires pour faire passer la motion. La rapporteure du Parlement sur Chat Control, Birgit Sippel (S&D), a dénoncé « une manœuvre déloyale des États membres » mais a refusé son propre soutien — son groupe ne l’a pas écoutée.


Peut-on vraiment « scanner » des conversations chiffrées ?

Une question technique surgit naturellement : mes messages sont chiffrés, même WhatsApp ne peut pas les lire — alors comment les analyser ?

Cette question touche précisément au cœur de la controverse.

Prenons une analogie. Le chiffrement de bout en bout (End-to-End Encryption, ou E2EE) peut se comprendre ainsi : vous et votre ami décidez d’un mode d’envoi particulier. Vous écrivez une lettre, vous la placez dans un coffre-fort dont seuls vous deux possédez la clé. Ni La Poste, ni le transporteur, ni même l’usine qui a fabriqué le coffre n’ont cette clé. Mathématiquement, cela signifie qu’aucun tiers ne peut lire le contenu du message — à l’exception des deux correspondants.

Dans la réalité, lorsque vous envoyez un message via Signal ou WhatsApp, il est chiffré sur votre téléphone, et seul le téléphone du destinataire peut le déchiffrer. Tous les serveurs intermédiaires ne voient qu’un amas de données illisibles.

Alors, comment « scanner » ? Deux pistes techniques sont actuellement en discussion :

La première s’appelle « l’analyse côté client » (Client-Side Scanning). Avant que votre message ne quitte votre téléphone, il est examiné localement par un programme d’IA embarqué. Si l’IA estime qu’une image semble suspecte, elle la marque, la chiffre, puis la signale à la plateforme. Du point de vue de la communication, le message est bien chiffré avant d’être transmis — mais votre téléphone a déjà « fouillé vos affaires » avant le chiffrement, pour le compte des autorités. Dans notre analogie, cela revient à placer un scanner à l’intérieur du coffre avant de le verrouiller. L’analyse contourne le chiffrement lui-même en agissant directement à la source — sur votre appareil.

La seconde s’appelle « le contournement du chiffrement ». Il s’agit d’imposer légalement aux fournisseurs de services de communication une « porte dérobée » dans le système de chiffrement — un accès réservé aux forces de l’ordre, sous certaines conditions. C’est le scénario que le monde technique redoute le plus, car il signifie que les fondements mathématiques du chiffrement auraient été délibérément affaiblis. Dans notre analogie, cela revient à exiger du fabricant de serrures qu’il installe un « passe-partout » sur tous ses coffres.

À ce jour, le texte de Chat Control 1.0 affirme « ne pas toucher aux communications chiffrées », mais autorise en pratique les fournisseurs à déployer l’analyse côté client. Quant à Chat Control 2.0 — le véritable champ de bataille — il exigeait dès le départ d’inclure les communications chiffrées de bout en bout. Les cinq cycles de trilogue ont tous buté sur cette ligne rouge.

Un membre du conseil d’administration de la Gesellschaft für Informatik (Société allemande d’informatique) a déposé un recours d’urgence devant la Cour constitutionnelle fédérale allemande. Son argument central : le taux de faux positifs des systèmes d’IA de reconnaissance d’images est « inacceptablement élevé ». Rapporté au volume de plusieurs milliards de messages par jour, même un taux d’erreur de 0,01 % signifierait que des millions de conversations parfaitement normales seraient étiquetées comme suspectes chaque jour et soumises à un contrôle humain.


Partisans et opposants : personne ne raconte n’importe quoi

Soyons justes : ceux qui poussent Chat Control ne racontent pas que des balivernes.

Avant le vote, quatre commissaires européens ont adressé une lettre commune au Parlement, d’une tonalité pressante : « Sans mécanisme de détection, les auteurs de violences restent impunis et la quasi-totalité des contenus pédocriminels deviendra indétectable. » Les opposants soulignent que Meta et Google ont continué à transmettre des signalements après l’expiration du règlement. Mais la pression du camp favorable tient à ceci : pendant ces deux mois de « vide juridique » estival, chaque cas non détecté est un enfant qui continue de subir des violences.

La logique du PPE lors du débat était simple : impossible d’attendre deux mois de vacances. Remettons en place un cadre « provisoire », on discutera du 2.0 après l’été.

Les arguments de l’opposition ne manquent pas de poids non plus. Markéta Gregorová, eurodéputée du Parti pirate, a accusé le PPE de « mettre en scène une farce ». Mary Khan, députée de l’AfD, a déclaré : « Personne ne veut affaiblir la protection de l’enfance, mais cela ne doit pas servir de prétexte pour placer tous les citoyens sous une suspicion généralisée et justifier une surveillance de masse. »

Entre ces deux pôles, le commentaire d’un utilisateur de HN, mikaeluman, offre une perspective plus nuancée : « L’écrasante majorité des gens veut davantage d’actions contre les violences faites aux enfants. Mais cette loi est l’archétype du raisonnement « donnez-moi les pleins pouvoirs pour que je fasse le bien ». On aurait pu rédiger un texte étroit, ciblant des suspects précis. On a abouti à un instrument qui touche aux communications de chaque citoyen ordinaire. »

Sur le plan technique, un autre risque revient sans cesse : dès lors que les grandes plateformes intègrent une fonction de scan dans les appareils, elles créent simultanément une toute nouvelle surface d’attaque. Créateurs de malwares, pirates étatiques, voire employés internes des plateformes pourraient exploiter cette brèche. Comme l’a formulé l’utilisateur HN summerlight : « Vous fabriquez un passe-partout et vous dites au monde entier que seules les bonnes personnes s’en serviront. »

Par ailleurs, le propre service juridique du Conseil a émis un avis le 10 juin, indiquant que même un dispositif de scan « volontaire » constitue, dans les faits, une « surveillance généralisée » des communications — sans soupçon raisonnable ni autorisation judiciaire préalable, ce qui contrevient à l’article 7 de la Charte des droits fondamentaux de l’UE. En clair, les juristes du Conseil eux-mêmes estiment que ce dispositif pose problème.


En quoi cela vous concerne-t-il ?

Si vous ne vivez pas en Europe, vous pourriez penser que cette histoire est lointaine. Deux faits méritent pourtant votre attention.

Premièrement, les services Internet n’ont pas de frontières. WhatsApp et Signal ne maintiendront pas une version « scannable » pour les utilisateurs européens et une version « réellement chiffrée de bout en bout » pour le reste du monde. Une fois le mécanisme d’analyse côté client intégré à l’application pour des raisons de conformité, il sera très probablement déployé comme une fonctionnalité globale pour tous les utilisateurs. Le coût en sera supporté par l’ensemble des utilisateurs de la planète.

Deuxièmement, l’effet de contagion. Comme l’a souligné l’utilisateur HN harrisoned : « Certains pays adorent reproduire ce type de réglementation. Dès lors qu’un fournisseur de services se conforme aux exigences de l’UE, d’autres gouvernements viennent frapper à la porte : « Vous l’avez fait pour l’UE, vous pouvez bien le faire pour nous, non ? Ce n’est pas techniquement impossible. » »

欧盟 Chat Control 立法进程追踪 Schéma : les jalons législatifs clés de Chat Control entre 2024 et 2026. Source : byteiota.com

Un autre point facile à négliger : la résurrection de Chat Control 1.0 pourrait, paradoxalement, retarder les négociations sur un Chat Control 2.0 mieux ciblé. Les défenseurs de la vie privée craignent qu’une fois le cadre provisoire remis en place, les gouvernements européens perdent toute urgence à faire avancer une loi véritablement « chirurgicale » — après tout, le dispositif « temporaire » fait déjà l’affaire. Le résultat probable ? Un règlement provisoire qui aurait dû être remplacé dès 2024 devienne un état semi-permanent.


9 juillet : la dernière ligne de défense

Ce jeudi 9 juillet, le Parlement procédera au vote final sur le contenu substantiel de Chat Control 1.0.

Pour le bloquer, il faut 361 voix — la majorité absolue de l’ensemble des députés. Étant donné le nombre de députés déjà partis avant les vacances, ce seuil sera difficile à franchir. Mais si les 361 voix contre ne sont pas réunies, ce texte — que ce même Parlement avait rejeté de ses propres mains il y a trois mois — sera automatiquement adopté.

C’est un combat asymétrique, inscrit dans les règles de procédure elles-mêmes. Et les conséquences de ce combat se feront sentir pendant des années sur chacun des logiciels de messagerie que vous utilisez.

Liens de référence :