Contrôle du chat

Chat Control est le nom familier du projet de règlement de l'Union européenne sur les matériels pédopornographiques (CSAR). La proposition, introduite par la Commission européenne en mai 2022, exigerait que les services en ligne – y compris les messageries cryptées de bout en bout – analysent les messages et les images des utilisateurs à la recherche de CSAM. Le débat politique a été intense ; le règlement a fait l'objet de plusieurs révisions ; à la fin de 2025-2026, le résultat est encore incertain.

Ce que cela exigerait

Le principales obligations de la proposition :

• Les services en ligne qui risquent d'héberger du CSAM (que les autorités interprètent au sens large) devraient évaluer ce risque et le signaler.
• Les services dont le risque est évalué pourraient être ordonnés par les autorités de déployer une « détection » – une analyse automatisée du contenu pour CSAM connu et détection du toilettage.
• Les ordres de détection s'appliqueraient quel que soit le cryptage - les mises en œuvre devraient contourner le cryptage ou analyser côté client avant le cryptage.
• Les rapports seraient envoyés à un nouveau centre de l'UE qui se coordonne avec les forces de l'ordre nationales.
• La vérification de l'âge des services susceptibles d'être accessibles aux mineurs serait obligatoire.

Le problème de chiffrement

Le impossibilité technique au cœur du débat : le chiffrement de bout en bout empêche le service de lire les messages. L'analyse obligatoire des messages E2E nécessite soit :

• Analyse côté client. L'appareil de l'utilisateur exécute la détection CSAM avant le chiffrement. C'est l'appareil, et non le service, qui voit le texte en clair. C'est ce qu'Apple a proposé en 2021 (depuis mis de côté) et ce qu'envisagent certaines propositions actuelles de Chat Control.
• Rupture du chiffrement. Suppression complète d'E2E du service. Défendu par certains politiciens comme « juste pour l'analyse CSAM », mais techniquement équivalent à mettre fin à E2E à toutes fins. La même infrastructure de numérisation peut être étendue ; les mêmes portes dérobées peuvent être exploitées ; les mêmes faux positifs créent des problèmes de libertés civiles.

  Les arguments pour

  • CSAM constituent un préjudice réel et grave. Sa distribution traumatise les survivants et permet des abus continus.
  • Les principales plates-formes (Meta, Microsoft, Google) analysent déjà le contenu non-E2E à la recherche de CSAM et produisent des centaines de milliers de rapports par an.
  • Le passage à E2E a réduit ces rapports - la transition de Meta de Messenger vers E2E a produit une baisse visible de la détection des CSAM.
  • Certains groupes de défense affirment que donner la priorité à la vie privée plutôt qu'à la protection de l'enfance est moralement indéfendable.

  Les arguments contre

  • Les experts en cryptographie (y compris des centaines d'universitaires dans des lettres publiées) affirment que l'analyse côté client compromet fondamentalement la sécurité E2E.
  • Organisations de défense des libertés civiles (EFF, EDRi, Bits of Freedom) notent que l'analyse obligatoire des messages privés constitue une surveillance de masse sans précédent.
  • Faux positifs — l'analyse automatisée produit des correspondances erronées ; les critiques voient des photos de plage familiales signalées comme CSAM. Le cas d'analyse CSAM de Google (un père mal classé pour une photo médicale de son fils) est devenu un célèbre incident de faux positif. les démocraties mettant en place l'analyse obligatoire des communications privées protègent les régimes autoritaires faisant de même.
  • Les utilisateurs se tourneront vers des services non européens hors de portée du règlement. Les délinquants CSAM, dont les opérations sont sophistiquées, changeraient simplement de plateforme. Les utilisateurs occasionnels perdraient leur vie privée sans affecter le préjudice ciblé.

  La trajectoire politique

  • 2022 : introduction de la proposition de la Commission.
  • 2023 : les commissions du Parlement européen produisent une version modifiée, supprimant de nombreuses dispositions relatives à l'analyse de masse.
  • 2023-2024 : Conseil de l'UE débats; les États membres sont divisés. La France et l'Allemagne sceptiques sur plusieurs points ; L'Espagne et l'Irlande plaident pour le scanning.
  • 2024-2025 : Plusieurs votes programmés, plusieurs votes reportés faute de consensus.
  • 2026 : Forme finale non encore réglée. Le règlement peut être adopté sans analyse E2E obligatoire, peut être adopté avec lui ou peut être substantiellement retiré.

  Réponse de Signal

  La présidente de la Fondation Signal, Meredith Whittaker, a déclaré publiquement que Signal quitterait l'UE plutôt que de mettre en œuvre une analyse côté client. WhatsApp (Meta), Wire et d'autres messagers E2E ont fait des déclarations similaires avec une force variable. Le combat politique s'est défini comme "protéger les enfants contre les entreprises technologiques qui esquivent leurs responsabilités" - même si les préoccupations techniques de fond sont réelles et ne se limitent pas au lobbying. La loi britannique sur la sécurité en ligne comprend des dispositions similaires en matière d'analyse (actuellement différées). Les États-Unis ont eu plusieurs projets de loi (EARN IT, STOP CSAM Act) avec des dispositions connexes. Les règles informatiques indiennes incluent des exigences de traçabilité qui briseraient le cryptage. Le schéma est similaire à l'échelle mondiale : le cadre de protection de l'enfance conduit à des propositions d'analyse obligatoires qui brisent E2E.

  La réalité technique (à savoir que l'analyse des messages E2E nécessite de briser le cryptage qui les rend sécurisés) ne change pas d'une juridiction à l'autre. Le calcul politique le fait.