Le Parlement européen et le Conseil ne sont pas parvenus, le 16 mars, à trouver un accord sur la prolongation provisoire du dispositif volontaire de détection des contenus pédopornographiques (CSAM). En l’absence d’accord lors du prochain vote en séance plénière prévu le 26 mars, un vide juridique pourrait apparaître à partir du 4 avril.
Un balayage massif et non ciblé des conversations privées. Voilà ce que les grandes entreprises technologiques sont autorisées à pratiquer depuis 2021, sur une base volontaire.
Ce dispositif, surnommé Chat Control 1.0, correspond à la législation provisoire qui autorise les services de messagerie et les plateformes sociales à analyser les communications des utilisateurs à la recherche de contenus pédopornographiques (CSAM).
Cette loi devait constituer une mesure temporaire destinée à combler un vide juridique en attendant l’adoption d’un cadre permanent. En vigueur depuis 2021, elle expire le 3 avril, ce qui oblige les législateurs à se prononcer sur sa prolongation. Cette fois-ci, toutefois, les débats ont intégré les critiques formulées par des experts techniques et des défenseurs des droits numériques, conduisant à un encadrement plus strict au nom de la protection de la vie privée.
Le 11 mars, une large majorité du Parlement européen (458 voix pour, 103 contre et 63 abstentions) a approuvé une prolongation temporaire jusqu’en août 2027, assortie de conditions importantes.
La détection des CSAM devrait désormais être « proportionnée et ciblée ». Les communications chiffrées de bout en bout, telles que celles de WhatsApp, Signal ou Telegram, sont exclues du champ d’application.
Patrick Breyer, ancien eurodéputé du Parti Pirate allemand et juriste spécialisé dans les droits numériques, a salué ce vote comme « une victoire sensationnelle » et un moment historique. « Tout comme pour notre courrier physique, le filtrage sans mandat de nos communications numériques doit rester tabou », a-t-il déclaré.
Il ne s’agit toutefois que d’une mesure transitoire. Le Conseil, la Commission et le Parlement européens poursuivent les discussions sur le règlement permanent relatif à la lutte contre les abus sexuels sur les enfants (CSAR), que ses critiques qualifient de Chat Control 2.0. Le débat sur l’équilibre entre protection de l’enfance et respect de la vie privée reste donc ouvert.
Ce qui pose problème dans le balayage non ciblé des CSAM
Le principal problème du balayage non ciblé réside dans son potentiel de surveillance de masse et dans ses failles juridiques et techniques.
Avant le vote du 11 mars, Chat Control 1.0 — officiellement la dérogation provisoire à la directive ePrivacy 2025/0429(COD) — permettait aux fournisseurs de services Internet de vérifier automatiquement l’ensemble des messages privés des utilisateurs à la recherche de contenus illégaux. Les conversations étaient analysées, et les images et vidéos suspectes comparées à des bases de données de CSAM connus.
Or, cette pratique soulève d’importantes difficultés juridiques. La confidentialité des communications électroniques constitue un principe fondamental consacré par la directive ePrivacy.
🗳️@Europarl_en has endorsed extending a current ePrivacy derogation so that service providers can voluntarily detect child sexual abuse material- support for extension until 3 Aug 2027- MEPs want to keep encrypted communications out of scopeNext: talks w/@EUCouncil 1/2 pic.twitter.com/etUSugWObxMarch 11, 2026
Les experts en protection des données avertissent depuis plusieurs années que le balayage massif et non ciblé, même lorsqu’il est volontaire, porte atteinte à la sécurité et à la vie privée. De plus, cinq années de détection ouverte des CSAM ont principalement mis en évidence des lacunes juridiques et un nombre élevé de faux positifs, avec des résultats limités en matière de prévention effective.
Les experts en droits numériques de Netzpolitik ont ainsi relevé que la dernière évaluation publiée par la Commission européenne en novembre « ne fournit toujours pas suffisamment de faits et de statistiques pour juger de la proportionnalité de la surveillance volontaire des conversations ».
Le 16 février, le Contrôleur européen de la protection des données (CEPD) a estimé que la prolongation de Chat Control 1.0 « doit corriger les insuffisances et empêcher le balayage indiscriminé ».
Par ailleurs, plus de 50 organisations de la société civile, cryptographes, informaticiens et spécialistes des droits numériques ont signé une lettre ouverte appelant les législateurs à rejeter la prolongation. Selon eux, la loi provisoire « permettrait aux grandes entreprises technologiques de continuer à analyser des milliards de messages privés, courriels et publications sur les réseaux sociaux à travers l’Union européenne, et de les signaler à un centre américain en cas de soupçon ».
Ces arguments ont manifestement conduit les parlementaires à revoir l’encadrement du dispositif.
À quoi ressemblent les nouvelles règles
Le Parlement a introduit une clause imposant que tout traitement de données soit ciblé, spécifié et limité à des utilisateurs individuels ou à des groupes clairement définis, comme les abonnés à une chaîne particulière.
Ce traitement ciblé ne serait autorisé qu’en présence de motifs raisonnables de soupçonner un lien avec des contenus pédopornographiques, et les personnes visées devraient être identifiées par une autorité judiciaire compétente.
Les nouvelles règles excluent explicitement les communications chiffrées de bout en bout ainsi que l’analyse des messages audio.
Toutefois, l’absence d’accord avec le Conseil le 16 mars crée une incertitude juridique. Si aucun compromis n’est trouvé lors du vote prévu le 26 mars, la base légale permettant cette détection volontaire pourrait disparaître à partir du 4 avril.
Quelle suite pour les conversations privées
La position renforcée du Parlement constitue un signal fort en faveur de la protection du chiffrement et d’une surveillance strictement ciblée. Néanmoins, elle ne préjuge pas de l’issue finale des négociations.
Le Conseil, la Commission et le Parlement poursuivent les discussions sur la législation permanente qui remplacera le dispositif provisoire.
Si un accord aurait été trouvé au Conseil en fin d’année dernière, la proposition soumise au trilogue demeure, selon plusieurs technologues et experts en protection de la vie privée, « une catastrophe annoncée », la détection volontaire des CSAM restant un élément central, avec peu de garanties robustes pour le chiffrement.
Depuis les débats de novembre, certains responsables européens ont toutefois évolué. En décembre, le commissaire européen aux Affaires intérieures, Magnus Brunner, s’était aligné sur la position parlementaire en faveur d’une surveillance ciblée.
Le texte permanent inclut encore des dispositions relatives à la vérification de l’âge, jugées problématiques par plus de 400 scientifiques appelant à suspendre ces mesures jusqu’à l’obtention d’un « consensus scientifique » sur leur faisabilité technique et leur efficacité.
Malgré les avancées récentes, la décision finale n’est pas arrêtée. La question demeure donc entière : l’Union européenne confirmera-t-elle son refus de la surveillance de masse, ou le curseur reviendra-t-il vers une approche plus favorable aux grandes plateformes ?
