Le chiffrement de bout en bout n’a jamais eu autant d’ennemis déclarés. Dans son rapport IOCTA 2025, Europol s’en prend une nouvelle fois aux messageries sécurisées, mais appelle aussi à un renforcement de la surveillance des métadonnées. Une approche qui fait craindre une remise en cause profonde du droit à la vie privée en ligne.

En plus de cibler les contenus chiffrés, Europol veut désormais vos métadonnées. © PixelBiss / Shutterstock
En plus de cibler les contenus chiffrés, Europol veut désormais vos métadonnées. © PixelBiss / Shutterstock
L'info en 3 points
  • Europol critique une fois encore le chiffrement de bout en bout, le jugeant un obstacle aux enquêtes criminelles efficaces.
  • L'agence propose une surveillance accrue des métadonnées, menaçant potentiellement la vie privée en ligne.
  • Les critiques soulignent les risques de dérives et d'abus liés à ces mesures de surveillance renforcée.

En matière de surveillance, les intentions d’Europol sont de plus en plus claires. En janvier dernier, déjà, sa directrice Catherine De Bolle relançait les appels à un affaiblissement du chiffrement pour faciliter les enquêtes criminelles, au nom d’une « responsabilité sociale » des grandes plateformes. Six mois plus tard, l’agence revient à la charge avec un nouvel angle d’attaque : l’encadrement strict – et potentiellement généralisé – des métadonnées. Une requête qui, sous couvert d’efficacité opérationnelle, pourrait fragiliser un peu plus encore l’équilibre entre sécurité intérieure et libertés fondamentales.

Faute de messages à lire, Europol s’attaque aux métadonnées

Publié mi-juin, le rapport IOCTA 2025 dresse un tableau sombre de l’évolution de la criminalité en ligne, en pointant, une fois encore, les limites imposées par le chiffrement de bout en bout.

En ligne de mire, évidemment, les applications sécurisées comme Signal ou WhatsApp, accusées d’entraver les enquêtes policières. Le chiffrement de bout en bout empêche en effet les fournisseurs d’accéder aux messages, ce qui rend tout mandat d’interception inutile. Pour Europol, cette opacité nuit gravement aux capacités d’enquête et justifie l’introduction d’accès légaux intégrés dès la conception des services – autrement dit, des backdoors. Une idée également soutenue par la Commission européenne, dans le cadre de sa stratégie ProtectEU, qui entend renforcer les moyens d’enquête numériques des autorités répressives, notamment en définissant une « feuille de route technologique sur le chiffrement » et en facilitant un accès légal aux données.

La critique est récurrente, on ne vous apprendra rien. En revanche, ce qui l’est moins, ce sont les revendications qui l’accompagnent cette année. Europol plaide désormais pour une collecte plus systématique et encadrée des métadonnées, ces infos techniques qui, faute d’accès au contenu, en disent long sur nos activités numériques. Adresses IP, numéros de téléphone, localisation, historique de connexions, volume et fréquence des échanges : autant de données sensibles qui, une fois compilées, permettent de reconstituer des profils détaillés, de cartographier des réseaux et d’identifier des suspects, sans jamais lire un seul message.

Le problème, selon Europol, c’est que ces données ne sont pas conservées suffisamment longtemps ni de manière cohérente en fonction des pays. Le rapport appelle donc à fixer des règles européennes communes sur la rétention et l’accès aux métadonnées, en particulier celles jugées « essentielles » comme les logs IP ou les informations d’abonnement. À terme, cela pourrait obliger les services en ligne à stocker des données qu’ils ne conservent pas aujourd’hui, à commencer par les fournisseurs de VPN, souvent fondés sur un strict modèle « no-log ». Une orientation dans la droite ligne des propos de Catherine De Bolle, qui martelait en janvier que « l’anonymat n’est pas un droit fondamental ».

Catherine De Bolle, directrice d'Europol, le clame ouvertement : "l'anonymat n'est pas un droit fondamental", et les Big Tech sont appelées à faire preuve de "responsabilité social"... © Alexandros Michailidis / Shutterstock
Catherine De Bolle, directrice d'Europol, le clame ouvertement : "l'anonymat n'est pas un droit fondamental", et les Big Tech sont appelées à faire preuve de "responsabilité social"... © Alexandros Michailidis / Shutterstock

Des risques bien connus, souvent balayés

Des backdoors dans les systèmes chiffrés, une rétention étendue des métadonnées, des obligations imposées aux services qui ne loggent rien… Pour les défenseurs de la vie privée, les pistes avancées par Europol relèvent d’un vieux réflexe sécuritaire, aux conséquences connues.

Depuis des années, cryptographes, chercheurs et associations alertent sur les risques liés à l’introduction de portes dérobées, même strictement encadrées : il n’existe pas de backdoors « sécurisée ». Une faille volontaire dans un système – fût-elle réservée aux autorités – affaiblit nécessairement la sécurité de l’ensemble dudit système, et ce que les forces de l’ordre peuvent utiliser, d’autres finissent tôt ou tard par l’exploiter.

Côté métadonnées, les dérives potentielles n’ont pas grand-chose de théorique non plus. Une conservation plus longue, plus large, plus systématique, c’est inévitablement plus de risques d’abus, de fuites ou d’accès non autorisé. C’est aussi une atteinte structurelle à l’anonymat en ligne – aussi relatif soit-il –, au secret des sources journalistiques, à la confidentialité médicale, mais aussi à la liberté d’expression pour les opposants, les militants ou les lanceurs d’alerte.

Les législateurs eux-mêmes semblent loin de faire bloc. En mars dernier, la France rejetait un article controversé de la loi Narcotrafic qui visait à imposer des backdoors dans les messageries chiffrées. L’ancien directeur de l’ANSSI, Guillaume Poupard, avait alors fustigé une mesure « irréaliste, dangereuse et inefficace ». Au niveau européen, le projet Chat Control piétine depuis trois ans, faute de consensus sur les atteintes qu’il pourrait porter au chiffrement.

Et dans le même temps, la Suisse, qui traînait jusqu’alors une réputation de territoire favorable au droit à la vie privée en ligne, prépare une révision de son cadre légal pour imposer de nouvelles obligations de conservation des métadonnées. Un durcissement qui, s’il aboutissait, serait lourd de conséquences et a déjà poussé des acteurs engagés comme Proton ou NymVPN à menacer de faire leurs valises.

Un équilibre toujours plus fragile

On résume souvent la question à un dilemme binaire entre sécurité et vie privée. Mais poser le débat de cette manière revient à ignorer l’enjeu principal : peut-on affaiblir les outils de protections collectives pour mieux surveiller une minorité ? Et surtout, qui veille ensuite sur les usages, les abus, les dérives ?

Dans sa conclusion, Europol assure vouloir agir « dans le cadre légal défini par la Cour de justice de l’UE » en ciblant uniquement « les crimes graves et dans le respect du principe de proportionnalité ». Mais les précédents en matière de surveillance de masse ou de conservation généralisée des données ne rassurent guère. L’expérience tend généralement à prouver qu’en matière de surveillance ciblée, ce qui devait rester exceptionnel finit généralement par s’appliquer bien au-delà du champ initialement défini, et à devenir la norme.

En témoignent les boîtes noires de la loi renseignement, déployées en 2015 pour lutter contre le terrorisme, et toujours actives à ce jour. Ou encore la conservation généralisée des données de connexion, retoquée à plusieurs reprises par la CJUE, mais toujours pratiquée en France sous un habillage juridique différent, au nom de la sécurité nationale. À force de rogner sur les garanties, on finit par s’y habituer.

Source : Europol

À découvrir
VPN : quel est le meilleur réseau privé ? Comparatif 2025

28 mai 2025 à 10h06

Comparatifs services