Le Conseil de l'UE s'apprête à valider une nouvelle version du règlement censé lutter contre la pédocriminalité en ligne. Malgré l'abandon du scan des messages obligatoire, le texte pose toujours de sérieux problèmes pour la vie privée.
Les ambassadeurs des 27 États membres se réunissent ce mercredi 26 novembre pour valider le texte. Si ça passe, le Conseil l'adoptera formellement le 8 décembre, sans débat entre les ministres.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un projet qui dure depuis 2022
Le règlement CSA (Child Sexual Abuse), c'est la Commission européenne qui l'a proposé en mai 2022. L'idée : forcer les messageries à détecter et signaler les contenus pédocriminels. Dans sa version initiale, tous les messages privés devaient être scannés, y compris ceux protégés par un chiffrement de bout en bout.
Sauf que le texte a été bloqué plusieurs fois. L'Allemagne, les Pays-Bas et la Pologne ont dit non. La présidence danoise a finalement proposé une version amendée fin octobre 2025. Le scanning "obligatoire" a disparu du texte. À la place : un système "volontaire" laissé à l'appréciation des fournisseurs.
Ce que contient le nouveau texte
Le compromis danois (PDF) prévoit plusieurs modifications. L'Article 88 prolonge de six ans le régime actuel de Chat Control 1.0. Cette dérogation temporaire permet déjà à Gmail, Facebook Messenger ou Outlook de scanner les messages de leurs utilisateurs.
Les Articles 3 à 5 instaurent une classification des services en trois catégories : faible, moyen et haut risque. Les critères ? La taille du service, son architecture technique (chiffrement ou non) et le comportement des utilisateurs.
Pour les messageries chiffrées comme WhatsApp ou Signal, les Articles 7 à 11 prévoient un scan "côté client". Concrètement, c'est votre smartphone qui analyse vos messages avant de les envoyer. Le texte parle de "consentement" de l'utilisateur, mais à ce stade, la notion reste floue.
L'Article 6 impose aussi des mesures de vérification d'âge pour identifier les mineurs sur les messageries.
Pourquoi ça coince toujours
Patrick Breyer, eurodéputé Pirate et rapporteur de l'ombre sur le dossier, parle de "tromperie politique". Le problème, c'est l'Article 4. Celui-ci oblige les fournisseurs à prendre "toutes les mesures appropriées de mitigation des risques". Une formulation suffisamment large pour que les autorités puissent, au final, imposer une surveillance de masse.
L'efficacité des algorithmes pose question aussi. Selon M. Breyer, la police fédérale allemande (BKA) le dit elle-même : près de 50% des signalements générés par les systèmes actuels n'ont aucune pertinence pénale. Les chercheurs en cybersécurité pointent le taux de faux positifs, surtout pour la détection de "grooming" (sollicitation de mineurs) par analyse de texte.
La vérification de l'âge obligatoire fait aussi grincer des dents. Pour prouver sa majorité, chaque utilisateur souhaitant par exemple ouvrir un compte de messagerie devrait montrer sa pièce d'identité ou scanner son visage. Un dispositif qui tuerait donc d'emblée la communication anonyme, pourtant essentielle pour les lanceurs d'alerte, journalistes ou réfugiés politiques.
Et ensuite ?
Si les ambassadeurs valident le texte ce 26 novembre, le Conseil adoptera sa position le 8 décembre. Viendront ensuite les "trilogues", ces négociations à huis clos entre le Conseil, le Parlement européen et la Commission.
Il est toutefois utile de rappeler qu'en novembre 2023, la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du parlement a voté des amendements limitant le champ d’application du processus de scan proposé en mai 2022. Ils se sont positionnés en faveur du chiffrement (et donc en excluant les messageries comme Signal). Le Parlement devrait donc défendre sa position lors des discussions qui devraient durer de janvier à mars 2026.
