L'année 2025 aura été marquée par une offensive généralisée contre le chiffrement et la vie privée en ligne, de Paris à New Delhi en passant par Berne ou Londres. Si certaines mesures liberticides ont été repoussées in extremis, la pression législative ne faiblit pas et laisse présager de nouvelles batailles décisives pour l'année à venir.
Les gouvernements du monde entier semblent s'être donné le mot pour remettre en cause les fondements de notre confidentialité numérique. Des messageries sécurisées aux VPN, aucun outil n'échappe à la vigilance d'autorités déterminées à imposer leur surveillance au nom de la sécurité. Du côté des utilisateurs, les conséquences pourraient être diverses. Si le chiffrement venait à être régulé, certaines applications ou certains services pourraient se retrouver interdits du jour au lendemain. De son côté, la Fondation Signal, elle, n'en démord pas et ne compte pas altérer le code de sa messagerie, quitte à se passer de plusieurs dizaines de millions d'utilisateurs.
La France et l'impossible "porte dérobée"
L'actualité législative française a été largement marquée par la loi dite "Narcotrafic". Le texte, porté notamment par Bruno Retailleau, visait initialement à contraindre les messageries chiffrées comme Signal, WhatsApp ou Telegram à intégrer des "backdoors" (portes dérobées) pour les services d'enquête. Les partisans de ce projet de loi affirmaient vouloir améliorer la lutte contre le crime organisé en accédant au contenu des échanges.
Cette initiative a provoqué une levée de boucliers unanime chez les experts. Guillaume Poupard, ancien directeur de l'ANSSI, a qualifié le dispositif d'"irréaliste, dangereux et inefficace". Thomas Baignères, PDG de la messagerie française Olvid, expliquait que vouloir une backdoor sécurisée revenait à "vouloir faire léviter une pomme en défiant la gravité". Techniquement, toute faille créée pour la police peut être exploitée par des criminels.
Les députés ont finalement rejeté l'article controversé en commission des lois en mars 2025. Une victoire temporaire pour la Quadrature du Net et les défenseurs des libertés, même si la menace plane toujours. Meredith Whittaker, présidente de Signal, avait d'ailleurs prévenu : si la loi était passée, l'application aurait quitté la France.
La Suisse n'est plus un coffre-fort
Le mythe de la neutralité et de la confidentialité helvétique a pris du plomb dans l'aile. Le Conseil fédéral a lancé une consultation pour moderniser la surveillance des télécommunications via les ordonnances OSCPT et OME-SCPT. Ces textes prévoient d'obliger les fournisseurs de services, y compris les VPN, à lever certains chiffrements de transport et à livrer des métadonnées en temps réel.
La réaction des fleurons locaux de la "Privacy Tech" a été immédiate. Proton, par la voix de son PDG Andy Yen, a gelé 100 millions de francs suisses d'investissements et menace de délocaliser ses activités. L'entreprise considère désormais l'Allemagne ou la Norvège comme des terres d'accueil plus stables juridiquement.
L'Europe et le spectre du Chat Control
À Bruxelles, le projet de règlement CSAR, surnommé "Chat Control", continue de diviser. La proposition danoise de scanner les messages directement sur les appareils des utilisateurs ("client-side scanning") pour détecter des contenus pédopornographiques a rencontré une forte opposition. L'Allemagne, la Pologne et les Pays-Bas ont bloqué le texte, tandis que la France, l'Espagne et l'Italie le soutiennent.
Les critiques pointent l'inefficacité technique du dispositif. Selon la police fédérale allemande, les algorithmes actuels génèrent près de 50% de faux positifs. De plus, la vérification d'âge obligatoire pour utiliser les messageries tuerait l'anonymat en ligne. Le vote crucial d'octobre 2025 a été reporté faute de majorité, mais une nouvelle mouture du texte a été présentée ce mois-ci. Le compromis actuel rendrait le scan "volontaire", une notion floue qui pourrait cacher une obligation de fait sous peine de sanctions pour les plateformes. Retrouvez notre point complet sur les enjeux du vote au Conseil de l'UE.
Outre-Manche, la pomme a un goût amer
Le Royaume-Uni a réussi là où d'autres ont échoué : faire plier Apple. En vertu de l'Investigatory Powers Act, Londres a contraint la firme de Cupertino à désactiver la "Protection Avancée des Données" (le chiffrement de bout en bout des sauvegardes iCloud) pour les utilisateurs britanniques. Les autorités exigeaient initialement une porte dérobée mondiale, ce qu'Apple a refusé, préférant sacrifier la sécurité de ses seuls clients britanniques.
L'affaire ne s'arrête pas là. Apple a traîné les services secrets (MI5, GCHQ) devant le Tribunal des pouvoirs d'enquête. Fait rare, la justice a exigé que les débats soient publics, refusant le huis clos demandé par le gouvernement. Cette bataille juridique, inédite sur le sol britannique, pourrait faire jurisprudence sur la légalité du chiffrement.
Aux États-Unis, le VPN passe en ligne de mire
Outre-Atlantique, l'État du Michigan tente une approche radicale avec le projet de loi HB 4938. Sous couvert de "moralité publique", ce texte entend interdire non seulement la pornographie, mais aussi les outils permettant d'y accéder, à commencer par les VPN. Les fournisseurs d'accès seraient tenus de bloquer ces tunnels chiffrés, une mesure techniquement inepte selon l'EFF (Electronic Frontier Foundation), puisque le propre d'un VPN est de masquer la destination du trafic.
Comme nous l'évoquions, l'idée d'interdire les VPN fait son chemin aux États-Unis et le Wisconsin a rejoint le projet de loi du Michigan
En Inde, plus c'est gros, plus ça passe
En Inde, la surveillance prend une tournure encore plus intrusive. L'association des opérateurs mobiles (COAI) presse le gouvernement d'imposer l'activation permanente du GPS assisté (A-GPS) sur tous les smartphones, sans possibilité de désactivation. Avec 1,4 milliard d'habitants, on estime que le pays compte quelque 659 millions de propriétaires de smartphones, soit 12 fois plus qu'en France. Cette précision au mètre près, bien supérieure au bornage classique, transformerait chaque téléphone en mouchard absolu. Apple, Google et Samsung s'opposent fermement à cette demande. Mais combien de temps pourront-ils résister ? Et surtout, sauront-ils véritablement se passer de ce marché particulièrement juteux ?
2026 : la pression s'accroît sur tous les fronts
L'année 2026 s'annonce donc comme un tournant décisif pour la vie privée en ligne. Bruxelles constitue sans doute le champ de bataille majeur chez nous. Les trilogues Chat Control, prévus entre janvier et mars 2026, verront s'affronter trois positions irréconciliables. Le Conseil défendra sa version "volontaire" mais coercitive du scan côté client, la Commission européenne cherchera un compromis, tandis que le Parlement européen s'acharnera à préserver le chiffrement de bout en bout, comme l'a voté sa commission des libertés civiles dès 2023.
Cette nouvelle mouture du texte est vivement critiquée. L'ancien eurodéputé et militant des droits numériques Patrick Breyer dénonce une "tromperie politique", pointant l'Article 4 qui impose aux fournisseurs de prendre "toutes les mesures appropriées de mitigation des risques". Une formulation délibérément vague qui, en pratique, pourrait imposer une surveillance de masse sans le dire explicitement. Si le Conseil a formalisé son adoption en décembre 2025 comme prévu, les négociations s'annoncent acharnées.
La France, elle, ne rendra pas les armes. Bruno Retailleau a clairement indiqué que la Loi Narcotrafic resterait un chantier prioritaire après l'échec de 2025. Les parlementaires français préparent d'ores et déjà une nouvelle mouture, plus agressive. L'obsession parisienne du "droit à la détection" des crimes demeure intacte, même si les fondamentaux techniques n'ont pas changé : créer une backdoor sécurisée tient toujours du rêve impossible.
Aux États-Unis, la présidence Trump crée une incertitude nouvelle. Si la loi KOSA était soutenue par une coalition bipartisane au Congrès, les décrets exécutifs de la nouvelle administration pourraient accélérer les initiatives locales comme celle du Michigan pour interdire les VPN. Une éventuelle neutralisation de la régulation fédérale laisserait chaque État légiférer à sa convenance. Le risque : une fragmentation du Web américain, avec des juridictions ultra-restrictives imposant leurs normes de surveillance.
La Suisse, elle, n'a pas dit son dernier mot. Le Conseil fédéral doit encore se positionner après la consultation lancée cet automne. Les élections fédérales de 2027 constituent désormais un horizon crucial : si le débat sur la surveillance s'invite dans la campagne, une défaite des partis gouvernementaux sur ce thème pourrait enrayer l'offensive.
2026 ne devrait donc pas de tout repos. Il ne s'agit pas simplement d'un débat abstrait sur le chiffrement. Gauche, droite, peu importe, il ne s'agit pas non plus d'un débat politique. La vie privée est un droit universel. Ce sont des décisions concrètes sur la portée de la surveillance en ligne avec des mesures qui visent à repousser toujours plus les limites de ce que les citoyens seront prêts à accepter.
3 questions à Signal
La fondation Signal l'a clamé haut et fort : si le chiffrement venait à être interdit sur le sol français, alors elle quitterait le territoire. Et, vu ce qui nous attend en 2026, l'hypothèse ne doit pas être écartée. En tout cas, pas tout de suite. Martin Bartenberger, directeur de la communication pour l'Europe au sein de la Fondation Signal, ne laisse planer aucun doute.
Si les mesures visant à interdire le chiffrement dans la loi "Narcotrafic" sont derrière nous, des propositions similaires émergent maintenant dans le projet de loi "Résilience". Combien de marchés européens êtes-vous prêt à quitter pour défendre le chiffrement ? À quel moment la fragmentation du marché devient-elle existentielle pour Signal ?
Martin Bartenberger : Soyons clairs : nous ne regardons pas cela sous l'angle de la "part de marché" ou de "l'expansion géographique". C'est le langage des grandes plateformes de réseaux sociaux et des courtiers en données. Signal est une organisation à but non lucratif ; notre "ligne de fond" est l'intégrité de notre promesse de confidentialité. Et nous savons que si vous compromettez un réseau à un endroit, vous le contaminez pour tout le monde.
Le nom de la loi - qu'il s'agisse de Narcotrafic, Résilience ou autre - est secondaire par rapport à la réalité technique de ce qu'elle exige. Si une loi impose une porte dérobée, ce n'est plus du chiffrement de bout en bout ; elle ajoute un "troisième bout" et c'est simplement un système cassé en attente d'exploitation par les acteurs étatiques et non-étatiques. Il n'existe pas de "terrain d'entente" où vous seriez "largement" chiffré. Vous possédez soit les clés de votre chiffrement, soit vous ne les possédez pas. Si la France, ou toute autre juridiction, nous impose de casser cette architecture fondamentale, nous ne pouvons pas et ne voulons pas nous conformer. Nous partirions. La fragmentation du marché n'est pas existentielle pour Signal - la perte de notre intégrité l'est. Et des centaines de millions de personnes comptent sur Signal pour conserver notre intégrité, souvent dans des contextes de vie ou de mort. Si nous restons et que nous faisons des compromis, nous cessons d'être Signal. Nous préférerions être un outil fonctionnel et sécurisé pour une population mondiale plus réduite qu'un outil compromis pour tout le monde. Bien que nous espérions ne jamais devoir faire ce choix.
Plus de 60% des internautes français utilisent la messagerie chiffrée de bout en bout. Si Chat Control 2.0 ou une législation européenne similaire finissaient par être adoptées en exigeant une analyse côté client, Signal se retirerait-elle donc de l'ensemble du marché de l'UE ? Quelle est votre ligne rouge ?
M.B : La poussée pour l'analyse côté client est effectivement une tentative de transformer chaque smartphone en espion dans nos poches, rendant compte aux gouvernements et aux fournisseurs à but lucratif. Les partisans du "Chat Control" utilisent souvent des tournures marketing sophistiquées pour suggérer que vous pouvez avoir à la fois la vie privée et la surveillance de masse. C'est un mensonge.
Si l'UE - qui se vante souvent du RGPD et des droits numériques - adoptait une législation obligeant l'analyse du contenu privé de nos messages, elle légaliserait effectivement la fin de la vie privée à l'ère numérique. Notre ligne rouge est simple : nous n'affaiblirons jamais le protocole Signal et ne compromettrons jamais la confidentialité sur laquelle des centaines de millions de personnes comptent sur nous pour la maintenir. Nous n'implanterons jamais d'"utilisateurs fantômes" ou d'analyse locale, ou toute autre méthode qui compromettrait nos utilisateurs. Si cela signifie que Signal n'est plus "légal" sur le marché de l'UE, et que l'UE a décidé de rendre la vie privée illégale. Nous ne prendrions pas cette décision à la légère, mais oui, absolument, nous quitterions le marché plutôt que de trahir les personnes qui comptent sur nous pour leur sécurité, notamment les activistes, les journalistes et même les hauts fonctionnaires de l'UE qui utilisent Signal pour faire leur travail en toute sécurité.
Le trafic de Signal en provenance d'Allemagne (19,9%) dépasse celui des États-Unis (17,35%), ce qui suggère que l'Europe est votre marché principal. Avec la Loi sur les marchés numériques de l'UE qui impose l'interopérabilité entre les plateformes de messagerie, Signal fédérera-t-elle avec WhatsApp, Messenger et iMessage - ou refusera-t-elle l'interopérabilité pour protéger votre architecture à connaissance zéro de la contamination par les pratiques de collecte de données de Meta et Apple ?
M.B : Tout d'abord, il est important de clarifier le paysage réglementaire : les mandats d'interopérabilité de la LMD s'appliquent aux "contrôleurs d'accès", les énormes plateformes dominantes comme WhatsApp de Meta ou iMessage d'Apple. Signal ne répond pas à ces seuils et nous ne sommes pas légalement obligés d'être interopérables.
Cependant, même si nous l'étions, l'obstacle technique ne se limite pas au chiffrement du contenu du message ; il y a aussi les métadonnées. Signal est conçu pour en savoir aussi peu que possible sur vous - avec qui vous parlez, quand et à quelle fréquence. Les modèles commerciaux de Meta et Apple sont construits sur l'exact opposé : la collecte de graphes sociaux et de données comportementales. Mettre en place une interopérabilité avec eux nous obligerait à relier notre architecture à connaissance zéro avec leurs systèmes lourdement orientés vers la surveillance. Cette "fuite" de métadonnées contaminerait effectivement l'environnement Signal, et exposerait nos utilisateurs aux pratiques de récolte de données qu'ils ont précisément choisi d'éviter en rejoignant Signal. Nous ne dégraderons pas nos normes de confidentialité. En revanche, si les grandes entreprises technologiques voulaient changer leurs modèles commerciaux et augmenter leurs normes pour correspondre aux nôtres, alors, bien sûr, nous le considérerions volontiers.
