Indice d'impact
et de vigilance
Chat Control — Règlement CSAR sur le scanning des messages privés
COM(2022) 209 · Detection orders · Client-side scanning · Chiffrement de bout en bout · Projet non adopté
La Commission européenne a proposé en mai 2022 un règlement (CSAR) obligeant les fournisseurs de messageries, stockage cloud et app stores à scanner automatiquement toutes les communications à la recherche de contenus pédopornographiques (CSAM) et de grooming. L'objectif de protection des enfants n'est pas contesté. La controverse porte sur le moyen : scanner des messages chiffrés de bout en bout nécessite techniquement d'analyser le contenu AVANT chiffrement, sur l'appareil de l'utilisateur — c'est le client-side scanning, fonctionnellement équivalent à une backdoor.
Le Parlement européen a rejeté ce mécanisme en juillet 2023, et les négociations sont bloquées depuis. Si le texte était adopté tel que proposé, l'ensemble des communications numériques privées en Europe serait soumis à une surveillance automatisée systématique — y compris les messages de journalistes, avocats, médecins, militants. Le score de 78/100 reflète l'impact potentiel du texte proposé, pas le cadre en vigueur (aucun en l'état).
La proposition COM(2022) 209 instaure un système d'injonctions de détection (detection orders) adressées aux fournisseurs de services de communication. Trois types de détection sont prévus :
- CSAM connu : correspondance par hachage perceptuel (PhotoDNA, pHash) avec une base de données de contenus pédopornographiques identifiés. Technique existante, utilisée volontairement par certaines plateformes depuis 2021.
- CSAM inconnu : détection par intelligence artificielle de nouveaux contenus pédopornographiques jamais catalogués. Taux de faux positifs significatifs selon les experts techniques.
- Grooming : analyse du contenu textuel des conversations pour détecter des comportements de manipulation d'enfants. Le plus problématique : nécessite de lire le contenu de tous les messages.
Les destinataires des injonctions : messageries (WhatsApp, Signal, iMessage...), stockage cloud (iCloud, Drive...), app stores (pour prévenir la diffusion d'applications de CSAM).
Un "Centre UE" (agence) reçoit et analyse les signalements des fournisseurs, les transmet aux autorités nationales et à Europol.
Le chiffrement de bout en bout (E2EE) garantit que seuls l'émetteur et le destinataire peuvent lire un message. Le serveur intermédiaire (l'opérateur du service) ne peut pas accéder au contenu.
Conséquences en cascade :
- La clé de scanning (ou le modèle d'IA) installée sur chaque appareil devient une cible de choix pour des acteurs malveillants (États autoritaires, hackers).
- Le même mécanisme peut être utilisé pour détecter n'importe quel autre type de contenu — il suffit de changer la liste de hachages ou le modèle de détection.
- Les fournisseurs qui refuseraient seraient exclus du marché européen — pression commerciale massive.
Cette analyse est partagée par des cryptographes de référence mondiale (Bruce Schneier, Matthew Green), l'ANSSI française, et le CEPD (Comité européen de la protection des données).
L'opposition au mécanisme proposé est remarquablement large et plurielle :
- Parlement européen (juillet 2023) : vote en commission LIBE rejetant le scanning obligatoire des communications chiffrées. La rapporteure Birgit Sippel a qualifié le texte de "masse surveillance". Renvoi en commission pour révision fondamentale.
- CEPD + EDPS : avis conjoint négatif — le texte est "disproportionné" au regard de la jurisprudence CJUE (art. 7 et 8 de la Charte des droits fondamentaux).
- CNIL : contribution française négative — risque d'inconstitutionnalité, atteinte au secret des correspondances.
- ANSSI : position technique — le client-side scanning affaiblit structurellement la sécurité des communications.
- Signal, WhatsApp : menace explicite de quitter le marché européen plutôt que d'implémenter le scanning.
- Conseil de l'UE : divisions persistantes entre États membres. La présidence belge (2024) a tenté une relance avec un texte "modifié" (upload moderation volontaire) — sans aboutir.
La CJUE a par ailleurs établi dans plusieurs arrêts (Schrems II, La Quadrature du Net, 2020) que la surveillance généralisée des communications est incompatible avec le droit de l'UE.
Des experts en sécurité et organisations de défense des droits ont identifié des approches permettant de lutter contre le CSAM sans scanner l'ensemble des communications :
- Modération des uploads (opt-in) : scanner les fichiers au moment de leur téléchargement vers un service cloud public, sur une base volontaire ou limitée aux fichiers non chiffrés. Moins intrusif que le scanning de messages privés.
- Interception judiciaire ciblée : obtenir un mandat judiciaire pour surveiller des suspects identifiés, plutôt que scanner tous les utilisateurs. Respecte le principe de proportionnalité.
- Analyse de métadonnées : détecter des patterns de comportement suspects sans accéder au contenu des messages (fréquence, graphe de contacts). Moins efficace mais moins attentatoire à la vie privée.
- Coopération judiciaire internationale renforcée : améliorer Eurojust, les accords d'entraide judiciaire, et les délais de réponse des plateformes aux demandes légales ciblées.
- Éducation et signalement : plateformes d'aide aux victimes, outils de signalement, formation des professionnels en contact avec les enfants.
Ces alternatives n'offrent pas la même "scalabilité" que le scanning automatisé de masse — mais elles respectent les droits fondamentaux et la jurisprudence de la CJUE.
Si le règlement CSAR était adopté sans modification substantielle, l'Europe mettrait en place une infrastructure technique unique : chaque appareil et chaque service de communication devrait intégrer un module de scanning des messages.
Risques d'extension identifiés :
- Extension des catégories de détection : une fois le mécanisme installé, étendre la liste des contenus à scanner (terrorisme, discours de haine, violation de droits d'auteur) ne nécessite pas de nouveau déploiement technique — seulement une modification législative.
- Exportation du modèle : les États autoritaires hors UE pourraient exiger l'adaptation du même mécanisme pour leurs propres listes de "contenus indésirables" — avec les mêmes outils techniques.
- Faux positifs systématiques : les modèles de détection de CSAM inconnu ont des taux de faux positifs significatifs. À l'échelle de centaines de millions d'utilisateurs, cela représente des millions de signalements erronés d'innocents.
- Fuite ou piratage des clés : la clé ou le modèle de scanning installé sur des milliards d'appareils devient la cible de cyberattaques les plus lucratives de l'histoire.
Le scénario n'est pas hypothétique : des précédents existent. Apple a annoncé en 2021 un système similaire (CSAM scanning iCloud), puis l'a abandonné en 2022 après la mobilisation de chercheurs en sécurité et d'organisations de défense des droits.
| Critère | Poids | Note |
|---|---|---|
| Périmètre des communications analysées | 15 | 13/15 |
| Risque de surveillance de masse | 20 | 18/20 |
| Impact sur le chiffrement | 15 | 13/15 |
| Contrôle indépendant | 10 | 6/10 |
| Droits des personnes concernées | 10 | 8/10 |
| Capacité d'extension du dispositif | 15 | 13/15 |
| Réversibilité (projet non adopté) | 15 | 7/15 |
| Score total | 78/100 | |
En l'état actuel, le texte n'est pas adopté — la réversibilité est maximale. Si adopté, l'infrastructure technique déployée (modules de scanning sur des milliards d'appareils) serait très difficile à désinstaller : effets réseaux, dépendances contractuelles avec les États, difficultés techniques de mise à jour généralisée.