Projet non adopté — juillet 2026. La proposition COM(2022) 209 (CSAR / Chat Control) n'est pas en vigueur. Le Parlement européen a rejeté le texte en juillet 2023. Les négociations au Conseil de l'UE sont bloquées. Cette fiche analyse le texte proposé et ses implications si il était adopté.
Distinction fondamentale
L'objectif — consensuel Lutter contre les abus sexuels sur mineurs (CSAM) et le grooming. Objectif partagé par tous les États membres, les plateformes et la société civile. Aucune controverse sur la fin.
Le moyen — très contesté Scanner automatiquement tous les messages privés de tous les utilisateurs, y compris chiffrés de bout en bout. Ce mécanisme (client-side scanning) est équivalent à une backdoor et crée une infrastructure de surveillance universelle.
78
/ 100
Indice d'impact
et de vigilance
Projet en négociation Impact élevé si adopté

Chat Control — Règlement CSAR sur le scanning des messages privés

COM(2022) 209 · Detection orders · Client-side scanning · Chiffrement de bout en bout · Projet non adopté

En bref

La Commission européenne a proposé en mai 2022 un règlement (CSAR) obligeant les fournisseurs de messageries, stockage cloud et app stores à scanner automatiquement toutes les communications à la recherche de contenus pédopornographiques (CSAM) et de grooming. L'objectif de protection des enfants n'est pas contesté. La controverse porte sur le moyen : scanner des messages chiffrés de bout en bout nécessite techniquement d'analyser le contenu AVANT chiffrement, sur l'appareil de l'utilisateur — c'est le client-side scanning, fonctionnellement équivalent à une backdoor.

Le Parlement européen a rejeté ce mécanisme en juillet 2023, et les négociations sont bloquées depuis. Si le texte était adopté tel que proposé, l'ensemble des communications numériques privées en Europe serait soumis à une surveillance automatisée systématique — y compris les messages de journalistes, avocats, médecins, militants. Le score de 78/100 reflète l'impact potentiel du texte proposé, pas le cadre en vigueur (aucun en l'état).

Ce qu'il faut retenir
🚫Non adopté — Le règlement CSAR n'est pas en vigueur. Le score de 78/100 reflète l'impact si le texte proposé était adopté sans modification majeure.
🔍Detection orders = obligations de scanner — Les "injonctions de détection" obligeraient les services à détecter CSAM et grooming dans toutes les communications, y compris chiffrées. Pas seulement les suspects : tous les utilisateurs.
🔐Client-side scanning = backdoor de fait — Scanner du contenu chiffré de bout en bout implique techniquement d'analyser le message avant chiffrement, sur l'appareil. Cela contourne structurellement le chiffrement.
🏛️Rejet PE juillet 2023 — Le Parlement européen a refusé le texte. Des alternatives sans scanning de masse existent (modération uploads, coopération judiciaire ciblée).
⚠️Infrastructure universelle — Si adoptée, l'infrastructure de scanning créée pourrait être étendue à d'autres contenus (terrorisme, discours politiques) par législation ultérieure, sans reconstruire le système.
Analyse par niveaux
N1 Ce que la proposition prévoit exactement

La proposition COM(2022) 209 instaure un système d'injonctions de détection (detection orders) adressées aux fournisseurs de services de communication. Trois types de détection sont prévus :

  • CSAM connu : correspondance par hachage perceptuel (PhotoDNA, pHash) avec une base de données de contenus pédopornographiques identifiés. Technique existante, utilisée volontairement par certaines plateformes depuis 2021.
  • CSAM inconnu : détection par intelligence artificielle de nouveaux contenus pédopornographiques jamais catalogués. Taux de faux positifs significatifs selon les experts techniques.
  • Grooming : analyse du contenu textuel des conversations pour détecter des comportements de manipulation d'enfants. Le plus problématique : nécessite de lire le contenu de tous les messages.

Les destinataires des injonctions : messageries (WhatsApp, Signal, iMessage...), stockage cloud (iCloud, Drive...), app stores (pour prévenir la diffusion d'applications de CSAM).

Un "Centre UE" (agence) reçoit et analyse les signalements des fournisseurs, les transmet aux autorités nationales et à Europol.

Point clé : Les injonctions peuvent viser des services de communication chiffrés de bout en bout. Le texte ne précise pas comment cela est techniquement possible sans contourner le chiffrement — il laisse aux fournisseurs le soin de "trouver une solution".
N2 Pourquoi le client-side scanning est une backdoor

Le chiffrement de bout en bout (E2EE) garantit que seuls l'émetteur et le destinataire peuvent lire un message. Le serveur intermédiaire (l'opérateur du service) ne peut pas accéder au contenu.

Argument des partisans du CSAR
"On peut scanner les messages sans casser le chiffrement — le scanning se fait côté client, avant chiffrement."
Réalité technique
Si le scanning se fait AVANT chiffrement, sur l'appareil de l'utilisateur, le contenu du message est accessible à un tiers (le système de détection) avant d'être protégé. Pour l'utilisateur, le résultat est identique à l'absence de chiffrement : ses messages sont lisibles par une tierce partie. C'est fonctionnellement une backdoor, quel que soit l'endroit où elle se situe dans la chaîne.

Conséquences en cascade :

  • La clé de scanning (ou le modèle d'IA) installée sur chaque appareil devient une cible de choix pour des acteurs malveillants (États autoritaires, hackers).
  • Le même mécanisme peut être utilisé pour détecter n'importe quel autre type de contenu — il suffit de changer la liste de hachages ou le modèle de détection.
  • Les fournisseurs qui refuseraient seraient exclus du marché européen — pression commerciale massive.

Cette analyse est partagée par des cryptographes de référence mondiale (Bruce Schneier, Matthew Green), l'ANSSI française, et le CEPD (Comité européen de la protection des données).

N3 Positions institutionnelles et rejet du Parlement

L'opposition au mécanisme proposé est remarquablement large et plurielle :

  • Parlement européen (juillet 2023) : vote en commission LIBE rejetant le scanning obligatoire des communications chiffrées. La rapporteure Birgit Sippel a qualifié le texte de "masse surveillance". Renvoi en commission pour révision fondamentale.
  • CEPD + EDPS : avis conjoint négatif — le texte est "disproportionné" au regard de la jurisprudence CJUE (art. 7 et 8 de la Charte des droits fondamentaux).
  • CNIL : contribution française négative — risque d'inconstitutionnalité, atteinte au secret des correspondances.
  • ANSSI : position technique — le client-side scanning affaiblit structurellement la sécurité des communications.
  • Signal, WhatsApp : menace explicite de quitter le marché européen plutôt que d'implémenter le scanning.
  • Conseil de l'UE : divisions persistantes entre États membres. La présidence belge (2024) a tenté une relance avec un texte "modifié" (upload moderation volontaire) — sans aboutir.

La CJUE a par ailleurs établi dans plusieurs arrêts (Schrems II, La Quadrature du Net, 2020) que la surveillance généralisée des communications est incompatible avec le droit de l'UE.

N4 Alternatives sans surveillance de masse

Des experts en sécurité et organisations de défense des droits ont identifié des approches permettant de lutter contre le CSAM sans scanner l'ensemble des communications :

  • Modération des uploads (opt-in) : scanner les fichiers au moment de leur téléchargement vers un service cloud public, sur une base volontaire ou limitée aux fichiers non chiffrés. Moins intrusif que le scanning de messages privés.
  • Interception judiciaire ciblée : obtenir un mandat judiciaire pour surveiller des suspects identifiés, plutôt que scanner tous les utilisateurs. Respecte le principe de proportionnalité.
  • Analyse de métadonnées : détecter des patterns de comportement suspects sans accéder au contenu des messages (fréquence, graphe de contacts). Moins efficace mais moins attentatoire à la vie privée.
  • Coopération judiciaire internationale renforcée : améliorer Eurojust, les accords d'entraide judiciaire, et les délais de réponse des plateformes aux demandes légales ciblées.
  • Éducation et signalement : plateformes d'aide aux victimes, outils de signalement, formation des professionnels en contact avec les enfants.

Ces alternatives n'offrent pas la même "scalabilité" que le scanning automatisé de masse — mais elles respectent les droits fondamentaux et la jurisprudence de la CJUE.

N5 Scénario si adopté : infrastructure de surveillance universelle

Si le règlement CSAR était adopté sans modification substantielle, l'Europe mettrait en place une infrastructure technique unique : chaque appareil et chaque service de communication devrait intégrer un module de scanning des messages.

Risques d'extension identifiés :

  • Extension des catégories de détection : une fois le mécanisme installé, étendre la liste des contenus à scanner (terrorisme, discours de haine, violation de droits d'auteur) ne nécessite pas de nouveau déploiement technique — seulement une modification législative.
  • Exportation du modèle : les États autoritaires hors UE pourraient exiger l'adaptation du même mécanisme pour leurs propres listes de "contenus indésirables" — avec les mêmes outils techniques.
  • Faux positifs systématiques : les modèles de détection de CSAM inconnu ont des taux de faux positifs significatifs. À l'échelle de centaines de millions d'utilisateurs, cela représente des millions de signalements erronés d'innocents.
  • Fuite ou piratage des clés : la clé ou le modèle de scanning installé sur des milliards d'appareils devient la cible de cyberattaques les plus lucratives de l'histoire.

Le scénario n'est pas hypothétique : des précédents existent. Apple a annoncé en 2021 un système similaire (CSAM scanning iCloud), puis l'a abandonné en 2022 après la mobilisation de chercheurs en sécurité et d'organisations de défense des droits.

Score détaillé
CritèrePoidsNote
Périmètre des communications analysées1513/15
Risque de surveillance de masse2018/20
Impact sur le chiffrement1513/15
Contrôle indépendant106/10
Droits des personnes concernées108/10
Capacité d'extension du dispositif1513/15
Réversibilité (projet non adopté)157/15
Score total78/100
Réversibilité
Maximale (non adopté)

En l'état actuel, le texte n'est pas adopté — la réversibilité est maximale. Si adopté, l'infrastructure technique déployée (modules de scanning sur des milliards d'appareils) serait très difficile à désinstaller : effets réseaux, dépendances contractuelles avec les États, difficultés techniques de mise à jour généralisée.

Avant / Après si adopté
Avant (cadre actuel)
Scanning CSAM : volontaire pour les plateformes (dérogation ePrivacy temporaire, 2021). Services E2EE (Signal, WhatsApp, iMessage) : pas d'accès aux contenus pour les plateformes ni pour les autorités, sauf mandats judiciaires ciblés. Privacy by design garanti par l'E2EE.
Après (si adopté tel que proposé)
Scanning obligatoire pour tous les services de communication, y compris E2EE. Client-side scanning imposé : le contenu des messages analysé sur l'appareil avant chiffrement. Infrastructure de scanning universelle créée, extensible par législation future. Fin effective du chiffrement de bout en bout en Europe.
Chronologie
2021
Dérogation ePrivacy temporaire — Le Parlement européen autorise les plateformes à scanner volontairement les communications pour détecter le CSAM (base de la future proposition CSAR).
mai 2022
COM(2022) 209 — La Commission européenne publie la proposition de règlement CSAR. Réaction immédiate des experts en sécurité, CEPD et organisations civiles.
fin 2022
Avis négatif du CEPD et de l'EDPS. CNIL française exprime des réserves. Apple annule son projet similaire (CSAM iCloud) sous pression des chercheurs en sécurité.
juil. 2023
Rejet par le Parlement européen — La commission LIBE rejette le mécanisme de scanning obligatoire. Signal et WhatsApp menacent de quitter l'UE. Renvoi en commission.
2024
Présidence belge du Conseil tente une relance avec texte révisé (COM(2023) 544). Proposition d'"upload moderation" — toujours rejetée par les experts. Négociations bloquées.
2025–26
Nouvelle législature UE. La Commission maintient l'objectif mais le texte reste sans majorité. Négociations suspendues à juillet 2026.
Sources et références
🇪🇺
COM(2022) 209 final, 11 mai 2022 — Proposition de règlement CSAR (texte original).
🏛️
CEPD + EDPS — Avis conjoint 04/2022 — Avis négatif sur la proposition CSAR, incompatibilité avec la Charte des droits fondamentaux.
🏛️
Parlement européen, commission LIBE, juillet 2023 — Position et rapport de la rapporteure Birgit Sippel.
📄
CJUE — Arrêt La Quadrature du Net, oct. 2020 — La surveillance généralisée des communications est incompatible avec le droit de l'UE (art. 7 et 8 Charte).
🔬
Rapport Riana Pfefferkorn (Stanford), 2021 — Analyse technique du client-side scanning et de ses risques pour la sécurité.
Questions fréquentes
Le règlement Chat Control a-t-il été adopté ?
Non. En juillet 2026, aucune version du règlement CSAR n'est en vigueur. Le Parlement européen a rejeté le texte en juillet 2023. Les négociations au Conseil de l'UE sont bloquées. Cette fiche analyse les implications du texte proposé si il venait à être adopté.
Pourquoi le client-side scanning est-il considéré comme une backdoor ?
Le chiffrement de bout en bout garantit que personne — ni l'opérateur du service, ni un État — ne peut lire les messages en transit. Le client-side scanning analyse le message AVANT qu'il soit chiffré, sur l'appareil de l'utilisateur. Le contenu est donc accessible à un système tiers avant d'être protégé. Fonctionnellement, c'est identique à une backdoor : le chiffrement ne protège plus les messages de la surveillance.
Peut-on lutter contre les abus sexuels sur enfants sans affaiblir le chiffrement ?
Oui. Des alternatives existent : modération des uploads (fichiers scannés avant envoi public, opt-in), interception judiciaire ciblée sur des suspects identifiés avec mandat, coopération internationale renforcée, éducation et signalement. Ces approches respectent les droits fondamentaux et la jurisprudence de la CJUE, mais ne permettent pas de surveiller automatiquement toutes les communications de tous les utilisateurs.
La France soutient-elle le règlement Chat Control ?
La position française a été ambiguë. La France a participé aux négociations au Conseil sans s'opposer publiquement au principe du scanning. La CNIL française a cependant émis des réserves négatives, rejoignant le CEPD. Aucune position officielle française claire n'a été publiée.