L’Union européenne prépare une législation controversée visant à scanner automatiquement toutes les communications privées afin de lutter contre les abus sexuels sur mineurs. Une mesure qui ouvre la voie à une surveillance de masse inédite.
En mai 2022, Ylva Johansson, alors commissaire européenne chargée des affaires intérieures, a présenté le Règlement établissant des règles visant à prévenir et à combattre les abus sexuels commis sur des enfants. Dans le débat public, ce texte est vite devenu connu sous le nom de « chat control » car il instituerait un contrôle généralisé des communications privées par messagerie instantanée pour l’ensemble des citoyens de l’UE.
La Commission européenne et certains co-législateurs défendent ce projet en affirmant qu’un système de détection automatique des messages privés est nécessaire pour bloquer la diffusion de contenus pédopornographiques, identifier les auteurs de ces crimes et prévenir de nouvelles infractions.
Or un tel dispositif est incompatible avec le chiffrement de bout en bout utilisé par un nombre croissant de services de messagerie. En pratique, cette législation impliquerait d’affaiblir – voire de contourner – ce chiffrement. J’ai déjà abordé la question du chiffrement dans ma chronique d’avril consacrée à l’application Signal.
Concrètement, le « chat control » reviendrait à analyser automatiquement chaque message privé, chaque photo et chaque fichier, sans qu’aucune suspicion ne soit nécessaire – y compris pour les communications chiffrées. Cela affaiblirait, voire briserait, la confidentialité du chiffrement de bout en bout, exposant ainsi les données personnelles, financières et médicales de tous les utilisateurs aux risques de piratage, de vol de données ou d’exploitation par des acteurs malveillants.
Les messageries électroniques, applications de chat, VPN, bases de données d’entreprises et serveurs sécurisés seraient tenus de scanner et de signaler tout contenu suspect lié à l’exploitation sexuelle ou à d’autres infractions, selon le niveau de généralité que chaque Etat membre choisirait d’appliquer.
Ces systèmes automatisés présentent en outre un taux d’erreurs élevé : ils confondent régulièrement des contenus totalement innocents – comme des photos de vacances ou des plaisanteries privées – avec du matériel illégal, exposant des citoyens à des accusations infondées et à des enquêtes pénalisantes. Les experts et les organisations de protection de l’enfance, y compris les Nations unies, avertissent d’ailleurs que la surveillance de masse ne permet pas de prévenir les abus et peut même aggraver la situation : elle affaiblit la sécurité générale et détourne des ressources qui seraient mieux employées dans des actions de protection éprouvées.
Il n’existe pourtant aucun vide juridique empêchant les forces de l’ordre d’agir. Les autorités disposent déjà d’outils légaux, comme les ordonnances judiciaires, pour obtenir des informations ou des preuves ciblées. Il suffit d’appliquer les procédures fondées sur des soupçons raisonnables, plutôt que de surveiller l’appareil de chaque citoyen en temps réel.
Mais une fois que le contrôle des communications sera devenu la norme, qu’est-ce qui empêchera les gouvernements d’étendre ce dispositif ?
Aujourd’hui, la priorité est la lutte contre la pédopornographie ; demain, on pourrait y ajouter le terrorisme, les fraudes fiscales, les fêtes illégales, voire des propos jugés offensants dans un groupe de discussion. La liste des comportements pouvant être surveillés est infinie. La véritable menace ici est l’atteinte au droit fondamental à la vie privée.
Un autre effet pervers de ce projet serait le signal envoyé aux régimes autoritaires : si l’UE, qui se présente comme un espace de liberté, accepte d’affaiblir le chiffrement et d’ouvrir des portes dérobées pour espionner ses citoyens, pourquoi les régimes autoritaires se priveraient-ils d’en faire autant ? L’Europe deviendrait ainsi un modèle de surveillance de masse, rivalisant avec la Chine – qui, elle, n’a jamais prétendu être un Etat de droit.
Pour l’heure, le texte n’a pas été adopté : le Conseil de l’UE reste divisé. La France, l’Italie, l’Espagne, la Hongrie, la Suède, le Portugal et d’autres pays y sont favorables – tandis que les Pays-Bas, l’Autriche, la Finlande, la Pologne, la République tchèque et la Belgique s’y opposent. L’Allemagne, l’Estonie et la Grèce n’ont pas encore tranché et pourraient faire pencher la balance lors du vote final.