WhatsApp, Signal, Messages… Pourquoi vos discussions en ligne pourraient devenir moins sécurisées à l’avenir.

Un projet de règlement européen vise à imposer aux services de messagerie l’obligation d’inspecter les messages des utilisateurs afin de détecter des contenus pédopornographiques.

Comment concilier la lutte contre la pédocriminalité en ligne avec la protection du droit fondamental à la vie privée ? Cette question sera bientôt au cœur des débats au Parlement européen, à travers le projet de règlement CSAR (“Child Sexual Abuse Regulation”). Ce texte, initié par la Commission européenne, vise à combattre les abus sexuels sur les mineurs en ligne. Cependant, il suscite une vive opposition de la part des plateformes technologiques, qui craignent qu’il ne compromette la confidentialité des messageries chiffrées.

Le projet suscite de vives divisions. Les autorités européennes de protection des données, les défenseurs de la vie privée, les éditeurs de messageries chiffrées, ainsi que certains États membres de l’Union européenne, notamment l’Allemagne, expriment leurs inquiétudes quant aux risques pour les libertés publiques. Ils redoutent la création d’une faille dans les technologies qui garantissent la confidentialité des messageries chiffrées telles que WhatsApp, Signal, iMessage ou Proton.

Après un débat des ministres de l’Intérieur à la mi-juin, les ambassadeurs des Vingt-Sept ont constaté, lors d’une réunion à Bruxelles, un manque persistant de consensus. Selon une source diplomatique belge, dont le pays préside le Conseil de l’UE jusqu’à fin juin, “il est apparu que la majorité qualifiée requise ne serait tout simplement pas atteinte”.

Le point a été retiré de l’ordre du jour, et la Hongrie, qui prendra la présidence tournante de l’UE à partir du 1er juillet, aura la tâche de relancer les discussions pour parvenir à une position commune des États membres sur ce texte. Cette étape est nécessaire avant de commencer les négociations avec le Parlement européen pour finaliser le règlement.

Actuellement, la détection de ces contenus illicites repose sur la coopération volontaire des plateformes. Cependant, cette approche s’inscrit dans un cadre juridique temporaire, qui prendra fin en avril 2026. Jugée insuffisante par les associations de protection de l’enfance, ces dernières pressent l’Union européenne d’introduire une obligation légale de détection automatique, afin de contrer la prolifération croissante d’images et de vidéos d’abus sexuels sur mineurs.

Le projet de règlement propose qu’à l’avenir, lorsqu’il existe un risque significatif qu’un service soit utilisé pour diffuser des contenus pédopornographiques, une autorité judiciaire ou administrative indépendante puisse émettre un ordre de détection. La plateforme concernée serait alors tenue d’analyser automatiquement le contenu des communications sur ce service. Les messages illicites détectés seraient ensuite signalés à un nouveau Centre européen de prévention et de lutte contre les abus sexuels sur les enfants, chargé de les vérifier avant de les transmettre aux autorités policières et à Europol.

Un risque pour la protection des conversations privées

Les éditeurs de messageries chiffrées, visés par ce projet de règlement, ont vivement réagi ces derniers mois, soulignant que leur position deviendrait intenable. Pour se conformer à la nouvelle réglementation et transmettre des informations qu’ils ne détiennent pas en raison du chiffrement de bout en bout, ils seraient contraints de prenoncer à leur promesse de confidentialité.

Le chiffrement de bout en bout, un pilier de la vie privée en ligne, menacé

Les associations de défense des libertés numériques estiment que cette mesure est contraire au droit fondamental à la vie privée des citoyens européens. Début 2023, Patrick Breyer, député européen du Parti pirate et rapporteur fictif du texte, soulignait dans une tribune que l’adoption du règlement conduirait “à l’abolition du secret des télécommunications protégé par l’article 7 de la Charte européenne des droits fondamentaux” et constituerait “une ingérence grave dans la protection des données accordée par l’article 8 de la Charte”, car l’ordre de détection “ne nécessiterait l’approbation d’aucun juge”. En mai 2023, des juristes du Conseil européen ont averti que le texte pourrait être invalidé par la Cour de justice de l’Union européenne, comme rapporté par le Guardian.

Signal envisage de quitter l’Europe

Les plateformes opposées au projet de règlement ne forment pas un front commun, mais celles qui ont bâti leur image sur la protection de la vie privée sont les plus virulentes. Signal, pionnière dans la démocratisation du chiffrement des communications, a déjà annoncé qu’elle retirerait son application du marché européen si la réglementation était adoptée sous sa forme actuelle, plutôt que de compromettre ses garanties de confidentialité. Meredith Whittaker, présidente de Signal, estime que cette mesure cache une volonté de l’Union européenne d’instaurer “une forme de surveillance de masse sans précédent”.

Discrétion de Meta et Apple

Meta et Apple, qui proposent les messageries chiffrées les plus populaires au monde avec WhatsApp et Messages, sont restés discrets sur ce sujet. Déjà impliqués dans plusieurs procédures avec l’Union européenne concernant le DSA, le DMA et l’IA Act, ils n’ont pas pris de position publique contre ce nouveau projet de règlement. Cependant, Will Cathcart, patron de WhatsApp, a déclaré au Monde en novembre 2023 qu’il était opposé à toute loi qui affaiblirait ou contournerait le chiffrement protégeant les messages de ses 2 milliards d’utilisateurs. Il a réitéré cette position le 18 juin sur X, affirmant que “scanner les messages des gens tel que proposé par l’UE casse le chiffrement. C’est de la surveillance et c’est une voie dangereuse”. Propositions de compromis et inquiétudes persistantes Face aux préoccupations, la Belgique, présidente du Conseil de l’Union européenne jusqu’au 30 juin, a proposé un texte de compromis en mai qui exclut les communications chiffrées de bout en bout des obligations de détection, mais permettrait de scanner le contenu lors du téléchargement par l’utilisateur, avant qu’il ne soit partagé via une messagerie chiffrée. “Cette proposition ne brise pas le protocole de chiffrement, mais elle va à l’encontre de son esprit, qui est de garantir la confidentialité des communications de bout en bout”, explique Romain Digneaux, spécialiste des affaires publiques de la messagerie Proton.

Dans la version actuelle du texte, les utilisateurs européens pourraient refuser le scan de leurs messages, mais en échange, ils accepteraient de n’utiliser leurs applications de messagerie que dans un mode restreint, sans pouvoir envoyer d’images, de vidéos ou de liens. Cette disposition a été qualifiée de “chantage” par les opposants au texte. Les critiques se concentrent également sur les potentielles erreurs des systèmes d’intelligence artificielle utilisés pour détecter les contenus pédocriminels, avec le risque que des
utilisateurs soient injustement signalés aux autorités pour des photos de famille ou des images médicales.

Selon un rapport de la Commission européenne, Messenger et Instagram ont détecté près de 7 millions de contenus relatifs à des abus sexuels sur des enfants en Europe, et X (anciennement Twitter) a fermé plus de 2 millions de comptes d’utilisateurs pour ce motif. Ces détections en ligne permettent d’identifier des milliers d’enfants victimes et de poursuivre leurs agresseurs. Aux États-Unis, le NCMEC a recensé plus de 100 millions de photos et vidéos d’abus sexuels sur des enfants signalés en 2023, soit une augmentation de près de 20 % par rapport à l’année précédente.