Un texte rejeté… qui pourrait revenir par une autre porte
À Bruxelles, le dossier « Chat Control » n’est pas clos. Rejetée de justesse par le Parlement européen le 26 mars 2026 (par 307 voix contre 306, avec 24 abstentions), la dérogation temporaire permettant la détection automatisée de contenus pédocriminels dans les services numériques a expiré le 4 avril 2026. Selon les éléments disponibles, le dispositif pourrait toutefois réapparaître via une nouvelle voie procédurale, ce qui relancerait un débat sensible à l’échelle de l’Union — et donc en France.
Derrière l’étiquette « Chat Control » se trouvent en réalité deux textes et une même ligne de fracture. D’un côté, une première dérogation dite 1.0 à la directive ePrivacy, autorisant certaines plateformes à scanner volontairement des communications. De l’autre, un cadre plus durable, désigné CSAR ou Chat Control 2.0, qui reprend la même approche vis-à-vis des échanges chiffrés de bout en bout.
Le nœud: scanner des messages et conserver le chiffrement
Le point dur est simple à énoncer et complexe à résoudre: comment détecter des contenus illicites dans des messageries privées si l’opérateur ne peut pas lire les messages? La réponse portée par les textes est l’analyse sur l’appareil de l’utilisateur, avant chiffrement.
« client-side scanning »
Cette méthode concentre l’opposition des défenseurs des libertés numériques. Elle est assimilée à une surveillance de masse incompatible avec le chiffrement de bout en bout et perçue comme un précédent technique pouvant, à terme, étendre la censure à d’autres motifs. À l’inverse, la Commission européenne, le Conseil et plusieurs organisations de protection de l’enfance avaient regretté l’échec de la prolongation, estimant que l’absence de ces outils risque de faciliter la circulation de contenus illicites.
Une bataille institutionnelle aux répliques politiques
Le rejet à une voix près a été salué par des organisations de défense des droits numériques. Mais l’exécutif européen et une partie des États membres souhaitent visiblement remettre le sujet sur la table. L’hypothèse d’un contournement procédural pour réintroduire le dispositif déplacerait le débat du fond (efficacité et proportionnalité du scan) vers la forme (répartition des pouvoirs entre institutions). Pour les services numériques opérant en France, l’incertitude réglementaire demeure: quelle obligation de détection demain, et avec quelles garanties techniques et juridiques?
Pourquoi l’écosystème crypto est concerné
Si « Chat Control » vise d’abord les messageries, la frontière technologique avec les outils de chiffrement utilisés dans la crypto est ténue: mêmes briques de sécurité, mêmes débats sur la porte dérobée et la confiance dans les dispositifs côté client. En pratique, toute normalisation d’un scanning client-side pourrait créer une attente politique plus large à l’égard d’analyses préventives sur des services chiffrés. Sans extrapoler, le signal réglementaire compte: les acteurs crypto européens suivent de près ces évolutions qui, à terme, pèsent sur l’innovation, la conformité et la protection des utilisateurs.
- Enjeu principal: concilier lutte contre les contenus illicites et intégrité du chiffrement.
- Risque identifié: un précédent technique de scanning étendu à d’autres finalités.
- Conséquence probable: incertitude pour les messageries et services chiffrés opérant en France et dans l’UE.
Repères chronologiques et points de friction
| Événement | Donnée clé |
|---|---|
| Vote au Parlement européen | 26/03/2026 — 307 contre 306 (24 abstentions) |
| Expiration de la dérogation ePrivacy | 04/04/2026 |
Au-delà des dates, la question technique reste la même: un scan côté client altère-t-il par nature la promesse du chiffrement, ou peut-il être borné de façon suffisamment robuste pour ne cibler que les contenus visés par la loi? Les partisans de la détection y voient un outil supplémentaire; ses opposants, une boîte de Pandore. D’un point de vue de marché, les plateformes confrontées à cette exigence arbitreraient entre coûts de mise en conformité, modification d’architectures applicatives et, potentiellement, perte de confiance utilisateurs.
Ce qui nous attend
Si une nouvelle procédure est engagée, elle rouvrira les négociations sur la portée, la base juridique et les garanties autour de la détection automatisée. Aucun calendrier officiel n’est avancé ici, mais le redémarrage du dossier serait un signal fort: l’UE cherche un équilibre entre protection des mineurs et respect du secret des correspondances. Côté français, éditeurs de messageries, fournisseurs d’infrastructures et acteurs crypto devront suivre de près l’issue: selon le périmètre retenu, l’impact pourrait aller de simples ajustements techniques à une refonte des modèles de sécurité côté client. Tant que l’arbitrage ne sera pas tranché, la prime ira à la prudence et à la transparence technique.