Le 9 juillet 2026, le Parlement européen a échoué à bloquer la prolongation de « Chat Control ». Faute d’avoir réuni la majorité absolue nécessaire pour rejeter le texte du Conseil, les eurodéputés ont laissé passer la reconduction du régime qui autorise le scan des messageries privées. Décryptage de ce qui s’est joué, de ce que cela change concrètement, des raisons pour lesquelles c’est préoccupant, et des alternatives sur la table.
Ce qui a été voté le 9 juillet 2026
Il faut d’abord lever une confusion fréquente : il existe deux textes distincts derrière l’étiquette « Chat Control ».
- Chat Control 1.0 — une dérogation à la directive ePrivacy qui autorise les grandes plateformes (Meta, Google, Microsoft…) à scanner volontairement les communications privées pour détecter des contenus pédocriminels (CSAM). C’est un régime temporaire, qui avait expiré le 4 avril 2026.
- Chat Control 2.0 (règlement CSAR) — un cadre permanent et obligatoire qui imposerait aux messageries de détecter et signaler ces contenus, y compris dans les échanges chiffrés de bout en bout. Ce texte, lui, reste en négociation.
Le vote du 9 juillet portait sur le 1.0. Le Conseil avait remis sur la table une prolongation, et le Parlement tentait de la rejeter. Résultat :
- Le 7 juillet, les eurodéputés avaient d’abord validé la procédure d’urgence par 331 voix contre 304 (11 abstentions), ouvrant la voie à un vote sur le fond.
- Le 9 juillet, les amendements de rejet n’ont recueilli que 314 voix pour, 276 contre et 17 abstentions. Or, en deuxième lecture, il fallait une majorité absolue de 361 voix pour faire tomber le texte. Seuil non atteint : la prolongation est donc adoptée.
Conséquence directe : le scan « volontaire » des messageries privées est prolongé jusqu’au 3 avril 2028.
Une nuance importante toutefois : le Parlement a fait adopter des amendements excluant les communications chiffrées de bout en bout du champ d’application. C’est une victoire partielle des opposants — mais le texte doit encore repartir au Conseil, qui dispose de trois mois pour accepter ou rejeter ces modifications. En cas de désaccord, une procédure de conciliation (trilogue) s’engagera.
Ce que ça implique concrètement
Sous couvert d’une base « volontaire », la prolongation maintient une infrastructure de détection massive et sans suspicion individuelle : des systèmes automatisés qui analysent des contenus privés à grande échelle, sans qu’aucun soupçon ne pèse au préalable sur l’utilisateur.
Techniquement, la détection repose sur plusieurs briques :
- Détection de contenus connus : comparaison des fichiers à des bases d’empreintes de matériel déjà identifié.
- Détection de contenus inconnus : analyse par IA d’images et de vidéos jamais répertoriées, avec un taux d’erreur bien plus élevé.
- Détection du « grooming » : analyse du contenu même des conversations pour repérer des tentatives de sollicitation de mineurs.
Le point le plus sensible, au cœur de la version 2.0, est le client-side scanning : l’analyse du message sur l’appareil, avant chiffrement/envoi. C’est la seule façon de « voir » le contenu d’une messagerie chiffrée comme Signal ou WhatsApp — et c’est précisément ce qui revient à percer le chiffrement de bout en bout.
Pourquoi c’est grave
1. On ne peut pas casser le chiffrement « juste un peu »
Les cryptographes sont unanimes : scanner les messages avant leur chiffrement vide de sa substance le chiffrement de bout en bout. Une porte dérobée pour « les gentils » est une porte dérobée pour tout le monde — services de renseignement hostiles, cybercriminels, régimes autoritaires. On n’affaiblit pas la sécurité d’un côté sans l’affaiblir pour tous.
2. Les faux positifs frappent des innocents
À l’échelle de milliards de messages, même un taux d’erreur infime génère un volume massif de signalements erronés : photos de vacances en famille, échanges médicaux, contenus intimes légitimes entre adultes… Autant de vies privées exposées à un examen humain, voire à un signalement aux autorités, pour rien.
3. Le secret professionnel s’effondre
Médecins, avocats, journalistes et leurs sources reposent sur la confidentialité de leurs échanges. Un dispositif qui scanne tout le monde, en continu, est incompatible avec ces garanties fondamentales.
4. Le précédent : la surveillance de masse par défaut
C’est l’argument du « function creep » : un outil justifié aujourd’hui par la protection de l’enfance — objectif que personne ne conteste — installe une capacité technique qui pourra demain être élargie à d’autres contenus (opinions politiques, fuites, dissidence). On construit l’infrastructure ; le périmètre, lui, se négocie ensuite.
5. Un passage en force démocratique
Le Contrôleur européen de la protection des données (EDPS) et le Comité européen (EDPB) ont jugé le dispositif incompatible avec les droits fondamentaux à plusieurs reprises. Plus de 400 scientifiques et cryptographes s’y sont opposés. Faire ressusciter par le Conseil un texte largement critiqué, en contournant la volonté exprimée du Parlement, pose un vrai problème de méthode démocratique.
6. La souveraineté numérique en question
Une partie des traitements et des signalements pourrait transiter par des infrastructures cloud américaines, exposant des données européennes sensibles hors du cadre de protection de l’UE.
Les alternatives
Lutter contre la pédocriminalité en ligne est un impératif — mais la surveillance généralisée n’est ni le seul, ni le plus efficace des moyens. Plusieurs pistes, défendues par des experts et des organisations de protection de l’enfance, existent :
- Des enquêtes ciblées sous contrôle judiciaire, visant les individus et réseaux réellement soupçonnés, plutôt que la population entière.
- Renforcer les moyens des unités spécialisées (police, Europol) : les enquêteurs signalent surtout un manque de ressources humaines pour traiter les signalements déjà existants.
- Accélérer le retrait des contenus (« notice & takedown ») et soutenir le réseau des lignes de signalement (INHOPE), au lieu de générer un flot ingérable de nouvelles alertes automatiques.
- La prévention et l’éducation : sensibilisation des mineurs et des parents, outils de contrôle parental côté appareil, sécurité dès la conception des plateformes.
- Exploiter les métadonnées et signaux comportementaux disponibles sans casser le chiffrement, et améliorer la coopération internationale.
- Appliquer les outils déjà existants, notamment le Digital Services Act (DSA), qui impose déjà des obligations aux très grandes plateformes.
Et maintenant ?
Le combat n’est pas terminé. Le texte amendé retourne devant le Conseil, qui a trois mois pour se prononcer sur l’exclusion du chiffrement de bout en bout. Surtout, la vraie bataille — celle du Chat Control 2.0 (CSAR), le cadre permanent et obligatoire — reprendra à l’automne, autour du 29 septembre, sous la présidence irlandaise du Conseil. C’est là que se jouera l’avenir réel de la confidentialité des messageries en Europe.
Pour les citoyens, les leviers habituels restent d’actualité : interpeller ses eurodéputés, soutenir les organisations de défense des libertés numériques, et privilégier des messageries respectueuses de la vie privée.
Cet article est une analyse à visée informative. Les chiffres et le déroulé des votes des 7 et 9 juillet 2026 sont issus de sources publiques (Parlement européen, presse spécialisée européenne et française, communiqués d’organisations de défense des droits numériques). La situation législative évolue rapidement ; vérifiez l’état d’avancement des textes avant toute décision.