Contrôle des chats de l’UE : Ce que les entreprises doivent savoir dès maintenant

6 min de lecture

502 cryptographes ont mis en garde, Signal a menacé de quitter le marché européen et la Cour constitutionnelle fédérale allemande a déclaré nulles certaines parties de l’interception des communications à la source ; malgré cela, l’UE poursuit les négociations sur la régulation du contrôle des chats. Le règlement CSAR est actuellement dans la phase des trilogues, et l’exception ePrivacy pour le balayage volontaire expire le 3 avril 2026. Que signifie cela pour les entreprises qui dépendent de la communication chiffrée ?

Le débat est généralement présenté comme une bataille entre protection de l’enfance et vie privée. Pour les équipes de sécurité informatique, il est bien plus concret : toute faiblesse imposée par la loi dans les systèmes de chiffrement affecte tout le monde – y compris les attaquants.

L’essentiel

• Le Conseil a convenu d’un cadre sans obligation de balayage : le 26 novembre 2025, le Conseil de l’UE a adopté une position sans ordres obligatoires de détection. À la place : des obligations d’évaluation des risques et un balayage volontaire. L’Allemagne a dirigé la minorité bloquante (communiqué de presse du Conseil de l’UE).
• Les trilogues se poursuivent : le deuxième trilogue est prévu pour le 26 février 2026, le troisième pour le 4 mai et le quatrième pour le 29 juin. L’exception ePrivacy pour le balayage volontaire expire le 3 avril 2026.
• Cour constitutionnelle fédérale, affaire « Trojaner II » (juin 2025) : a déclaré inconstitutionnelles et nulles certaines parties de l’interception des communications à la source. Une surveillance généralisée massive des communications chiffrées échouerait très probablement face à ce critère.
• La menace de Signal reste valable : Meredith Whittaker, présidente de Signal, a annoncé que l’entreprise quittera le marché européen si le balayage sur le client devient obligatoire (confirmé par une publication sur X, mai 2024).
• 502 scientifiques internationalement reconnus en cryptographie et en sécurité informatique qualifient le balayage sur le client de « techniquement inviable » et mettent en garde contre de nouvelles vulnérabilités exploitables par des pirates informatiques et des États hostiles.

Selon Telecom Reseller, l’utilisation de proxies SOCKS5 en Europe a augmenté de près de 1 770 %, signe manifeste que les utilisateurs techniques avancés et les entreprises prennent déjà des mesures préventives. Celui qui conçoit aujourd’hui des infrastructures de communication d’entreprise doit tenir compte de la possibilité que les messageries chiffrées subissent une pression réglementaire accrue. Cela ne concerne pas uniquement les applications de messagerie : des services de messagerie électronique chiffrés de bout en bout, des solutions de stockage dans le nuage avec chiffrement zéro-knowledge et des fournisseurs de VPN pourraient également être concernés. Le règlement CSAR définit intentionnellement de façon large les « services d’hébergement » et les « services de communication interpersonnelle ».

Un autre aspect que de nombreuses entreprises négligent : la responsabilité juridique. Si un fournisseur de plateforme met en œuvre le balayage après l’entrée en vigueur d’une ordonnance de détection et qu’en raison d’une erreur logicielle ou d’une mise à jour compromise, des données confidentielles d’entreprise sont divulguées à des tiers non autorisés, qui en assume la responsabilité ? Le fournisseur ayant mis en œuvre le mécanisme de balayage ? Ou le législateur qui l’a imposé ? Cette question manque encore de clarté juridique et ne sera résolue qu’après le premier incident – trop tard pour les entreprises concernées.

Cet article replace dans leur contexte ce qui a été convenu, ce qui reste à régler et ce que les entreprises allemandes doivent préparer.

Ce que le Conseil a convenu – et ce qu’il n’a pas convenu

Après trois ans de négociations, le Conseil de l’UE a approuvé le 26 novembre 2025 une position commune sur le règlement CSAR (règlement relatif aux abus sexuels sur les mineurs). Le cœur de cet accord : il n’existe plus d’ordres obligatoires de détection. Les fournisseurs de plateformes doivent réaliser des évaluations des risques et peuvent librement choisir d’effectuer un balayage – mais personne ne sera légalement contraint d’analyser les messages avant leur chiffrement.

L’Allemagne, aux côtés d’une minorité bloquante, a empêché un projet antérieur qui prévoyait effectivement un balayage obligatoire. La ministre de la Justice Stefanie Hubig a formulé clairement la position gouvernementale : la surveillance généralisée des chats sans motif justifié constitue un tabou dans un État de droit. La Conférence des autorités de protection des données, présidée par Meike Kamp, commissaire à la protection des données de Berlin, a expressément exhorté le gouvernement fédéral à rejeter le contrôle des chats.

Mais l’accord contient une clause de révision : la Commission européenne devra évaluer, dans un délai de trois ans, si les ordres obligatoires de détection sont « nécessaires et réalisables ». Des experts en protection des données et la Electronic Frontier Foundation mettent en garde contre le risque d’une extension progressive du champ d’application – la porte dérobée vers un balayage obligatoire demeure explicitement prévue dans le texte juridique.

Le trilogue entre le Conseil, le Parlement et la Commission a débuté en décembre 2025. La deuxième réunion s’est tenue le 26 février et la troisième est programmée pour le 4 mai. Une date critique : l’exception ePrivacy, qui permet actuellement de balayer volontairement de manière légale, expire le 3 avril 2026. En l’absence de prolongation ou de nouvelle réglementation, la base juridique disparaîtra.

Pourquoi les portes dérobées ne fonctionnent pas techniquement

Le balayage sur le client implique l’analyse des messages directement sur le terminal, avant qu’ils ne soient chiffrés. Cela semble un compromis : le chiffrement reste intact et le balayage intervient en amont. En pratique, c’est exactement le contraire : le code de balayage installé sur chaque appareil devient une cible hautement attractive pour les attaquants.

502 scientifiques expérimentés en cryptographie et en ingénierie de la sécurité ont mis en garde, dans une lettre ouverte, contre le caractère techniquement inviable de ces mesures, qui saperaient la sécurité et la vie privée de tous les citoyens européens. Parmi les signataires figurent Cas Cremers (Centre Helmholtz CISPA), Bart Preneel (KU Leuven), Carmela Troncoso (EPFL) et René Mayrhofer (JKU Linz).

L’argument se résume en une phrase : Il n’existe pas de porte dérobée accessible uniquement aux acteurs « bienveillants ». Tout mécanisme qui accorde un accès aux forces de l’ordre l’accordera aussi aux pirates informatiques, aux fabricants de logiciels espions et aux services de renseignement hostiles. L’histoire le prouve : la puce Clipper de la NSA, développée dans les années 1990 comme système de chiffrement intégrant un accès étatique, a échoué en 1994 lorsque Matt Blaze, d’AT&T Bell Labs, a démontré que son mécanisme de garde était manipulable.

Le même débat a lieu simultanément au Canada. Le projet de loi C-8, pratiquement identique au projet de loi C-26 précédemment abandonné, autorise le gouvernement à exiger des opérateurs de télécommunications qu’ils abaissent les normes de chiffrement par voie d’ordonnance administrative. Le terme « vulnérabilité systémique » n’est pas défini dans le texte juridique – une lacune qui peut être intentionnelle ou le fruit d’une négligence, mais dans les deux cas dangereuse. Le Citizen Lab de l’Université de Toronto met formellement en garde contre les conséquences pour la cybersécurité. Le schéma est mondial : les gouvernements tentent d’imposer des portes dérobées dans les systèmes de chiffrement, les cryptographes alertent, les tribunaux freinent et la pression recommence.

Pour les directeurs de la sécurité de l’information (CISO) et les responsables informatiques des entreprises des pays DACH, la conclusion est pragmatique : le contrôle des chats n’est pas approuvé, mais il n’est pas non plus écarté. La clause de révision incluse dans le texte du Conseil laisse ouverte la possibilité d’un balayage obligatoire. Celui qui conçoit aujourd’hui son infrastructure de communication doit intégrer cette incertitude – avec une architecture suffisamment souple pour migrer, si nécessaire, vers d’autres fournisseurs ou des systèmes décentralisés. Il ne s’agit pas d’alarmisme. C’est de la gestion des risques.

« Une surveillance généralisée massive, qui soumet des millions de citoyens de l’UE à un soupçon généralisé, est disproportionnée. »
– Meike Kamp, commissaire à la protection des données de Berlin / présidente de la Conférence des autorités de protection des données (BfDI, octobre 2025)

BVerfG « Trojaner II » : La limite constitutionnelle

Le 24 juin 2025, la Cour constitutionnelle fédérale allemande a rendu l’arrêt « Trojaner II » (1 BvR 180/23), déclarant inconstitutionnelles et nulles certaines parties de l’interception des communications à la source. La Cour a établi des limites claires aux ingérences étatiques dans la communication chiffrée.

Les conclusions clés : l’interception à la source ne pourra pas être appliquée aux infractions punies d’une peine maximale inférieure à trois ans. Son utilisation est limitée aux communications qui auraient également pu faire l’objet d’une interception par des méthodes traditionnelles de surveillance téléphonique (principe de synchronie). En outre, tant le secret des télécommunications (article 10 de la Loi fondamentale) que le droit fondamental informatique – le droit à la confidentialité et à l’intégrité des systèmes informatiques – sont concernés.

Cela revêt une pertinence directe pour le débat sur le contrôle des chats. Si la Cour constitutionnelle fédérale considère déjà comme disproportionnée l’interception à la source fondée sur des motifs spécifiques pour des infractions mineures, la surveillance généralisée massive de tous les messages chiffrés échouerait encore plus nettement face à ce même critère. Le droit fondamental informatique, établi dans l’arrêt sur les enregistrements informatiques de 2008, protège l’intégrité des terminaux – or le balayage sur le client viole précisément cette intégrité.

Cet arrêt a des conséquences directes pour l’économie allemande. Les entreprises qui utilisent une communication chiffrée de bout en bout – et selon Bitkom, 58 % de toutes les entreprises comptant plus de 20 employés le font – opèrent sur une base constitutionnellement protégée. Un règlement européen imposant le balayage sur le client serait immédiatement contesté en Allemagne. La question n’est pas si, mais quand un tel règlement aboutira devant la Cour constitutionnelle fédérale ou la Cour de justice de l’UE.

Que signifie cela pour les entreprises

Les conséquences ne sont pas théoriques. Si les ordres de détection deviennent obligatoires dans une version ultérieure du règlement, ils toucheront toutes les plateformes chiffrées : Microsoft Teams, Slack, Signal, WhatsApp – ainsi que toute solution de messagerie électronique avec chiffrement de bout en bout.

Pour les équipes de conformité réglementaire, trois risques concrets émergent. Premièrement : la communication interne – négociations contractuelles, processus de fusions et acquisitions, dossiers personnels, code source – serait automatiquement balayée, avec un taux d’erreurs avéré dans la détection. Les faux positifs pourraient transmettre des données confidentielles d’entreprise aux autorités sans connaissance ni consentement de l’entreprise.

Deuxièmement : les exigences divergentes entre l’UE et les États-Unis rendent impossible une architecture de chiffrement globale uniforme. Les entreprises devraient gérer des canaux de communication séparés pour les contextes situés à l’intérieur et à l’extérieur de l’UE.

Troisièmement : la perte de confiance. Meredith Whittaker, présidente de Signal, a averti que l’entreprise quittera le marché européen si le balayage sur le client devient obligatoire. Pour les entreprises qui utilisent Signal comme canal sécurisé de communication – et elles sont nombreuses, notamment dans le domaine de la cybersécurité – cela représenterait une perte directe d’infrastructure.

Que doivent faire dès maintenant les équipes de sécurité informatique

Premièrement : documenter l’infrastructure de messagerie. Quels canaux chiffrés l’entreprise utilise-t-elle ? Signal, WhatsApp, Teams ? Qui communique quoi et avec qui ? Cet inventaire constitue la base de tout ajustement futur.

Deuxièmement : revoir la politique de chiffrement. Quelles communications sont chiffrées de bout en bout et lesquelles le sont uniquement en transit ? En cas d’obligation d’ordres de détection, les communications E2EE seraient concernées, mais pas celles chiffrées uniquement en transit. Comprendre sa propre architecture est décisif.

Troisièmement : suivre activement l’évolution réglementaire. Les négociations du trilogue se poursuivront jusqu’à au moins juin 2026. Toute entreprise disposant d’un département de conformité devrait inclure dans son suivi la collection de documents d’EDRi et les communiqués de presse du Conseil.

Quatrièmement : évaluer des canaux alternatifs de communication. Si Signal quitte effectivement le marché européen, les équipes auront besoin d’une alternative offrant un niveau de sécurité comparable. Wire (fournisseur suisse), Threema (également suisse) et Matrix/Element (décentralisé et open source) sont des candidats – tous dotés de profils propres de conformité réglementaire.

Le débat sur le contrôle des chats révèle un schéma fondamental : toute réglementation affaiblissant le chiffrement affaiblit tout le monde – pas seulement le groupe cible. La Cour constitutionnelle fédérale a fixé les limites constitutionnelles avec l’arrêt « Trojaner II ». Les 502 cryptographes ont fixé les limites techniques. Que la politique respecte ces limites dépendra des décisions prises dans les prochains mois.

Une chose est claire : le chiffrement n’est ni un luxe ni un obstacle à l’enquête pénale. Il constitue la base de la communication d’entreprise confidentielle, de la protection des lanceurs d’alerte, des sources journalistiques et de la confiance dans l’infrastructure numérique. Toute tentative de l’affaiblir affaiblit l’ensemble du système – cela a été confirmé par 502 scientifiques, par la Cour constitutionnelle fédérale et par l’histoire de la puce Clipper. La question n’est pas de savoir si le chiffrement doit être protégé. La question est de savoir si l’Europe le comprendra avant qu’il ne soit trop tard.

Questions fréquentes

Qu’est-ce que le contrôle des chats de l’UE ?

Le règlement CSAR (règlement relatif aux abus sexuels sur les mineurs) vise à obliger les fournisseurs de plateformes à rechercher des contenus illégaux sur leurs services. Les critiques mettent en garde contre une surveillance massive des communications chiffrées. Le texte actuel du Conseil ne comporte plus d’ordres obligatoires de détection, mais prévoit une clause de révision.

Le contrôle des chats est-il déjà approuvé ?

Non. Le Conseil a adopté une position en novembre 2025 ; le trilogue avec le Parlement et la Commission a commencé en décembre 2025. Un accord définitif est attendu, au plus tôt, pour l’été 2026.

Signal quitterait-elle l’UE ?

Meredith Whittaker, présidente de Signal, a annoncé que l’entreprise quittera le marché européen si le balayage sur le client devient obligatoire. Comme le texte actuel du Conseil ne prévoit pas une telle obligation, Signal reste, pour l’instant, sur le marché.

Que dit la Cour constitutionnelle fédérale allemande sur la surveillance des communications chiffrées ?

L’arrêt « Trojaner II », rendu en juin 2025, déclare inconstitutionnelles certaines parties de l’interception des communications à la source. Une surveillance généralisée massive échouerait encore plus clairement face à ce critère, car elle porte atteinte tant au secret des télécommunications qu’au droit fondamental informatique.

Que signifie le contrôle des chats pour les entreprises ?

Si des ordres obligatoires de détection sont imposés, toutes les plateformes chiffrées (Teams, Slack, Signal) devront mettre en œuvre le balayage sur le client. Les faux positifs pourraient envoyer des données confidentielles d’entreprise aux autorités sans connaissance ni consentement de l’entreprise.

Qu’est-ce que le balayage sur le client ?

Les messages sont analysés directement sur le terminal avant d’être chiffrés. Le mécanisme de balayage lui-même devient alors une cible d’attaque. 502 cryptographes ont mis en garde contre le fait que cela sapera la sécurité de tous les utilisateurs.

Existe-t-il des alternatives à Signal en Suisse ?

Wire et Threema sont des fournisseurs suisses proposant un chiffrement de bout en bout. Matrix/Element est décentralisé et open source. Les trois seraient moins directement exposés à une obligation de balayage de l’UE que les fournisseurs dont le siège est aux États-Unis.

L’augmentation de l’utilisation de proxies en Europe montre que les entreprises et les utilisateurs n’attendent pas que la réglementation progresse. Selon Telecom Reseller, l’utilisation de proxies SOCKS5 en Europe a augmenté de près de 1 770 % – un indicateur clair que des mesures préventives sont déjà prises. La question est de savoir si l’UE parviendra à imposer une réglementation qui sera techniquement contournée et constitutionnellement contestée, ou si elle respectera le compromis obtenu par le Conseil : évaluation des risques plutôt que surveillance massive, prévention plutôt que portes dérobées.

Source de l’image : Pexels / Dan Nelson (px:4489171)

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow