Retour au blogSécurité

Chat Control : le Conseil de l'UE contourne le Parlement pour scanner vos messages

CZSyn
5 juillet 2026
7 min

Le Conseil de l'UE relance en urgence le scan des messageries chiffrées et court-circuite le Parlement avant l'été. Ce que ça change pour les devs.

Smartphone affichant une messagerie chiffrée avec une grille de scan lumineuse superposée à l'écran, symbolisant l'inspection de contenu voulue par Chat Control
Ce qu'il faut retenir
  1. Le Conseil de l'UE a adopté par procédure écrite une position pour relancer en urgence Chat Control 1.0 (scan volontaire des messages), expiré depuis le 3 avril, et pousse le texte au Parlement en procédure accélérée juste avant l'été.
  2. Le scan volontaire s'appuie sur du client-side scanning : l'IA et la comparaison de hachages inspectent le contenu en clair directement sur l'appareil, avant chiffrement à l'envoi ou après déchiffrement à la réception, ce qui contourne la promesse du chiffrement de bout en bout sans casser l'algorithme lui-même.
  3. Le texte impose la suppression des données de contenu et de trafic sous douze mois maximum sauf soupçon confirmé : pour les développeurs européens de messageries, la rétention et la séparation entre chiffrement de transport et couche de modération deviennent des choix d'architecture à documenter dès maintenant.

Résumé généré par IA

Le 5 juillet 2026, le dossier le plus sensible du chiffrement en Europe repart de plus belle. Le Conseil de l'Union européenne a adopté, par procédure écrite, une position pour relancer en urgence le régime qui autorise les plateformes à scanner volontairement le contenu des messages privés. L'objectif affiché : combler le vide juridique ouvert par l'expiration, le 3 avril, du règlement connu sous le nom de Chat Control 1.0. L'objectif réel, selon ses détracteurs : forcer la main du Parlement européen juste avant la pause estivale, au moment où le texte est le plus difficile à bloquer.

Chat Control, en trois lignes pour ceux qui découvrent

Depuis fin 2020, les services de communication interpersonnelle indépendants du numéro (messageries, webmail, téléphonie VoIP) sont soumis à la directive européenne ePrivacy, qui protège la confidentialité des communications et interdit en principe toute interception ou analyse du contenu et des données de trafic sans consentement. Problème pour la lutte contre les abus sur mineurs : cette protection empêchait aussi les plateformes de détecter volontairement des contenus pédocriminels par IA et comparaison de hachages. En 2021, une dérogation temporaire, baptisée Chat Control 1.0, a été créée pour le leur permettre. Faute d'accord entre le Conseil et le Parlement sur une prolongation, elle a expiré au printemps.

Un contournement juridique assumé

Reconduire un texte déjà expiré n'est formellement pas possible. Le Conseil contourne l'obstacle en présentant un nouveau règlement, au contenu largement identique mais sous une forme juridique différente. Le texte doit être inscrit dès mardi à l'ordre du jour du Parlement, en procédure d'urgence, à la veille des vacances d'été. Le dossier étant déjà en deuxième lecture, la position du Conseil ne peut être bloquée ou amendée que par une majorité absolue des eurodéputés, un seuil difficile à réunir au moment précis où de nombreux élus ont déjà quitté l'hémicycle.

Le Conseil justifie la manœuvre par l'urgence de la protection de l'enfance : selon lui, les signalements volontaires des plateformes restent un outil indispensable pour repérer des enfants en danger, sortir des victimes de situations d'abus et freiner la diffusion de contenus illégaux, y compris pendant le vide juridique actuel. Le nouveau texte prévoit que les données de contenu et de trafic collectées soient supprimées sous douze mois maximum, sauf confirmation d'un soupçon concret. Le Conseil insiste aussi sur le fait que les scans resteront limités au strict nécessaire, sans surveillance générale et indiscriminée. Reste que l'atteinte à la vie privée de l'ensemble des utilisateurs, elle, ne dépend pas de la bonne volonté affichée dans un communiqué.

Pourquoi le scan côté client contredit la promesse du chiffrement de bout en bout

C'est ici que le dossier devient concret pour quiconque développe ou utilise une messagerie chiffrée. Le chiffrement de bout en bout (E2EE) repose sur une promesse précise : seuls l'expéditeur et le destinataire détiennent les clés permettant de lire un message. Ni l'opérateur du service, ni un fournisseur d'accès, ni un État ne peut déchiffrer le contenu en transit, même sur réquisition.

Le scan volontaire tel qu'organisé par Chat Control 1.0 ne casse pas cette promesse au sens mathématique du terme : personne ne trouve de faille dans l'algorithme de chiffrement lui-même. Le tour de passe-passe se joue ailleurs, directement sur l'appareil de l'utilisateur. Le message est analysé par un moteur d'IA et un système de comparaison de hachages avant d'être chiffré à l'envoi, ou juste après avoir été déchiffré à la réception. Le contenu en clair existe donc, à un instant donné, sur le terminal, et un logiciel tiers, contrôlé par l'éditeur de l'application et non par l'utilisateur, vient l'inspecter avant ou après que la protection cryptographique n'entre en jeu.

Concrètement, cela revient à poster un contrôleur juste avant la boîte aux lettres scellée plutôt qu'à ouvrir la boîte elle-même. Le scellé, c'est-à-dire le chiffrement, reste intact. Mais la confidentialité que l'utilisateur croit obtenir, à savoir que personne d'autre que son interlocuteur ne lit le message, ne tient plus. Cette architecture porte un nom dans la littérature technique : le client-side scanning. Son problème de fond est connu des chercheurs en sécurité depuis longtemps : un mécanisme d'inspection intégré à l'appareil pour un usage donné constitue, par construction, un point de passage que n'importe quel acteur capable d'en modifier les critères (l'éditeur, un État qui l'exigerait, un tiers qui compromettrait le mécanisme) peut réorienter vers d'autres contenus. La confidentialité d'une messagerie E2EE devient alors conditionnelle à la confiance accordée à ce mécanisme annexe, et non plus garantie par le seul protocole cryptographique.

Ce que ça change concrètement pour les développeurs européens

Pour l'instant, Chat Control 1.0 reste un régime volontaire : il autorise les plateformes à scanner, il ne les y oblige pas. Trois points méritent malgré tout l'attention de toute équipe qui construit ou opère un service de communication en Europe.

  • Le périmètre juridique est large. La dérogation vise tous les services de communication interpersonnelle indépendants du numéro : messagerie, webmail, VoIP. Si votre produit entre dans cette catégorie, l'articulation entre cette dérogation et le règlement ePrivacy vous concerne, que vous scanniez ou non les contenus.
  • La rétention de données devient un choix d'architecture. Le texte impose une suppression des données de contenu et de trafic sous douze mois maximum, sauf soupçon confirmé. Toute détection volontaire doit être pensée dès la conception (durée de rétention, chiffrement au repos, traçabilité de la suppression), pas ajoutée après coup pour cocher une case de conformité.
  • La trajectoire politique ne va pas vers plus de liberté. Les négociations sur Chat Control 2.0, le scan obligatoire et généralisé, restent bloquées au Parlement, mais ce contournement montre la détermination du Conseil à avancer par étapes. Toute équipe qui construit aujourd'hui une messagerie chiffrée en Europe a intérêt à documenter ses choix d'architecture, comme l'E2EE natif et l'absence de capacité technique de déchiffrement côté serveur : c'est aussi un argument de confiance pour vos utilisateurs tant que la loi ne change pas la donne.

Notre lecture chez CZSyn

Nous accompagnons des clients qui traitent des données sensibles, santé, ressources humaines, juridique, pour qui la confidentialité des échanges n'est pas un argument marketing mais une exigence contractuelle. Ce dossier rappelle une règle simple que nous appliquons à chaque projet impliquant du chiffrement : une fois qu'un mécanisme d'inspection existe sur l'appareil, même justifié par une cause aussi légitime que la protection de l'enfance, son périmètre d'usage dépend d'une décision politique, pas d'une contrainte technique. Le débat sur Chat Control l'illustre bien : un régime présenté comme temporaire et volontaire en 2021 est aujourd'hui relancé par une manœuvre de procédure, pendant que la version obligatoire reste sur la table.

Notre recommandation pour les équipes françaises qui développent des produits de communication ou de collaboration : documentez précisément votre modèle de menace, séparez clairement dans votre architecture ce qui relève du chiffrement de transport de ce qui relève d'une éventuelle couche de modération, et évitez de présenter comme du chiffrement de bout en bout un système où existe, à un moment du flux, un point d'inspection du contenu en clair que vous ne maîtrisez pas entièrement. C'est une question de conformité, mais surtout de confiance envers vos utilisateurs.

Votre messagerie ou votre produit gère des échanges sensibles ?

Nous auditons vos architectures de chiffrement et de conformité RGPD, et développons des solutions sur-mesure pensées pour la confidentialité dès la conception. Audit gratuit sous 24h.

29 AVIS 5/5 · +200 PROJETS LIVRÉS · RÉPONSE EXPRESS

Sources primaires

Un projet en tête ?

Discutons de votre projet et voyons comment nous pouvons vous aider.

Nous contacter