Depuis plusieurs mois, un texte revient discrètement à l’agenda européen : le règlement pour prévenir et combattre les abus sexuels sur enfants en ligne, plus connu sous le nom de « Chat Control 2.0 ».

Officiellement, il s’agit de mieux détecter les contenus pédopornographiques (CSAM). Dans les faits, le projet ouvre la voie à un scannage quasi systématique des communications privées, y compris chiffrées, et à une généralisation de la vérification d’identité en ligne. 

Un thread très partagé sur X alerte sur trois points :

1. Surveillance totale des conversations privées via scan automatique, même sur WhatsApp, Signal ou Telegram ;

2. Fin de l’anonymat par obligation d’identifier les utilisateurs ;

3. Interdiction de fait des applications de messagerie pour les moins de 16 ans.

🔴 🇪🇺 ALERTE | L’Union européenne s’apprête à réintroduire « EU Chat Control 2.0 », le dispositif de surveillance de masse que plusieurs États avaient pourtant rejeté.

La nouvelle version du texte prévoit :

➡️ La surveillance totale des conversations privées

Tous nos échanges… pic.twitter.com/AYWvl068LD

— Aurea (@AureaLibe) November 14, 2025

Avant d’entrer dans le débat, il faut répondre à une question simple : est-ce que tout cela est vrai ?

D’où vient « Chat Control 2.0 » ?

Le cœur du dispositif est la proposition de règlement COM(2022)209, dite CSAR (Child Sexual Abuse Regulation). Elle impose aux fournisseurs de services (messageries, hébergeurs, plateformes) une série d’obligations : évaluer les risques de diffusion de CSAM, mettre en place des mesures de mitigation, et, dans certains cas, détecter automatiquement les contenus suspects. 

Critiques et ONG ont rapidement baptisé ce texte « Chat Control », car il rend possible et parfois obligatoire le scan automatisé des messages, photos et fichiers privés, y compris sur des services chiffrés de bout en bout. 

En 2023, le Parlement européen avait tenté de limiter les dérives en refusant la surveillance généralisée et en protégeant le chiffrement. Mais en 2025, plusieurs présidences du Conseil (Pologne, puis Danemark) ont remis sur la table des versions plus agressives, avec des formulations nouvelles sur les « mesures de mitigation des risques » qui, en pratique, peuvent réintroduire le client-side scanning (scan directement sur le téléphone avant chiffrement). 

C’est cette mécanique de retour par la fenêtre après un refus par la porte qui explique l’expression militante « Chat Control 2.0 ». 

Fact-check du thread: Que prévoit réellement le texte ?

Surveillance totale des conversations privées

Le projet de règlement autorise et peut imposer le scannage automatisé de toutes les communications pour détecter des contenus liés aux abus sexuels sur mineurs.

Plusieurs versions prévoient ou ont prévu :

• la possibilité de détection généralisée, y compris pour les services chiffrés de bout en bout ;

• l’usage de hashing, d’IA et de client-side scanning, c’est-à-dire l’analyse directement sur l’appareil avant que le message ne soit chiffré. 

Techniquement, cela revient à contourner le chiffrement en plaçant un logiciel d’inspection sur le smartphone de l’utilisateur. Les autorités de protection des données (EDPB et EDPS) ont elles-mêmes mis en garde contre ce mécanisme, le jugeant disproportionné et incompatible avec les droits fondamentaux. 

Donc, oui :

• dire que le projet ouvre la voie à un scannage de masse des conversations privées est factuellement fondé ;

• parler de « surveillance totale » est une formulation militante, mais elle décrit bien l’ampleur potentielle du dispositif si les dérogations sont utilisées au maximum.

Fin de l’anonymat en ligne

Là encore, il faut distinguer le texte brut et ses effets concrets.

Les versions de travail du règlement prévoient :

• des obligations de vérification d’âge, notamment pour les services de messagerie présentant un risque de grooming ;

• le recours à des méthodes basées sur des documents officiels ou des systèmes d’estimation d’âge, documentés par les ONG de défense des droits numériques. 

Un résumé des positions du Conseil par le député européen Patrick Breyer confirme que certains scénarios envisagés associent :

• vérification d’âge obligatoire pour l’accès aux messageries et app stores,

• exclusion des moins de 16 ans de nombreuses applications,

• et obligation généralisée de vérification d’identité pour utiliser des services de communication. 

Ce n’est pas encore un texte appliqué, mais la direction est claire :

• plus d’âge vérifié = moins d’anonymat ;

• plus de documents d’identité ou de biométrie = traçabilité accrue des individus.

Dire que le projet met en danger l’anonymat en ligne est donc justifié. Affirmer que l’anonymat disparaît totalement est une extrapolation, mais cohérente avec les risques décrits par les autorités et ONG. 

Interdiction des messageries pour les moins de 16 ans

Certains documents de travail du Conseil évoquent explicitement :

• des obligations d’âge minimum pour installer certaines applications ;

• une vérification d’âge côté app store pouvant conduire à exclure les moins de 16 ans de nombreuses apps de communication. 

Ce n’est pas (encore) une interdiction simple et claire dans le droit positif, mais plutôt une combinaison de :

1. obligations de mitigation des risques pour les services ;

2. blocage via les app stores ;

3. vérification d’âge systématisée.

En pratique, le résultat serait très proche de ce que décrit le thread :

• accès fortement restreint pour les mineurs à partir d’un certain âge ;

• obligation pour tout le monde de prouver son âge, donc son identité.

La formulation « interdiction de toutes les applications type WhatsApp, Instagram, TikTok pour les moins de 16 ans » est donc une simplification militante, mais elle correspond à la logique de plusieurs versions du texte.

Qui soutient Chat Control, qui s’y oppose au seins de l’Union européenne ?

La carte politique européenne est très fragmentée.

• Des États comme la France font partie des gouvernements considérés comme favorables à un dispositif de scan généralisé, y compris pour les services chiffrés. 

• À l’inverse, une coalition de pays (Allemagne, Pays-Bas, Autriche, Finlande, Estonie, Luxembourg, Tchéquie, Pologne…) s’oppose à la surveillance de masse et au bris du chiffrement. 

Sous la pression de la société civile et des experts en cryptographie, certains gouvernements ont déjà reculé, et une version danoise qui rendait le scan obligatoire a été retirée, puis remplacée par une version plus « volontaire » mais toujours problématique. 

Ce qui est certain :

• rien n’est encore définitivement tranché,

• mais la tendance est à réintroduire le dispositif par petites touches, par le biais de formulations techniques (« risk mitigation », « upload moderation », etc.) difficilement lisibles pour le grand public. 

Enjeux juridiques : secret des correspondances, chiffrement et État de droit

Les critiques viennent de trois fronts :

1. Les autorités de protection des données (EDPB/EDPS) qui estiment que la surveillance généralisée des communications privées viole la Charte des droits fondamentaux et le principe de proportionnalité. 

2. Les experts en sécurité et cryptographie, qui soulignent qu’un client-side scanning crée par définition une porte d’entrée dans les appareils, réutilisable par d’autres acteurs (États, hackers, criminels). 

3. Les ONG de défense des libertés numériques, qui dénoncent une dérive vers un modèle où tout le monde est surveillé en permanence, au nom de la lutte contre une minorité de criminels. 

Le paradoxe est cruel :

• pour protéger les enfants, l’UE envisage des mesures qui affaiblissent la sécurité de tous ;

• pour mieux cibler les prédateurs, on installe une infrastructure de surveillance de masse, avec un potentiel énorme de détournement.

Que peut faire un citoyen (ou un entrepreneur) aujourd’hui ?

Le thread que tu as cité renvoie au site FightChatControl, qui centralise informations, analyses et outils pour contacter les eurodéputés et gouvernements nationaux. 

Concrètement, trois niveaux d’action existent :

1. Politique

• Contacter ses députés européens et ses représentants nationaux pour leur demander clairement de rejeter toute forme de scan généralisé, obligatoire ou déguisé.

• Suivre la position de son pays dans le Conseil (la carte des États opposés ou favorables est publique). 

2. Technique

• Choisir des outils qui respectent encore le chiffrement fort et la minimisation des données.

• Se préparer à un scénario où certains services refusent d’appliquer Chat Control et sont bloqués ou marginalisés dans l’UE.

3. Stratégique (pour les entreprises et indépendants)

• Intégrer ces risques réglementaires dans la stratégie numérique : choix des messageries internes, des solutions cloud, des lieux d’hébergement des données, etc.

• Anticiper les conséquences d’une obligation de vérification d’identité sur les modèles économiques basés sur l’anonymat, les communautés, ou la sensibilité des échanges (santé, finance, politique). 

Conclusion : ce que révèle vraiment Chat Control 2.0

Le texte ne se résume pas à un simple débat technique sur la pédocriminalité en ligne.

Chat Control 2.0 est un révélateur :

• d’un changement de paradigme, où l’on considère que tous les citoyens doivent être scannés « au cas où » ;

• d’une obsession de la traçabilité, via l’âge, l’identité, les appareils, au détriment de l’anonymat et de la confidentialité ;

• d’une fragilité politique, où des dispositifs rejetés une première fois sont réintroduits sous d’autres labels, plus techniques, moins visibles. 

En tant que citoyen, tu peux choisir de détourner le regard, jusqu’au jour où votre compte, vos messages ou vos données seront bloqués, scannés ou ré-interprétés.

En tant qu’entrepreneur, consultant ou dirigeant, tu vous n’avez pas ce luxe : vos outils de communication, la confidentialité de tes échanges clients, la sécurité de tes données stratégiques dépendent directement de ce type de réglementation.

WizeCounsel dans tout ça ?

Chez WizeCounsel, nous analysons ce type de texte avec une double grille de lecture :

1. Libertés publiques et État de droit : ce que Chat Control 2.0 signifie pour la vie privée, le secret des correspondances et le droit au chiffrement.

2. Stratégie d’entreprise : comment adapter ta structure, tes outils et tes flux de données à un environnement où la surveillance de masse devient progressivement la norme.

Mon point de vue est clair :

plus vous délèguez votre souveraineté numérique sans comprendre les règles du jeu, plus vous acceptez que d’autres décident ce que vous avez le droit de dire, de chiffrer ou d’échanger.

Si tu vous voulez un diagnostic concret de l’exposition de votre activité (messageries, hébergement, outils collaboratifs, localisation des serveurs, risques réglementaires), c’est exactement le type de sujet sur lequel nous pouvons vous accompagner.