Un mort-vivant législatif qui refuse de rester enterré
Pour rappel, tout commence en 2021. Le règlement (UE) 2021/1232, alias Chat Control 1.0, crée une dérogation temporaire à la directive ePrivacy pour autoriser le scan volontaire des messages privés à la recherche de matériel d’abus sexuel sur mineurs (CSAM). Ce texte reste facultatif et vise surtout des services non chiffrés comme Gmail, Facebook Messenger ou Snapchat.
En parallèle, la Commission propose en mai 2022 un règlement permanent, le CSAR, porté à l’époque par la commissaire Ylva Johansson, qui voulait rendre la détection obligatoire pour toutes les plateformes, chiffrement de bout en bout compris. Deux textes, deux calendriers, une confusion permanente dans la presse. C’est précisément là-dessus que joue Bruxelles.
Le 26 mars 2026, le Parlement européen rejette la prolongation de Chat Control 1.0, à 311 voix contre 228, sur un amendement clé qui n’est passé qu’à une voix près (307 contre 306). Le texte expire le 4 avril 2026. Sauf que Google, Meta, Microsoft et Snap continuent de scanner quand même, sans base légale. Une loi morte, mais des scanners toujours allumés.
Comment perdre un vote et gagner quand même

Le 26 juin 2026, le Conseil de l’UE ressuscite le texte mort en le présentant comme une loi formellement nouvelle, au contenu identique, via une procédure accélérée. Le 7 juillet, la procédure d’urgence est approuvée à 331 voix contre 304. Le 9 juillet, le vote décisif tombe : 314 députés votent le rejet, 276 votent pour maintenir le scan, 17 s’abstiennent.
Sauf qu’en deuxième lecture accélérée, il faut une majorité absolue de 361 voix pour rejeter ou amender le texte. 314, c’est moins que 361. Le rejet n’est donc pas suffisant, et le texte est réputé adopté, même si la majorité des votants s’y oppose. C’est ce qu’on appelle gagner en perdant, une spécialité bruxelloise qu’on croyait réservée aux traités budgétaires.
La présidente du Parlement Roberta Metsola a rouvert le dossier fin juin, en pleine période de vacances, moment idéal pour espérer que personne ne remarque ni ne mobilise une majorité de blocage. L’eurodéputée pirate Markéta Gregorová a dénoncé un usage « sans précédent » du règlement intérieur, et honnêtement, difficile de lui donner tort.
1.0, 2.0 : le duo qui ne veut pas mourir

| Texte | Statut au 13 juillet 2026 | Scan obligatoire ? | Messages chiffrés |
|---|---|---|---|
| Chat Control 1.0 (règl. 2021/1232) | Réinstauré le 9 juillet 2026, en vigueur jusqu’en 2028 | Non, volontaire | Exemptés depuis le vote du 9 juillet |
| CSAR / Chat Control 2.0 | En trilogue, aucun accord après le round du 29 juin 2026 | Cœur du conflit Parlement/Conseil | Ligne rouge non tranchée |
Le Service juridique du Conseil lui-même a tiré la sonnette d’alarme le 10 juin 2026, estimant que le scan « volontaire » relève en réalité d’une « surveillance généralisée », incompatible avec l’article 7 de la Charte des droits fondamentaux. Quand tes propres avocats te disent que tu violes les droits fondamentaux, il est peut-être temps de réécrire la copie.
Pourquoi le scan magique n’existe pas

Le chiffrement de bout en bout garantit que seuls l’expéditeur et le destinataire lisent un message. Pour le scanner, il faut soit l’inspecter avant chiffrement (client-side scanning), soit affaiblir le chiffrement lui-même. Les deux créent une porte dérobée exploitable par n’importe qui, pas seulement par les gentils.
Les cryptographes résument ça en une formule qui claque : on ne peut avoir que deux choses sur trois entre confidentialité, détection fiable et impossibilité de détournement. Il n’existe pas de porte dérobée réservée aux gentils. Et les chiffres donnent des sueurs froides : selon la commissaire Johansson elle-même, 75 % des signalements transmis à la police sont jugés inexploitables, et plus de 90 % des contenus détectés proviennent d’une seule entreprise américaine, Meta.
Notre guide sur le chiffrement des données pose les bases de ce que Chat Control voudrait affaiblir. Et si l’idée de faire transiter ses messages ailleurs vous démange, on avait déjà repéré OpenClaw, l’agent IA open source compatible WhatsApp, Telegram et Signal, qui pose déjà ses propres questions de confidentialité.
La dérive qu’on nous promet « juste cette fois »
Les experts en libertés publiques pointent un risque classique : une infrastructure de scan installée « pour le CSAM » peut être étendue, par simple modification des indicateurs, à d’autres contenus, discours politiques, critiques, piratage. L’histoire des dispositifs de surveillance montre que ce glissement n’est jamais hypothétique, il est systémique.
La vérification d’âge et d’identité obligatoire, elle, supprime de facto l’anonymat dont dépendent lanceurs d’alerte, journalistes et dissidents pour leur sécurité. Une étude du Parlement européen conclut qu’aucune technologie actuelle ne peut détecter le CSAM sans un taux d’erreur inacceptable. Des citoyens sans aucun lien avec l’infraction se retrouvent donc signalés pour rien.
Ce type d’extraction massive de données personnelles rejoint des mécanismes qu’on détaillait déjà dans notre dossier sur l’exfiltration des données, et sur les traqueurs en ligne dont on croyait pourtant avoir fait le tour des astuces de protection.
Et maintenant, ça se passe où
Le règlement permanent CSAR reste en négociation sous présidence irlandaise, sans accord depuis l’échec du trilogue du 29 juin 2026. Le scan « temporaire » de Chat Control 1.0, lui, court jusqu’en 2028, soit deux ans de plus pour que Bruxelles trouve une formule qui tienne juridiquement la route, ou pas.
« Il n’existe pas de technologie capable de détecter le CSAM sans taux d’erreur inacceptable », résume l’étude du Parlement européen citée dans le dossier. Une phrase qui devrait clore le débat. Sauf qu’à Bruxelles, une phrase qui clôt un débat, c’est surtout une invitation à en ouvrir un autre.
Journaliste citoyen depuis plus de 20 ans, passionné de cinéma et réalisateur de courts-métrages sur mon temps libre.




