ChatControl : le projet de loi de l’UE qui veut scanner tous les messages privés

Introduction

• L’UE pousse ChatControl, un projet de loi qui obligerait toutes les plateformes de messagerie à scanner automatiquement les messages privés et les images.
• Cette loi s’appliquerait aussi aux applications de chiffrement de bout en bout (E2EE) comme Signal ou WhatsApp, sans possibilité d’opt-out.
• La justification officielle est la lutte contre les contenus pédocriminels (CSAM), mais cela pourrait créer un précédent de surveillance de masse pour 450 millions d’Européens.
• D’autres pays, comme la Suisse et le Royaume-Uni, introduisent aussi des lois de surveillance similaires, ouvrant la voie à une surveillance plus large au nom de la protection des enfants.

What is ChatControl

• Les critiques appellent ce projet de loi le règlement sur la prévention et la lutte contre les abus sexuels sur les enfants (CSAR).

• Il a été proposé à l’expiration de la réglementation temporaire de 2021, en transformant en obligation publique la surveillance volontaire des entreprises.

• À terme, il vise à permettre aux autorités d’accéder à toutes les données numériques via la "Roadmap for Lawful Access to Data".

• Scope and Coverage

  • La réglementation ne viserait pas seulement les applis de messagerie, mais tous les fournisseurs de services de communication privée, comme les e-mails, applis de rencontre, plateformes de jeux, réseaux sociaux, services d’hébergement de fichiers (Google Drive, etc.).
  • Cela signifie que presque tous les services numériques permettant de partager du contenu deviendraient des cibles de surveillance.

How it Works

• ChatControl repose sur le "Client-Side Scanning". Le contenu est analysé sur l’appareil de l’utilisateur avant que le message ne soit chiffré.

• Contrairement aux méthodes de surveillance traditionnelles, cela revient à inspecter automatiquement tous les messages, renversant ainsi le principe de présomption d’innocence.

• Technical Implementation

  • Le système scanne avant chiffrement trois types de contenus : contenus illégaux connus (comparaison de hash), contenus potentiels inconnus (analyse par IA), comportements de grooming (analyse de texte).
  • Si un contenu suspect est détecté, il est automatiquement signalé aux autorités.

• Why This Breaks Encryption

  • ChatControl « contourne » le chiffrement. Les messages restent chiffrés en transit, mais leur contenu a déjà été analysé avant, ce qui vide de son sens le chiffrement de bout en bout (E2EE).
  • Cette technologie transforme les applications de messagerie chiffrée en spyware.

• Governance Structure

  • Selon la proposition, un centre européen contre les abus sexuels sur les enfants centralisé recevrait les signalements, mais la technologie de scan elle-même ne serait pas contrôlée par une institution de l’UE.
  • Les fournisseurs de services devraient collecter des informations détaillées sur les utilisateurs, et un système obligatoire de vérification de l’âge serait aussi mis en place.
  • Fait notable, le texte inclut une exception pour les comptes gouvernementaux utilisés à des fins de « sécurité nationale, maintien de l’ordre public ou objectifs militaires ».

Real-World Impact

• Encryption Concerns

  • Ce projet reprend l’ancienne idée selon laquelle le chiffrement serait un obstacle aux enquêtes.
  • Il sape la reconnaissance du droit au chiffrement qui s’est renforcée après les révélations d’Edward Snowden, et pourrait devenir une occasion de créer un outil de surveillance de l’ensemble de la population.

• False Positives

  • Ces systèmes affichent un taux de faux positifs d’environ 80 %. Selon les forces de l’ordre irlandaises, seuls 20,3 % des signalements automatiques contenaient effectivement des contenus illégaux.
  • Des photos de famille innocentes ou des dossiers médicaux peuvent être confondus avec des contenus illicites, et il existe déjà des cas réels de comptes fermés par les algorithmes de Google.

• Scientific Opposition

  • Plus de 600 cryptographes et scientifiques de 35 pays ont publié une lettre ouverte affirmant que ce projet est « techniquement impossible », « dangereux pour la démocratie » et qu’il menacerait « totalement » la sécurité des citoyens européens.
  • La Commission n’a pas présenté d’étude montrant que ces mesures sont efficaces pour protéger les enfants.

• Easily Defeated

  • Les criminels expérimentés peuvent facilement contourner le système par divers moyens : double chiffrement, partage de liens vers des plateformes externes, stéganographie (dissimulation de données dans des images), utilisation de plateformes décentralisées, etc.
  • Au final, le système ne capturerait probablement que des criminels amateurs, tout en étant bien plus efficace pour instaurer une surveillance massive des civils.

Business Interests

• Industry Players

  • La proposition CSAR s’appuie davantage sur les affirmations d’entreprises commerciales de surveillance que sur des recherches indépendantes.
  • Des entreprises développant des systèmes de détection comme PhotoDNA de Microsoft feraient pression pour faire adopter la loi afin d’obtenir une position dominante sur le marché.
  • Ces systèmes pourraient avoir un pouvoir propriétaire, invérifiable et juridiquement très fort.

• Rhetorical Tactics

  • La commissaire européenne Ylva Johansson emploie une rhétorique émotionnelle du type « quelqu’un doit parler pour les enfants ».
  • C’est une formule politique classique du type « pensez aux enfants », qui freine un débat rationnel sur la vie privée et présente les opposants comme hostiles au bien-être des enfants.

EU Country Positions

• Vote Breakdown

  • Pour (12 pays) : Bulgarie, Croatie, Chypre, Danemark, France, Hongrie, Irlande, Lituanie, Malte, Portugal, Roumanie, Espagne.
  • Contre (7 pays) : Autriche, Tchéquie, Estonie, Finlande, Luxembourg, Pays-Bas, Pologne.
  • Indécis (8 pays) : Belgique, Allemagne, Grèce, Italie, Lettonie, Slovaquie, Slovénie, Suède.
  • Les pays favorables n’atteignent actuellement pas la pondération démographique de 65 % nécessaire à l’adoption du texte.

• National Stances

  • Les pays fermement opposés invoquent des inquiétudes constitutionnelles et des atteintes à la vie privée pour rejeter la surveillance de masse.
  • Les pays indécis examinent encore les détails techniques et juridiques et adoptent une position prudente.

• Current Status

  • Depuis le 12 septembre, les positions des différents pays continuent d’évoluer.

Consequences

• Cybersecurity gets compromised
  • Ajouter volontairement des failles au chiffrement peut être exploité par des criminels ou des puissances étrangères.
  • En février 2024, la Cour européenne des droits de l’homme a jugé que l’obligation d’affaiblir le chiffrement n’est pas nécessaire dans une société démocratique.
• Innovation suffers
  • Les entreprises européennes de cybersécurité contraintes de construire des backdoors pour se conformer à la réglementation perdraient en compétitivité sur le marché mondial.
• Tech companies will leave Europe
  • Des entreprises centrées sur la vie privée comme Signal et Proton envisagent déjà d’arrêter leurs activités en Europe ou de déplacer leur infrastructure.
• Europe might become dependent on US surveillance
  • En externalisant les technologies de surveillance à des entreprises américaines, l’Europe s’expose au risque que le gouvernement des États-Unis accède aux données des citoyens européens en vertu du CLOUD Act.
• Social behavior changes
  • Le simple fait de se savoir surveillé peut entraîner un « chilling effect », où les gens commencent à s’autocensurer.

Take Action

• Utilisez les hashtags #ChatControl et #StopScanningMe pour faire connaître le sujet.
• Signez sur change.org la pétition contre ce projet de loi et suivez les dernières informations à son sujet.
• Contactez les parlementaires de votre pays pour leur demander de s’opposer au texte.
• Utilisez des outils respectueux de la vie privée comme Signal.

Conclusion

• Il est ironique que l’Europe, qui avait établi la vie privée numérique avec le GDPR, tente désormais de la démanteler méthodiquement avec ChatControl.
• Ce projet de loi constitue un choix historique : l’Europe deviendra-t-elle la première démocratie à normaliser la surveillance de masse des communications privées, ou préservera-t-elle les droits numériques ?
• Des régimes autoritaires du monde entier observent cette décision, qui pourrait servir de justification à une surveillance généralisée à l’échelle mondiale.