Le plan « Going Dark » ou « ProtectEU » de l’Union européenne constitue une tentative de Chat Control 3.0 pour accéder aux données chiffrées

 (mastodon.online)
1 points par GN⁺ 2025-12-22 | 1 commentaires | Partager sur WhatsApp
  • Après l’échec de la Commission européenne à faire avancer Chat Control 2.0 pour accéder à des données chiffrées de bout en bout, elle prépare une nouvelle tentative, « Going Dark » (ProtectEU), d’ici l’été 2026
  • Ce plan vise à permettre aux autorités chargées de l’application de la loi d’« accéder légalement » à des données chiffrées, et certains États membres souhaitent y inclure jusqu’aux services VPN
  • Dans un « Presidency outcome paper » distinct, les États membres débattent de règles de conservation des métadonnées, en visant un périmètre de conservation très large incluant les sites web visités, les correspondants, la fréquence des échanges, etc.
  • Mullvad VPN s’oppose à Chat Control 2.0 depuis trois ans et déclare qu’il ne surveillera jamais ses clients, même si les VPN sont inclus
  • Le débat s’impose comme un enjeu central autour des limites de la protection juridique de la vie privée numérique et du chiffrement en Europe

L’échec de Chat Control 2.0 et la nouvelle tentative « Going Dark »

  • La Commission européenne a échoué dans sa tentative d’obtenir un droit d’accès aux données chiffrées de bout en bout via Chat Control 2.0
    • Mullvad VPN a résumé la situation en disant que « la Commission européenne a perdu la bataille de Chat Control 2.0 »
  • La Commission prévoit de lancer d’ici l’été 2026 un nouveau plan appelé « Going Dark » ou « ProtectEU »
    • L’objectif est de « permettre aux autorités chargées de l’application de la loi d’accéder légalement à des données chiffrées »
    • Mullvad VPN le qualifie de « tentative de Chat Control 3.0 »

Possibilité d’inclure les VPN et débat sur la conservation des données

  • Certains États membres de l’UE ont exprimé leur volonté d’inclure les services VPN dans le champ de la régulation
  • Le nouveau « Presidency outcome paper » discute d’une révision des règles de conservation des données (data retention)
    • Les données concernées incluent des métadonnées telles que les sites web visités, les correspondants, les horaires et la fréquence des communications
    • Selon le document, l’objectif est un « champ d’application aussi large que possible »
    Publicité

La position de Mullvad VPN

  • Mullvad VPN mène depuis trois ans une campagne d’opposition à Chat Control 2.0
    • L’entreprise a maintenu cette position, même si ce texte aurait pu avoir un effet positif sur son activité
  • L’entreprise affirme explicitement qu’elle ne surveillera jamais ses clients, même si la législation Going Dark est adoptée
    • Elle déclare : « Que les VPN soient inclus ou non, nous combattrons Going Dark de toutes nos forces »
Publicité

Réaction de la communauté Mastodon

  • Plusieurs utilisateurs ont exprimé leur lassitude et leurs critiques face aux tentatives répétées de surveillance de l’UE
    • Une réaction sarcastique demande : « En 2030, faudra-t-il se battre contre Chat Control 8.0 ? »
    • Certains critiquent aussi l’idée qu’« accès légal » signifie qu’« aujourd’hui, cet accès est illégal »
  • Certains évoquent la tendance à la centralisation de l’UE et les craintes d’atteinte aux libertés individuelles
    • On trouve notamment l’avis selon lequel « seule une décentralisation extrême peut arrêter ce type de dérive »

La poursuite du débat sur la vie privée et le chiffrement

  • De nombreux commentaires expriment leurs inquiétudes face au renforcement de la surveillance étatique et aux tentatives d’affaiblissement du chiffrement
    • On y lit des critiques comme : « le gouvernement craint davantage la liberté de ses citoyens que ses citoyens eux-mêmes » ou encore qu’« il exige l’impossible sans comprendre les mathématiques du chiffrement »
  • Mullvad VPN réaffirme la protection de la vie privée comme valeur centrale et souligne une architecture qui ne permet pas de remonter à l’identité de ses clients, malgré les pressions juridiques
  • Ce débat est considéré comme un sujet susceptible d’avoir un impact majeur sur l’avenir des droits numériques, du chiffrement et des politiques de conservation des données dans l’UE

À lire aussi

1 commentaires

 
GN⁺ 2025-12-22
Réactions sur Hacker News
  • La manière d’empêcher cela est d’adopter une loi exactement inverse. Autrement dit, les communications chiffrées doivent toujours être protégées, et toute législation qui affaiblit cette garantie technique doit être interdite. Cela imposerait alors une procédure en deux étapes : abroger l’interdiction existante puis adopter une nouvelle loi
  • On continue de proposer en boucle les mêmes lois de surveillance, simplement renommées. Chat Control, ProtectEU, Going Dark : seuls les noms changent, mais le fond reste la même proposition intrusive. Le périmètre de conservation des métadonnées est particulièrement problématique : il inclut les sites web visités, les correspondants, les moments et la fréquence des échanges, et on cherche même à l’appliquer aux services VPN. Il ne s’agit plus de protection de l’enfance ou de lutte contre le terrorisme, mais de normalisation de la surveillance de masse. La seule solution est d’inscrire le droit à la vie privée dans la Constitution et de prévoir des sanctions en cas de violations répétées
  • Je n’arrivais pas à trouver la source du « Presidency outcome paper » mentionné par Mullvad, alors je l’ai cherchée moi-même. En réalité, la majeure partie des passages cités figure dans le document ProtectEU envoyé par la Commission européenne le 1er avril. Il existe aussi un rapport complémentaire de définition du problème : HLG background document. Ce document décrit l’accès des forces de l’ordre aux données sous réserve d’une autorisation judiciaire, et précise qu’il faut respecter la protection des données et la jurisprudence de la CJUE
    • Il s’agit probablement de ce document. Son numéro de document n’est pas publié, ce qui donne l’impression qu’il s’agit d’une fuite. Il existe aussi cet autre document, et le premier semble être le résultat du second
  • Tant que les gens ne feront pas pression pour que le droit à la vie privée soit garanti au niveau constitutionnel, ce problème continuera. Bloquer une mauvaise loi ne suffit pas
    • Ce droit doit être inscrit noir sur blanc dans la loi, et il faut une règle de refroidissement empêchant de redéposer un texte de même nature pendant une certaine période. Le fait de pousser le même projet de loi en boucle depuis quatre ans est absurde
    • La Constitution italienne dit aussi que la liberté et le secret des communications ne doivent pas être violés, mais si le gouvernement n’a pas la volonté de l’appliquer, la loi ne sert à rien
    • L’UE et l’Allemagne disposent déjà de nombreuses lois sur la protection des données personnelles. Par exemple, la Cour constitutionnelle allemande a jugé que la journalisation massive des requêtes DNS était « très probablement illégale »
    • Il faut traiter le problème que cette proposition prétend résoudre. Sinon, la même idée reviendra sans cesse. L’exploitation sexuelle des enfants est un vrai problème, et si l’on n’aime pas cette loi, il faut proposer une meilleure alternative
  • Dans la Locride antique, lorsqu’on proposait une nouvelle loi, on le faisait avec une corde autour du cou, et si elle était rejetée, on était pendu. C’est une histoire qui mérite réflexion
    • Le système législatif américain a une structure asymétrique : il est bien plus facile d’adopter une nouvelle loi que d’en abroger une ancienne. On pourrait corriger cela en fixant une date d’expiration par défaut à toutes les lois
    • Zaleucos (Zaleucus) de Locres a créé le premier corpus de lois au VIIe siècle av. J.-C. Aujourd’hui, Locres se trouve en Calabre, en Italie, et la région est ironiquement tristement connue pour ses organisations mafieuses (lien Wikipédia)
    • Mais si, aujourd’hui, la plupart des gens vivent déjà dans un monde où ils choisiraient eux-mêmes la pendaison, ce système ne semble pas devoir très bien fonctionner
    • Quand on voit, pendant la pandémie, des citoyens manipulés par la désinformation refuser des mesures de sécurité publique et réagir violemment, un tel système risquerait au contraire de favoriser les extrémistes
    • Comme quand on dit « cette nourriture est avariée », il faut une meilleure proposition
  • J’espère que cette loi sera rejetée elle aussi, comme les précédentes. Même si elle passait, il est probable que, dans certains États membres, elle ne soit pas appliquée ou finisse abrogée. Cela dit, le fait que ces débats aient lieu publiquement reste préférable à la situation en Chine, en Russie ou à celle du Patriot Act aux États-Unis
    • Mais on peut se demander si ces débats ont réellement un sens. L’objectif des accords internationaux est de déplacer les données hors de la juridiction pour contourner la surveillance, et l’UE fait probablement déjà de l’analyse de métadonnées. Mullvad dit « nous ne surveillerons pas nos clients », mais si la loi est adoptée, l’entreprise devra au final conserver des logs ou quitter l’UE
  • Un VPN reste au fond une question de confiance. Mullvad n’est peut-être pas le meilleur, mais ce n’est pas le pire
    • En revanche, ils ne prennent plus en charge le port forwarding, et la qualité de leurs IP est faible, si bien qu’elles sont souvent signalées comme suspectes
  • J’aime Internet. En devenant adulte, j’ai vu Internet transformer le monde, et je déteste les tentatives de le contrôler. Autrefois, la guerre de l’information passait par des actions directes, mais Internet a donné aux États un nouveau moyen d’exercer leur influence à l’étranger. Je comprends le désir de surveillance des États, mais je pense que la manière actuelle est mauvaise. Il faut trouver un équilibre entre un Internet libre et le contrôle des influences étrangères
    • La question la plus importante est de savoir quelle influence on veut contrôler. Il faut éviter qu’un tel système soit détourné en outil de maintien au pouvoir. Si tout cela se fait à huis clos, l’UE ne vaudra pas mieux que la Russie ou la Chine
  • La Commission européenne et certains États membres rediscutent actuellement de nouvelles règles de conservation des données. Le « Presidency outcome paper » inclut la conservation de métadonnées comme les sites visités, les correspondants et la fréquence des échanges, et il y a aussi une volonté de l’étendre aux services VPN
  • Même si cela est rejeté une troisième fois, ils recommenceront encore. Il faut un moyen de bloquer cela de façon répétée
    • À moins que l’UE ne bascule fortement à gauche, cela me paraît difficile à empêcher en pratique
    • Il faut des mesures punitives en cas d’échec. Les méthodes violentes sont socialement inacceptables et dangereuses, comme l’a montré le cas de la « politique par assassinat » au Japon. En revanche, une réponse pacifique comme l’ostracisme social (shunning à la manière amish) pourrait être envisageable. Cela dit, pour un sujet comme Chat Control, il est peu probable qu’on voie une réaction aussi extrême ; à moins d’un sujet comme la suppression du système de retraite, cela semble impossible