ChatControl : l’illusion sécuritaire, le cauchemar d’une surveillance de masse

Aurélie Luttrin est Présidente de Eokosmo.

---

ChatControl alias Regulation to Prevent and Combat Child Sexual Abuse (CSAR), a été dévoilé le 11 mai 2022 par la Commission européenne dans le cadre de sa stratégie pour renforcer la lutte contre les abus sexuels sur mineurs en ligne. Ce projet de règlement vise à généraliser le scan automatisé des contenus privés, notamment chiffrés, pour détecter les images ou vidéos pédopornographiques, une mesure que beaucoup dénoncent comme une atteinte disproportionnée aux libertés numériques.

Depuis, le texte a fait l’objet de nombreuses controverses et ajustements :

• En novembre 2023, le Parlement européen (commission LIBE) a adopté des amendements visant à protéger le chiffrement de bout en bout et encadrer l’usage du scanning .
• Au premier semestre 2024, face aux blocages, une prolongation du régime volontaire (Chat Control 1.0) a été votée par le Conseil, tandis que ChatControl 2.0 restait en suspens .
• Avec la présidence danoise du Conseil à partir du 1er juillet 2025, le projet a été relancé parmi les priorités législatives.
• Un calendrier clair est désormais fixé : 14 octobre 2025 : vote final planifié au sein du Conseil et du Parlement.

Cette offensive n’est pas une exception européenne.

En Suisse, pays jusqu’ici perçu comme défenseur de la confidentialité, le Conseil fédéral a ouvert le 29 janvier 2025 une consultation sur la révision de deux ordonnances d’exécution (OSCPT et OME‑SCPT), visant à étendre les obligations de surveillance aux VPN, messageries, cloud, et autres prestataires numériques. Cette révision a suscité une levée de boucliers de la part de Proton, Threema, de la Société numérique suisse, ainsi que d’organisations comme Amnesty, dénonçant une dérive disproportionnée bloquant l’anonymat numérique.

De l’Union européenne à la Suisse, une même mécanique s’enclenche : sacrifier nos droits au nom d’une illusoire sécurité. 

En réalité, la surveillance généralisée est une fuite en avant technocratique qui évite d’affronter les causes structurelles du problème. Plutôt que de cibler les criminels, elle transforme l’ensemble de la population en suspects potentiels. C’est sur ce point que le débat doit basculer : non pas sur une fausse opposition entre sécurité et liberté, mais sur l’efficacité réelle des politiques publiques de protection de l’enfance.

ChatControl ne protège pas les enfants. Il surveille les parents.

1. Une fausse solution à un vrai problème

Le projet ChatControl (COM(2022) 209) se présente comme une avancée décisive dans la lutte contre les abus sexuels sur enfants. La Commission européenne y affirme que l’objectif est de « prévenir et combattre les abus sexuels sur enfants, qui constituent des crimes particulièrement graves » et qu’il s’agit d’un « objectif d’intérêt général au sens de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne » (considérant 1.5.2).

Pour atteindre ce but, le texte impose aux fournisseurs de services de communication et d’hébergement (messageries, e-mails, plateformes de partage de fichiers, services cloud) de scanner de manière automatisée les contenus envoyés par leurs utilisateurs, y compris lorsqu’ils sont chiffrés de bout en bout. Ces « technologies de détection certifiées » devront identifier le matériel pédopornographique déjà connu, les nouvelles images suspectées, et même les conversations interprétées comme des « sollicitations d’enfants ». Les signalements devront être transmis à un « centre de l’UE » chargé de redistribuer aux autorités nationales.

À première vue, la proposition semble irréprochable : protéger les enfants est un impératif absolu. Mais en réalité, ChatControl illustre un biais récurrent des politiques publiques européennes : faire peser sur l’ensemble de la société des mesures de surveillance généralisée, inefficaces contre les réseaux criminels organisés, mais destructrices pour les libertés fondamentales.

L’illusion d’efficacité : scanner tout le monde, c’est protéger personne.

Le projet s’appuie sur une croyance technologique : en scannant toutes les communications, il deviendrait possible d’éradiquer la diffusion des contenus pédopornographiques. Or cette logique a déjà été condamnée par la Cour de justice de l’Union européenne (CJUE). Dans l’arrêt Digital Rights Ireland (C-293/12, 2014), la Cour a annulé la directive sur la conservation des données au motif qu’elle instaurait une surveillance « généralisée et indifférenciée » contraire au principe de proportionnalité. La même position a été confirmée dans Tele2 Sverige (C-203/15, 2016) et La Quadrature du Net (C-511/18, 2020).

Imposer un contrôle universel des communications revient exactement au schéma que la CJUE a rejeté : suspicion de tous, ciblage de personne. Les véritables réseaux pédocriminels opèrent via le darknet, utilisent des canaux fermés, et savent déployer leurs propres systèmes de chiffrement. En d’autres termes, ChatControl frappera surtout les citoyens ordinaires, tandis que les criminels continueront à contourner le dispositif.

Des libertés en moins, des risques en plus

Le texte reconnaît lui-même les limites technologiques. Microsoft, par exemple, indique que la fiabilité de son outil de détection est « de 88 % » (page 122). Cela signifie que 12 % des signalements seraient des faux positifs : photos privées de nourrissons à la sortie du bain, clichés familiaux d’enfants sans aucun caractère sexuel, conversations adolescentes maladroites… Autant de contenus susceptibles d’être transmis à une autorité comme matériel criminel, avec toutes les conséquences psychologiques et sociales que cela suppose.

De plus, nul ne sait qui développera et contrôlera ces technologies. Aujourd’hui, seules quelques entreprises américaines et chinoises disposent des solutions nécessaires à grande échelle. Or, confier à des opérateurs étrangers le filtrage systématique de toutes nos communications reviendrait à cumuler les effets du droit extraterritorial américain (CLOUD Act), du droit chinois (lois de cybersécurité et de renseignement), et du futur droit européen. 

Ce mélange explosif placerait les données des citoyens européens sous la coupe de puissances étrangères, au détriment de toute autonomie stratégique.

Une violation des principes européens

Sur le plan juridique, ChatControl viole plusieurs textes fondamentaux :

• Le RGPD (art. 5 et 6), qui impose le respect du principe de minimisation et de finalité des données. Le scanning généralisé de communications privées, sans ciblage ni lien avec une enquête judiciaire, excède largement ce qui est « nécessaire ».
• La Charte des droits fondamentaux (art. 7 et 8), qui protège la vie privée et les données personnelles. L’article 52 de cette Charte n’autorise des restrictions que si elles sont « nécessaires et proportionnées » : une condition manifestement absente ici.
• La Convention européenne des droits de l’homme (art. 8 et 10), telle qu’interprétée par la Cour de Strasbourg (Zakharov c. Russie, 2015 ; Big Brother Watch c. Royaume-Uni, 2021), condamne les dispositifs de surveillance généralisés et sans garanties effectives.

Enfin, le texte entre en contradiction directe avec l’article 15 de la directive e-Commerce (2000/31/CE), confirmé par le Digital Services Act, qui interdit d’imposer une obligation générale de surveillance aux prestataires de services.

Une certitude : l’échec

En définitive, ChatControl promet une sécurité illusoire. Les enfants ne seront pas mieux protégés, faute d’une politique pénale cohérente, de moyens humains spécialisés et d’une coordination judiciaire efficace. En revanche, les citoyens européens perdront une part essentielle de leurs libertés : la confidentialité de leurs échanges privés.

Sous couvert de défendre l’intérêt supérieur de l’enfant, l’Europe s’apprête à instaurer une infrastructure de surveillance de masse qui ne protège ni les victimes, ni la société. Comme souvent, la technologie sert ici de paravent pour masquer l’absence de courage politique et de stratégie réelle.

Pendant que nous discutons d’algorithmes, les réseaux pédocriminels recrutent, partagent et échappent à la justice. 

2. Une lutte minée au cœur même du système

Les véritables freins à la lutte contre les réseaux de pédocriminalité ne relèvent ni du chiffrement ni d’un manque de technologies : ils sont enracinés dans des défaillances structurelles, en France comme en Europe, que seule une politique publique courageuse pourra corriger.

Une coordination défaillante et des systèmes d’information cloisonnés

En France, la Cour des comptes a dressé un bilan sévère de la protection de l’enfance : « une politique inadaptée au temps de l’enfant », caractérisée par un pilotage faible et une coordination trop informelle entre départements et justice. Elle souligne surtout « l’absence de systèmes d’informations partagés entre les différents acteurs », qui fragmente l’action publique et retarde les décisions (Cour des comptes, rapport sur la protection de l’enfance, 2020). Ce cloisonnement n’est pas propre à la France. 

Au niveau européen, la Commission a reconnu en 2021 des « lacunes importantes » dans l’échange d’informations policières (SWD(2021) 379), ce qui a conduit à l’adoption de Prüm II pour relier fichiers ADN, empreintes, immatriculations et images faciales. De même, la directive (UE) 2023/977 a dû rappeler que des « obstacles pratiques et juridiques » persistent dans la coopération transfrontière. Autrement dit : la verticalisation et le silotage des systèmes d’information, les guerres de services et la dépendance aux transmissions nationales minent encore l’efficacité d’Europol.

Des moyens humains et cliniques sous-dimensionnés 

En France, le ministère de l’Intérieur relevait déjà 348 000 atteintes numériques en 2024 (+74 % en cinq ans), toutes cyber-infractions confondues, dont une part significative liée à l’exploitation sexuelle des mineurs en ligne (Rapport public sur la cybercriminalité, 2024). L’OCLCTIC a vu, en 2021, 137 953 demandes de retrait de contenus terroristes et pédopornographiques transmises à la personnalité qualifiée de la CNIL, soit une hausse de 250 % en un an (Rapport annuel ARCOM, 2021). Ces chiffres donnent la mesure de la charge… mais aucune statistique publique ne permet de savoir combien d’agents sont réellement affectés à la lutte contre la pédocriminalité. En clair, il n’existe pas de traçabilité nationale spécifique des moyens humains et budgétaires dédiés à ces crimes.

Au niveau européen, la situation est similaire. Europol dispose en 2025 d’un budget de 241 millions d’euros et de plus de 1 700 agents. Mais ces chiffres couvrent toutes les menaces criminelles et terroristes : le centre cyber (EC3), qui abrite la lutte contre l’« online child sexual exploitation », ne publie aucune ventilation des effectifs ni du budget spécifiquement consacré à la pédocriminalité (Europol, budget 2024-2025 ; IOCTA). Autrement dit, l’Europe connaît la menace, mais n’affiche pas les moyens mobilisés pour y répondre.

Côté santé et psychiatrie, la Cour des comptes française a, dans son rapport sur la pédopsychiatrie, dénoncé une offre insuffisante et mal articulée, des délais d’accès trop longs et une formation lacunaire des médecins généralistes et pédiatres. Tant que le suivi psychologique et psychiatrique des victimes et des auteurs restera sous-dimensionné, aucun outil numérique ne pourra compenser ce déficit structurel.

Un suivi judiciaire insuffisant et une récidive préoccupante

Les statistiques du Sénat sur la période 2019-2023 indiquent un taux de récidive légale de 5,7 % pour les viols et de 9 % pour les délits à caractère sexuel. Mais elles rappellent aussi que ces chiffres sont probablement sous-évalués : moins de 10 % des victimes portent plainte et moins de 10 % des plaintes aboutissent à une condamnation. Autrement dit, les données disponibles donnent une illusion de maîtrise, alors même que la récidive reste un angle mort du suivi judiciaire (Rapport d’information du Sénat sur la prévention de la récidive, 2023).

Des contrôles trop faibles dans les environnements sensibles

Autre faille : la protection insuffisante dans les recrutements au contact des enfants. 

La loi du 7 février 2022 (dite loi Taquet) a renforcé l’obligation de vérifier l’honorabilité des professionnels et bénévoles travaillant avec des mineurs via le FIJAISV (fichier des auteurs d’infractions sexuelles et violentes). Ses décrets d’application prévoient une généralisation progressive d’ici 2025. Mais dans la pratique, de nombreux employeurs publics ou privés n’ont toujours pas un accès effectif au bulletin n° 2 du casier judiciaire, ce qui laisse subsister des failles de contrôle.

Une certitude : le vrai problème n’est pas technologique

Prétendre « gagner » grâce au scan généralisé des communications relève de l’illusion : la priorité est de renforcer les équipes humaines, de construire des systèmes d’information interopérables, d’améliorer le suivi judiciaire et de sécuriser le recrutement dans les environnements sensibles.

3. Les vraies solutions : l’intelligence humaine, le pilotage par la preuve et une Europe qui finance la protection pas la surveillance

La proposition de règlement « ChatControl » part d’un présupposé erroné : si nous cassons le chiffrement et généralisons la surveillance, nous parviendrons enfin à protéger les enfants. 

Cette croyance technocratique ignore la réalité des failles : elles sont humaines, organisationnelles, judiciaires et sanitaires.

3.1.  Briser les silos institutionnels : l’interopérabilité comme exigence démocratique

Prüm II, Directive (UE) 2023/977, les textes existent : ils doivent maintenant être mis en œuvre avec des délais contraignants et une interopérabilité vérifiée. 

Il ne s’agit pas de scanner toutes les conversations privées des citoyens, mais de garantir qu’un policier français, un juge espagnol et un éducateur allemand puissent accéder aux mêmes données lorsqu’il s’agit de sauver un enfant.

3.2. Donner des moyens humains spécialisés et mesurés

La technologie n’est rien sans enquêteurs, magistrats et éducateurs formés ni sans un pilotage efficace des données.

À l’échelle européenne, nous connaissons la menace, mais nous ne savons pas combien de moyens lui sont consacrés.

La Cour des comptes et le Sénat  français convergent : sans « pilotage par la donnée » (ETP dédiés, délais moyens de traitement, nombre d’enfants protégés), impossible d’évaluer l’efficacité. 

À défaut, la tentation est grande de se réfugier dans l’illusion d’une solution technologique unique.

3.3. Protéger le chiffrement, renforcer la preuve judiciaire 

Casser le chiffrement, c’est offrir une porte aux criminels et aux puissances étrangères.

Le chiffrement de bout en bout n’est pas l’ennemi. C’est une garantie essentielle de sécurité pour tous : enfants, journalistes, avocats, citoyens.

 Les autorités européennes de protection des données (EDPB et EDPS) l’ont rappelé dans leur avis conjoint de 2022 : l’affaiblir reviendrait à exposer tout le monde à des cyberattaques, sans garantir l’efficacité contre les criminels. L’ENISA a elle aussi alerté contre les « portes dérobées » : une vulnérabilité créée pour un usage policier devient inévitablement une vulnérabilité exploitable par des criminels ou des puissances étrangères.

La bonne réponse n’est donc pas de casser la sécurité numérique, mais de renforcer l’ingénierie judiciaire : conservation ciblée des preuves, outils forensiques modernes, autorisation encadrée d’opérations sous couverture en ligne, et surtout interopérabilité des systèmes policiers et judiciaires (directive 2023/977).

3.4. Suivre les auteurs, protéger les environnements sensibles

La lutte ne s’arrête pas à la condamnation. 

Il faut donc :

• Développer les injonctions de soins et les programmes spécialisés pour les auteurs, avec obligation de suivi psychiatrique.
• Créer des juridictions spécialisées pour les crimes sexuels sur mineurs, avec magistrats formés.
• Généraliser l’accès encadré au casier judiciaire (bulletin n° 2) pour tout employeur au contact de mineurs, publics ou privés. La loi Taquet de 2022 l’a prévu, mais sa mise en œuvre est lente et incomplète.

3.5.Reconstruire la pédopsychiatrie et déployer Barnahus

Sans offre de soins adaptée, on recycle la souffrance. La Cour des comptes française a dressé un constat sévère : la pédopsychiatrie est « insuffisante, mal articulée et méconnue des professionnels de ville » (rapport 2021). Il faut créer des unités hospitalières spécialisées pour les auteurs et des dispositifs de suivi renforcé pour les victimes.

À l’échelle européenne, le modèle Barnahus (maison de l’enfant), déjà promu par le Conseil de l’Europe et recommandé par le Parlement européen, doit devenir la norme. Il regroupe en un même lieu enquête judiciaire, audition adaptée, soins et accompagnement, évitant la re-traumatisation. La Convention de Lanzarote fournit le cadre juridique ; il ne reste qu’à déployer ce modèle partout.

3.6. Prévenir, éduquer, former

Aucune stratégie ne réussira sans prévention. Cela signifie :

• Former enseignants, éducateurs, animateurs et médecins à repérer et signaler les situations.
• Lancer des campagnes d’information sur le cyber-grooming et les canaux de signalement.
• Intégrer dans les programmes scolaires des modules d’éducation au numérique et à la protection de l’intimité en ligne.

C’est exactement ce que recommande le Comité de Lanzarote du Conseil de l’Europe dans ses évaluations thématiques.

3.7. Un rôle européen positif : subventions et souveraineté technologique

L’Union européenne aime se présenter comme un rempart. Mais si elle veut vraiment « participer à l’effort de guerre » contre la pédocriminalité, qu’elle cesse de financer la surveillance de masse et qu’elle investisse dans les solutions réelles.

Elle peut mobiliser ses programmes existants : EU4Health (pour la pédopsychiatrie et les Barnahus), Internal Security Fund (pour les équipements forensiques et la coopération policière), Digital Europe (pour l’interopérabilité des systèmes et la cybersécurité).

Ces financements doivent être conditionnés à des critères précis :

• preuve d’interopérabilité effective des systèmes (Prüm II, directive 2023/977),
• efforts de désilotage administratif (justice, police, ASE, santé),
• indicateurs publics (délais de traitement, nombre d’enfants protégés, moyens humains engagés),
• et, point capital, usage de technologies européennes non soumises à des droits extraterritoriaux. Le CLOUD Act américain ou la loi chinoise de 2017 sur le renseignement rendent illusoire toute protection si nos infrastructures sont dépendantes.

3.8. L’Europe comme coordinateur opérationnel des polices nationales

La pédocriminalité en ligne est transnationale par nature. Pourtant, Europol n’a aujourd’hui qu’un rôle d’appui : il dépend des données transmises volontairement par les États et n’a pas de pouvoir d’injonction.

Il faut franchir une étape :

• Créer des équipes communes d’enquête (ECE) spécialisées, permanentes et financées par Europol, avec des enquêteurs détachés des États membres.
• Harmoniser les méthodes de collecte et d’analyse forensique pour éviter la fragmentation des enquêtes.
• Centraliser un observatoire européen du suivi des auteurs (condamnations, récidives, injonctions de soins), interfacé avec les casiers judiciaires nationaux.
• Fixer des indicateurs européens communs : délais moyens de réponse aux demandes d’entraide, nombre de victimes identifiées, nombre d’enfants protégés.
• En clair, faire de l’Europe non seulement un législateur, mais un chef d’orchestre opérationnel doté d’équipes et de moyens dédiés.

Conclusion : remettre l’enfant au centre des stratégies de protection

La protection des enfants exige des choix clairs. 

L’illusion sécuritaire détruit nos libertés. 

L’intelligence humaine, elle, peut encore sauver nos enfants.

Pas la surveillance généralisée des communications, qui fragilise nos libertés et notre sécurité sans efficacité démontrée. 

Il ne s’agit pas d’opposer sécurité et libertés, comme si l’une devait se sacrifier à l’autre. Il s’agit de comprendre que seule une politique humaine, mesurée et souveraine protège réellement. Les algorithmes ne sauveront pas les enfants. Ce sont des enquêteurs formés, des juges spécialisés, des soignants équipés et une Europe qui finance l’interopérabilité, la coopération policière et la souveraineté technologique qui peuvent, ensemble, changer la donne.

Remettons l’enfant au centre. C’est la seule manière d’éviter que l’illusion sécuritaire ne devienne le cauchemar démocratique de demain.

Aurélie Luttrin