Marvin Gracias

TL;DR. Les textes officiels visent des fournisseurs de services (messageries/hébergeurs), pas les OS, en leur imposant, sur ordre, d’installer et exploiter des technologies de détection avec des indicateurs fournis par un Centre de l’UE^2 3. La presse (Numerama, TF1) décrit l’effet attendu : détection à l’upload des images/liens, y compris dans des messageries chiffrées^4 5. Le compromis du Conseil (01/07/2025) ajoute le consentement explicite et le gating (si refus : texte seul, pas d’images/URL)⁷. Côté vote, la double majorité se joue au Conseil de l’UE (États + population) ; d’après Fight Chat Control, env. 15 États “pour” mais insuffisants en population, avec l’Allemagne en pivot⁶. Si ça passe, il y a des bannières d'information les applications demandant l'accord de l'utilisateur, un réglage “Détection de contenus” et des restrictions d’envoi de médias/liens en cas de refus (ce sera en texte seul)^4 5 7.

L’article qui peut induire en erreur vers un scan “côté OS” :
The EU Could Be Scanning Your Chats by October 2025 – Here's Everything We Know¹

[…] software providers would be required to perform indiscriminate scanning […] effectively creating what critics call “government spyware” on every smartphone and computer.

Formulé comme cela, on peut croire à un scan côté OS ; les textes visent en réalité les services.

Ce que disent les textes officiels

• Objectif : obligations adressées aux fournisseurs de services/hébergeurs^2 3.
• Application : le fournisseur installe et exploite des technologies de détection, en utilisant des indicateurs fournis par un Centre de l’UE².
• Chiffrement : COM(2022) 209 n’interdit pas l’E2EE ; la voie pratique pour des messageries E2EE est la détection avant envoi dans l’app (les compromis du Conseil l’explicitent)⁷.
• Réseau : possibilité séparée d’ordres de blocage d’URL via les FAI².

« […] fournisseur de services d’hébergement ou fournisseur de services de communications interpersonnelles […] »²

“The Proposal would impose qualified obligations on providers of hosting services, interpersonal communication services […] concerning the detection […]”³

Ce que confirme la presse récente

• Numerama et TF1 Info décrivent une détection à l’upload des liens/images, y compris dans des messageries chiffrées : c’est bien une logique côté appli^4 5.

« […] rendre obligatoire […] le scan systématique des liens, des images […] à travers des messageries »⁴

« […] scanner les contenus partagés via des applications de messagerie, y compris lorsqu’elles sont chiffrées. »⁵

Pourquoi on parle de « client-side scanning »

Dans une messagerie en chiffrement de bout en bout (Signal/WhatsApp), le serveur ne voit pas le contenu. Pour détecter sans casser l’E2EE en transit, la vérification se fait sur l’appareil, avant chiffrement, au moment de l’upload des médias/liens, ce que le compromis du Conseil formalise (consentement + gating)⁷.

* WhatsApp chiffre le contenu en E2EE, mais ce n’est pas un E2EE « intégral » : métadonnées, sauvegardes cloud, WhatsApp Business/Cloud API, signalements, code propriétaire, etc.

Tendance au Conseil de l’UE (États membres)

D’après Fight Chat Control⁶ :

• Pour : ≈ 15 États favorables (seuil pays atteint) mais seulement ≈ 53,3 % de la population = en-dessous des 65 %.
• Contre : Pologne, Pays-Bas, Autriche  ~64,8 M d’habitants = pas encore une minorité de blocage (il faut ≥ 4 pays > 35 %).
• Pivot : Allemagne. Sans elle, il manque ~52,8 M côté « pour » ; si elle dit OUI, on frôle ~72 % de population (double majorité plausible).

Fight Chat Control s’appuie sur des documents ayant fuité (réunion du 11 juillet 2025 du LEWP), publiés par netzpolitik.org et résumés par Patrick Breyer, et contacte directement chaque MEP pour confirmer sa position^7 8.

Comment fonctionne la règle de vote (double majorité)

• Il faut deux critères en même temps :
  1. ≥ 15 pays sur 27 ;
  2. ≥ 65 % de la population de l’UE représentée par ces pays favorables.
• Pour bloquer : ≥ 4 pays totalisant > 35 % de la population.

Ce qui changera concrètement si la proposition est validée

Bannières « Activer la détection pour continuer à envoyer des photos/vidéos/liens », réglage « Détection de contenus » dans Confidentialité/Sécurité, et restriction des médias en cas de refus (texte seul, pas d’images, pas d’URL)^4 5 7.

Base légale du module de détection dans l’app/service

• Information obligatoire des utilisateurs (Art. 10(5) - COM(2022) 209)

  Original : “The provider shall inform users in a clear, prominent and comprehensible way of: (a) the fact that it operates technologies to detect […] and the impact on the confidentiality of users’ communications; (b) that it is required to report […] to the EU Centre.” ²

  Traduction : « Le fournisseur informe les utilisateurs d’une manière claire, bien visible et compréhensible […] du fait qu’il exploite des technologies de détection […] et de l’incidence sur la confidentialité ; et qu’il est tenu de signaler au Centre de l’UE. » ²

• Exécution technique d’un ordre de détection (Art. 10(1) - COM(2022) 209)

  Original : “…shall execute [a detection order] by installing and operating technologies … using the corresponding indicators provided by the EU Centre.” ²

  Traduction : « …exécute [une injonction de détection] en installant et en exploitant des technologies… en utilisant les indicateurs correspondants fournis par le Centre de l’UE. » ²

Compromis du Conseil (01/07/2025) - « consentement » et « gating »

• Récital 26a - Consentement explicite & usage texte-seul si refus

  Original : “…when uploaded, under the condition that the users give their explicit consent … Users not giving their consent should still be able to use that part of the service that does not involve the sending of visual content and URLs.” ⁷

  Traduction : « …au moment de l’upload, à la condition que les utilisateurs donnent leur consentement explicite… Les utilisateurs qui ne donnent pas leur consentement doivent pouvoir continuer à utiliser la partie du service qui n’implique pas l’envoi de contenus visuels ni d’URL. » ⁷

• Art. 10 (modifié) - Limitation des fonctionnalités (« gating »)

  Original : “…it is required to limit the functionalities of the service to prevent the transmission of visual content and URLs absent the user consent.” ⁷

  Traduction : « …il est requis de limiter les fonctionnalités du service afin d’empêcher la transmission de contenus visuels et d’URL en l’absence du consentement de l’utilisateur. » ⁷

• Principe « avant transmission » (upload-moderation)

  Original : “Detection in interpersonal communications services using end-to-end encryption is enabled prior to the transmission of content requiring the users’ consent.” ⁷

  Traduction : « La détection […] utilisant le chiffrement de bout en bout est activée avant la transmission des contenus, sous réserve du consentement des utilisateurs. » ⁷

1. Article MyPrivacy
2. Texte officiel COM(2022) 209
3. Avis EDPB/EDPS
4. Numerama
5. TF1 Info
6. Fight Chat Control
7. Presidency compromise texts (LEWP, 01/07/2025)
8. Patrick Breyer – résumés et analyses