← Retour au blog

Chat Control 1.0 rétabli dans l'UE : ce qui a réellement été adopté en juillet 2026

Le 9 juillet 2026, le Parlement européen n'a pas atteint la majorité nécessaire pour bloquer le rétablissement de Chat Control 1.0. Plus de députés ont voté contre que pour, et pourtant la dérogation s'applique. Voici un compte rendu précis, fondé sur les sources, de ce qui a changé, de ce qui n'a pas changé, et de pourquoi cela compte pour la communication privée et les preuves numériques.

Réglementation UE ePrivacy Preuves numériques Chiffrement

Ce qui s'est passé le 9 juillet 2026

Le 9 juillet 2026, le Parlement européen a voté sur l'opportunité de bloquer le rétablissement d'une règle temporaire de l'UE qui permet aux plateformes en ligne d'analyser volontairement les communications privées à la recherche de matériel d'abus sexuel sur enfants (CSAM). Les critiques désignent cette règle sous le nom de Chat Control 1.0.

Le résultat a été inhabituel. Une majorité des députés européens votants souhaitaient rejeter la règle : 314 ont voté pour le rejet, 276 contre le rejet et 17 se sont abstenus. Bien qu'il y ait eu plus de voix pour le rejet que pour le maintien, la règle a été rétablie.

La raison tient à la procédure. Il s'agissait d'un vote en deuxième lecture dans le cadre de la procédure législative ordinaire de l'UE, où le rejet de la position du Conseil exige une majorité absolue de tous les députés, soit actuellement 361 sur 720, et non une simple majorité des présents. Le rejet a atteint 314 voix, soit 47 de moins que ce seuil, de sorte que le texte du Conseil est resté en vigueur.

L'effet pratique est que le cadre d'analyse volontaire, qui avait expiré le 3 avril 2026, doit s'appliquer à nouveau jusqu'au 3 avril 2028, sous réserve d'une étape finale impliquant le Conseil. Cet article explique précisément ce que cela signifie et sépare les faits fiables de la part considérable d'exagération qui a entouré cette affaire.

Ce qu'est réellement Chat Control 1.0

Chat Control 1.0 n'est pas un mandat de surveillance de masse, et comprendre ce dont il s'agit dissipe l'essentiel de la confusion. Il s'agit d'une dérogation temporaire, une exception juridique, formellement le règlement (UE) 2021/1232, à certaines parties de la directive ePrivacy de l'UE.

Volontaire, non obligatoire

La dérogation permet aux fournisseurs de certains services de communication d'analyser les CSAM connus et de signaler les correspondances aux autorités, sans les y obliger. Les plateformes peuvent choisir d'y adhérer ; elles ne sont pas contraintes d'analyser. En pratique, ce sont surtout de grands services américains comme Gmail, les messageries de Meta, Skype et Xbox qui l'utilisent.

Matériel connu, canaux non chiffrés

Dans sa forme fondamentale, la dérogation vise des images et vidéos déjà identifiées sur des services capables de lire le contenu, c'est-à-dire des communications non chiffrées ou lisibles côté serveur. Elle ne s'est jamais appliquée au trafic chiffré de bout en bout, car un fournisseur qui ne peut pas lire un message n'a rien à analyser.

Pourquoi elle existe

La dérogation a été introduite en 2021 pour donner aux plateformes une base juridique claire au regard du droit européen de la vie privée afin de poursuivre la détection volontaire existante pendant la négociation d'un cadre permanent. Elle a toujours été conçue comme un pont temporaire, non comme un régime permanent.

Le vote qui est passé en échouant

Le résultat de juillet 2026 se comprend mieux comme un phénomène procédural que comme une nouvelle approbation politique de l'analyse. Trois étapes y ont conduit.

Mars 2026 : le Parlement a dit non

Le 26 mars 2026, le Parlement a rejeté la prolongation de la dérogation par 311 voix contre 228, avec 92 abstentions. En conséquence, la règle a expiré le 3 avril 2026, et pendant trois mois il n'y a eu aucune base juridique de l'UE pour cette analyse volontaire.

Juillet 2026 : le Conseil a ranimé le texte

Le 2 juillet 2026, le Conseil a adopté sa propre position en première lecture, rétablissant largement le texte initial, et a renvoyé le dossier au Parlement pour une deuxième lecture. Le 7 juillet, une procédure d'urgence accélérée a été approuvée par 331 voix contre 304, fixant le vote décisif au 9 juillet, juste avant la pause estivale.

Le seuil a fait la différence

Comme un rejet en deuxième lecture exige une majorité absolue de tous les sièges, les absences et abstentions ont de fait compté en faveur du texte du Conseil. Plus de députés voulaient rejeter la règle que la maintenir, mais le rejet n'a pas dépassé 361 voix, de sorte qu'il a échoué et que le texte a été rétabli.

Pourquoi les critiques qualifient cela d'antidémocratique

Plusieurs députés et groupes de défense des droits numériques se sont opposés à la réouverture d'un dossier que le Parlement avait déjà rejeté, et à la programmation du vote le dernier jour avant la pause. Les partisans ont répliqué que l'expiration avait laissé un vide dans les outils de protection de l'enfance et qu'une base juridique était nécessaire pendant la négociation de règles permanentes. Les deux cadrages apparaissent dans la couverture médiatique ; les faits procéduraux ci-dessus ne sont pas contestés.

L'exclusion du chiffrement de bout en bout

Parallèlement au texte principal, le Parlement a adopté un amendement stipulant que les communications protégées par un chiffrement de bout en bout devraient être exclues du champ de l'analyse volontaire. À première vue, cela protège des services comme WhatsApp, Signal et les discussions chiffrées de Telegram.

Pourquoi certains le qualifient de symbolique

Les critiques, dont l'ancien député européen et juriste Patrick Breyer, soulignent que les fournisseurs n'analysent de toute façon pas le contenu chiffré de bout en bout, car ils ne peuvent pas le lire. Selon cette vue, l'amendement confirme la réalité existante plutôt que d'ajouter une nouvelle protection.

Pourquoi cela compte tout de même

Même une exclusion déclaratoire a une valeur : elle inscrit le Parlement contre l'extension de l'analyse aux canaux chiffrés, ce qui devient pertinent pour le règlement permanent, bien plus lourd de conséquences, encore en négociation.

Le piège

L'exclusion ne s'applique qu'à cette voie temporaire et volontaire. Elle ne lie pas la proposition permanente distincte, où la question de l'analyse des messages chiffrés, potentiellement par une analyse côté client sur l'appareil avant le chiffrement, reste ouverte.

Ce qui n'est pas concerné : Chat Control 2.0

La chose la plus importante à comprendre est que le vote de juillet 2026 ne concernait que la dérogation temporaire 1.0. Le règlement permanent est un dossier distinct à la portée très différente.

Un instrument différent et obligatoire

Le règlement permanent relatif à la lutte contre l'abus sexuel des enfants (CSAR), qualifié de Chat Control 2.0 par les critiques, créerait, dans ses formes les plus contestées, des obligations de détection au lieu d'une option volontaire, et pourrait atteindre les services chiffrés. Il n'a pas été adopté.

Toujours bloqué en négociation

Cinq cycles de négociations tripartites en trilogue entre le Parlement, le Conseil et la Commission n'ont pas abouti à un accord. Le cinquième cycle, le 29 juin 2026, s'est terminé sans accord, précisément sur l'analyse sans soupçon. Les discussions devraient reprendre en septembre 2026.

Le cœur du désaccord

La question non résolue est de savoir si l'analyse doit être large et pilotée par les fournisseurs, comme le préfèrent certaines parties du Conseil, ou étroite et ordonnée par un juge à l'encontre de suspects identifiés, comme l'exige le Parlement. C'est ce désaccord, et non le vote de juillet 2026, qui décidera réellement de l'avenir de la communication privée dans l'UE.

Chronologie de la dérogation

Le chemin de 2021 à aujourd'hui se perd facilement dans les gros titres. Voici la séquence en termes simples.

2021 à 2024 : introduction et prolongation

Le règlement (UE) 2021/1232 est entré en vigueur en 2021, donnant aux plateformes une base juridique volontaire pour analyser les messages non chiffrés à la recherche de CSAM. En 2024, il a été prolongé jusqu'au 3 avril 2026.

Mars à avril 2026 : rejet et expiration

Le 26 mars 2026, le Parlement a rejeté une nouvelle prolongation, et la dérogation a expiré le 3 avril 2026. Pendant trois mois, il n'y a eu aucune base juridique pour cette analyse au regard du droit de l'UE, bien que certains fournisseurs aient déclaré qu'ils poursuivraient malgré tout.

Juillet 2026 : rétablissement

Le Conseil a ranimé le texte le 2 juillet, la procédure d'urgence a été adoptée le 7 juillet, et le rejet n'a pas atteint le seuil le 9 juillet, rétablissant la dérogation jusqu'à l'étape finale du Conseil, avec une date de fin prévue au 3 avril 2028.

Ce que cela signifie pour les messages privés

Pour les utilisateurs ordinaires, l'effet concret est plus étroit que ne le laissent entendre de nombreux titres, mais il n'est pas nul.

Si vous utilisez des services non chiffrés

Sur les services qui adhèrent volontairement et peuvent lire votre contenu, comme certaines messageries web et messageries sociales, les fournisseurs peuvent continuer à analyser les CSAM connus et à signaler les correspondances. C'est la situation, par intermittence, depuis 2021.

Si vous utilisez des messageries chiffrées

Les messages chiffrés de bout en bout restent hors du champ de cette dérogation, renforcé par l'amendement de juillet. Les fournisseurs qui ne peuvent pas lire vos messages ne peuvent pas en analyser le contenu.

Ce qui n'a pas changé

Cette dérogation ne crée pas d'analyse au niveau de l'appareil, n'exige pas la vérification de l'identité de chaque utilisateur et n'impose à aucun fournisseur d'analyser. Ces idées plus radicales figurent dans la proposition permanente, qui n'a pas été adoptée.

Ce que cela signifie pour les preuves numériques

Pour quiconque conserve du contenu en ligne à titre de preuve, le débat sur Chat Control est un rappel utile d'un principe plus profond : la manière dont le contenu est capturé et authentifié compte autant que le contenu lui-même.

L'analyse n'est pas une preuve

La détection automatisée des CSAM produit un signalement aux autorités ; elle ne produit pas de preuve recevable en justice, infalsifiable et dotée d'une chaîne de traçabilité vérifiable. Ce sont deux activités différentes soumises à des normes juridiques distinctes.

La provenance et l'intégrité décident toujours de la recevabilité

Qu'un contenu en ligne tienne devant une procédure judiciaire ou réglementaire dépend de la provenance, de l'intégrité et de la reproductibilité : une empreinte cryptographique de ce qui a été capturé, un horodatage qualifié prouvant le moment, et une méthode qu'un tiers peut vérifier de manière indépendante.

Pourquoi la vérification indépendante compte davantage, pas moins

À mesure que l'environnement juridique autour de la communication en ligne devient plus contesté et évolutif, les preuves vérifiables sans faire confiance à un fournisseur ou une plateforme uniques gagnent en valeur. Un dossier de preuves scellé, ancré par un horodatage qualifié eIDAS et des empreintes vérifiables indépendamment, ne dépend ni de qui a analysé quoi, ni de la coopération d'un quelconque fournisseur.

Le délai de trois mois du Conseil

Le vote de juillet 2026 n'a pas entièrement clos le dossier. Comme le Parlement a amendé la position du Conseil au lieu de simplement l'approuver, le texte amendé retourne au Conseil.

Accepter ou rejeter

Le Conseil dispose d'environ trois mois, jusqu'au 9 octobre 2026 environ, pour accepter les amendements du Parlement, y compris l'exclusion du chiffrement, ou les rejeter.

Si le Conseil accepte

Si le Conseil accepte tous les amendements, le règlement, y compris l'exclusion du chiffrement de bout en bout, est formellement adopté et s'applique jusqu'au 3 avril 2028.

Si le Conseil rejette

Si le Conseil rejette un amendement, une procédure de conciliation s'engage, dans laquelle un nombre égal de représentants du Parlement et du Conseil tentent de convenir d'un texte commun. Cela prolongerait le processus de plusieurs mois, et constitue un scénario réaliste au vu des désaccords passés.

Ce qu'il faut surveiller ensuite

Le vote de juillet a généré des titres dramatiques, mais les décisions qui façonneront réellement la communication privée dans l'UE restent à venir.

La décision du Conseil en octobre

Que le Conseil accepte ou rejette l'amendement sur le chiffrement indiquera le sérieux avec lequel les institutions traitent la protection des canaux chiffrés, et si un affrontement en conciliation se profile.

Les trilogues de septembre sur la 2.0

Le règlement permanent reprend les négociations en septembre 2026. Le cœur non résolu, analyse sans soupçon contre analyse ciblée par un juge, et le traitement du chiffrement, est le dossier qui porte les véritables enjeux à long terme.

Un recours juridique probable

Le service juridique du Conseil lui-même a mis en doute la compatibilité de l'analyse volontaire généralisée avec l'article 7 de la Charte des droits fondamentaux de l'UE en l'absence de soupçon raisonnable et d'autorisation judiciaire préalable. Un recours devant la Cour de justice de l'UE reste possible, quelle que soit l'issue du dossier permanent.

Questions fréquentes

Des réponses claires aux questions que les gens se posent sur le vote Chat Control de juillet 2026, fondées sur la procédure officielle et une couverture fiable.

L'UE vient-elle de légaliser la surveillance de masse de tous les messages ?
Non. Le vote de juillet 2026 a rétabli une dérogation volontaire qui permet à certaines plateformes d'analyser les CSAM connus sur des services qu'elles peuvent déjà lire. Il n'impose pas d'analyse, ne couvre pas les messages chiffrés de bout en bout et ne crée pas de surveillance au niveau de l'appareil. Ces idées plus larges relèvent de la proposition permanente distincte, qui n'a pas été adoptée.
Quelle est la différence entre Chat Control 1.0 et 2.0 ?
Chat Control 1.0 est la dérogation temporaire et volontaire rétablie en juillet 2026 : les plateformes peuvent choisir d'analyser le contenu non chiffré à la recherche de CSAM connus. Chat Control 2.0 est le règlement permanent sur la lutte contre l'abus sexuel des enfants, encore en négociation, qui dans ses formes les plus contestées imposerait des obligations de détection et pourrait atteindre les services chiffrés. Seule la 1.0 a été décidée en juillet 2026.
Comment est-ce passé si plus de députés ont voté contre ?
C'était un vote en deuxième lecture. Rejeter la position du Conseil exigeait une majorité absolue des 720 sièges, soit 361 voix. Le rejet a obtenu 314 voix, soit 47 de moins, de sorte qu'il a échoué et que le texte du Conseil a subsisté. Dans cette procédure, les absences et les abstentions favorisent de fait la position du Conseil.
WhatsApp, Signal et Telegram sont-ils concernés ?
Les communications chiffrées de bout en bout sont exclues du champ de cette dérogation volontaire, et le Parlement a adopté un amendement qui le renforce. Les fournisseurs qui ne peuvent pas lire le contenu des messages ne peuvent pas l'analyser. La question des messages chiffrés ne reste ouverte que dans la proposition permanente distincte.
L'analyse a-t-elle lieu en ce moment ?
La base juridique a expiré le 3 avril 2026 et est en cours de rétablissement par ce processus, une étape finale du Conseil étant attendue vers octobre 2026. Certains fournisseurs ont déclaré avoir poursuivi la détection volontaire pendant l'interruption. La date de fin prévue de la dérogation rétablie est le 3 avril 2028.
Que se passe-t-il pendant le délai de trois mois du Conseil ?
Comme le Parlement a amendé la position du Conseil, le texte retourne au Conseil, qui a jusqu'au 9 octobre 2026 environ pour accepter ou rejeter les amendements, y compris l'exclusion du chiffrement. L'acceptation finalise le règlement ; le rejet déclenche une procédure de conciliation qui peut ajouter des mois.
Cela tue-t-il le chiffrement de bout en bout en Europe ?
Non. Cette dérogation ne touche pas aux fondements techniques du chiffrement, et l'amendement de juillet exclut explicitement les canaux chiffrés. Le véritable risque pour le chiffrement, via d'éventuelles obligations d'analyse côté client, réside dans le règlement permanent, qui n'a pas été adopté et demeure contesté.
L'analyse automatisée équivaut-elle à une preuve juridique ?
Non. La détection automatisée produit des signalements aux autorités. Elle ne produit pas de preuve recevable en justice, infalsifiable et dotée d'une chaîne de traçabilité vérifiable. La recevabilité dépend de la provenance, de l'intégrité cryptographique, d'un horodatage qualifié et d'une méthode qu'un tiers peut vérifier de manière indépendante.
Quel est l'impact pour les entreprises qui conservent des preuves en ligne ?
Cela ne change pas les normes applicables aux preuves. Au contraire, un environnement juridique plus contesté et plus mouvant rend les preuves vérifiables de manière indépendante plus précieuses : un dossier scellé avec des empreintes et un horodatage qualifié eIDAS que chacun peut vérifier sans faire confiance à un fournisseur ou une plateforme uniques.
Quand la version permanente Chat Control 2.0 sera-t-elle décidée ?
Il n'y a pas de date fixe. Cinq cycles de trilogue n'ont pas abouti, le plus récemment le 29 juin 2026, les discussions reprenant en septembre 2026. Le désaccord central sur l'analyse sans soupçon contre l'analyse ciblée par un juge reste non résolu, de sorte que toute adoption finale est probablement à des mois de distance et loin d'être certaine.
Où puis-je lire les sources primaires ?
L'instrument sous-jacent est le règlement (UE) 2021/1232, disponible sur EUR-Lex. L'observatoire législatif du Parlement et le registre des documents du Conseil suivent l'état d'avancement du dossier. Pour l'équilibre, consultez à la fois les sources institutionnelles et les analyses indépendantes sur les droits numériques, car la couverture varie fortement dans son cadrage.
Quel est l'enseignement le plus important ?
Soyez précis. Une dérogation temporaire et volontaire a été rétablie sur un seuil procédural ; les messages chiffrés sont exclus ; et le règlement permanent, bien plus lourd de conséquences, n'a pas été adopté et fait toujours l'objet d'un bras de fer. Les titres qui confondent les deux exagèrent ce qui s'est réellement passé en juillet 2026.

Conservez des preuves en ligne qui tiennent d'elles-mêmes

Quoi qu'il advienne des règles de communication de l'UE, la recevabilité dépend d'une intégrité que vous pouvez prouver. Capturez n'importe quelle page web sous forme de dossier infalsifiable avec un horodatage qualifié eIDAS et des empreintes que chacun peut vérifier de manière indépendante.

Aucun compte requis pour vérifier. Vérification indépendante avec des outils open source.