L'Union européenne prépare une législation qui obligerait les entreprises technologiques à intégrer des portes dérobées (backdoors) dans les applications de messagerie chiffrées de bout en bout et à étendre les exigences de rétention obligatoire des données aux services axés sur la confidentialité dans les 27 États membres. L'initiative, baptisée ProtectEU, a été qualifiée par les experts en droits numériques de "Chat Control 2.0" et pourrait rendre les services sans journalisation (no-log) effectivement illégaux en Europe dès 2026.
Qu'est-ce que ProtectEU ?
ProtectEU est la nouvelle stratégie de sécurité intérieure de l'UE, formellement adoptée par la Commission européenne le 1er avril 2025 (COM(2025) 148 final). En apparence, elle se présente comme une réponse aux menaces terroristes croissantes, au crime organisé et à la guerre hybride. Mais derrière les discours se cache un plan qui, selon les défenseurs de la vie privée, sapa fondamentalement l'architecture de sécurité qui protège des centaines de millions d'Européens en ligne.
La stratégie charge la Commission de développer une Feuille de route technologique sur le chiffrement, un plan technique visant à donner aux forces de l'ordre un accès aux communications chiffrées sans obliger les fournisseurs de services à remettre le texte en clair. La feuille de route est attendue pour la fin de l'année 2025, et un projet de loi est prévu pour juin 2026.
Cette feuille de route est élaborée en étroite collaboration avec le Groupe de haut niveau (HLG) sur l'accès aux données pour l'application efficace de la loi, un organisme intergouvernemental qui prône depuis longtemps le concept d'"accès légal dès la conception". Cela signifie intégrer des mécanismes d'accès directement au niveau de l'architecture des plateformes, plutôt que de les ajouter rétroactivement. Les critiques soutiennent que cela est fonctionnellement identique à une porte dérobée, quelle que soit la terminologie utilisée.
Le réseau European Digital Rights (EDRi) a qualifié ce plan de "pas de plus vers un avenir numérique dystopique", avertissant que toute faille technique conçue pour la police sera inévitablement exploitée par des cybercriminels et des services de renseignement hostiles. L'ENISA, l'agence de cybersécurité de l'UE, a rappelé à plusieurs reprises qu'affaiblir le chiffrement augmente les risques plutôt que de les réduire.
Rétention obligatoire des données : la menace silencieuse
Parallèlement à la feuille de route sur le chiffrement, ProtectEU propose d'élargir le cadre de rétention des données de l'UE pour y inclure explicitement les fournisseurs de services de communication chiffrés, y compris ceux qui fonctionnent actuellement sur une base stricte sans journaux. Selon les propositions actuelles, les services opérant en Europe pourraient être tenus d'enregistrer les métadonnées de connexion : horodatages, connexions aux serveurs et potentiellement l'identité des abonnés, afin de conserver ces données pour un accès sur demande des forces de l'ordre.
Pour les utilisateurs européens qui s'appuient sur des services respectueux de la vie privée précisément parce qu'ils ne collectent rien, cela représenterait un défi de conformité impossible. Soit les fournisseurs devront commencer à enregistrer les données, détruisant ainsi leur promesse fondamentale de confidentialité, soit ils devront quitter complètement le marché de l'UE. Plusieurs grands fournisseurs ont déjà signalé qu'ils choisiraient le retrait plutôt que la conformité si de telles exigences devenaient loi.
Pourquoi les experts l'appellent "Chat Control 2.0"
Ce surnom fait référence à la tentative précédente de l'UE d'imposer l'analyse côté client des messages chiffrés, la réglementation dite Chat Control, qui avait été rejetée par les États membres en 2024 après une forte levée de boucliers des organisations de libertés civiles, des chercheurs en sécurité et des entreprises technologiques. Les critiques affirment que ProtectEU n'est que le projet Chat Control reconditionné dans un langage plus flou et avec un calendrier retardé.
Le problème cryptographique fondamental reste inchangé : il est impossible de créer une porte dérobée utilisable uniquement par les gentils. Une faille mathématique introduite pour la police est tout aussi accessible aux services de renseignement russes, aux pirates étatiques chinois et aux cybercriminels. Ce n'est pas une inquiétude théorique. La faille Salt Typhoon dans l'infrastructure américaine d'interception légale des télécoms en 2024 a démontré précisément comment les mécanismes de backdoors deviennent des points d'entrée pour les États hostiles.
Un paysage législatif mondial
ProtectEU n'existe pas de manière isolée. Outre-Atlantique, les législateurs américains débattent de mesures similaires d'extension de la surveillance liées à la reconduction de la section 702 de la FISA. Au Royaume-Uni, l'Investigatory Powers Act a déjà été utilisé pour faire pression sur Apple afin d'affaiblir le chiffrement d'iCloud pour les utilisateurs britanniques. Les gouvernements démocratiques semblent coordonner leurs efforts pour annuler les avancées en matière de confidentialité de la dernière décennie.
La convergence de ces initiatives montre que la génération actuelle de technologies de protection de la vie privée - chiffrement fort par défaut dans les messageries, les navigateurs et les services sans journaux - fait face à sa menace réglementaire la plus sérieuse depuis son adoption massive il y a dix ans.
Calendrier et prochaines étapes
- Avril 2025 : Adoption de la stratégie ProtectEU (COM(2025) 148 final)
- Fin 2025 : Présentation de la Feuille de route sur le chiffrement par la Commission
- Juin 2026 : Projet de loi attendu sur l'accès au chiffrement et la rétention des données
- 2027+ : Transposition potentielle dans le droit national des États membres de l'UE
Les organisations de droits numériques, dont EDRi, Access Now et Privacy International, coordonnent l'opposition avant la proposition législative de juin 2026. Une coalition d'entreprises technologiques devrait soumettre des commentaires officiels pendant la période de consultation de la Commission, qui a débuté en mai 2026.
Ce que cela signifie pour la vie privée en Europe
Pour les Européens, les enjeux sont considérables. Le chiffrement de bout en bout dans des applications comme Signal et WhatsApp garantit actuellement que même les entreprises qui gèrent ces services ne peuvent pas lire les messages. Les portes dérobées changeraient la donne : non seulement pour l'accès des forces de l'ordre, mais pour quiconque découvre ou exploite le mécanisme d'accès. La même logique s'applique aux outils de navigation privée et aux services no-log, qui seraient contraints de conserver des enregistrements de connexion qu'ils ne créent jamais aujourd'hui.
Les exigences de journalisation obligatoire élimineraient l'un des derniers outils permettant une utilisation anonyme d'internet au sein de l'UE, une ressource utilisée non seulement par les consommateurs soucieux de leur vie privée, mais aussi par les journalistes pour protéger leurs sources, les activistes dans des environnements répressifs et les lanceurs d'alerte signalant des dérives étatiques ou d'entreprises.
Pour les utilisateurs sérieux au sujet de leur sécurité, il est temps de s'assurer que les outils numériques qu'ils utilisent sont basés dans des juridictions hors de portée de l'UE. Un VPN no-log fonctionnant selon une politique stricte de confidentialité et basé en dehors de l'UE offre la protection la plus solide contre la rétention obligatoire des données que prévoit ProtectEU.
