Lettre ouverte : protéger la confidentialité et la souveraineté numériques face au règlement européen « Chat Control »

Une fois de plus, Mailfence s’associe à plusieurs entreprises européennes soucieuses de la protection de la confidentialité pour exprimer leurs inquiétudes concernant la proposition de règlement européen “Chat Control” (CSA Regulation).

Avec un vote crucial du Conseil de l’Union européenne prévu à la mi-octobre 2025, les États membres sont invités à adopter une position officielle sur ce texte, faisant de ce moment un tournant décisif pour l’avenir des communications chiffrées et de la confidentialité numérique en Europe.

Au-delà des préoccupations sérieuses concernant la confidentialité et le chiffrement, que nous avions déjà exposées dans notre première lettre conjointe, ce règlement européen “Chat Control” constitue une menace significative pour la souveraineté numérique européenne à un moment où elle est plus que jamais nécessaire.

L’Union européenne a développé un secteur technologique dynamique, offrant des alternatives crédibles aux géants américains, notamment dans les domaines de la communication axée sur la confidentialité, des services cloud sécurisés et de l’infrastructure numérique protégée.

Cependant, le règlement proposé risque de porter un coup sévère à ces acteurs européens, qui ont construit leur avantage concurrentiel sur des garanties solides de confidentialité et de sécurité.

En obligeant ces fournisseurs à compromettre leur architecture de sécurité ou à faire face à des charges de conformité impossibles, le texte sape la compétitivité du secteur technologique européen et pousse les utilisateurs vers des plateformes qui ne privilégient pas nécessairement les valeurs européennes ni les normes de protection des données.

Cette deuxième lettre ouverte, coordonnée par Mailfence, Tutanota et Proton, est co-signée par de grandes entreprises européennes axées sur la confidentialité, ainsi que par les représentants de plus de 45 000 PME européennes.

Ensemble, nous témoignons de l’opposition unie des entreprises qui placent la sécurité des utilisateurs et la protection des données au cœur de leurs priorités.

Chat Control EU : deuxième lettre ouverte aux États membres

« Aux Ministres et Ambassadeurs des États membres de l’UE,

Nous, les entreprises européennes soussignées, ainsi que l’European DIGITAL SME Alliance, qui représente plus de 45 000 PME numériques à travers l’Europe, vous adressons cette deuxième lettre ouverte avec une profonde inquiétude concernant la proposition de règlement européen sur la lutte contre les abus sexuels sur enfants (CSA Regulation), communément appelée “Chat Control”.

Protéger les enfants tout en assurant la sécurité de tous, sur nos services comme sur Internet en général, est au cœur de notre mission en tant qu’entreprises axées sur la confidentialité.

Nous considérons la confidentialité comme un droit fondamental, qui soutient la confiance, la sécurité et la liberté en ligne, tant pour les adultes que pour les enfants.

Nous sommes néanmoins convaincus que l’approche actuelle, portée par la Présidence danoise, rendrait non seulement Internet moins sûr pour tous, mais compromettrait également l’un des objectifs stratégiques les plus importants de l’Union européenne : accroître la souveraineté numérique européenne.

La souveraineté numérique : un enjeu stratégique pour l’Europe

Dans un monde de plus en plus instable, l’Europe doit être en mesure de développer et de contrôler sa propre infrastructure numérique sécurisée, ses services et ses technologies, en accord avec les valeurs européennes. Le seul moyen de limiter les risques est de renforcer les fournisseurs technologiques européens innovants.

La souveraineté numérique est essentielle pour deux raisons principales :

• Indépendance économique : l’avenir numérique de l’Europe dépend de la compétitivité de ses entreprises. Obliger les services européens à compromettre leurs standards de sécurité, en scannant tous les messages, y compris les messages chiffrés, via le client-side scanning, porterait atteinte à la sécurité des utilisateurs et irait à l’encontre des normes élevées de protection des données de l’UE. Les utilisateurs européens, qu’ils soient particuliers ou professionnels, ainsi que les clients internationaux, perdraient confiance et se tourneraient vers des fournisseurs étrangers. Cela accroîtrait la dépendance de l’Europe vis-à-vis des géants technologiques américains et chinois, qui ne respectent pas nos règles, fragilisant la capacité du bloc à rester compétitif.
• Sécurité nationale : le chiffrement est indispensable à la sécurité nationale. Imposer ce qui équivaudrait à des portes dérobées ou à d’autres technologies de scan systématique crée inévitablement des vulnérabilités exploitables par des acteurs étatiques hostiles ou des criminels. C’est d’ailleurs pour cette raison que les gouvernements eux-mêmes se sont exemptés des obligations de scan prévues par le règlement. Néanmoins, de nombreuses informations sensibles – provenant des entreprises, des responsables politiques et des citoyens – seraient à risque si ce règlement venait à être adopté. L’Europe verrait sa capacité à protéger ses infrastructures critiques, ses entreprises et ses citoyens gravement affaiblie.

Risques pour la confiance envers les entreprises européennes

La confiance constitue l’avantage compétitif de l’Europe. Grâce au RGPD et au cadre solide de protection des données, les entreprises européennes ont développé des services fiables, utilisés dans le monde entier pour la protection des données, la sécurité et l’intégrité.

Le règlement proposé menace ces services européens éthiques et axés sur la confidentialité en les contraignant à affaiblir les garanties de sécurité qui les distinguent sur la scène internationale. Ce texte juridique favoriserait indirectement les entreprises américaines et chinoises, tout en sapant l’un des rares avantages compétitifs de l’Europe dans le secteur technologique¹.

Contradictions avec les ambitions numériques européennes

L’Union européenne s’est engagée à renforcer la cybersécurité par le biais de mesures telles que NIS2, le Cyber Resilience Act et le Cybersecurity Act², qui reconnaissent le chiffrement comme essentiel à l’indépendance numérique européenne. Le règlement “Chat Control” contredit ces efforts en imposant des vulnérabilités systémiques.

Il est incohérent que l’Europe investisse dans la cybersécurité d’une main tout en légiférant contre elle de l’autre.

Les PME européennes seront les plus impactées

Les PME seraient les plus touchées si elles étaient contraintes de mettre en œuvre le client-side scanning. Contrairement aux grandes entreprises technologiques, elles ne disposent souvent pas des ressources financières ou techniques pour développer et maintenir des mécanismes de surveillance intrusifs. Le respect de ces obligations entraînerait des coûts prohibitifs ou les obligerait à quitter le marché.

De nombreuses PME fondent leur position unique sur le marché sur le plus haut niveau de protection des données et de confidentialité, valeur clé pour que les clients choisissent leurs produits plutôt que ceux des géants technologiques.

Imposer le client-side scanning minerait ce principe central de nombreuses entreprises européennes, étoufferait l’innovation et consoliderait la domination des fournisseurs étrangers, mettant en danger la création d’un écosystème numérique européen indépendant et dynamique.

C’est pourquoi nous vous invitons à

• Rejeter les mesures imposant le client-side scanning, les portes dérobées ou la surveillance massive des communications privées, telles que proposées dans le projet de position du Conseil danois sur le règlement CSA.
• Protéger le chiffrement afin de renforcer la cybersécurité et la souveraineté numérique européenne.
• Préserver la confiance bâtie par les entreprises européennes à l’international.
• Veiller à ce que la réglementation renforce la compétitivité des PME européennes plutôt que de l’affaiblir.
• Promouvoir des mesures de protection des enfants efficaces, proportionnées et compatibles avec l’objectif stratégique de souveraineté numérique.

La souveraineté numérique ne peut être atteinte si l’Europe compromet la sécurité et l’intégrité de ses entreprises en imposant le client-side scanning ou d’autres outils similaires visant à scanner des environnements chiffrés, ce qui ne peut se faire sans affaiblir le chiffrement. Pour que l’UE soit un leader mondial de l’économie numérique, elle doit protéger la confidentialité, la confiance et le chiffrement. »

Signataires :

Blacknight (Irlande)
Commown (France)
CryptPad (France)
E-Foundation (France)
Ecosia (Allemagne)
Element (Allemagne)
European DIGITAL SME Alliance (Europe)
Fabiano Law Firm (Italie)
FFDN (France)
FlokiNET (Islande)
Gentils Nuages (France)
Hashbang (France)
Heinlein Group (Allemagne)
LeBureau.coop (France)
Logilab (France)
mailbox (Allemagne)
Mailfence (Belgique)
Mailo (France)
moji (France)
Murena (France)
Nextcloud (Allemagne)
Nord Security (Lituanie)
Octopuce (France)
Olvid (France)
OpenCloud (Allemagne)
OpenTalk (Allemagne)
Phoenix R&D (Allemagne)
Proton (Suisse)
Skylabs (Irlande)
SMSPool (Pays-Bas)
Sorware Ay (Finlande)
Soverin (Pays-Bas)
Startmail (Pays-Bas)
Surfshark (Pays-Bas)
TeleCoop (France)
The Good Cloud (Pays-Bas)
Threema (Suisse)
Tuta Mail (Allemagne)
Unicorns Lithuania (Lituanie)
Volla Systeme GmbH (Allemagne)
WEtell (Allemagne)
Wire (Suisse)
XWiki SAS (France)
zeitkapsl (Autriche)

1. https://www.ftc.gov/news-events/news/press-releases/2025/08/ftc-chairman-ferguson-warns-companies-against-censoring-or-weakening-data-security-americans-behest ↩︎
2. https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age_fr ↩︎