- Avec nos pensées, nous créons le monde -

Internet

ProtectEU, l’Union Européenne veut vraiment accéder à votre activité numérique

24 décembre 2025
ProtectEU, surveillance numérique

Après s’être fait recaler avec Chat Control 2.0, l’Union européenne prépare un nouveau tour de vis en matière de surveillance numérique avec ProtectEU. Cette fois en posant les bases d’un cadre de rétention élargie des données qui viserait directement les VPN, les messageries chiffrées et une large gamme de services en ligne. Derrière un discours de lutte contre le crime et le terrorisme, plusieurs États poussent pour instaurer une obligation de journalisation massive des métadonnées qui transformerait l’architecture actuelle d’Internet en Europe, avec un risque réel de rendre illégaux les VPN « no-log » et de banaliser une forme de surveillance de masse.​

D’où vient cette nouvelle offensive ?

Le projet s’inscrit dans la stratégie ProtectEU (nouveau nom de Going Dark), lancée par la Commission européenne en 2025 pour définir un cadre d’« accès légal et efficace aux données pour les forces de l’ordre ». Cette stratégie fixe un cap : permettre, d’ici 2030, le déchiffrement et l’exploitation du maximum de données possibles (ou de leurs métadonnées) à des fins policières et judiciaires.​

Depuis avril 2025, les ministres de l’Intérieur des États membres débattent au Conseil de l’UE d’un nouveau cadre de rétention des données, après plusieurs censures de la Cour de justice de l’UE et de cours constitutionnelles nationales contre des lois jugées disproportionnées. Un document interne daté du 27 novembre, divulgué par Netzpolitik, montre qu’une large majorité d’États s’accorde sur la nécessité d’un nouveau régime, et converge vers une même idée : la clé, ce sont les métadonnées.​

Ce que veut concrètement le Conseil

Le cœur de la vision défendue par plusieurs gouvernements est le suivant : il ne suffit plus de savoir quel compte appartient à qui, il faut savoir quand, d’où et via quelle adresse IP ce compte s’est connecté. Autrement dit, imposer aux services :​

  • de consigner les horodatages de connexion,
  • d’enregistrer les adresses IP utilisées,
  • de stocker l’historique de localisation et de trafic (au moins sous forme de métadonnées).​

Les services ciblés seraient très larges :

  • VPN (y compris les services « no-log » donc Surfshark, NordVPN, Protonmail & co),
  • messageries chiffrées (Signal, WhatsApp, etc.),
  • hébergeurs web (OVH, Infomaniak …),
  • plateformes de partage de fichiers (Google Docs & co),
  • services de stockage cloud (AWS …),
  • plus généralement tout service « over-the-top » permettant communication, partage ou stockage.​

Le problème de fond est évident : les VPN no-log sont précisément conçus pour ne pas stocker ce type d’information. Si la loi exige de conserver ces métadonnées pendant une durée significative, ce modèle devient juridiquement incompatible avec l’UE. Certains acteurs, comme AdGuard ou NordVPN (ou Signal pour les messageries), anticipent déjà que cela pourrait les pousser à quitter le marché européen plutôt que de trahir leur promesse de confidentialité.​​

surveillance ProtectEU

Calendrier et étapes législatives prévues pour ProtectEU

Nous n’en sommes pas encore à une loi votée, mais à la phase de pré-cadrage politique :

  • Le document interne du 27 novembre reflète la position actuelle du Conseil (États membres), pas encore un texte de loi.​
  • Une évaluation d’impact officielle est prévue pour début 2026, destinée à mesurer effets techniques, économiques et juridiques du futur régime de rétention.​
  • Sur la base de cette étude, la Commission devrait déposer une proposition législative formelle vers mi‑2026, probablement autour de juin.​
  • Cette proposition passera ensuite par la codécision : négociation et amendements au Parlement européen, négociation et position formelle du Conseil …

Même avec un processus accéléré, il est peu probable que le texte final soit adopté avant fin 2027, sachant que :

  • la CJUE a déjà censuré plusieurs régimes de rétention généralisée,
  • des États (Allemagne, Pologne, etc.) se montrent de plus en plus prudents sur les dispositifs assimilables à de la surveillance de masse, notamment dans le cadre de « chat control » et de la scannérisation de messages privés.​

Pour l’instant, il faut donc parler d’un cap politique clair plutôt que d’une loi imminente : la volonté d’installer un nouveau socle de rétention de données, même si le contenu exact et la durée de conservation restent à arbitrer.

Les contradictions juridiques et techniques

Les États soulignent, dans le document du Conseil, qu’il faudra des « garde-fous robustes » et une stricte « proportionnalité » pour survivre aux contrôles des cours de justice. Mais les experts en vie privée rétorquent que ce type d’assurance est largement théorique (comme l’histoire l’a montré) :​

  • La CJUE a jugé illégale la rétention généralisée et indifférenciée des données de trafic, sauf cadre très strict et ciblé.
  • Les tentatives de chat control (scannage de messages privés pour rechercher du contenu pédocriminel) ont montré à quel point il est difficile de concilier chiffrage de bout en bout et détection systématique, sans basculer dans la surveillance de masse.​
  • L’idée même de rendre obligatoires des logs détaillés sur des services conçus pour ne pas en garder revient à casser l’architecture de la confidentialité par design (VPN no-log, messageries chiffrées, etc.).​

Sur le plan technique, demander aux services de stocker davantage de métadonnées – et donc d’en garder la trace dans des infrastructures centrales – augmente paradoxalement la surface d’attaque : ces données deviennent des cibles de choix pour des cybercriminels ou des États hostiles. Les promesses de sécurité « grâce à plus de données » se heurtent donc à une réalité inverse : plus de données = plus de risques. Mais ça, les génies aux gouvernements ne l’ont pas encore compris (ou font exprès de l’oublier).

ProtectEU : un glissement vers la normalisation de la surveillance

Au-delà du détail juridique, plusieurs signaux convergent vers une tendance : la normalisation progressive de la surveillance par défaut. Le projet ProtectEU, les tentatives répétées de chat control, les extensions continues de la rétention de données et la pression sur les VPN s’additionnent dans un schéma où l’objectif est de rendre toute activité numérique traçable, même lorsqu’elle utilise des outils de protection de la vie privée.​

Les défenseurs des libertés numériques y voient un basculement dangereux :

  • On passe d’une logique de surveillance ciblée (sur mandat) à une logique de collecte préventive de masse.
  • Les technologies de confidentialité (E2EE, VPN no-log, stockage chiffré) deviennent suspectes en soi.
  • Le citoyen moyen est traité comme un suspect potentiel par défaut, avec la promesse que « des garde-fous » suffiront à éviter les abus – promesse que l’histoire récente (fuites, détournements de finalité, dérives sécuritaires) contredit régulièrement.​

En pratique, si la vision actuelle du Conseil se concrétise, de nombreux VPN et services de confidentialité auront le choix entre se plier au logging (et donc renoncer à leurs garanties de confidentialité), ou quitter le marché européen, en laissant les utilisateurs les plus soucieux de leur vie privée chercher des solutions plus extrêmes (auto‑hébergement, outils underground, Bitchat, etc.).​

À ce stade, tout n’est pas joué : Parlement européen, CJUE, autorités nationales de protection des données et opinion publique auront encore leur mot à dire. Mais la direction politique est clairement affichée : au sein de l’UE, l’ère de l’anonymat fonctionnel et des services no‑log est désormais perçue comme un problème à résoudre, et non comme une protection à préserver. Donc dans tous les cas il est plus que temps de prendre votre sécurité numérique en main. Je publierai de nombreux articles en 2026 sur ce sujet (les meilleures messageries chiffrées & co), mais n’attendez pas 😉

[source]

Articles Similaires :

Partager l'article sur les réseaux sociaux pour aider le site (merci !)
0
Share:

Logo Christophe Logiste

Linkedin Christophe Logiste  Twitter Christophe Logiste  Flux RSS

A Propos  •  Confidentialité  •  Archives  •  Me Contacter

Copyright @ Christophe Logiste - 2025

Les images présentes sur le blog proviennent de sources libres de droits comme Pexels, Unplash ...

Autres sites : JeudeCarte.net & Cryptozilla.fr