AdmisConcours
Recrutements Bibliothèque Concours
← Décryptages thématiques
Libertés fondamentales 08/04/2026

La surveillance volontaire des messageries après l'expiration de la dérogation ePrivacy : un défi majeur pour la légalité de l'ingérence dans la vie privée à l'ère du numérique

La dérogation temporaire à la directive ePrivacy permettant aux fournisseurs de services de communications interpersonnelles de scanner volontairement les messages de leurs utilisateurs pour y détecter des contenus pédocriminels a expiré le vendredi 3 avril 2026, après un vote du Parlement européen rejetant, le 26 mars, la proposition de prolongation de la Commission par 311 voix contre 228. Adoptée pour une durée transitoire en 2021, puis prorogée à plusieurs reprises, cette dérogation constituait la base juridique sur laquelle Google (Gmail, Google Chat), Meta (Messenger, Instagram DM), Microsoft (Outlook, Xbox) et Snapchat fondaient leurs dispositifs de détection automatisée par hash-matching, c'est-à-dire la comparaison d'empreintes numériques irréversibles avec une base de données de contenus connus. Le blocage des négociations entre Parlement et Conseil sur le projet de règlement permanent (« CSAR » ou « Chat Control 2.0 »), notamment sur la question des messageries chiffrées de bout en bout et sur la durée de validité des nouvelles autorisations (le Parlement plaidant pour une échéance d'août 2027), a conduit à ce vide juridique. Le 4 avril 2026, dans une déclaration commune relayée par 247 organisations de protection de l'enfance, les quatre plateformes ont annoncé leur intention de poursuivre les opérations de détection « à titre volontaire », dénonçant un « échec irresponsable » des institutions européennes. Le porte-parole de la Commission Guillaume Mercier a aussitôt rappelé qu'« en l'absence de base juridique, les entreprises ne sont plus autorisées à détecter de manière proactive les abus sexuels sur enfants dans les communications privées ». Les négociations en trilogue doivent reprendre le 4 mai 2026, sous présidence chypriote, pour tenter d'aboutir à un accord politique d'ici juillet.

Le secret des correspondances : un principe cardinal du droit européen et français

La confidentialité des communications électroniques bénéficie d'une protection juridique de premier rang. L'article 7 de la Charte des droits fondamentaux de l'Union européenne garantit le respect de la vie privée et familiale ainsi que celui des communications, tandis que l'article 8 protège les données à caractère personnel. À ce socle s'ajoute l'article 8 de la Convention européenne des droits de l'homme, dont la Cour de Strasbourg a fait une application étendue à la correspondance électronique dès l'arrêt Copland c. Royaume-Uni du 3 avril 2007. Au niveau dérivé, la directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy » consacre, à son article 5, paragraphe 1, le principe de confidentialité des communications, lequel interdit toute écoute, interception, stockage ou autre forme d'interception ou de surveillance par des personnes autres que les utilisateurs, sans le consentement de ces derniers ou un autre fondement légal.

En droit français, le secret des correspondances est protégé tant par l'article 8 de la Déclaration des droits de l'homme et du citoyen que par les articles 226-15 du code pénal (atteinte au secret des correspondances par des particuliers) et 432-9 du même code (atteinte par une personne dépositaire de l'autorité publique). Le Conseil constitutionnel a, dans plusieurs décisions, rappelé que le droit au respect de la vie privée découle de l'article 2 de la Déclaration de 1789, et que toute ingérence doit être justifiée par un objectif d'intérêt général et proportionnée.

Le règlement (UE) 2021/1232 : une dérogation temporaire à l'effet pivot

Adopté pour pallier les conséquences de l'entrée en vigueur du code des communications électroniques européen, qui avait étendu le champ de la directive ePrivacy aux services de communications interpersonnelles non fondés sur la numérotation (Messenger, Gmail, etc.), le règlement (UE) 2021/1232 du 14 juillet 2021 a constitué une dérogation strictement encadrée. Il autorisait, pour une durée initiale de trois ans (puis prorogée), le traitement de données à caractère personnel par les fournisseurs de tels services aux seules fins de détecter, signaler et supprimer les contenus pédopornographiques en ligne, dans le respect de garanties précises : recours à des technologies les moins intrusives, supervision humaine des résultats, voies de recours effectives et information périodique des autorités de protection des données. L'expiration de ce texte, faute d'accord sur un cadre permanent, prive donc les plateformes de tout fondement juridique propre à justifier le traitement, lequel redevient soumis au régime restrictif de l'article 5, paragraphe 1, de la directive 2002/58/CE et à l'article 6 du règlement (UE) 2016/679 (RGPD).

La jurisprudence européenne : un contrôle exigeant de la surveillance généralisée

La CJUE a, de manière constante, condamné les dispositifs de conservation et de traitement généralisé et indifférencié des données de communication. Dans son arrêt Digital Rights Ireland du 8 avril 2014 (affaires jointes C-293/12 et C-594/12), elle avait invalidé la directive 2006/24/CE sur la conservation des données. La grande chambre a confirmé cette ligne dans l'arrêt Tele2 Sverige et Watson du 21 décembre 2016 (C-203/15 et C-698/15), puis dans l'arrêt La Quadrature du Net du 6 octobre 2020 (C-511/18, C-512/18 et C-520/18), en jugeant que toute mesure de conservation généralisée et indifférenciée des données de trafic et de localisation est contraire à l'article 15, paragraphe 1, de la directive 2002/58 lu à la lumière des articles 7, 8, 11 et 52, paragraphe 1, de la Charte. Seule une conservation ciblée, fondée sur des critères objectifs et limitée à ce qui est strictement nécessaire, est admise.

La Cour européenne des droits de l'homme adopte une approche convergente. Dans son arrêt de grande chambre Big Brother Watch et autres c. Royaume-Uni du 25 mai 2021, elle a précisé les garanties minimales applicables aux régimes d'interception massive : encadrement légal clair, accessibilité, prévisibilité, contrôle indépendant et voies de recours effectives. Plus spécifiquement appliquée aux contenus pédocriminels, sa jurisprudence reconnaît une obligation positive des États de protéger les mineurs (notamment depuis l'arrêt K.U. c. Finlande du 2 décembre 2008), mais subordonne tout dispositif de surveillance à une stricte proportionnalité.

Le débat avec le futur règlement CSAR : la question des messageries chiffrées

Le projet de règlement « CSAR » présenté par la Commission en mai 2022 propose d'aller beaucoup plus loin que la dérogation expirée, en imposant aux fournisseurs des « ordres de détection » obligatoires, susceptibles de s'appliquer aux messageries chiffrées de bout en bout via des techniques de scan côté client. Ce projet a suscité une opposition nourrie. Dans son avis conjoint 04/2022 du 28 juillet 2022, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont considéré que ce dispositif posait de sérieux risques pour les droits fondamentaux et qu'il pourrait s'apparenter à une surveillance généralisée. La doctrine relève que l'introduction de portes dérobées dans le chiffrement de bout en bout serait incompatible avec la jurisprudence Tele2 et La Quadrature du Net, en ce qu'elle priverait d'effectivité l'obligation de sécurité posée par l'article 32 du RGPD.

Enjeux pour les concours

Le candidat doit retenir trois axes majeurs.

Sur le plan textuel, les références cardinales sont les articles 7 et 8 de la Charte des droits fondamentaux, l'article 8 de la Convention européenne des droits de l'homme, l'article 5, paragraphe 1, de la directive 2002/58/CE (ePrivacy), le règlement (UE) 2021/1232 du 14 juillet 2021 (dérogation expirée), le règlement (UE) 2016/679 (RGPD, articles 6 et 9), ainsi que les articles 226-15 et 432-9 du code pénal.

Sur le plan jurisprudentiel, il est indispensable de maîtriser l'arrêt CJUE Digital Rights Ireland du 8 avril 2014, l'arrêt Tele2 Sverige du 21 décembre 2016, l'arrêt La Quadrature du Net du 6 octobre 2020, et, du côté de la CEDH, les arrêts Copland c. Royaume-Uni (2007), K.U. c. Finlande (2008) et Big Brother Watch (grande chambre, 2021). L'avis conjoint CEPD/CEPD 04/2022 sur la proposition CSAR constitue une référence doctrinale précieuse.

Sur le plan analytique, le candidat soulignera trois paradoxes structurants. D'abord, l'expiration du règlement de 2021 illustre une victoire à courte vue des défenseurs de la vie privée, dans la mesure où elle ouvre la voie à des pratiques voluntaristes des plateformes désormais dépourvues de tout contrôle juridique. Ensuite, le maintien du scan « volontaire » par les GAFAM pose la question de la responsabilité des acteurs privés au titre du RGPD : sans base légale valable, ces traitements sont susceptibles d'engager leur responsabilité administrative et civile, et d'être sanctionnés par les autorités nationales de contrôle. Enfin, l'épisode révèle la difficulté structurelle de concilier deux obligations positives de l'État : protéger les mineurs contre l'exploitation sexuelle (article 3 CEDH, jurisprudence K.U.) et protéger la vie privée des utilisateurs (article 8 CEDH). Ce sujet, transversal entre droit des libertés fondamentales, droit de l'Union européenne et droit numérique, constitue un cas d'école pour les épreuves de dissertation, de note de synthèse et de grand oral, mobilisable sur les thèmes de la régulation des plateformes, de la souveraineté numérique et du contrôle de proportionnalité.

Partager

Fiches pour approfondir

Le sexe de la personne : une réalité humaine à l'épreuve du droit
Libertés fondamentales
Les limites à la liberté de religion : ordre public, sectes et prosélytisme
Libertés fondamentales
Les grandes figures et expériences historiques de la désobéissance civile
Libertés fondamentales
Le droit comparé de l'euthanasie : panorama des législations étrangères
Libertés fondamentales

Autres brèves — Libertés fondamentales

L'utilisation illégale de la reconnaissance faciale par les forces de l'ordre lors des contrôles d'identité : entre défaillance du cadre juridique français et condamnation européenne du fichage biométrique systématique
Le recrutement d'enfants-soldats par l'Iran dans le conflit de mars 2026 : violation du droit international humanitaire, protection des droits de l'enfant et responsabilité pénale internationale
La création de traitements automatisés de données personnelles par l'État : entre transformation numérique de l'administration et protection des libertés fondamentales, à la lumière des arrêtés de mars 2026
Le débat sur la fin de vie et l'aide à mourir en France et en Europe : entre droit à disposer de son corps, protection de la vie et tensions géopolitiques autour de l'euthanasie espagnole
Le piratage du système d'information du ministère de l'Intérieur : protection des données personnelles, cybersécurité de l'État et garantie des libertés fondamentales à l'ère numérique