Le Chat Control est-il adopté ?

Non. En mars 2026, le Parlement européen a refusé de prolonger la dérogation temporaire (analyse volontaire), qui a expiré en avril 2026. Mais le règlement permanent CSAR (« Chat Control 2.0 »), qui imposerait l'analyse, reste en négociation en 2026.

Qu'est-ce que la détection côté client ?

C'est l'analyse d'un message sur l'appareil de l'utilisateur, avant son chiffrement. Techniquement, cela revient à contourner le chiffrement de bout en bout, car le contenu est inspecté avant d'être protégé.

C'est quoi le portefeuille d'identité numérique européen ?

L'EUDI Wallet, créé par le règlement eIDAS 2.0 (Règlement UE 2024/1183, en vigueur depuis le 20 mai 2024), est une application officielle regroupant identité et attributs vérifiés (permis, diplômes, comptes bancaires). Chaque État membre doit en proposer un d'ici fin 2026.

Quand la facture électronique devient-elle obligatoire ?

En France : le 1er septembre 2026 pour la réception (toutes les entreprises) et l'émission des grandes entreprises et ETI, puis le 1er septembre 2027 pour les PME, TPE et micro-entreprises. Au niveau européen, le paquet ViDA impose la facturation électronique pour le B2B intra-UE au 1er juillet 2030.

Ces trois réformes sont-elles liées ?

Pas formellement : ce sont des dossiers distincts. Mais ils partagent la même logique — un canal officiel obligatoire, une traçabilité par construction et une centralisation des clés (de message, d'identité, de facturation) — et un calendrier qui converge sur 2026.

Comment garder le contrôle de ses données ?

En privilégiant le chiffrement fort, les outils libres / open source et l'hébergement chez soi partout où c'est possible. C'est l'approche souveraine : vos données restent à vous plutôt que de transiter par des intermédiaires.

Chat Control, identité numérique, facture électronique : un même mouvement

Trois dossiers européens avancent en parallèle, présentés comme sans rapport : le « Chat Control » (analyse des messageries), l'identité numérique (le portefeuille européen eIDAS 2.0) et la facture électronique obligatoire. Pris séparément, chacun a sa justification. Mis bout à bout, ils dessinent une même trajectoire : une vie numérique plus tracée, plus centralisée, et plus dépendante d'intermédiaires. Ce guide fait le tour du sujet — avec les dates réelles — et se conclut par une analyse.

En une phrase : vos messages, votre identité et vos transactions basculent au même moment vers des canaux officiels, structurés et contrôlables. 2026 est l'année charnière des trois.

🧭 Comment lire cet article. Nous séparons strictement trois registres. Les faits — textes, règlements, dates — sont vérifiables et accompagnés de leurs références ; les hypothèses sont introduites par « on peut se demander si… » ; notre analyse est clairement identifiée (Partie 5). Nous ne prêtons d'intention à personne : nous décrivons des mécaniques et ce qu'elles rendent techniquement possibles. À vous de juger.

Au sommaire

Chat Control — l'analyse des messageries privées, où en est le projet.
L'identité numérique — le portefeuille européen (eIDAS 2.0 / EUDI Wallet).
La facture électronique — la réforme française et le cadre européen ViDA.
Le fil rouge — pourquoi ces trois chantiers se ressemblent.
Notre analyse — souveraineté, surveillance, et la conclusion.

PARTIE 1 · CHAT CONTROL — l'analyse automatisée des messageries privées.

Qu'est-ce que le « Chat Control » ?

Sous le nom de CSAR (Child Sexual Abuse Regulation), la Commission européenne a proposé, le 11 mai 2022, un règlement destiné à lutter contre le matériel pédocriminel en ligne. Son principe le plus contesté : imposer aux messageries d'analyser le contenu des échanges pour y détecter des contenus illégaux — y compris, via la détection côté client (client-side scanning), dans les messageries chiffrées de bout en bout.

C'est ce mécanisme d'analyse généralisée que ses opposants ont surnommé « Chat Control ». L'enjeu technique est majeur : analyser un message avant son chiffrement revient, de fait, à percer le chiffrement de bout en bout — la garantie qui protège aujourd'hui les communications privées.

Comment ça marcherait, techniquement ?

Le principe repose sur la détection côté client (client-side scanning) : le contenu est analysé sur l'appareil de l'utilisateur, avant le chiffrement (ou après le déchiffrement chez le destinataire). C'est ce qui permet, en théorie, d'inspecter un message sans « casser » directement le chiffrement de bout en bout — mais le résultat est le même : le contenu n'est plus réellement privé.

Trois familles de technologies sont envisagées :

Cible	Technologie	Principe
Contenus connus (images/vidéos déjà répertoriées)	Hachage perceptuel (type PhotoDNA)	Chaque fichier est réduit à une empreinte numérique (hash) comparée à une base d'empreintes de contenus illégaux connus. Une correspondance déclenche un signalement.
Contenus inconnus (nouvelles images/vidéos)	Classifieurs par IA	Des modèles d'apprentissage automatique tentent de reconnaître un contenu pédocriminel jamais vu auparavant.
Sollicitation de mineurs (grooming)	Analyse de texte par IA (TAL)	Des modèles analysent le contenu des conversations pour détecter des comportements de manipulation.

⚠️ Les limites techniques sont documentées : le hachage perceptuel produit des faux positifs (des images légales signalées à tort), et les classifieurs par IA sur du texte ou des images nouvelles ont des taux d'erreur d'autant plus problématiques qu'ils s'appliquent à des milliards de messages. À cette échelle, même un faible pourcentage d'erreur représente une masse de contenus privés examinés à tort.

Qui serait chargé de collecter tout cela ?

Le dispositif fait intervenir plusieurs acteurs, en cascade :

Les fournisseurs de messagerie (WhatsApp, Signal, Messenger, etc.) — ce sont eux qui devraient intégrer l'analyse dans leurs applications, sur injonction de détection (detection order) émise par une autorité judiciaire ou administrative.
Un nouvel organe européen : le « Centre de l'UE » (EU Centre to prevent and counter child sexual abuse), prévu par le règlement, basé à La Haye. Son rôle : maintenir les bases d'empreintes, recevoir les signalements des plateformes, filtrer les faux positifs manifestes, puis transmettre les cas pertinents.
Europol et les autorités nationales (en France, les services d'enquête compétents) — destinataires finaux des signalements pour les suites judiciaires.

🔎 En clair : la collecte débuterait chez vous, sur votre téléphone, puis remonterait vers le fournisseur, le Centre de l'UE, et enfin la police. C'est précisément cette chaîne — et le point d'analyse placé avant le chiffrement — qui cristallise les critiques.

Où en est-on ?

Il faut distinguer deux textes :

Texte	Nature	État
Dérogation ePrivacy (Règlement (UE) 2021/1232)	Analyse volontaire par les plateformes (« Chat Control 1.0 »)	Prolongée jusqu'au 3 avril 2026, puis non renouvelée par le Parlement
CSAR (« Chat Control 2.0 »)	Analyse obligatoire — le règlement permanent	Toujours en négociation en 2026

En mars 2026, le Parlement européen a refusé de prolonger la dérogation temporaire, qui a donc expiré en avril 2026. Mais le règlement permanent CSAR, lui, reste sur la table : les négociations se poursuivent en 2026, avec une adoption possible dans l'année. Le sort du chiffrement de bout en bout demeure le point de friction central.

⚠️ À retenir : le rejet de 2026 ne ferme pas le dossier. Le texte permanent peut réapparaître sous une forme amendée. En parallèle, la Commission a présenté le 24 juin 2025 une feuille de route pour un accès légal et effectif aux données (stratégie ProtectEU) ; une « feuille de route technologique » sur le chiffrement est attendue en 2026, et Europol vise une capacité de déchiffrement à partir de 2030.

PARTIE 2 · L'IDENTITÉ NUMÉRIQUE — le portefeuille européen eIDAS 2.0.

Le portefeuille d'identité numérique (EUDI Wallet)

Le règlement eIDAS 2.0 — Règlement (UE) 2024/1183, publié le 30 avril 2024 et entré en vigueur le 20 mai 2024 — crée le portefeuille européen d'identité numérique (EU Digital Identity Wallet, EUDI Wallet).

Concrètement, il s'agit d'une application mobile officielle capable de regrouper :

votre identité (l'équivalent numérique de la carte d'identité) ;
des attributs vérifiés : permis de conduire, diplômes, justificatifs, comptes bancaires, données de santé… ;
des preuves présentables en ligne comme en présentiel (par exemple une vérification d'âge).

Le calendrier

Échéance	Obligation
20 mai 2024	Entrée en vigueur du règlement eIDAS 2.0.
Fin 2026	Chaque État membre doit proposer à ses citoyens au moins un portefeuille d'identité numérique conforme.
Courant 2027	Les acteurs privés concernés (banques, télécoms, santé, très grandes plateformes) doivent accepter le portefeuille comme moyen d'authentification.

💡 L'argument officiel est la simplicité : une seule application pour s'identifier partout, sans multiplier les comptes. La contrepartie : une clé d'identité unique, reliée à l'État, qui ouvre l'accès à un nombre croissant de services.

PARTIE 3 · LA FACTURE ÉLECTRONIQUE — la réforme française et le cadre européen.

La réforme française

La facturation électronique B2B devient obligatoire en France selon un calendrier en deux temps :

Échéance	Obligation
1ᵉʳ septembre 2026	Toutes les entreprises doivent pouvoir recevoir une facture électronique ; les grandes entreprises et ETI doivent émettre et faire leur e-reporting.
1ᵉʳ septembre 2027	Les PME, TPE et micro-entreprises doivent à leur tour émettre et faire leur e-reporting.

Le principe : chaque facture transite par une plateforme agréée (PA) et ses données fiscales remontent à l'administration en quasi-temps réel. Nous détaillons tout le dispositif (format Factur-X, PA, OD, PEPPOL, e-reporting) dans notre guide dédié : Factur-X : comprendre le format et valider ses factures.

Le cadre européen : ViDA

La France n'agit pas seule. Le paquet européen ViDA (VAT in the Digital Age) a été adopté le 11 mars 2025 et est entré en vigueur le 14 avril 2025. Son déploiement s'étale jusqu'en 2035 :

Échéance	Étape ViDA
14 avril 2025	Entrée en vigueur ; les États peuvent imposer la facturation électronique domestique sans dérogation.
1ᵉʳ juillet 2030	Facturation électronique (norme EN 16931) et déclaration numérique obligatoires pour le B2B intra-UE.
1ᵉʳ janvier 2035	Les systèmes nationaux de déclaration doivent être alignés sur le modèle européen.

🔑 Conséquence : la transparence fiscale en temps réel ne s'arrête pas aux frontières françaises — elle devient le standard européen.

PARTIE 4 · LE FIL ROUGE — trois chantiers, une même logique.

Chronologie : six ans, une convergence sur 2026

Mis sur une même frise, les trois dossiers — communications, identité, transactions — ne se croisent jamais sur le papier. Pourtant, leurs jalons se resserrent sur la même période. (Toutes les dates ci-dessous sont reprises et sourcées dans les parties 1 à 3.)

Année	💬 Communications (Chat Control)	🪪 Identité (eIDAS 2.0)	🧾 Transactions / fiscal
2018	—	—	DSP2 : ouverture des données bancaires (open banking)
2021	Dérogation ePrivacy : analyse volontaire des messageries	—	—
2022	11 mai — la Commission propose le règlement CSAR	—	—
2024	—	20 mai — entrée en vigueur d'eIDAS 2.0 (Règl. UE 2024/1183)	—
2025	24 juin — feuille de route ProtectEU	—	ViDA adopté (11 mars), en vigueur (14 avril)
2026	Avril — la dérogation expire ; CSAR reste en négociation	Fin 2026 — chaque État doit proposer ≥ 1 portefeuille	1ᵉʳ sept. — réception (toutes) + émission GE/ETI
2027	—	Les acteurs privés doivent accepter le portefeuille	1ᵉʳ sept. — émission PME/TPE/micro
2030	Europol vise une capacité de déchiffrement	—	1ᵉʳ juil. — ViDA : e-invoicing B2B intra-UE
2035	—	—	ViDA : alignement des systèmes nationaux

🧩 La frise parle d'elle-même : 2026 et 2027 concentrent l'aboutissement des trois chantiers. Ce n'est pas une preuve de coordination — chacun a son agenda propre — mais une coïncidence de calendrier qui mérite d'être vue d'un seul regard.

Pourquoi ces trois dossiers se ressemblent

À première vue, rien ne relie l'analyse des messageries, l'identité numérique et la facturation. Pourtant, les trois partagent la même architecture :

Un canal officiel obligatoire. Vos messages, votre identité et vos factures passent par des dispositifs encadrés et normalisés, à la place des canaux libres d'aujourd'hui (messageries chiffrées, papiers d'identité, courrier/e-mail).
Une traçabilité par construction. Chaque dispositif rend une catégorie de données lisible et vérifiable par un tiers — plateforme, État, intermédiaire agréé.
Une centralisation des clés. Un point de contrôle unique apparaît : la clé d'analyse pour les messages, la clé d'identité pour les services, la plateforme agréée pour les factures.
Un calendrier convergent. 2026 voit aboutir (ou se jouer) les trois : réception des factures, portefeuilles d'identité, sort du Chat Control.

🧩 Aucun de ces textes n'est, isolément, une « surveillance de masse ». Mais assemblés, ils construisent une infrastructure où communications, identité et transactions deviennent, en principe, accessibles. C'est l'assemblage qui mérite l'attention, pas chaque pièce prise séparément.

Et ce n'est pas un terrain vierge : beaucoup est déjà agrégé

Ces réformes ne s'ajoutent pas à un espace neutre. Une grande partie de nos données est déjà collectée et regroupée par des acteurs privés — souvent à notre insu. Deux exemples documentés :

Les données comportementales (GAFA et courtiers en données). Au-delà des géants du web, un marché entier de courtiers en données (data brokers) agrège et revend des profils. Acxiom revendique des fichiers sur environ 2,5 milliards de personnes, avec plus de 3 000 attributs par individu ; Oracle a longtemps opéré le même métier (via Datalogix). Leur modèle repose sur le croisement de sources multiples pour bâtir des profils ultra-précis.
Les données bancaires (open banking / DSP2). Depuis l'application de la directive DSP2 (transposée en janvier 2018), les banques doivent ouvrir l'accès aux comptes, via API, à des prestataires agréés (AISP). Des agrégateurs comme Powens (ex-Budget Insight), Bridge ou Plaid consolident déjà les comptes et l'historique de transactions de millions d'utilisateurs : Powens agrège à lui seul les données de plus de 1 800 institutions financières (Europe et Amérique latine). Ces acteurs sont encadrés (en France, par l'ACPR et la Banque de France), mais l'agrégation, elle, est bien réelle.
L'empreinte numérique du navigateur (fingerprinting). Même sans cookies, votre navigateur émet une empreinte quasi unique — résolution d'écran, polices installées, version du système, carte graphique, fuseau horaire… — qui permet de vous suivre d'un site à l'autre, sans consentement. C'est l'une des techniques de pistage les plus discrètes du Web publicitaire.

🕵️ Petit test : voyez votre propre empreinte. Mesurez en un clic à quel point votre navigateur est identifiable : Cover Your Tracks (EFF) ou AmIUnique. La plupart des configurations se révèlent uniques — donc traçables.

Donnée	Déjà agrégée par	Cadre
Profil comportemental / consommation	Courtiers en données (Acxiom, Oracle…)	Marché privé, opaque
Comptes et transactions bancaires	Agrégateurs AISP (Powens, Bridge, Plaid)	DSP2 (2018), agrément ACPR
Empreinte du navigateur (fingerprinting)	Régies publicitaires, trackers	Sans cookie, souvent sans consentement
Identité (à venir)	Portefeuille eIDAS 2.0	Règlement UE 2024/1183
Messages (en débat)	Plateformes + Centre de l'UE	CSAR (en négociation)
Factures / transactions B2B	Plateformes agréées + DGFiP	Réforme 2026-2027

📊 Autrement dit : comportement et finances sont déjà largement agrégés côté privé. Les réformes en cours y ajoutent l'identité, les messages et les transactions professionnelles — cette fois par des canaux officiels. Et la tendance s'accentue : un futur cadre européen (FIDA, Financial Data Access, successeur de la DSP2) prévoit d'élargir le partage des données financières au-delà des seuls comptes de paiement.

PARTIE 5 · NOTRE ANALYSE — souveraineté, équilibre, vigilance.

Des objectifs légitimes, une mécanique à surveiller

Analyse — notre point de vue. Chaque réforme répond à un but défendable : protéger les enfants, simplifier l'identification, lutter contre la fraude à la TVA. Personne ne conteste ces objectifs. Le problème n'est pas l'intention, mais la mécanique mise en place pour l'atteindre — et ce qu'elle rend possible une fois en place.

Le chiffrement est un tout ou rien. Une porte dérobée « réservée aux autorités » n'existe pas techniquement : une faille ouverte pour un usage légitime est une faille ouverte pour tous. Affaiblir le chiffrement, c'est fragiliser l'ensemble des communications, y compris celles des entreprises et des institutions.
L'identité unique concentre le risque. Une clé qui ouvre tout devient une cible de premier choix — et un point de défaillance unique : sa compromission, ou une simple panne, peut bloquer l'accès à de nombreux services.
La transparence fiscale totale a un revers. Une visibilité en temps réel sur toutes les transactions est efficace contre la fraude, mais elle expose aussi en continu la santé réelle des entreprises à de multiples acteurs.
La dépendance aux intermédiaires. Plateformes d'analyse, fournisseurs de portefeuilles, plateformes agréées : à chaque étage, un tiers privé s'intercale entre vous et un acte aussi banal qu'envoyer un message ou émettre une facture.

Chat Control : un dispositif à l'efficacité douteuse…

Sur l'objectif affiché — protéger les enfants — l'analyse généralisée des messageries grand public a, en pratique, peu de chances de faire reculer le phénomène :

Les réseaux organisés utilisent déjà des canaux clandestins (dark web, chiffrement « maison », supports physiques) qui échapperaient à l'analyse des messageries publiques. On surveillerait donc massivement les innocents, pas les filières.
L'essentiel des violences faites aux enfants se produit dans le cercle de confiance — famille, entourage, institutions (les affaires récentes en milieu scolaire le rappellent) — et ne transite pas par un message « scannable ».

C'est ce décalage entre la promesse et l'efficacité réelle qui nourrit le soupçon d'un prétexte : une cause consensuelle, difficile à refuser, qui sert à faire accepter un outil de portée bien plus large.

…mais aux conséquences, elles, bien réelles

La dérive d'usage (function creep). Une fois le mécanisme d'analyse installé dans les applications, rien n'empêche techniquement d'en étendre le périmètre : d'abord d'autres infractions, puis d'autres finalités. L'outil créé pour une cause précise devient disponible pour tout.
Le secret professionnel et les secrets d'affaires. Une analyse généralisée fragilise des pans entiers de l'économie qui reposent sur la confidentialité : le secret de l'avocat, le secret médical, les brevets et secrets industriels, les travaux de recherche, la confidentialité des appels d'offres. Un échange intercepté ou divulgué, c'est une stratégie éventée, un brevet compromis, une offre faussée — un désavantage concurrentiel direct.
Un risque judiciaire qui n'a rien de théorique. Les affaires récentes rappellent que des communications privées peuvent suffire à fonder des poursuites — et mener jusqu'à la prison. Concentrer ces données, c'est forger une arme dont l'usage dépend entièrement de qui la détient, aujourd'hui comme demain.

La question de fond : qui détient les clés ?

Le vrai sujet n'est pas « pour ou contre » chaque réforme. C'est : qui contrôle l'infrastructure une fois qu'elle existe ? Celui qui détient la clé d'analyse, la clé d'identité ou le canal de facturation détient un pouvoir considérable — et ce pouvoir ne disparaît pas si les intentions changent. Une infrastructure de contrôle se justifie par ses usages vertueux, mais elle reste disponible pour d'autres usages.

💡 La réponse souveraine existe : privilégier, partout où c'est possible, le chiffrement fort, les outils libres / open source et l'hébergement chez soi — là où vos données restent à vous. C'est la logique que nous défendons pour l'IA (voir L'IA en local) comme pour l'infrastructure (voir Panorama des technologies serveur).

❓ Une question à se poser, sans réponse toute faite. Si demain votre identité numérique devient le point d'entrée unique pour signer un contrat, recevoir vos factures, voter, créer une entreprise, accéder à vos services publics et prouver qui vous êtes… alors qui contrôle cette identité — et que se passe-t-il le jour où l'on vous en refuse, ou suspend, l'accès ? La commodité d'une clé unique et la vulnérabilité d'un point de défaillance unique sont la même chose, vue de deux côtés.

En conclusion

Ces trois réformes ne forment pas un complot : ce sont des chantiers distincts, portés par des acteurs différents, pour de bonnes raisons affichées. Mais elles convergent vers un même résultat — une vie numérique où communiquer, s'identifier et facturer passent par des canaux officiels, tracés et tenus par des intermédiaires.

L'important n'est pas de tout refuser, mais de comprendre l'assemblage et de garder la main là où on le peut : un chiffrement qu'on ne brade pas, une identité qu'on ne réduit pas à une clé unique, des données qu'on héberge soi-même quand c'est possible. 2026 est l'année où ces choix se posent concrètement — autant les faire en connaissance de cause.

Ce qui est peut-être le plus déconcertant, c'est que l'étendue réelle du dispositif échappe à la quasi-totalité des observateurs, experts compris. La raison tient à la logique même des spécialités : chaque professionnel approfondit son domaine — le droit pour le juriste, la comptabilité pour le financier, les systèmes d'information pour l'informaticien, la mesure d'audience pour le publicitaire — sans jamais avoir à en croiser les lignes. Chaque regard est précis ; aucun n'embrasse l'ensemble. Or c'est précisément l'articulation des pièces qui révèle l'ampleur du phénomène — une articulation que cet article s'est efforcé, modestement, d'esquisser.

Trois dossiers, une même question : à mesure que le numérique se normalise, qui en garde les clés ? La meilleure protection reste celle qu'on maîtrise — chiffrement fort, logiciels libres, hébergement souverain.