En avril 2026, le Parlement européen a voté contre le scanning de messages au coeur de Chat Control. Les militants pour la vie privée ont célébré pendant environ une semaine. Puis tout le monde a lu les petits caractères de ce que la Commission avait déjà préparé pour la suite.
Ça s’appelle Going Dark, rebaptisé ProtectEU. Et contrairement à Chat Control, celui-ci nomme directement les services VPN.
Ce qui vient de se passer avec Chat Control
Rapide récap pour quiconque a décroché de ce feuilleton. Chat Control était le surnom de la proposition CSAR de l’UE, qui aurait exigé que les plateformes scannent les messages privés, y compris ceux chiffrés de bout en bout, à la recherche de matériel pédopornographique. Les chercheurs en sécurité ont passé trois ans à expliquer qu’on ne peut pas scanner des messages chiffrés sans casser le chiffrement pour tout le monde.
Le Parlement a écouté. Les eurodéputés ont rejeté les dispositions de scanning de masse et refusé de prolonger l’exemption temporaire qui avait permis à des entreprises comme Meta de scanner volontairement des messages privés. L’EFF a qualifié ça de coup porté à la surveillance de masse, tout en avertissant que le combat n’était pas fini.
Cet avertissement a bien vieilli. Deux mois ont suffi.
Going Dark : le rebrand de la décennie
“Going dark” est l’argot des forces de l’ordre pour désigner la revendication selon laquelle le chiffrement rend les criminels invisibles aux enquêteurs. La Commission européenne a transformé cette plainte en programme : lancé en avril 2025 sous la bannière ProtectEU, c’est une stratégie à six piliers couvrant la conservation des données, l’interception légale, la forensique numérique, le déchiffrement, la normalisation, et les outils IA pour la police.
L’objectif affiché, selon les reportages de TechRadar, est la capacité d’accéder aux données chiffrées d’ici 2030. Une feuille de route technologique sur le déchiffrement est prévue en 2026. Le langage de la Commission promet que cela se fera tout en “préservant la cybersécurité et les droits fondamentaux”, ce qui est l’équivalent politique de promettre de l’eau sèche. Chaque cryptographe sérieux ayant examiné des schémas d’accès légal a conclu la même chose : une porte dérobée pour la police est une porte dérobée pour tout le monde.
Les six piliers, décodés
Les documents officiels décrivent ProtectEU en langage de marchés publics, voici donc la version claire de chaque pilier.
La conservation des données est l’obligation que les services enregistrent qui a utilisé quoi, quand, et depuis où. C’est le pilier avec sa propre piste législative distincte, et celui qui frappe les VPN en premier.
L’interception légale signifie des moyens standardisés pour que la police écoute les communications transfrontalières. Aujourd’hui, un mandat français servi à un service allemand implique des mois de paperasse. Le plan est de le rendre rapide et uniforme.
La forensique numérique couvre l’extraction de preuves depuis des appareils saisis. Le déchiffrement est le plus célèbre : la Commission veut des “solutions” techniques pour accéder aux données chiffrées, avec une feuille de route technologique prévue en 2026 et une capacité opérationnelle ciblée pour 2030.
La normalisation signifie intégrer les exigences d’accès policier dans les normes techniques pendant qu’elles sont rédigées, plutôt que de se battre à ce sujet après coup. Et les outils IA pour les forces de l’ordre couvre l’analyse automatisée de toutes les données que les cinq autres piliers produisent.
Lus ensemble, les piliers ne sont pas six idées séparées. Ce sont six formulations d’une seule idée : l’infrastructure de communication doit être lisible par l’État par conception. Chaque pilier semble procédural isolément. La somme est une décision d’architecture sur l’internet européen, prise sans jamais tenir un seul vote sur la question elle-même.
Où les VPN entrent en jeu
Chat Control concernait les applications de messagerie. Going Dark est plus large, et voici la partie qui compte pour les lecteurs de ce site : plusieurs États membres veulent que les services VPN soient inclus dans le champ d’application.
Mullvad a été le fournisseur le plus vocal à ce sujet, déclarant clairement qu’après avoir perdu la bataille Chat Control, l’UE reviendra à l’été 2026 avec Going Dark, et que cette fois les services VPN sont une cible. Mullvad présente l’ensemble de l’effort comme une guerre contre le chiffrement coordonnée entre les États-Unis et l’UE. Des mots forts d’une entreprise qui évite habituellement le drame.
Que signifierait concrètement “inclure les VPN” ? Les options réalistes sont la conservation des métadonnées de connexion (couverte dans notre article sur la poussée de conservation des données de l’UE), l’identification obligatoire des utilisateurs, ou des exigences d’accès technique sur le tunnel lui-même. Les deux premières détruisent le modèle sans logs. La troisième casse entièrement le produit.
Pourquoi “accès légal” et un VPN fonctionnel ne peuvent pas coexister
Un VPN fait une chose : il chiffre le chemin entre vous et un serveur, de sorte que votre FAI, votre administrateur réseau, et quiconque se trouve entre les deux ne voient rien. Le fournisseur ne peut pas affaiblir sélectivement ça pour les “mauvais” utilisateurs tout en le gardant fort pour tout le monde. Le chiffrement ne vérifie pas votre casier judiciaire.
Donc tout mandat d’accès légal atterrit dans l’un de deux endroits. Soit le fournisseur conserve des enregistrements sur qui s’est connecté où et quand, ce qui est de la surveillance des 99,9% d’utilisateurs qui regardent Netflix et vérifient leur compte bancaire depuis le Wi-Fi de l’hôtel. Soit le chiffrement lui-même reçoit un trou, que chaque gouvernement hostile et chaque gang de ransomware sur terre trouvera éventuellement. Il n’y a pas de troisième option. Il n’y en a jamais eu.
La propre histoire de l’UE le prouve dans l’autre sens. La CJUE a annulé la conservation généralisée des données deux fois sur des bases de droits fondamentaux. Le Parlement vient de refuser le scanning de masse des messages. À chaque fois, les institutions les plus proches du droit ont conclu que la surveillance de tout le monde, tout le temps, par défaut n’est pas compatible avec les droits européens. Going Dark est une tentative d’atteindre la même destination par des routes procédurales plus discrètes.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Ce que ça signifie pour les utilisateurs VPN maintenant
Rien dans Going Dark n’est encore loi. La feuille de route sur le déchiffrement est prévue cette année, des propositions législatives ciblant les VPN sont attendues à partir de l’été 2026, et le cycle législatif complet prend des années. Votre VPN fonctionne aujourd’hui exactement comme il le faisait le mois dernier.
Mais la direction de voyage est claire, et elle rend deux critères ennuyeux soudainement intéressants : la juridiction et l’infrastructure. Un fournisseur constitué hors de l’UE, avec des serveurs en RAM uniquement et des logs audités sans contenu, a à la fois une distance légale et technique de ce que Bruxelles finira par adopter. Notre guide sur les Five Eyes, Nine Eyes et Fourteen Eyes explique pourquoi le pays sur les documents juridiques compte autant que la technologie.
Si vous voulez tester votre fournisseur actuel, posez une question : si un ordre de conservation de l’UE arrivait demain, que pourrait-il techniquement remettre ? Pour un fournisseur comme NordVPN, basé au Panama avec des serveurs en RAM uniquement audités, la réponse honnête est : presque rien. C’est la réponse que vous voulez.
Pour les lecteurs qui suivent le dossier : les jalons à surveiller sont la publication de la feuille de route technologique, le premier texte législatif nommant des catégories de services, et la composition du Parlement le jour où il vote. On couvrira chacun quand il arrivera ; le pattern de la dernière décennie dit que le combat sera long, procédural et gagnable, ce qui est précisément pourquoi l’attention est la monnaie pertinente.
(La couverture continue au fil de l’avancement du dossier ; l’article connexe sur la conservation des données de l’UE suit la piste législative parallèle, et les deux pages portent des dates lastmod comme contrat de fraîcheur.)
La défaite de Chat Control était réelle, et les gens qui l'ont combattu ont mérité la victoire. Mais Going Dark est le projet plus dangereux précisément parce qu'il est plus ennuyeux : feuilles de route, groupes de travail, et organismes de normalisation plutôt qu'une grande loi de scanning effrayante. L'industrie VPN fait maintenant formellement partie de la conversation européenne sur l'accès légal, et ce n'était jamais le cas auparavant. Attendez le premier texte législatif concret fin 2026. On le couvrira quand il arrivera.
Sources : EFF sur le vote du Parlement | TechRadar : l’UE veut déchiffrer vos données d’ici 2030 | Mullvad : Chat Control et Going Dark | Computer Weekly sur le rejet de Chat Control