Depuis des années, l'Union européenne construit l'un des systèmes de protection de la vie privée les plus restrictifs au monde. Or, ce même système bloque désormais les mesures visant à renforcer la sécurité des plus jeunes internautes. À Bruxelles, un problème croissant ne peut plus être dissimulé derrière des lois et des applications, et la tentative de concilier vie privée et protection de l'enfance commence à se déliter sous les yeux de l'ensemble du secteur. Le 3 avril, le Parlement européen a rejeté la prolongation de l'exception temporaire à la directive ePrivacy. Cette mesure autorisait des plateformes comme Meta, Google et Microsoft à analyser volontairement les messages privés des utilisateurs afin d'y détecter des contenus pédopornographiques. Le vote s'est soldé par 311 voix contre 228, supprimant ainsi le fondement juridique de telles pratiques. Quelques jours plus tard, la Commission européenne a dévoilé une nouvelle application de vérification de l'âge des utilisateurs. Ce projet visait à répondre aux critiques croissantes concernant les réseaux sociaux et l'accès facile des mineurs à des contenus préjudiciables. Or, des chercheurs en sécurité ont trouvé une faille dans le système de sécurité juste au moment de son lancement public.

La réglementation européenne visait à créer un internet plus sûr pour les enfants, mais elle conduit de plus en plus à une situation où les réglementations successives s'excluent mutuellement. Le RGPD limite la collecte de données des utilisateurs, notamment celles des mineurs. La loi sur les services numériques impose simultanément aux plateformes l'obligation de protéger les enfants contre les contenus préjudiciables. Le projet de règlement relatif à la CSA, connu sous le nom de « Contrôle des conversations », avait pour objectif d'obliger les entreprises à détecter les contenus illicites dans les messages privés. Chacune de ces actions requiert toutefois un élément : déterminer si l'utilisateur est un enfant. Cela implique le traitement de données que les entreprises ne sont pas tenues de collecter en vertu de la réglementation européenne. C'est là que le modèle européen de protection de la vie privée s'est heurté à ses propres fondements.

Les tensions se sont encore accrues autour du chiffrement des applications de messagerie instantanée. En février, la Cour européenne des droits de l'homme a jugé que l'imposition d'un affaiblissement du chiffrement violait les droits fondamentaux des citoyens, adressant ainsi un message clair aux autorités de régulation de l'UE, désireuses d'étendre leur contrôle sur les communications en ligne. Les entreprises elles-mêmes hésitent à affaiblir le chiffrement et, si elles le font, certains services pourraient tout simplement se retirer du marché européen. De tels avertissements ont déjà été lancés par les développeurs d'applications de messagerie instantanée qui privilégient la protection de la vie privée. Concrètement, cela signifie que l’Europe souhaite lutter plus efficacement contre la criminalité envers les enfants, mais ne peut en même temps pas utiliser les outils qui lui permettraient de le faire sur les canaux de communication privés.

La Commission européenne espérait que les technologies modernes permettraient de résoudre le problème. L'application de vérification d'âge, dévoilée le 15 avril, promettait de confirmer l'âge sans révéler l'identité de l'utilisateur. Elle semblait constituer un compromis entre respect de la vie privée et sécurité. En théorie, la plateforme ne devait recevoir que des informations sur l'âge de l'utilisateur. Ni nom, ni date de naissance, ni aucune autre donnée. En pratique, le système a rapidement été compromis. Des experts ont démontré que les mesures de sécurité pouvaient être contournées quasi instantanément. Cela a gravement nui à la crédibilité d'un projet qui se voulait la preuve technologique que protection des enfants et respect de la vie privée pouvaient aller de pair. La décision la plus importante reste à prendre pour l'Union européenne. Les négociations relatives au règlement CSA sont en cours depuis plusieurs années et la date butoir pour parvenir à un accord a été fixée à juillet. Des discussions en coulisses portent sur un compromis qui limiterait l'analyse obligatoire aux plateformes non chiffrées et aux contenus pédopornographiques connus, détectés par empreinte numérique. Toutefois, cette option ne satisfait ni les organisations de défense des droits de l'enfant ni les défenseurs de la vie privée.

Certains affirment que, sans accès aux messages chiffrés, la nouvelle réglementation restera symbolique. D'autres mettent en garde contre le risque que la mise en place d'une infrastructure de surveillance des communications n'ouvre la voie à une surveillance d'Internet beaucoup plus étendue. Le principal problème aujourd'hui est que l'Union européenne tente de défendre simultanément deux valeurs de plus en plus difficiles à concilier sur le plan technologique. Protéger les enfants exige un contrôle accru de l'environnement numérique, tandis que protéger la vie privée requiert de limiter ce contrôle au minimum. Chaque solution successive démontre que cette contradiction est difficile à résoudre. L'exception autorisant la consultation volontaire des messages a expiré, l'application de vérification d'âge a échoué à son premier test et la nouvelle réglementation reste dans l'impasse politique.