La refonte discrète de la vie privée en ligne dans l'UE et au-delà

Par Hans Rempel, PDG de Diode.

Découvrez les principales actualités et événements fintech !

Abonnez-vous à la newsletter de FinTech Weekly

Lue par des dirigeants de JP Morgan, Coinbase, Blackrock, Klarna et d’autres

Partout dans le monde, les gouvernements convergent vers une nouvelle théorie de la sécurité en ligne : pour rendre Internet plus sûr, la communication privée doit devenir inspectable.
Ce qui change maintenant, ce n’est pas seulement la manière dont la vie privée est violée, mais aussi sa définition dans la loi et le code.

La proposition de contrôle du chat de l’UE en est l’exemple le plus visible, mais ce n’est pas une exception. Les États-Unis, le Royaume-Uni, l’Australie et plusieurs juridictions asiatiques avancent tous des variantes de la même idée à travers des mandats de vérification d’âge, des scans côté client, une responsabilité accrue des plateformes et des cadres de détection « volontaires ».

Malgré des systèmes politiques différents, ces propositions partagent la même hypothèse fondamentale : la communication privée doit être techniquement accessible aux régulateurs.

Chaque proposition est présentée comme ciblée et limitée, mais ensemble, elles représentent un changement structurel, passant du contrôle du contenu nuisible à la surveillance préventive des communications, et de la régulation des plateformes à celle de l’infrastructure des messageries privées elles-mêmes.

C’est une refonte mondiale de ce que signifie la vie privée en ligne.

La vie privée réécrite

Pendant des années, l’érosion de la vie privée a été imputée aux violations de données, aux entreprises malveillantes ou aux agences de renseignement excessives. Aujourd’hui, les changements les plus importants se produisent dans la politique elle-même. La vie privée n’est pas brisée accidentellement ; elle est redessinée dans l’architecture d’Internet.

La justification est presque toujours la sécurité. Mais le mécanisme reste toujours la même tentative d’étendre la portée de ce que les gouvernements et les plateformes sont censés inspecter.

Et une fois que l’infrastructure d’inspection existe, elle ne reste rarement limitée à son objectif initial. Le scan ciblé s’étend rapidement à la vérification d’identité, à la surveillance comportementale et à la conservation des données, devenant des éléments de base « en cas de besoin ».

La communication privée n’est plus considérée comme un droit à protéger, mais comme une surface de risque à gérer, créant ainsi un Internet où la vie privée devient conditionnelle plutôt que fondamentale.

La normalisation de la surveillance « volontaire »

Une des évolutions les plus subtiles est la montée des cadres de scan « volontaires ». Ceux-ci sont souvent présentés comme un compromis où les plateformes peuvent scanner les messages privés, mais ne sont pas obligées de le faire.

Pourtant, une fois que le scan est légalisé, incité ou techniquement standardisé, l’infrastructure devient permanente. Le débat ne porte plus sur la nécessité de scanner ou non, mais sur qui y a accès et dans quelles circonstances.

Le scan volontaire adoucit certes la surveillance, mais la normalise aussi, déplaçant la fenêtre d’Overton de « faut-il scanner les messages privés ? » à « quelle quantité de scan est appropriée ? ».

Les débats sur le scan côté client montrent comment la détection « optionnelle » devient rapidement une attente de base.

Le paradis n’a pas disparu. Il a été centralisé

Tim Berners-Lee a déploré que le web ouvert et interopérable qu’il imaginait ait été remplacé par un système dominé par des points de contrôle d’entreprises et des incitations à la collecte de données. Dans cette dérive, les systèmes centralisés invitent à un contrôle centralisé.

Lorsque la communication privée passe par une poignée de points de contrôle, ceux-ci deviennent inévitablement des cibles. Les plateformes dominantes deviennent des leviers naturels pour la politique et la surveillance.

GenAI a transformé la sécurité centralisée en une responsabilité

L’essor de l’IA générative a accéléré cette tendance. Les attaques de phishing, le vol d’identifiants et les campagnes d’ingénierie sociale sont désormais automatisés, personnalisés et beaucoup plus efficaces. La réponse de l’industrie de la sécurité a été prévisible… déployer davantage de défenses alimentées par l’IA, nécessitant l’analyse de plus de données d’entreprises.

Cela crée un paradoxe dangereux. Un fournisseur de sécurité ayant accès à des données sensibles devient le honeypot ultime. Si un attaquant pénètre dans le fournisseur, il accède non seulement aux informations d’une seule entreprise, mais à l’ensemble des données de tous les clients. Certains architectes de la sécurité soutiennent que dans une course aux armements IA, la seule stratégie gagnante est d’éliminer complètement la cible. Au lieu de construire des périmètres de défense toujours plus grands autour de bases de données centralisées, il faut opter pour une sécurité granulaire, à connaissance zéro — des systèmes où les fournisseurs ne peuvent pas accéder aux données utilisateur, même s’ils le voulaient.

Dans ces architectures, les données ne touchent jamais l’infrastructure du fournisseur. Il n’y a pas de serveurs à compromettre, pas de bases de données à fuiter. Tout est routé en peer-to-peer avec un chiffrement automatisé, éliminant le problème du honeypot.

L’histoire montre que lorsque la réglementation cible l’infrastructure plutôt que le comportement, les utilisateurs s’adaptent. Ils migrent vers des plateformes offshore, des réseaux informels ou des outils conçus pour éviter complètement les points de contrôle centralisés. De telles réglementations ne stoppent pas le comportement ; elles déplacent simplement le coût vers d’autres acteurs.

Une nouvelle réponse architecturale émerge

En réponse à la pression réglementaire et à l’exploitation par l’IA, les technologues repensent l’architecture de la communication. Au lieu de faire transiter les messages privés par des serveurs centralisés susceptibles d’être contraints, scannés ou piratés, ils construisent des systèmes où les utilisateurs possèdent leur identité, leurs données et leurs connexions.

C’est le changement architectural que Berners-Lee espérait — un retour à un web peer-to-peer où le contrôle est distribué, pas concentré. Des blockchains publiques comme l’Internet Computer (ICP) soutiennent déjà des projets incarnant ce modèle, combinant transparence, vie privée et la restauration de véritables droits de propriété numérique. Plusieurs projets dans l’écosystème explorent des modèles de communication peer-to-peer où l’identité, les données et le routage restent entièrement sous contrôle de l’utilisateur. Dans ces systèmes, la vie privée devient une propriété de l’architecture. Il n’y a pas de serveurs à faire confiance, pas d’intermédiaires à compromettre, pas d’autorités centrales à faire pression.

La vraie question

Le débat sur la sécurité en ligne est souvent présenté comme un compromis entre vie privée et protection. Mais la question fondamentale est bien plus profonde : voulons-nous un Internet où la vie privée est conditionnelle — accordée quand cela arrange, retirée quand cela est nécessaire — ou un Internet où la vie privée est la norme autour de laquelle la régulation doit s’organiser ?

Car une fois que la vie privée devient conditionnelle, elle cesse d’être un droit. Elle devient une permission. Et les permissions peuvent toujours être révoquées.

À propos de l’auteur

Hans Rempel est le PDG de Diode, une entreprise qui construit une infrastructure de communication peer-to-peer et de sécurité à connaissance zéro. Il travaille à l’intersection de la vie privée, de l’architecture décentralisée et des protocoles Internet de nouvelle génération. Ses recherches et écrits portent sur la façon dont la régulation et la technologie façonnent l’avenir de l’autonomie numérique.