Une proposition de la Commission européenne vise à obliger les entreprises technologiques à analyser les messages privés à la recherche de matériel d'abus sexuel d'enfants (CSAM) et de preuves de pédopiégeage, même lorsque ces messages sont censés être protégés par un chiffrement de bout en bout. La sollicitation d’enfants à des fins sexuelles, ou pédopiégeage, est « une pratique où un adulte se "lie d’amitié" avec un enfant (de manière générale en ligne, mais le pédopiégeage hors ligne existe également) dans le but de commettre des abus sexuels à son encontre ». L'adulte cherche à se rapprocher d'un enfant et à instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l'intention de perpétrer des abus sexuels.
Les services en ligne qui reçoivent des « ordres de détection » en vertu de la législation en cours de l'Union européenne auraient « des obligations concernant la détection, le signalement, la suppression et le blocage du matériel d'abus sexuel d'enfants connus et nouveaux, ainsi que la sollicitation d'enfants, quelle que soit la technologie utilisée dans les échanges en ligne », indique la proposition. Le plan qualifie le chiffrement de bout en bout un outil de sécurité important, mais ordonne essentiellement aux entreprises de casser ce chiffrement de bout en bout par tous les moyens technologiques nécessaires :
Afin de garantir l'efficacité de ces mesures, de permettre des solutions sur mesure, de rester technologiquement neutres et d'éviter le contournement des obligations de détection, ces mesures devraient être prises, quelles que soient les technologies utilisées par les prestataires concernés dans le cadre de la fourniture de leurs services. Par conséquent, le présent règlement laisse au fournisseur concerné le choix des technologies à exploiter pour se conformer efficacement aux ordres de détection et ne devrait pas être compris comme incitant ou décourageant l'utilisation d'une technologie donnée, à condition que les technologies et les mesures d'accompagnement répondent aux exigences de présent règlement.
Cela inclut l'utilisation de la technologie de chiffrement de bout en bout, qui est un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris celles des enfants. Lors de l'exécution de l'ordre de détection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s'assurer que les technologies qu'ils emploient ne peuvent pas être utilisées par eux ou leurs employés à des fins autres que le respect du présent règlement, ni par des tiers, et pour éviter ainsi de porter atteinte à la sécurité et la confidentialité des communications des utilisateurs.
Cela inclut l'utilisation de la technologie de chiffrement de bout en bout, qui est un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris celles des enfants. Lors de l'exécution de l'ordre de détection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s'assurer que les technologies qu'ils emploient ne peuvent pas être utilisées par eux ou leurs employés à des fins autres que le respect du présent règlement, ni par des tiers, et pour éviter ainsi de porter atteinte à la sécurité et la confidentialité des communications des utilisateurs.
L'avis juridique interne de l'UE a fait l'objet d'une fuite. Il a été présenté aux diplomates des États membres du bloc le 27 avril et a été vu par Politico. Il soulève des doutes importants quant à la légalité du règlement dévoilé par la Commission européenne en mai de l'année dernière.
Le service juridique du Conseil de l'UE, l'organe décisionnel dirigé par les ministres nationaux, a indiqué que le règlement proposé pose une « limitation particulièrement grave des droits à la vie privée et aux données personnelles » et qu'il existe un « risque sérieux » qu'il tombe sous le coup d'un contrôle judiciaire pour plusieurs motifs.
Les avocats de l'UE écrivent que le projet de règlement « exigerait le filtrage général et indiscriminé des données traitées par un prestataire de services spécifique, et s'appliquerait sans distinction à toutes les personnes utilisant ce service spécifique, sans que ces personnes soient, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales ».
Le service juridique poursuit en avertissant que la Cour de justice européenne a précédemment jugé que le filtrage des métadonnées des communications est « proportionné uniquement dans le but de sauvegarder la sécurité nationale » et qu'il est donc « plutôt peu probable qu'un filtrage similaire du contenu des communications dans le but de lutter contre le crime d'abus sexuel d'enfants serait jugé proportionné et encore moins eu égard à la conduite ne constituant pas des infractions pénales ».
Les avocats concluent que le règlement proposé court « un risque sérieux de dépasser les limites de ce qui est approprié et nécessaire pour atteindre les objectifs légitimes poursuivis, et donc de ne pas respecter le principe de proportionnalité ».
Le service juridique s'inquiète également du fait qu'en cherchant à réprimer la sollicitation d'enfants, les fournisseurs devraient introduire une technologie et des processus de vérification de l'âge dans les services chiffrés populaires.
Les avocats écrivent que cela impliquerait nécessairement le profilage de masse des utilisateurs, ou l'analyse biométrique du visage ou de la voix de l'utilisateur, ou alternativement l'utilisation d'un système de certification numérique qui, selon eux, « ajouterait nécessairement une autre couche d'interférence avec les droits et libertés des les utilisateurs ».
Malgré les conseils, il est entendu que 10 États membres de l'UE (la Belgique, la Bulgarie, Chypre, la Hongrie, l'Irlande, l'Italie, la Lettonie, la Lituanie, la Roumanie et l'Espagne) soutiennent la poursuite du règlement sans amendements.
Patrick Breyer, un eurodéputé allemand qui siège à la commission des libertés civiles du Parlement européen, a déclaré que l'UE devrait abandonner les plans, qu'il a qualifiés de « dystopiques » et qui, selon lui, empêcheraient les forces de l'ordre et les entreprises technologiques de rechercher de faux rapports de contenu préjudiciable.
Il a déclaré : « Le conseil des services de l'UE confirme désormais en termes clairs ce que d'autres experts juridiques, défenseurs des droits de l'homme, responsables de l'application des lois, victimes d'abus et organisations de protection de l'enfance mettent en garde depuis longtemps : courriel, messagerie et chat obligeants les fournisseurs de rechercher dans tous les messages privés du matériel prétendument illégal et de le signaler à la police détruit et viole le droit à la confidentialité de la correspondance ».
Une proposition loin de faire l'unanimité
Le projet de loi européen sur la pédopornographie en ligne a suscité des réactions contrastées de la part des différents acteurs concernés. Les groupes de protection et de sécurité des enfants ont salué l’initiative, en soulignant qu’elle était nécessaire pour lutter contre un phénomène qui met en danger la dignité et le bien-être des enfants.
« Nous nous félicitons de l’engagement de la Commission européenne à protéger les enfants contre les abus sexuels en ligne », a déclaré Delphine Moralis, la secrétaire générale de Missing Children Europe, une fédération d’organisations non gouvernementales qui œuvrent pour la protection des enfants disparus et exploités sexuellement. « Nous espérons que ce projet de loi sera adopté rapidement et mis en œuvre efficacement par les États membres ».
La proposition européenne de scanner les messages des utilisateurs a été accueillie avec frustration par les groupes de défense des droits civils et les experts en sécurité, qui disent qu’elle risque de compromettre le chiffrement de bout en bout et de nuire à la vie privée en ligne des personnes.
« Très décevant de voir une proposition de règlement européen sur internet qui ne protège pas le chiffrement de bout en bout », a tweeté Will Cathcart, le responsable de WhatsApp. « Cette proposition obligerait les entreprises à scanner tous les messages des personnes et mettrait en danger la vie privée et la sécurité des citoyens européens ».
Les entreprises technologiques ont exprimé leur préoccupation quant à l’impact du projet de loi sur le chiffrement de bout en bout et la vie privée des utilisateurs. Elles ont également souligné les difficultés techniques et juridiques liées à la mise en place de technologies de détection de la pédopornographie en ligne.
« Nous sommes profondément préoccupés par le fait que ce projet de loi pourrait affaiblir le chiffrement de bout en bout et mettre en danger la sécurité et la confidentialité des communications des utilisateurs », a déclaré un porte-parole de Facebook, qui possède WhatsApp et Instagram. « Nous pensons qu’il existe des moyens plus efficaces et moins intrusifs de lutter contre la pédopornographie en ligne, comme le signalement volontaire, la coopération avec les forces de l’ordre et l’éducation des utilisateurs ».
Les défenseurs des droits civils et les experts en sécurité ont également critiqué le projet de loi, en affirmant qu’il constituait une menace pour le chiffrement de bout en bout et qu’il ouvrait la porte à d’autres formes de surveillance de masse.
« Ce projet de loi est une attaque contre le chiffrement de bout en bout et un pas vers une société de surveillance généralisée », a déclaré Diego Naranjo, le directeur politique d’European Digital Rights (EDRi), un réseau d’organisations qui défendent les droits numériques en Europe. « Il n’existe pas de solution magique pour détecter la pédopornographie en ligne sans compromettre la sécurité et la vie privée des utilisateurs. Ce projet de loi doit être rejeté par le Parlement européen et les États membres ».
Conclusion
Le service juridique du Conseil européen n’a pas le pouvoir d’empêcher le projet de loi d’avancer, mais son avis pourrait influencer les négociations entre les États membres, le Parlement européen et la Commission européenne. Le projet de loi doit encore être approuvé par ces trois institutions avant d’entrer en vigueur. Il pourrait donc être modifié ou abandonné au cours du processus législatif.
Le projet de loi européen fait suite à une initiative similaire d’Apple l’année dernière, qui visait à scanner les photos sur les iPhone des utilisateurs pour détecter des contenus abusifs avant qu’ils ne soient téléchargés sur iCloud. Apple a suspendu ses efforts après une vive réaction de la part des défenseurs de la vie privée, des experts en sécurité et des organisations de défense des droits humains.
Les partisans du projet de loi européen affirment qu’il est nécessaire de lutter contre la pédopornographie en ligne, qui est en augmentation constante. Selon les données du Centre européen de lutte contre la cybercriminalité (EC3), plus de 4 millions d’images et de vidéos de pédopornographie ont été signalées par les entreprises technologiques en 2020, soit une augmentation de 30 % par rapport à 2019.
Le projet de loi européen sur la pédopornographie en ligne devra faire l’objet d’un examen approfondi et d’un débat démocratique avant d’être adopté. Il devra trouver un équilibre entre la protection des enfants contre les abus sexuels en ligne et le respect des droits fondamentaux des utilisateurs.
Source : Politico
Et vous ?
Que pensez-vous de l'avis du service juridique de l'UE ?