USA : les amendements au projet de loi EARN IT donnent aux États le pouvoir de restreindre le chiffrement

Des défenseurs des droits numériques appellent les Sénateurs à le supprimer

Un nouveau projet de loi pourrait punir les plateformes Web pour l'utilisation du chiffrement de bout en bout,
au nom de la lutte contre la maltraitance et l'exploitation des enfants

Un nouveau projet de loi vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne. Le projet de loi demande la constitution d'une « Commission nationale sur la prévention de l'exploitation des enfants en ligne » pour établir des règles de recherche et de suppression du contenu d'exploitation des enfants. Si les entreprises ne respectent pas ces règles, elles pourraient perdre une certaine protection en vertu de l'article 230 de la Communications Decency Act, qui protège largement les entreprises de toute responsabilité vis-à-vis des publications des utilisateurs.

Des rapports de médias américains indiquent que le sénateur Lindsey Graham (R-SC) est derrière le projet de loi, actuellement surnommé Eliminating Abusive and Rampant Neglect of Interactive Technologies (or EARN IT) Act (littéralement loi sur l'élimination des négligences abusives et rampantes des technologies interactives. Il modifierait l’article 230 pour rendre les entreprises responsables des poursuites engagées par l’État et des poursuites civiles concernant le matériel lié à la maltraitance et à l’exploitation des enfants, à moins qu’elles ne respectent les meilleures pratiques du comité. Elles ne perdraient pas les protections de l'article 230 pour d'autres contenus comme la diffamation et les menaces.

Le projet de loi ne prévoit pas de règles spécifiques. Mais le comité, qui serait dirigé par William Barr, est susceptible de limiter la façon dont les entreprises chiffrent les données des utilisateurs. Au cours des dernières années, les grandes sociétés Web se sont tournées vers le chiffrement de bout en bout (qui conserve les données chiffrées pour toute personne en dehors d'une conversation, y compris les entreprises elles-mêmes). Facebook a ajouté un chiffrement de bout en bout à des applications comme Messenger et Whatsapp, par exemple, et il l'aurait également poussé vers d'autres services. Le procureur général américain William Barr a condamné cette décision, affirmant qu'elle empêcherait les forces de l'ordre de trouver des criminels, mais Facebook n'est pas tenu de se conformer. En vertu de la loi EARN IT, un comité pourrait exiger que Facebook et d'autres sociétés ajoutent une porte dérobée pour les forces de l'ordre.

Riana Pfefferkorn, membre du Center for Internet and Society de la Stanford Law School, a rédigé une critique détaillée du projet. Elle souligne que le comité serait peu supervisé et que le procureur général pourrait également modifier unilatéralement les règles. Pendant des années, le ministère de la Justice a essayé de faire introduire des portes dérobées à des appareils et services, évoquant des menaces comme le terrorisme, mais il n'a pas obtenu gain de cause dans les votes des lois. Selon elle, « ce projet de loi essaie de convertir votre colère contre Big Tech en opportunité rêvée pour les forces de l'ordre d'interdire le chiffrement fort. C'est un appât, ne vous faites pas avoir ».


Et d'expliquer que « l'idée du projet de loi est de créer une commission fédérale qui développera les "meilleures pratiques" pour lutter contre les CSAM (child sex abuse material) en ligne, que les fournisseurs de services en ligne devront suivre s'ils ne veulent pas perdre l'immunité de l'article 230 quant aux réclamations liées aux CSAM. Cette proposition ne vient pas combler un vide dans la réglementation. Il existe déjà une loi fédérale qui criminalise les CSAM et impose des obligations aux prestataires. Et cela permet déjà aux fournisseurs d'être tenus responsables des CSAM diffusés sur leurs services, sans qu'il soit nécessaire de modifier l'article 230 ».

En termes simples, l'article 230 n'empêche pas les procureurs fédéraux de tenir les prestataires responsables de la diffusion de CSAM sur leurs services. En somme, « rien dans le CDA 230 n’empêche le ministère de la Justice de faire quoi que ce soit ».

Et de noter que cette proposition de loi a de nombreuses failles. Elle en a cité quelques-unes notamment :

• Grâce à l'article 230(e)(1), les procureurs fédéraux peuvent déjà tenir les prestataires responsables des CSAM diffusés sur leurs services (même si les procureurs d'État et les plaignants civils ne le peuvent pas). L'immunité au titre de l'article 230 n'est pas nécessaire si l'idée est de pénaliser les prestataires pour leur rôle dans la diffusion des CSAM en ligne, car le ministère de la Justice a déjà ce pouvoir. Si des fournisseurs tels que Facebook ou Dropbox enfreignent la loi fédérale sur la diffusion de CSAM, pourquoi le ministère de la Justice ne les poursuit-il pas?
• Si ces fournisseurs se conforment à leurs obligations en vertu de la loi fédérale sur les rapports de la diffusion de CSAM (article 2258A), mais le ministère de la Justice et le Congrès pensent toujours qu'ils n'en font pas assez et devraient faire encore plus que ce que la loi exige, pourquoi la réponse n'est-elle pas simplement de modifier l'article 2258A pour ajouter des droits supplémentaires ? Pourquoi y intégrer l'article 230 ?
• Le projet de loi permettrait aux commissaires non responsables de définir les meilleures pratiques, rendant illégal pour les fournisseurs de services en ligne (pour le chat, le courrier électronique, le stockage sur le cloud, etc.) de fournir un chiffrement de bout en bout - ce qui est actuellement 100% légal pour eux de le faire en vertu de la loi fédérale existante. Autrement dit, le projet de loi rendrait les fournisseurs responsables en vertu d'une loi de l'exercice de leurs droits légaux en vertu d'une loi différente. (Nous avons vu exactement le même problème avec la malheureuse tentative de Burr / Feinstein d'interdire indirectement le chiffrement des smartphones.)
• La menace de perdre l'immunité de l'article 230 fera peur aux grandes entreprises technologiques telles que Facebook qui tentent de bonne foi de respecter la loi fédérale relative à la diffusion des CSAM. Mais cette menace n'aura aucun effet sur les mauvais acteurs de l'écosystème CSAM : les sites du dark Web consacrés aux CSAM, qui ne bénéficient déjà généralement pas de l'immunité prévue à l'article 230, car ils ont une part directe dans le contenu illégal de leurs sites.
• Si les plateformes de bonne foi mettent en œuvre les nouvelles "meilleures pratiques" pour détecter les CSAM de peur de perdre l'immunité de la section 230, mais que les sites CSAM de mauvais acteurs ne le font pas, alors les commerçants CSAM laisseront les plateformes de bonne foi pour se concentrer sur les mauvaises, où ils seront plus difficiles à retrouver.
• Les traders de CSAM qui restent sur les plateformes de bonne foi (par exemple Facebook) pourront toujours chiffrer les CSAM avant de les envoyer par exemple via Facebook Messenger, même si Facebook Messenger lui-même ne devait plus avoir de chiffrement de bout en bout. Même si la loi EARN IT interdit aux fournisseurs de proposer un chiffrement de bout en bout, cela n'empêchera pas les contrevenants CSAM de dissimuler leurs activités avec le chiffrement. Ils vont simplement déplacer effectuer des chiffrements à des points différents du processus (avant l'envoi sur la plateforme et à la réception des fichiers). La technologie de chiffrement des fichiers existe et est utilisée par les contrevenants CSAM depuis des décennies; le projet de loi EARN IT Act ne peut pas changer cela.

Sources : Projet de loi, analyse du projet de loi, The Information

Et vous ?

Que pensez-vous de ce projet ?