Le plan européen de surveillance CSAM est un point de basculement pour les droits démocratiques,

Avertissent les experts

Une proposition controversée de surveillance du matériel d’abus sexuel d’enfants (CSAM), actuellement examinée par les législateurs européens, constituerait à la fois une mauvaise réponse à un problème de société sensible et multiforme et une menace directe pour les valeurs démocratiques d’une société libre et ouverte. Plus de 20 intervenants ont exprimé leur opposition à une proposition législative de l’Union européenne qui obligerait les services de messagerie à analyser le contenu des communications des utilisateurs à la recherche de CSAM connus et inconnus, et à essayer de détecter le grooming en temps réel.

Les critiques soutiennent que cette approche va à l’encontre des libertés fondamentales qui sont au cœur des sociétés démocratiques. Jusqu’à présent, la Commission européenne s’est vigoureusement opposée à ce type de critiques, arguant que la proposition constitue une réponse proportionnée et ciblée à un problème croissant. Elle a même été repérée récemment en train d’utiliser des publicités microciblées pour promouvoir le plan, se tournant apparemment vers le ciblage secret pour attaquer les critiques en suggérant qu’ils ne soutiennent pas la protection de l’enfance (malgré l’existence d’une autre proposition législative européenne en cours qui cherche à restreindre l’utilisation du microciblage politique… ). Le débat controversé est toujours d’actualité et il appartient désormais aux colégislateurs de l’UE, au Parlement européen et aux États membres, par l’intermédiaire du Conseil, de trouver une voie à suivre.


Le Contrôleur européen de la protection des données (CEPD) lui-même, Wojciech Wiewiórowski, a suggéré que l'UE pourrait se trouver à un point de non-retour si les législateurs allaient de l'avant et adoptaient une loi qui rendrait obligatoire la surveillance systémique et massive des messageries privées. Dans ses remarques préliminaires, il a suggéré que la proposition de la Commission pourrait avoir des conséquences qui vont « bien au-delà de ce qui concerne la protection des enfants ».

« On entend souvent dire dans le débat que cette proposition ne concerne que la protection des enfants. J'aimerais que ce soit le cas, mais ce n'est pas le cas », a-t-il poursuivi, affirmant que la proposition de la Commission remet en question les « fondements » de ce que signifie la vie privée dans une société démocratique, et soulignant que la vie privée, une fois ébranlée, conduit à « un changement radical dont il pourrait être impossible de revenir », comme il l'a dit.

Sans amendements, la proposition « changerait fondamentalement l'Internet et la communication numérique tels que nous les connaissons », a également averti Wiewiórowski à la fin de l'événement, en invoquant son expérience personnelle d'enfant vivant sous la surveillance et les restrictions de la liberté d'expression imposées par le régime communiste en Pologne. Et, très certainement, c'est une comparaison gênante pour l'exécutif de l'UE que d'être invité à contempler de la bouche de l'un de ses propres conseillers experts.

La proposition législative controversée de la Commission européenne suscite des inquiétudes

Le CEPD, une institution européenne qui conseille la Commission sur la protection des données et de la vie privée, n'est pas non plus un critique nouvellement converti de la proposition de la Commission. En effet, le contrôleur et le Conseil européen de la protection des données ont publié un avis commun il y a un an, dans lequel ils avertissaient que le projet législatif soulevait « de sérieuses préoccupations en matière de protection des données et de la vie privée », notamment en ce qui concerne le chiffrement. Mais cette expression commune d'inquiétude au sein de l'UE n'a pas réussi, jusqu'à présent, à persuader Johansson ou la Commission de revoir leur soutien inconditionnel à la surveillance de masse des communications privées des citoyens.

Les participants au séminaire ont appris que Johansson avait été invitée à participer à l'événement, mais qu'elle avait décliné l'invitation. Aucun autre représentant de la Commission n'a accepté de participer. La Commission a présenté son projet de législation CSAM en mai 2022. Depuis lors, l'opposition s'est développée au sujet de l'impact sur les droits de l'homme, à mesure que les implications de la proposition devenaient plus claires. Alors que les inquiétudes - et même les soupçons - concernant les forces motrices derrière la proposition ont augmenté, non aidées par un manque perçu d'engagement de la part de la Commission avec les organisations de la société civile et d'autres personnes exprimant des doutes sincères. Le débat émotionnel s'est aussi parfois prêté à une polarisation inutile.

Dès le départ, la légalité de la proposition a été clairement remise en question. La législation européenne exige que toute ingérence dans les droits fondamentaux tels que la vie privée et la liberté d'expression soit nécessaire et proportionnée. L'imposition d'une obligation générale de surveillance des contenus sur les plateformes en ligne est interdite. Comment cela s'accorde-t-il avec une loi qui pourrait mettre sous surveillance les messages de centaines de millions d'Européens, à dessein ? Lors du séminaire, Frederik Borgesius, professeur à iHub, Université Radboud, aux Pays-Bas, a donné son point de vue sur la légalité de la proposition de la Commission, estimant qu'il ne s'agit pas d'une manière proportionnée d'interférer avec les droits fondamentaux.

Il s'est référé à la jurisprudence relative à la conservation des données dans le cadre de la lutte contre le terrorisme - la comparaison la plus pertinente - qui a vu la plus haute juridiction de l'Union européenne rejeter à plusieurs reprises le stockage général et indiscriminé des métadonnées des Européens. (Ce qui n'a pas empêché les États membres de continuer à enfreindre la loi).

Les outils basés sur l’IA pour la protection des enfants en ligne ne sont pas encore prêts à être déployés à grande échelle

Claudia Peersman, associée principale de recherche au sein du groupe de recherche sur la cybersécurité de l'université de Bristol, avait une évaluation pertinente à proposer concernant les travaux auxquels elle a participé au Centre Rephrain. Ce groupe d'experts universitaires a récemment évalué de manière indépendante cinq projets de démonstration de faisabilité, développés au Royaume-Uni avec le soutien du gouvernement, pour analyser le contenu du End-to-end encryption (E2EE) ou chiffrement de bout en bout à la recherche de CSAM sans compromettre la vie privée des personnes, comme le prétend le ministère de l'intérieur.

Le problème, c'est qu'aucun des projets n'a été à la hauteur. « Aucun de ces outils n'a été en mesure de répondre aux critères [de notre évaluation]. Je pense que c'est la partie la plus importante de notre conclusion. Cela ne signifie pas que nous ne soutenons pas le développement d'outils basés sur l'IA pour la protection des enfants en ligne en général. Nous pensons simplement que ces outils ne sont pas prêts à être déployés à grande échelle sur des messages privés dans des environnements chiffrés de bout en bout », a-t-elle déclaré lors du séminaire.

Les délégués ont également été avertis que l'analyse côté client - la technologie qui, selon les experts, sera imposée par la législation européenne aux plateformes E2EE telles que WhatsApp si elles reçoivent une ordonnance de détection du CSAM - est beaucoup trop récente et immature pour être appliquée à la hâte à l'ensemble des utilisateurs.

« En tant que chercheurs en informatique, nous commençons à peine à étudier cette technologie », a déclaré Matthew Green, professeur de cryptographie à l'université Johns Hopkins de Baltimore. « Je tiens à souligner à quel point l'idée de l'analyse côté client est totalement nouvelle : les tout premiers articles de recherche en informatique sur le sujet ont été publiés en 2021 et, à peine deux ans plus tard, nous discutons déjà de lois qui l'imposent.

« Le problème de la construction de systèmes dans lesquels les algorithmes [de balayage de contenu] sont confidentiels et ne peuvent pas être exploités est un sujet sur lequel nous commençons à peine à nous pencher. Et jusqu'à présent, beaucoup de nos résultats techniques sont négatifs - négatifs dans le sens où nous continuons à trouver des moyens de casser ces systèmes », a-t-il également déclaré lors du séminaire. « Les casser signifie que nous finirons par violer la confidentialité de nombreux utilisateurs. Nous provoquerons des faux positifs. Nous injecterons de mauvaises données dans le système.

« Et, dans certains cas, il est possible que les victimes d'abus soient à nouveau traumatisées si les systèmes sont mal conçus... Je ne suis qu'un informaticien. Je ne suis qu'un informaticien, pas un législateur ni un avocat. Je demande à cette communauté de nous donner du temps, s'il vous plaît. Pour faire les recherches nécessaires, pour déterminer si et comment faire les choses en toute sécurité avant de commencer à déployer ces systèmes et de les rendre obligatoires par la loi. »

La proposition de l’UE sur la surveillance des communications privées pourrait affecter les droits des enfants

Plusieurs intervenants ont également critiqué le fait que les législateurs ignorent les opinions (et les droits) des enfants eux-mêmes. Plusieurs d'entre eux ont accusé la Commission de ne pas avoir consulté les enfants au sujet d'une proposition ayant de graves implications pour les droits de l'enfant, ainsi que pour la vie privée et les droits fondamentaux de tous ceux qui utilisent des outils de communication numérique.

« Nous devrions impliquer les enfants, a déclaré Gerkens. Nous parlons ici d'eux. Nous jugeons ce qu'ils font en ligne. Nous avons une opinion morale à ce sujet. Mais nous ne leur parlons pas. C'est d'eux que nous parlons. Nous ne les avons pas impliqués dans cette législation. Je pense que nous devrions le faire. Sabine Witting, professeur adjoint à l'université de Leiden, a également mis en garde contre une série d'impacts « négatifs » sur les droits des enfants, affirmant que la proposition de l'UE affecterait le droit des enfants à la vie privée, à la protection des données personnelles, à la liberté d'expression et à l'accès à l'information.

« Dans ce contexte, je voudrais vraiment souligner que, du point de vue des droits de l'enfant, la vie privée et la protection ne sont pas contradictoires. En fait, le Comité des droits de l'enfant des Nations unies, dans son Observation générale n° 25, a clairement indiqué que la protection de la vie privée est en fait vitale pour la sécurité des enfants. La vie privée n'est donc pas un obstacle à la sécurité des enfants, comme on l'entend souvent. Il s'agit en fait d'une condition préalable importante à la sécurité », a-t-elle déclaré.

Witting a également fait passer un message fort sur les préjudices que pourraient subir les adolescents dont les messages privés entre eux sont scannés et pris dans le filet d'un CSAM. « L'enquête à elle seule peut déjà être très, très préjudiciable pour les adolescents concernés, en particulier lorsqu'il s'agit d'adolescents issus de communautés marginalisées. Par exemple, les enfants LGBTQ+ », a-t-elle averti. « En effet, ce type d'enquête peut conduire à de fausses révélations, à une marginalisation accrue et, dans le pire des cas, à des persécutions politiques ou autres, de sorte que le fait que des enfants et des adolescents fassent l'objet d'une enquête criminelle est déjà préjudiciable en soi.

« Malheureusement, la proposition ne sera pas en mesure d'empêcher cela. Ainsi, tout ce processus d'analyse des communications privées des adolescents, de la nature la plus intime, l'examen ultérieur par le secteur privé, par le gouvernement, l'implication potentielle des forces de l'ordre, tout cela constitue vraiment une violation significative du droit des enfants à la vie privée. » Witting a indiqué qu'elle avait soulevé cette question auprès de la Commission, mais qu'elle n'avait reçu aucune r...