Le roi Charles III donne la sanction royale au projet de loi britannique controversé sur la sécurité en ligne

Online Safety Bill devient désormais loi

Après avoir été adoptée par le Parlement en fin septembre, le projet de loi sur la sécurité en ligne (Online Safety Bill) a reçu la sanction royale aujourd'hui (jeudi 26 octobre), devenant donc ainsi une loi. Cette dernière, très controversée, sera appliquée par l’Ofcom, le régulateur des télécommunications, qui pourra infliger des amendes pouvant atteindre 10% du chiffre d’affaires annuel ou 18 millions de livres (21 millions d’euros), selon le montant le plus élevé, aux entreprises qui ne respectent pas leurs obligations. Dans certains cas, les dirigeants des plateformes pourront même être poursuivis pénalement.

Le projet de loi britannique sur la sécurité en ligne, un projet de loi de grande envergure visant à faire du pays « l’endroit le plus sûr au monde pour se connecter en ligne », a reçu aujourd’hui la sanction royale et est devenu une loi. Le projet de loi a mis des années à être élaboré et tente d'introduire de nouvelles obligations sur la manière dont les entreprises technologiques doivent concevoir, exploiter et modérer leurs plateformes. Les préjudices spécifiques que le projet de loi vise à résoudre comprennent l'accès des mineurs à la pornographie en ligne, les « trolls anonymes », les publicités frauduleuses, le partage non consensuel de deepfakes intimes et la diffusion de matériels d'abus sexuels sur des enfants et de contenus liés au terrorisme.

Bien que ce soit désormais une loi, les plateformes en ligne ne seront pas tenues de se conformer immédiatement à toutes leurs obligations en vertu du projet de loi, désormais connu sous le nom de loi sur la sécurité en ligne. Le régulateur britannique des télécommunications Ofcom, chargé de faire respecter les règles, prévoit de publier ses codes de bonnes pratiques en trois phases. La première couvre la manière dont les plateformes devront réagir aux contenus illégaux tels que le terrorisme et les abus sexuels sur des enfants, et une consultation avec des propositions sur la manière de gérer ces obligations doit être publiée le 9 novembre.

Pendant ce temps, les phases deux et trois couvrent les obligations des plateformes en matière de sécurité des enfants et de prévention de l’accès des mineurs à la pornographie, ainsi que la production de rapports de transparence, la prévention des publicités frauduleuses et l’offre « d'outils d’autonomisation » pour donner aux utilisateurs plus de contrôle sur le contenu qui leur est présenté. Une première consultation portant sur les sites pornographiques est prévue en décembre, tandis que des consultations supplémentaires sur d'autres obligations liées à la sécurité des enfants suivront au printemps prochain. L'Ofcom dit qu'il prévoit de publier d'ici la fin de l'année prochaine une liste de « services catégorisés », c'est-à-dire des plateformes de grande taille ou à haut risque qui seront soumises à des obligations telles que la production de rapports de transparence.


« Les protections les plus solides de la loi sur la sécurité en ligne concernent les enfants. Les sociétés de médias sociaux seront tenues responsables de l’ampleur effroyable des abus sexuels sur enfants qui se produisent sur leurs plateformes et nos enfants seront plus en sécurité », a déclaré la ministre britannique de l’Intérieur, Suella Braverman. « Nous sommes déterminés à combattre le fléau de l’exploitation sexuelle des enfants partout où il se produit, et cette loi constitue un grand pas en avant. »

La « clause espion »

Le projet de loi sur la sécurité en ligne contenait une disposition controversée, surnommée la « clause espion » par certains organismes de défense des droits numérique, qui aurait obligé les plateformes utilisant le chiffrement de bout en bout à mettre en place des mécanismes permettant d’identifier et de signaler les CSAM. Le chiffrement de bout en bout garantit que seuls l’expéditeur et le destinataire d’un message peuvent en voir le contenu ; même le fournisseur du service ne peut pas accéder aux données non chiffrées.

Le gouvernement britannique n’avait pas précisé la technologie que les plateformes devraient utiliser pour identifier les CSAM envoyés sur les services chiffrés, mais la solution la plus souvent citée était quelque chose appelé le scan côté client. Il s’agirait d’examiner le contenu du message avant qu’il ne soit envoyé - c’est-à-dire sur l’appareil de l’utilisateur - et de le comparer à une base de données de CSAM hébergée sur un serveur ailleurs. Selon Alan Woodward, professeur invité en cybersécurité à l’Université de Surrey, cela reviendrait à « un logiciel espion approuvé par le gouvernement qui scanne vos images et éventuellement vos [textes] ».

Les entreprises technologiques se sont farouchement opposées à une telle disposition, menaçant de quitter le pays si elle venait à être adoptée. Plusieurs associations de défense des droits numériques se sont joint au chœur, accentuant la pression sur le gouvernement.

Ce dernier a fini par céder en septembre.


Tout d'abord, il a reconnu que la technologie nécessaire pour scanner de manière sécurisée les messages chiffrés envoyés sur Signal et WhatsApp n’existe pas encore. Il a donc décidé de ne pas imposer aux entreprises technologiques d’utiliser une technologie non éprouvée, et indiqué qu’il n’utiliserait essentiellement pas les pouvoirs prévus par le projet de loi. Toutefois, les clauses controversées restent dans la législation, qui fait désormais office de loi.

« Elles [les clauses] n'ont pas disparu, mais c'est un pas dans la bonne direction », a noté Woodward.

James Baker, directeur de campagne de l'Open Rights Group, une organisation à but non lucratif qui a fait campagne contre l'adoption de la loi, affirme que l'existence continue des pouvoirs prévus par la loi signifie qu'une surveillance par piratage du chiffrement pourrait encore être introduite à l'avenir. « Il vaudrait mieux que ces pouvoirs soient complètement supprimés du projet de loi », ajoute-t-il.

Mais certains sont moins positifs quant à cette apparente volte-face. « Rien n'a changé », déclare Matthew Hodgson, PDG d'Element, basé au Royaume-Uni, qui fournit des messages chiffrés de bout en bout aux militaires et aux gouvernements. « Seul ce qui est réellement écrit dans le projet de loi compte. Le scan [du côté de l'appareil] est fondamentalement incompatible avec les applications de messagerie chiffrées de bout en bout. Le scan contourne le chiffrement à des fins d'analyse, exposant ainsi vos messages aux attaquants. Ainsi, la formulation "jusqu’à ce que cela soit techniquement réalisable" signifie que la porte est ouverte pour le scan [du côté de l'appareil] dans le futur plutôt qu'aujourd'hui. Ce n’est pas un changement, c’est un coup de pied dans l’avenir. »

Meredith Whittaker, présidente de Signal, reconnaît « qu'il ne suffit pas » que la loi ne soit tout simplement pas appliquée de manière agressive. « Mais c’est [un changement] majeur. Nous pouvons reconnaître une victoire sans prétendre qu’il s’agit de la victoire finale », dit-elle.


Une limitation massive de l'âge d'accès à internet ?

En outre, certains craignent que le projet de loi n'entraîne une limitation massive de l'âge de l'Internet au Royaume-Uni, les services Web cherchant à réduire leur responsabilité en obligeant les utilisateurs à confirmer qu'ils sont suffisamment âgés pour consulter du contenu qui pourrait être jugé inapproprié pour les mineurs.

Le fondateur de Wikipédia, Jimmy Wales, fait partie de ceux qui s’inquiètent du fait que le projet de loi est un instrument de censure d’État. Il a critiqué l’approche du gouvernement comme étant triplement mauvaise : « mauvaise pour les droits de l’homme », « mauvaise pour la sécurité sur Internet » et « mauvaise loi ». Il a promis que l’encyclopédie en ligne « ne limiterait pas l’âge ni ne censurerait sélectivement les articles en aucune circonstance ».

Trouver un juste équilibre entre les revendications des défenseurs de la sécurité des enfants en faveur d’un Internet totalement sécurisé et les préoccupations des groupes de défense des droits de l’homme et du numérique, qui souhaitent que la législation ne piétine pas les libertés démocratiques durement acquises, sera désormais le problème de l’Ofcom.

L'Ofcom assure que ses nouveaux pouvoirs ne font pas de lui un censeur de contenu

Dans un communiqué, la directrice générale de l’Ofcom, Melanie Dawes, s’est opposée à l’idée selon laquelle la loi ferait du régulateur des télécommunications un censeur. « Nos nouveaux pouvoirs ne visent pas à supprimer du contenu », a déclaré Dawes. « Notre travail consiste à nous attaquer aux causes profondes des préjudices. Nous établirons de nouvelles normes en ligne, en veillant à ce que les sites et les applications soient dès leur conception plus sûrs. Il est important de noter que nous prendrons également pleinement en compte les droits des personnes à la vie privée et à la liberté d’expression ».

La loi a été saluée par les défenseurs de la sécurité des enfants. « L'inscription d'une loi sur la sécurité en ligne dans le texte législatif est un moment décisif et signifiera que les enfants du Royaume-Uni seront fondamentalement plus en sécurité dans leur vie quotidienne », a déclaré Peter Wanless, directeur général de la Société nationale pour la prévention de la cruauté envers les enfants. « Les entreprises technologiques seront légalement tenues de protéger les enfants contre les abus sexuels et les préjudices évitables. »

Sources : gouvernement britannique, Ofcom

Et vous ?

Pensez-vous que le projet de loi sur la sécurité en ligne du Royaume-Uni est une avancée ou une menace pour la protection des utilisateurs d’internet ?
Quels sont les avantages et les inconvénients du chiffrement de bout en bout pour la sécurité et la confidentialité des communications en ligne ?
Comment concilier la liberté d’expression et la lutte contre les contenus illégaux et nuisibles sur internet ?
Quel est le rôle et la responsabilité des plateformes numériques, des gouvernements, des régulateurs, des entreprises et des utilisateurs dans la création d’un environnement en ligne sûr, respectueux et démocratique ?
Quelles sont les meilleures pratiques ou les alternatives possibles au projet de loi sur la sécurité en ligne du Royaume-Uni ?