Les législateurs de l’Union européenne ont approuvé mercredi un projet de règlement qui obligerait les grandes entreprises technologiques à détecter et à signaler les contenus liés à la pornographie infantile sur leurs plateformes, affirmant que le chiffrement de bout en bout ne serait pas affecté. Le projet de règlement vise à harmoniser les normes de protection des enfants en ligne dans les 27 États membres de l’UE et à renforcer la coopération entre les autorités nationales et les fournisseurs de services de communication.Une proposition de la Commission européenne pourrait obliger les entreprises technologiques à analyser les messages privés à la recherche de matériel d'abus sexuel d'enfants (CSAM pour Child Sexual Abuse Material) et de preuves de pédopiégeage, même lorsque ces messages sont censés être protégés par un chiffrement de bout en bout.
Proposé par la Commission européenne l'année dernière, le CSAM est une graine de discorde entre les partisans des mesures de sécurité en ligne et les militants de la vie privée qui s'inquiète des mesures de surveillance qui pourraient en découler. L'exécutif de l'Union européenne a présenté la proposition CSAM après que le système actuel de détection et de signalement volontaire par les entreprises se soit révélé insuffisant pour protéger les enfants.
D'après le projet de régulation, les messageries devraient, d'ici à l'an prochain, mettre en place des outils pour détecter l'échange d'images pédopornographiques. Il est question de se servir d'outils basés sur l'intelligence artificielle pour analyser ces contenus, dans le but de détecter une image suspecte ou une conversation problématique. En cas de suspicion, une alerte serait envoyée à une agence européenne dédiée, à des fins d'analyses complémentaires.
La Commission affirme que cette mesure est nécessaire pour protéger les enfants des prédateurs sexuels et pour aider les autorités à poursuivre les criminels. Cependant, de nombreux experts, activistes et organisations de défense des droits de l’homme s’opposent à cette proposition, estimant qu’elle constitue une atteinte disproportionnée à la vie privée et à la sécurité des communications en ligne
La pilule a du mal à passer
Lors d'un séminaire public organisé ce 23 octobre, de nombreux experts ont toutefois pointé du doigt l'impossibilité de recourir à de telles analyses sans mettre à mal la vie privée des internautes européens.
Helen Charles, représentante des affaires publiques de Whatsapp, a exprimé ses « inquiétudes concernant l'implémentation » d'une telle solution à l'occasion de ce séminaire : « Nous pensons que toute demande d'analyse des contenus dans une messagerie chiffrée pourrait nuire aux droits fondamentaux » a-t-elle indiqué, tout en plaidant pour l'utilisation d'autres techniques, comme le signalement d'utilisateurs mais aussi le suivi du trafic des internautes pour détecter des comportements suspects.
Le même jour, le Contrôleur européen de la protection des données (CEPD), une institution indépendante de l’Union européenne, a rendu son avis sur le CSAM :
Il est techniquement impossible de mettre en œuvre une analyse de contenu connu ou nouveau et une détection de toilettage par un fournisseur de services sans affaiblir le chiffrement de bout en bout et porter atteinte à la vie privée des utilisateurs. C’est la conclusion sans équivoque de centaines d’éminents scientifiques et chercheurs dans le domaine. En outre, de nombreux experts s’accordent sur le fait que les solutions technologiques de détection les plus récentes ne sont pas suffisamment fiables et sont également vulnérables aux cyberattaques.
La proposition CSAM n’offre pas non plus de solutions sur la manière d’atténuer le risque émergent du « CSAM synthétique », c’est-à-dire des images, des vidéos et du texte/voix générés par ordinateur, y compris à l’aide d’applications d’IA générative accessibles au public.
La proposition CSAM n’offre pas non plus de solutions sur la manière d’atténuer le risque émergent du « CSAM synthétique », c’est-à-dire des images, des vidéos et du texte/voix générés par ordinateur, y compris à l’aide d’applications d’IA générative accessibles au public.
En décembre, Apple a abandonné ses projets de construire une technologie de scan côté client pour iCloud, affirmant plus tard qu’il ne pouvait pas faire fonctionner le système sans porter atteinte à la vie privée de ses utilisateurs. Les opposants au projet de loi affirment que l’installation de portes dérobées dans les appareils des gens pour rechercher des images CSAM ouvrirait presque certainement la voie à une surveillance plus large de la part des gouvernements. « Vous rendez la surveillance de masse presque inévitable en mettant [ces outils] entre leurs mains », estime Alan Woodward, professeur en cybersécurité à l’Université de Surrey. « Il y aura toujours des « circonstances exceptionnelles » auxquelles [les forces de sécurité] penseront et qui justifieront qu’elles recherchent autre chose. »
Bruxelles se rétracte : le chiffrement de bout en bout ne sera pas affecté
Les législateurs européens ont convenu mercredi d'un projet de règles exigeant que Google, Meta et d'autres services en ligne d'Alphabet identifient et suppriment la pédopornographie en ligne, affirmant que le chiffrement de bout en bout ne serait pas affecté.
Ordres de détection
Afin d’éviter une surveillance de masse ou un contrôle généralisé de l’internet, le projet de loi permettra aux autorités judiciaires d’autoriser, en dernier ressort, des ordonnances limitées dans le temps de détection et de surveillance des contenus à caractère pédopornographique et d’effacement ou d’interdiction d’accès à ces contenus, lorsque les mesures restrictives ne sont pas efficaces pour l’éliminer.
En outre, les députés soulignent la nécessité de cibler les ordres de détection sur des individus ou des groupes (y compris les abonnés à une chaîne) liés à des abus sexuels commis sur des enfants, en s’appuyant des « motifs raisonnables de suspicion ».
Dans le texte adopté, les députés ont exclu du champ d’application des ordres de détection le chiffrement de bout en bout, afin de garantir que les communications de tous les utilisateurs sont sécurisées et confidentielles. Les fournisseurs seront en mesure de choisir les technologies à utiliser tant qu’elles respectent les garanties strictes prévues par la loi et sous réserve d’un audit public indépendant de ces technologies.
Centre européen pour la protection de l’enfance
La loi créera un centre européen pour la protection de l’enfance afin de contribuer à la mise en œuvre des nouvelles règles et d’aider les fournisseurs d’internet à détecter les contenus à caractère pédopornographique. Il collectera, classera et distribuera les rapports liés à ces contenus aux autorités nationales compétentes et à Europol. Le Centre mettra au point des technologies de détection pour les fournisseurs et tiendra à jour une base de données sur les hachages et autres indicateurs techniques des contenus à caractère pédopornographiques identifiés par les autorités nationales.
Le Centre aidera également les autorités nationales à appliquer le nouveau règlement sur les abus sexuels commis sur des enfants, à mener des enquêtes et à prélever des amendes allant jusqu’à 6 % du chiffre d’affaires mondial en cas de non-respect.
Enfin, les députés proposent de créer un nouveau forum consultatif sur les droits des victimes afin de veiller à ce que les voix des victimes soient prises en compte.
Quelques exemples d'amendements relatifs au chiffrement de bout en bout
(9a) Le chiffrement, et notamment de bout en bout, est un outil de plus en plus important pour garantir la sécurité et la confidentialité des communications de tous les utilisateurs, y compris les enfants. Toute restriction ou atteinte au chiffrement de bout en bout peut être utilisée et abusée par des tiers malveillants. Aucune disposition du présent règlement ne doit donc être interprétée comme interdisant, affaiblissant ou compromettant le chiffrement de bout en bout. Les fournisseurs de services de la société de l'information ne devraient en aucun cas être empêchés de fournir leurs services en utilisant les normes de chiffrement les plus élevées, étant donné que ce chiffrement est essentiel à la confiance et à la sécurité des services numériques.
[...]Par conséquent, le présent règlement laisse au fournisseur concerné le choix des technologies à utiliser pour se conformer efficacement aux ordres de détection et ne doit pas être compris comme incitant ou dissuadant l'utilisation d'une technologie donnée, à condition que les technologies et les mesures d'accompagnement répondent aux exigences de présent règlement. Cela inclut l'utilisation de la technologie de chiffrement de bout en bout, qui constitue un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris celles des enfants.
[...]Lors de l'exécution de l'ordre de détection, les prestataires devraient prendre toutes les mesures de sauvegarde disponibles pour garantir que les technologies qu'ils emploient ne peuvent pas être utilisées par eux ou leurs employés à des fins autres que le respect du présent règlement, ni par des tiers, et ainsi éviter de porter atteinte à la sécurité et la confidentialité des communications des utilisateurs, tout en garantissant la détection efficace des matériels pédopornographiques et l'équilibre de tous les droits fondamentaux en jeu. À cet égard, les prestataires devraient garantir des procédures et des garanties internes efficaces pour empêcher une surveillance générale. Les ordres de détection ne doivent pas s’appliquer au chiffrement de bout en bout.
[ndlr. emphase mise sur le document]
[...]Lors de l'exécution de l'ordre de détection, les prestataires devraient prendre toutes les mesures de sauvegarde disponibles pour garantir que les technologies qu'ils emploient ne peuvent pas être utilisées par eux ou leurs employés à des fins autres que le respect du présent règlement, ni par des tiers, et ainsi éviter de porter atteinte à la sécurité et la confidentialité des communications des utilisateurs, tout en garantissant la détection efficace des matériels pédopornographiques et l'équilibre de tous les droits fondamentaux en jeu. À cet égard, les prestataires devraient garantir des procédures et des garanties internes efficaces pour empêcher une surveillance générale. Les ordres de détection ne doivent pas s’appliquer au chiffrement de bout en bout.
[ndlr. emphase mise sur le document]
Une position acclamée par les défenseurs des droits numériques⚠️Les prédateurs se cachent derrière les écrans et les enfants souffrent en silence
— EU Home Affairs (@EUHomeAffairs) September 15, 2023
⏳Il est temps de mettre fin aux abus sexuels sur les enfants
🇫🇷 La majorité des citoyens est favorable à ce que propose l’UE #EUvsChildSexualAbuse
Et vous? Pour en savoir plus, cliquez ici↓
Les législateurs européens doivent régler les derniers détails avec les États membres avant que le projet puisse devenir une législation dans le cadre d'un processus qui pourrait être finalisé l'année prochaine.
La décision des législateurs d’exempter le chiffrement de bout en bout du projet de règles a suscité les éloges des défenseurs de la vie privée.
« La position du Parlement européen supprime le contrôle aveugle des discussions et permet uniquement une surveillance ciblée d'individus et de groupes spécifiques raisonnablement suspects d'être liés à du matériel pédopornographique avec un mandat judiciaire », a déclaré la Jeunesse libérale européenne (LYMEC).
Sources : communiqué de presse du Parlement européen, amendements
Et vous ?
Quelle lecture faites-vous des propositions de Bruxelles ? 
Envoyé par Jon Shannow
