La Commission européenne a présenté un projet de règlement visant à établir des règles pour prévenir et combattre la violence sexuelle à l'encontre des enfants (règlement du Chat Control). Ce projet de règlement soulève de telles préoccupations en matière de droits fondamentaux que la GFF se joint au débat alors que le projet est encore en cours de délibération au niveau de l'UE.Le projet de règlement de la Commission européenne sur le Chat Control (contrôle des chats) est actuellement en cours de négociation au Parlement européen et au Conseil des ministres. Avec la lutte contre les violences sexuelles faites aux enfants, le projet poursuit un objectif essentiel pour la protection des enfants et de leurs droits et peut justifier des restrictions des droits fondamentaux.
Cependant, il existe des doutes considérables quant à l'efficacité des mesures proposées. La GFF (The Society for Civil Rights) est convaincus que le projet viole la Charte des droits fondamentaux de l'UE sur des points cruciaux. Voici les cinq principales objections relatives aux droits fondamentaux que soulève la proposition de contrôle du chat.
Le Chat Control viole le droit à la vie privée
La proposition de la Commission européenne prévoit toute une série d'obligations pour certains services en ligne tels que les fournisseurs d'accès à Internet, les magasins d'applications, les plateformes d'hébergement et les services de communications interpersonnelles. Les services de communications interpersonnelles sont, par exemple, des services de courrier électronique tels que GMail ou des services de messagerie instantanée tels que WhatsApp.
L'expression "contrôle du chat" est souvent utilisée de manière familière pour désigner le projet de règlement de la Commission européenne dans son ensemble. Au sens strict, il s'agit de la partie du projet selon laquelle les autorités peuvent obliger les fournisseurs de services de communication tels que WhatsApp à surveiller les communications privées.
Il s'agit d'une restriction particulièrement grave du droit à la vie privée et à la protection des données à caractère personnel (articles 7 et 8 de la Charte des droits fondamentaux de l'UE) : La surveillance n'est pas limitée aux personnes spécifiquement soupçonnées d'avoir commis un délit. En outre, contrairement à la conservation des données, qui est également incompatible avec la Charte mais se limite aux métadonnées - c'est-à-dire aux informations sur qui a communiqué avec qui et à quel moment - le contrôle des chats comprend la surveillance du contenu des messages privés.
Les autorités peuvent imposer des "ordres de détection" aux fournisseurs de services de communications interpersonnelles. Cela signifie que les autorités peuvent, par exemple, obliger les services de messagerie à surveiller les communications de tous leurs utilisateurs. Il suffit que l'autorité ait identifié un risque significatif que le service en question soit utilisé pour la diffusion de représentations de violences sexuelles à l'encontre d'enfants.
Les ordonnances de détection ne doivent pas nécessairement se limiter à la surveillance des communications d'utilisateurs spécifiques qui sont soupçonnés. Au contraire, les autorités peuvent ordonner que le contenu de toutes les communications de tous les utilisateurs du service soit surveillé à titre préventif. Il s'agit donc d'une forme de surveillance de masse sans motif valable.
Une telle ordonnance de détection peut obliger les fournisseurs de services à filtrer le contenu pour détecter les représentations connues ou inconnues de violence sexuelle à l'encontre des enfants. En outre, elle peut prévoir l'obligation de détecter les tentatives de sollicitation de mineurs par des adultes (grooming). Les contenus ainsi détectés doivent être transmis par les fournisseurs de services à un centre européen nouvellement créé, qui transmettra les informations aux autorités répressives des États membres après un contrôle de plausibilité.
Bien que les fournisseurs de services soient libres de choisir les technologies qu'ils utilisent pour se conformer à l'ordonnance de détection, ces technologies doivent en tout état de cause être en mesure d'analyser le contenu des communications. Pour détecter les représentations connues de violences sexuelles à l'encontre d'enfants, une comparaison automatisée des fichiers multimédias envoyés avec une base de données de référence peut suffire. Pour détecter des représentations inconnues de la violence sexuelle et du "grooming", l'apprentissage automatique doit être utilisé pour analyser le contenu sémantique des chats.
Ces méthodes sont particulièrement sujettes à l'erreur : elles ne font qu'émettre une hypothèse sur la signification du contenu en se basant sur des modèles dans la communication analysée - sans réellement comprendre le contenu ou le contexte de la conversation. Dans sa jurisprudence sur la conservation des données, la Cour européenne de justice a indiqué qu'une surveillance de masse indiscriminée du contenu des communications violerait l'essence même du droit à la vie privée.
La surveillance de masse indiscriminée est incompatible avec les droits fondamentaux à la vie privée et à la protection des données garantis par la Charte de l'Union européenne, qu'il s'agisse de communications chiffrées ou non chiffrées. Au centre des critiques du public concernant le contrôle des chats se trouve le fait que le projet de règlement n'exempte pas les services de communication chiffrée de bout en bout des injonctions de détection.
Ces services garantissent que seules les personnes impliquées dans une conversation privée peuvent lire le contenu de la communication - ni le fournisseur de services ni les tiers ne peuvent le déchiffrer. De plus en plus de personnes choisissent spécifiquement des messageries chiffrées de bout en bout pour se protéger. Si le fournisseur d'une telle messagerie reçoit un ordre de détection, il ne peut pas le rejeter au motif que le fournisseur de services ne peut pas accéder au contenu des communications de ses utilisateurs.
Le projet de la Commission européenne souligne l'importance du chiffrement de bout en bout. Toutefois, les fournisseurs de services ne peuvent choisir qu'entre des technologies qui leur permettent de détecter des contenus illicites dans des communications privées. En d'autres termes, les fournisseurs de services qui proposent un chiffrement de bout en bout sans porte dérobée ne seront pas en mesure de mettre en œuvre les ordres de détection qu'ils pourraient recevoir des autorités et entreront donc en conflit avec la loi. Cette attaque contre le chiffrement de bout en bout accroît l'intensité de la restriction des droits fondamentaux causée par la surveillance de masse indiscriminée.
Menace d'effets paralysants pour les libertés de communication
La Cour européenne de justice a déjà averti à plusieurs reprises que la surveillance de masse indiscriminée a un impact négatif indirect sur la liberté d'expression (article 11 de la Charte des droits fondamentaux de l'UE) : les participants à la communication sont empêchés d'exprimer librement leurs opinions s'ils ne peuvent pas être sûrs de la confidentialité de leurs communications. Cela affecte particulièrement les détenteurs du secret professionnel, tels que les journalistes qui communiquent avec leurs sources, les dénonciateurs et les militants de l'opposition.
Ce danger sera exacerbé si le règlement sur le contrôle des chats, tel que proposé par la Commission européenne, s'attaque au chiffrement de bout en bout des services de messagerie. Les groupes de personnes susmentionnés utilisent ces messageries pour de bonnes raisons. Si cette possibilité leur est retirée parce que les fournisseurs de services doivent affaiblir le chiffrement de bout en bout, on peut s'attendre à des "effets de refroidissement" considérables, c'est-à-dire à un effet dissuasif sur l'exercice du droit fondamental à la liberté d'expression et d'information.
Cet effet se produit indépendamment du fait que les fournisseurs de services surveillent le contenu des communications privées par une porte dérobée dans la technologie de criffrement ou en analysant le contenu sur l'appareil de l'utilisateur avant qu'il ne soit criffré (analyse côté client). Les participants à la communication s'attendent à ce que leur communication reste confidentielle à partir du moment où ils saisissent un message dans le programme de chat de leur téléphone portable - et pas seulement au moment où ce message est remis à son destinataire. Le facteur décisif est que l'attente de confidentialité et d'intégrité du processus de communication soit ébranlée à un point tel que les personnes concernées se sentent obligées de restreindre elles-mêmes l'exercice de leur liberté de communication.
Obligations de filtrage de facto pour les fournisseurs d'hébergement sans garanties
La critique publique de la proposition s'est concentrée sur l'expression "contrôle des chats", qui met en évidence les obligations prévues pour les messageries de scanner les chats privés. Mais les obligations prévues pour les services d'hébergement qui stockent des contenus de tiers pour le compte de leurs utilisateurs ne résistent pas non plus à un examen approfondi des droits fondamentaux.
Les services d'hébergement comprennent ceux qui mettent des contenus de tiers à la disposition du public (plateformes telles que YouTube, services d'hébergement de sites web publics) ainsi que ceux qui offrent à leurs clients un stockage privé dans le cloud (Dropbox, iCloud Drive). Il s'agit également de services dont le contenu n'est accessible qu'à un groupe fermé de personnes (comptes privés sur Twitter, groupes fermés sur Facebook, hébergeurs de sites web d'entreprises à accès restreint).
Dans la mesure où les obligations prévues pour les fournisseurs d'hébergement concernent des contenus non publics, les menaces pour la vie privée et la liberté d'expression décrites aux points 1 et 2 sont également pertinentes pour les services d'hébergement. En outre, il existe des problèmes spécifiques : bon nombre des garanties procédurales en matière de droits fondamentaux envisagées pour les injonctions de détection peuvent finir par être totalement éludées dans le cas des services d'hébergement. Cela est dû aux différentes règles de confidentialité pour les communications sur les messageries d'une part et les services d'hébergement d'autre part.
Les services d'hébergement (y compris les fournisseurs de stockage dans le cloud privé tels que Google Drive ou Dropbox) peuvent non seulement être tenus d'analyser les contenus privés en vertu du règlement sur le contrôle des bavardages, mais ils peuvent aussi le faire volontairement. Le règlement sur le contrôle des chats stipule que tous les fournisseurs de services doivent d'abord procéder à leur propre analyse des risques pour déterminer si leurs services présentent un risque d'utilisation abusive à des fins de violence sexuelle à l'encontre d'enfants.
Ce n'est que si les autorités estiment qu'un fournisseur de services répond à cette analyse de risque par des mesures volontaires insuffisantes qu'elles imposeront un ordre de détection. Dans le cadre de ces mesures volontaires, les fournisseurs de services d'hébergement peuvent avoir recours à des filtres sujets aux erreurs pour surveiller les téléchargements privés des utilisateurs. Dans ce scénario, il n'y a pas de contrôle public de l'impact de ces mesures sur les droits fondamentaux des utilisateurs.
À cet égard, les services d'hébergement diffèrent des services de messagerie : Les programmes de messagerie et de courrier électronique tels que Whatsapp, Signal ou ProtonMail relèvent de la directive "vie privée et communications électroniques", qui interdit en principe à ces fournisseurs de services de surveiller le contenu des communications privées de leurs utilisateurs. Une dérogation temporaire à cette interdiction, qui soulève elle-même de sérieuses questions en matière de droits fondamentaux, doit être remplacée par le règlement sur le contrôle des chats.
Après l'entrée en vigueur de ce règlement, les messageries et les fournisseurs de services de courrier électronique ne pourront accéder au contenu des communications privées que sur la base d'un ordre de détection. Pour les fournisseurs d'hébergement tels que le stockage privé dans le cloud, en revanche, la directive e-Privacy avec son interdiction de surveiller les communications privées ne s'applique pas.
Pour les fournisseurs d'hébergement, il sera régulièrement intéressant d'éviter une injonction de détection imminente par des mesures "volontaires". De cette manière, les entreprises conservent un plus grand contrôle, y compris sur les coûts. Il y a une forte incitation à éviter des mesures coûteuses pour protéger les droits fondamentaux des utilisateurs. Il est donc probable que les services d'hébergement déploient "volontairement" des programmes de filtrage sujets aux erreurs sans les garanties procédurales prévues pour les injonctions de détection des autorités.
Avant d'imposer une ordonnance de détection, une autorité doit évaluer le risque posé par le service par rapport à l'interférence avec les droits fondamentaux des utilisateurs. À cet égard, la Cour européenne de justice a fixé des limites étroites à l'utilisation obligatoire des systèmes de filtrage. Celles-ci ne sont compatibles avec l'interdiction des obligations générales de surveillance que si les filtres fonctionnent de manière si irréprochable que les fournisseurs de services n'ont pas à procéder à une "évaluation indépendante du contenu" afin d'écarter les faux positifs.
Les systèmes de filtrage sont incapables de satisfaire aux normes de la Cour, du moins en ce qui concerne les représentations inconnues de violence sexuelle à l'encontre d'enfants et le "grooming". Si un service d'hébergement filtre "volontairement" les contenus dans le cadre de son obligation de minimiser les risques, il n'y a pas d'évaluation publique de la compatibilité des systèmes de filtrage avec les droits fondamentaux des utilisateurs. En conséquence, des utilisateurs innocents peuvent se voir bloquer leur compte par inadvertance, voire être dénoncés à tort aux autorités chargées de l'application de la loi.
Les obligations de blocage de sites web nécessitent une surveillance des internautes
Le projet de règlement prévoit des obligations de blocage pour les fournisseurs d'accès à l'internet en ce qui concerne les sites web individuels (URL). Avant qu'une autorité n'émette une ordonnance de blocage, elle doit exiger des fournisseurs d'accès à l'internet qu'ils lui fournissent des informations sur l'accès des utilisateurs à l'URL en question.
Pour pouvoir collecter les informations nécessaires sur l'accès à des URL individuels et les transmettre aux autorités, les fournisseurs d'accès à l'internet devraient surveiller le comportement de navigation de tous leurs clients de manière préventive et exhaustive. Une telle surveillance serait toutefois incompatible avec l'interdiction des obligations générales de surveillance et avec le droit fondamental au respect de la vie privée.
En outre, ces informations sont techniquement inaccessibles aux fournisseurs d'accès à l'internet si l'URL est criffrée à l'aide du protocole https. Presque tous les sites web utilisent désormais le protocole https pour garantir que, par exemple, les données relatives à l'adresse ou à la carte de crédit que les utilisateurs saisissent dans les formulaires web sont transmises sous forme chiffrée. L'utilisation généralisée du protocole https est recommandée par l'Office fédéral de la sécurité de l'information.
Le blocage ciblé d'URL individuels est également impossible pour les fournisseurs d'accès à l'internet sans abandonner le crhiffrement https et surveiller le contenu des activités en ligne de leurs utilisateurs. Le blocage de sites web basé sur le DNS n'est pas adapté au blocage planifié d'URL individuels, car le blocage DNS affecte toujours des domaines entiers. Un blocage DNS dirigé contre un fichier individuel sur une plateforme d'hébergement de partage affecterait également tous les autres contenus hébergés par le même hébergeur de partage et ne répondrait donc pas à l'exigence de la Cour européenne de justice selon laquelle le blocage de sites web doit être strictement ciblé.
Dans la pratique, il existe donc un risque considérable que les fournisseurs d'accès à l'internet se conforment de manière excessive aux ordonnances de blocage, au détriment de la liberté d'expression et d'information des utilisateurs, en utilisant le blocage DNS pour bloquer l'accès à un domaine entier. Ou bien ils tenteront de mettre en œuvre un blocage plus ciblé et de surveiller le comportement de navigation de leurs clients, tout en sacrifiant la sécurité des communications en ligne via le criffrement https.
La vérification de l'âge met en danger la liberté de communication
Le projet de règlement stipule que tous les fournisseurs de services de messagerie et de courrier électronique qui risquent d'être utilisés à des fins de toilettage doivent vérifier l'âge de leurs utilisateurs. Le risque identifié ne doit pas être significatif - l'obligation de mettre en œuvre la vérification de l'âge s'appliquerait donc en principe à tous les services de courrier électronique et de messagerie qui permettent la communication entre mineurs et adultes. En outre, l'obligation de vérification de l'âge s'applique également à tous les fournisseurs de magasins d'applications. Ils doivent également empêcher les utilisateurs mineurs de télécharger des applications qui présentent un risque important d'être utilisées à des fins de manipulation psychologique.
Les fournisseurs de services peuvent choisir entre des méthodes d'évaluation de l'âge (par exemple, l'analyse faciale basée sur l'IA, comme celle déjà utilisée par Instagram) et des méthodes de vérification de l'âge (à l'aide d'un document d'identité ou d'une preuve d'identité numérique). Ces deux procédures sont extrêmement intrusives pour les utilisateurs.
La vérification de l'âge au moyen de documents d'identité est proche d'interdire l'utilisation anonyme d'internet. L'analyse faciale assistée par l'IA, quant à elle, est souvent confiée par les fournisseurs de services à des entreprises externes, ce qui laisse aux utilisateurs peu de contrôle sur le traitement de ces données personnelles particulièrement sensibles. Si la technologie se trompe, les jeunes adultes peuvent également être exclus de l'utilisation de certaines applications. Les personnes qui ne possèdent pas de documents d'identité ou qui ne veulent pas confier leurs données biométriques à une entreprise sont exclues de technologies de communication cruciales.
Il n'est guère possible d'utiliser un smartphone moderne sans magasin d'applications. Se passer de services de messagerie est également déraisonnable, surtout pour les personnes qui, pour de bonnes raisons, attachent une importance particulière à l'utilisation anonyme de l'internet (dénonciateurs, victimes de harcèlement, personnes politiquement persécutées). Contrairement aux fournisseurs de services, les utilisateurs ne peuvent pas toujours choisir entre différentes procédures de vérification de l'âge.
Pour les utilisateurs mineurs (en particulier les adolescents), leurs droits fondamentaux à la liberté d'expression et d'information sont gravement restreints si les magasins d'applications refusent catégoriquement de leur permettre d'installer certaines applications sans mettre ces droits en balance avec le risque que l'application représente pour les utilisateurs mineurs. En raison de la forte concentration du marché dans ce domaine, les possibilités de passer à un autre magasin d'applications sont limitées.
Source : GFF (The Society for Civil Rights)
Et vous ?
Quel est votre avis sur le sujet ? Pensez-vous que ces arguments de la GFF contre le Chat Control sont crédibles ou pertinentes ?Voir aussi :
Chat Control : les utilisateurs refusant une analyse intrusive ne pourront pas partager des photos et des liens. La France renoncerait à son veto et la loi pourrait encore être approuvée par l'UE Lettre ouverte de Tuta appelant les États membres de l'UE à défendre le chiffrement. Les États membres de l'UE doivent décider de leur camp : vie privée ou surveillance Laissez-vous surveiller : les gouvernements de l'UE sont susceptibles d'approuver ChatControl dès le mois de juin et ainsi ouvrir la voie à une surveillance de masse que des acteurs comme Signal dénoncent 
Envoyé par Fagus
