Le Chat Control est incompatible avec les droits fondamentaux

Le projet soulève de telles préoccupations en matière de droits fondamentaux que la GFF (The Society for Civil Rights) se joint au débat

La Commission européenne a présenté un projet de règlement visant à établir des règles pour prévenir et combattre la violence sexuelle à l'encontre des enfants (règlement du Chat Control). Ce projet de règlement soulève de telles préoccupations en matière de droits fondamentaux que la GFF se joint au débat alors que le projet est encore en cours de délibération au niveau de l'UE.

Le projet de règlement de la Commission européenne sur le Chat Control (contrôle des chats) est actuellement en cours de négociation au Parlement européen et au Conseil des ministres. Avec la lutte contre les violences sexuelles faites aux enfants, le projet poursuit un objectif essentiel pour la protection des enfants et de leurs droits et peut justifier des restrictions des droits fondamentaux.

Cependant, il existe des doutes considérables quant à l'efficacité des mesures proposées. La GFF (The Society for Civil Rights) est convaincus que le projet viole la Charte des droits fondamentaux de l'UE sur des points cruciaux. Voici les cinq principales objections relatives aux droits fondamentaux que soulève la proposition de contrôle du chat.


Le Chat Control viole le droit à la vie privée

La proposition de la Commission européenne prévoit toute une série d'obligations pour certains services en ligne tels que les fournisseurs d'accès à Internet, les magasins d'applications, les plateformes d'hébergement et les services de communications interpersonnelles. Les services de communications interpersonnelles sont, par exemple, des services de courrier électronique tels que GMail ou des services de messagerie instantanée tels que WhatsApp.

L'expression "contrôle du chat" est souvent utilisée de manière familière pour désigner le projet de règlement de la Commission européenne dans son ensemble. Au sens strict, il s'agit de la partie du projet selon laquelle les autorités peuvent obliger les fournisseurs de services de communication tels que WhatsApp à surveiller les communications privées.

Il s'agit d'une restriction particulièrement grave du droit à la vie privée et à la protection des données à caractère personnel (articles 7 et 8 de la Charte des droits fondamentaux de l'UE) : La surveillance n'est pas limitée aux personnes spécifiquement soupçonnées d'avoir commis un délit. En outre, contrairement à la conservation des données, qui est également incompatible avec la Charte mais se limite aux métadonnées - c'est-à-dire aux informations sur qui a communiqué avec qui et à quel moment - le contrôle des chats comprend la surveillance du contenu des messages privés.

Les autorités peuvent imposer des "ordres de détection" aux fournisseurs de services de communications interpersonnelles. Cela signifie que les autorités peuvent, par exemple, obliger les services de messagerie à surveiller les communications de tous leurs utilisateurs. Il suffit que l'autorité ait identifié un risque significatif que le service en question soit utilisé pour la diffusion de représentations de violences sexuelles à l'encontre d'enfants.

Les ordonnances de détection ne doivent pas nécessairement se limiter à la surveillance des communications d'utilisateurs spécifiques qui sont soupçonnés. Au contraire, les autorités peuvent ordonner que le contenu de toutes les communications de tous les utilisateurs du service soit surveillé à titre préventif. Il s'agit donc d'une forme de surveillance de masse sans motif valable.

Une telle ordonnance de détection peut obliger les fournisseurs de services à filtrer le contenu pour détecter les représentations connues ou inconnues de violence sexuelle à l'encontre des enfants. En outre, elle peut prévoir l'obligation de détecter les tentatives de sollicitation de mineurs par des adultes (grooming). Les contenus ainsi détectés doivent être transmis par les fournisseurs de services à un centre européen nouvellement créé, qui transmettra les informations aux autorités répressives des États membres après un contrôle de plausibilité.

Bien que les fournisseurs de services soient libres de choisir les technologies qu'ils utilisent pour se conformer à l'ordonnance de détection, ces technologies doivent en tout état de cause être en mesure d'analyser le contenu des communications. Pour détecter les représentations connues de violences sexuelles à l'encontre d'enfants, une comparaison automatisée des fichiers multimédias envoyés avec une base de données de référence peut suffire. Pour détecter des représentations inconnues de la violence sexuelle et du "grooming", l'apprentissage automatique doit être utilisé pour analyser le contenu sémantique des chats.

Ces méthodes sont particulièrement sujettes à l'erreur : elles ne font qu'émettre une hypothèse sur la signification du contenu en se basant sur des modèles dans la communication analysée - sans réellement comprendre le contenu ou le contexte de la conversation. Dans sa jurisprudence sur la conservation des données, la Cour européenne de justice a indiqué qu'une surveillance de masse indiscriminée du contenu des communications violerait l'essence même du droit à la vie privée.

La surveillance de masse indiscriminée est incompatible avec les droits fondamentaux à la vie privée et à la protection des données garantis par la Charte de l'Union européenne, qu'il s'agisse de communications chiffrées ou non chiffrées. Au centre des critiques du public concernant le contrôle des chats se trouve le fait que le projet de règlement n'exempte pas les services de communication chiffrée de bout en bout des injonctions de détection.

Ces services garantissent que seules les personnes impliquées dans une conversation privée peuvent lire le contenu de la communication - ni le fournisseur de services ni les tiers ne peuvent le déchiffrer. De plus en plus de personnes choisissent spécifiquement des messageries chiffrées de bout en bout pour se protéger. Si le fournisseur d'une telle messagerie reçoit un ordre de détection, il ne peut pas le rejeter au motif que le fournisseur de services ne peut pas accéder au contenu des communications de ses utilisateurs.

Le projet de la Commission européenne souligne l'importance du chiffrement de bout en bout. Toutefois, les fournisseurs de services ne peuvent choisir qu'entre des technologies qui leur permettent de détecter des contenus illicites dans des communications privées. En d'autres termes, les fournisseurs de services qui proposent un chiffrement de bout en bout sans porte dérobée ne seront pas en mesure de mettre en œuvre les ordres de détection qu'ils pourraient recevoir des autorités et entreront donc en conflit avec la loi. Cette attaque contre le chiffrement de bout en bout accroît l'intensité de la restriction des droits fondamentaux causée par la surveillance de masse indiscriminée.

Menace d'effets paralysants pour les libertés de communication

La Cour européenne de justice a déjà averti à plusieurs reprises que la surveillance de masse indiscriminée a un impact négatif indirect sur la liberté d'expression (article 11 de la Charte des droits fondamentaux de l'UE) : les participants à la communication sont empêchés d'exprimer librement leurs opinions s'ils ne peuvent pas être sûrs de la confidentialité de leurs communications. Cela affecte particulièrement les détenteurs du secret professionnel, tels que les journalistes qui communiquent avec leurs sources, les dénonciateurs et les militants de l'opposition.

Ce danger sera exacerbé si le règlement sur le contrôle des chats, tel que proposé par la Commission européenne, s'attaque au chiffrement de bout en bout des services de messagerie. Les groupes de personnes susmentionnés utilisent ces messageries pour de bonnes raisons. Si cette possibilité leur est retirée parce que les fournisseurs de services doivent affaiblir le chiffrement de bout en bout, on peut s'attendre à des "effets de refroidissement" considérables, c'est-à-dire à un effet dissuasif sur l'exercice du droit fondamental à la liberté d'expression et d'information.

Cet effet se produit indépendamment du fait que les fournisseurs de services surveillent le contenu des communications privées par une porte dérobée dans la technologie de criffrement ou en analysant le contenu sur l'appareil de l'utilisateur avant qu'il ne soit criffré (analyse côté client). Les participants à la communication s'attendent à ce que leur communication reste confidentielle à partir du moment où ils saisissent un message dans le programme de chat de leur téléphone portable - et pas seulement au moment où ce message est remis à son destinataire. Le facteur décisif est que l'attente de confidentialité et d'intégrité du processus de communication soit ébranlée à un point tel que les personnes concernées se sentent obligées de restreindre elles-mêmes l'exercice de leur liberté de communication.

Obligations de filtrage de facto pour les fournisseurs d'hébergement sans garanties

La critique publique de la proposition s'est concentrée sur l'expression "contrôle des chats", qui met en évidence les obligations prévues pour les messageries de scanner les chats privés. Mais les obligations prévues pour les services d'hébergement qui stockent des contenus de tiers pour le compte de leurs utilisateurs ne résistent pas non plus à un examen approfondi des droits fondamentaux.

Les services d'hébergement comprennent ceux qui mettent des contenus de tiers à la disposition du public (plateformes telles que YouTube, services d'hébergement de sites web publics) ainsi que ceux qui offrent à leurs clients un stockage privé dans le cloud (Dropbox, iCloud Drive). Il s'agit également de services dont le contenu n'est accessible qu'à un groupe fermé de personnes (comptes privés sur Twitter, groupes fermés sur Facebook, hébergeurs de sites web d'entreprises à accès restreint).

Dans la mesure où les obligations prévues pour les fournisseurs d'hébergement concernent des contenus non publics, les menaces pour la vie privée et la liberté d'expression décrites aux points 1 et 2 sont également pertinentes pour les services d'hébergement. En outre, il existe des problèmes spécifiques : bon nombre des garanties procédurales en matière de droits fondamentaux envisagées pour les injonctions de détection peuvent finir par être totalement éludées dans le cas des services d'hébergement. Cela est dû aux différentes règles de confidentialité pour les communications sur les messageries d'une part et les services d'hébergement d'autre part.

Les services d'hébergement (y compris les fournisseurs de stockage dans le cloud privé tels que Google Drive ou Dropbox) peuvent non seulement être tenus d'analyser les contenus privés en vertu du règlement sur le contrôle des bavardages, mais ils peuvent aussi le faire volontairement. Le règlement sur le contrôle des chats stipule que tous les fournisseurs de services doivent d'abord procéder à leur propre analyse des risques pour déterminer si leurs services présentent un risque d'utilisation abusive à des fins de violence sexuelle à l'encontre d'enfants.

Ce n'est que si les autorités estiment qu'un fournisseur de services répond à cette analyse de risque par des mesures volontaires insuffisantes qu'elles imposeront un ordre de détection. Dans le cadre de ces mesures volontaires, les fournisseurs de services d'hébergement peuvent avoir recours à des filtres sujets aux erreurs pour surveiller les téléchargements privés des utilisateurs. Dans ce scénario, il n'y a pas de contrôle public de l'impact de ces mesures sur les droits fondamentaux des utilisateurs.

À cet égard, les services d'hébergement diffèrent des services de messagerie : Les programmes de messagerie et de courrier électronique tels que Whatsapp, Signal ou ProtonMail relèvent de la directive "vie privée et communications électroniques", qui interdit en principe à ces fournisseurs de services de surveiller le contenu des communications privées de leurs utilisateurs. Une dérogation temporaire à cette interdiction, qui soulève elle-même de sérieuses questions en matière de droits fondamentaux, doit être remplacée par le règlement sur le contrôle des chats.

Après l'entrée en vigueur de ce règlement, les messageries et les fournisseurs de services de courrier électronique ne pourront accéder au contenu des communications privées que sur la base d'un ordre de détection. Pour les fournisseurs d'hébergement tels que le stockage privé dans le cloud, en revanche, la directive e-Privacy avec son interdiction de surveiller les communications privées ne s'applique pas.

Pour les fournisseurs d'hébergement, il sera régulièrement intéressant d'éviter une injonction de détection imminente par des mesures "volontaires". De cette manière, les entreprises conservent un plus grand contrôle, y compris sur les coûts. Il y a une forte incitation à éviter des mesures coûteuses pour protéger les droits fondamentaux des utilisateurs. Il est donc probable que les services d'hébergement déploient "volontairement" des programmes de filtrage sujets aux erreurs sans les garanties procédurales prévues pour les injonctions de détection des autorités.

Avant d'imposer une ordonnance de détection, une autorité doit évaluer le risque posé par le service par rapport à l'interférence avec les droits fondamentaux des utilisateurs. À cet égard, la Cour européenne de justice a fixé des limites étroites à l'utilisation obligatoire des systèmes de filtrage. Celles-ci ne sont compatibles avec l'interdiction des obligations générales de surveillance que si les filtres fonctionnent de manière si irréprochable que les fournisseurs de services n'ont pas à procéder à une "évaluation indépendante du contenu" afin d'écarter les faux positifs.

Les systèmes de filtrage sont incapables de satisfaire aux normes de la Cour, du moins en ce qui concerne les représentations inconnues de violence sexuelle à l'encontre d'enfants et le "grooming". Si un service d'hébergement filtre "volontairement" les contenus dans le cadre de son obligation de minimiser les risques, il n'y a pas d'évaluation publique de la compatibilité des systèmes de filtrage avec les droits fondamentaux des utilisateurs. En conséquence, des utilisateurs innocents peuvent se voir bloquer leur compte par inadvertance, voire être dénoncés à tort aux autorités chargées de l'application de la loi.

Les obligations de blocage de sites web nécessitent une surveillance des internautes

Le projet de règlement prévoit des obligations de blocage pour les fournisseurs d'accès à l'internet en ce qui concerne les sites web individuels (URL). Avant qu'une autorité n'émette une ordonnance de blocage, elle doit exiger des fournisseurs d'accès à l'internet qu'ils lui fournissent des informations sur l'accès des utilisateurs à l'URL en question.

Pour pouvoir collecter les informations nécessaires sur l'accès à des URL individuels et les transmettre aux autorités, les fournisseurs d'accès à l'internet devraient surveiller le comportement de navigation de tous leurs clients de mani...