Chat Control 2.0 : le Conseil de l'UE approuve un nouveau mandat favorisant la surveillance de masse

Ravivant le débat sur le chiffrement et l'analyse côté client qui menacent la fiabilité des communications

Le Conseil de l’Union européenne vient d’approuver un mandat controversé relançant le projet Chat Control, ouvrant la porte à une surveillance algorithmique potentielle de l’ensemble des communications privées. Derrière un discours officiel de protection de l’enfance, experts et défenseurs des libertés numériques dénoncent une dérive structurelle menaçant le chiffrement, la vie privée et l’architecture fondamentale des communications modernes en Europe.

Pendant presque trois ans, le projet était enlisé. Les États membres n’arrivaient pas à trancher sur la question centrale : peut-on autoriser le scanning systématique des messages privés, chiffrés ou non, sans violer les droits fondamentaux ?

Les pays de l'UE ont finalement trouvé un accord mercredi sur une position commune concernant le règlement relatif aux abus sexuels sur les enfants, après des années de divisions et une opposition farouche de la part d'experts en matière de confidentialité et de sécurité qui craignaient que cette loi ne conduise à une surveillance massive des citoyens européens.

En octobre, une mobilisation massive des citoyens et des défenseurs de la vie privée contre la proposition controversée de la Commission visant à obliger les entreprises technologiques à scanner les messages privés à la recherche de contenus pédopornographiques (CSAM) a de nouveau bloqué les négociations, faisant échouer un autre vote provisoire.

Cette situation s'est répétée à plusieurs reprises depuis que les pays ont commencé à discuter de leur position à la mi-2022, mais cette semaine, les capitales ont finalement surmonté l'impasse et adopté un mandat en supprimant l'élément le plus controversé de la loi : la détection obligatoire.

Voici quelques points soulevés dans le communiqué :

• Évaluation et atténuation des risques : Avec les nouvelles règles, les fournisseurs de services en ligne seront tenus d'évaluer le risque de détournement de leurs services aux fins de la diffusion de matériel relatif à des abus sexuels sur enfants ou de la sollicitation d'enfants. Sur la base de cette évaluation, ils devront mettre en œuvre des mesures d'atténuation pour contrer ce risque. De telles mesures pourraient inclure la mise à disposition d'outils permettant aux utilisateurs de signaler les abus sexuels sur enfants en ligne, de contrôler quels contenus les concernant sont partagés avec d'autres utilisateurs et de mettre en place des paramètres de confidentialité par défaut pour les enfants.
• Centre de l'UE : La nouvelle législation prévoit la création d'une nouvelle agence de l'UE, le centre de l'UE chargé de prévenir et de combattre les abus sexuels sur enfants, pour appuyer la mise en œuvre du règlement. Le centre de l'UE évaluera et traitera les informations fournies par les prestataires de services en ligne concernant le matériel relatif à des abus sexuels sur enfants détecté dans leurs services et créera, tiendra à jour et exploitera une base de données des signalements qui lui seront communiqués par les prestataires. Il aidera en outre les autorités nationales à évaluer le risque que ces services puissent être utilisés pour diffuser du matériel relatif à des abus sexuels sur enfants.
• Assistance aux victimes : Les entreprises opérant en ligne doivent fournir une assistance aux victimes qui souhaiteraient que du matériel relatif à des abus sexuels sur enfants où elles sont représentées soit retiré ou rendu inaccessible. À cette fin, les victimes peuvent également solliciter l'aide du centre de l'UE. Celui-ci se chargera, par exemple, de vérifier si les entreprises concernées ont supprimé ou rendu inaccessibles le ou les élément(s) qu'une victime souhaite faire retirer.

Ces formulations laissent supposer l'accès au contenu de communications privées : bien que l'objectif est noble, cela justifie-t-il la situation ?

Le Danemark retire sa proposition relative au projet de loi controversé Chat Control

La proposition danoise visait à lutter contre les contenus pédopornographiques en ligne (CSAM) en obligeant les fournisseurs de services en ligne (tels que WhatsApp, Signal, etc.) à analyser automatiquement les messages et les fichiers des utilisateurs à la recherche de contenus illégaux, même dans le cadre de communications chiffrées de bout en bout.

D'ailleurs, le ministre danois de la Justice a estimé que « nous devons rompre avec l'idée erronée selon laquelle tout le monde a le droit, au nom de la liberté civile, de communiquer via des services de messagerie chiffrée ».

Le projet a fait l’objet de vives critiques par les organisations de défense des libertés civiles, les experts en cybersécurité et les entreprises technologiques (notamment X, Signal et WhatsApp), qui ont fait valoir qu'il créerait un système de surveillance de masse, porterait atteinte aux droits fondamentaux à la vie privée et compromettrait la sécurité du chiffrement. Signal a même menacé de se retirer du marché européen si la loi...