L’Union européenne est réputée depuis longtemps pour ses lois strictes en matière de protection de la vie privée. Mais un plan législatif pour lutter contre la maltraitance des enfants – que le bloc a officiellement présenté en mai 2022 – menace de dégrader la vie privée et la sécurité de centaines de millions d’utilisateurs d’applications de messagerie régionales.
La Commission européenne, l'organe législatif de l'UE qui a rédigé la proposition, la présente comme un plan visant à protéger les droits des enfants en ligne en luttant contre l'utilisation abusive des outils technologiques traditionnels par les agresseurs d'enfants qui, selon elle, utilisent de plus en plus les applications de messagerie pour diffuser du matériel pédopornographique. (CSAM) et même avoir accès à de nouvelles victimes.
Peut-être en raison du lobbying du secteur des technologies de sécurité des enfants, l’approche adoptée par l’UE est techno-solutionniste. L'initiative de la Commission se concentre sur la réglementation des services numériques – principalement les applications de messagerie – en leur imposant l'obligation légale d'utiliser des outils technologiques pour analyser les communications des utilisateurs afin de détecter et de signaler les activités illégales.
Depuis plusieurs années, les applications de messagerie grand public bénéficient d'une dérogation temporaire aux règles ePrivacy du bloc, qui traitent de la confidentialité des communications numériques – la dérogation s'applique jusqu'en mai 2025, selon sa dernière extension – afin qu'elles puissent volontairement analyser les communications des personnes à la recherche de CSAM dans certains cas. scénarios.
Cependant, le règlement sur la maltraitance des enfants créerait des règles permanentes qui imposeraient essentiellement l’analyse des contenus basée sur l’IA dans toute l’UE.
Les critiques de la proposition soutiennent que cela conduirait à une situation dans laquelle les plateformes de messagerie seraient obligées d'utiliser des technologies imparfaites pour analyser par défaut la correspondance privée des utilisateurs – avec des conséquences désastreuses pour la vie privée des personnes. Ils avertissent également que cela place l’UE sur une trajectoire de collision avec un cryptage fort, car la loi obligerait les applications cryptées de bout en bout (E2EE) à dégrader leur sécurité afin de se conformer aux exigences de contrôle du contenu.
Les inquiétudes suscitées par cette proposition sont si vives que le propre contrôleur de la protection des données du bloc a averti l'année dernière qu'elle représentait un tournant pour les droits démocratiques. Un service de conseil juridique du Conseil européen estime également que cela est incompatible avec le droit de l'UE, selon une fuite de son évaluation. Le droit de l’UE interdit l’imposition d’une obligation générale de surveillance, donc si la loi est adoptée, il est presque certain qu’elle fera l’objet d’une contestation judiciaire.
Jusqu'à présent, les colégislateurs de l'UE n'ont pas réussi à se mettre d'accord sur la voie à suivre dans ce dossier. Mais le projet de loi reste d’actualité, tout comme tous les risques qu’il pose.
Ordres de détection CSAM à grande échelle
La proposition initiale de la Commission contient une exigence selon laquelle les plateformes, une fois qu'elles ont reçu un ordre de détection, doivent analyser les messages des personnes, non seulement à la recherche de CSAM connus (c'est-à-dire des images d'abus sur des enfants qui ont été identifiées précédemment et hachées pour être détectées) mais également de CSAM inconnus ( c'est-à-dire de nouvelles images d'abus). Cela augmenterait encore le défi technique consistant à détecter les contenus illégaux avec un degré élevé de précision et un faible nombre de faux positifs.
Un autre élément de la proposition de la Commission exige que les plateformes identifient les activités de toilettage en temps réel. Cela signifie qu'en plus d'analyser les téléchargements d'images à la recherche de CSAM, les applications devraient être capables d'analyser le contenu des communications des utilisateurs pour essayer de comprendre quand un utilisateur adulte pourrait tenter d'inciter un mineur à se livrer à une activité sexuelle.
L’utilisation d’outils automatisés pour détecter les signes de comportement susceptibles de préfigurer de futurs abus dans les interactions générales entre les utilisateurs d’applications laisse entrevoir d’énormes possibilités de mauvaise interprétation des bavardages innocents. Prises ensemble, les vastes exigences de détection des CSAM de la Commission transformeraient les plateformes de messagerie grand public en outils de surveillance de masse, suggèrent les opposants à la proposition.
« Contrôle du chat » est le principal surnom qu'ils ont trouvé pour englober les préoccupations concernant l'adoption par l'UE d'une loi exigeant une analyse complète de la messagerie numérique des citoyens privés, allant jusqu'à et y compris le contrôle des échanges de textes que les gens envoient.
Qu’en est-il du chiffrement de bout en bout ?
La proposition initiale de la Commission concernant un règlement visant à lutter contre les abus sexuels sur enfants n’exempte pas non plus les plateformes E2EE des exigences de détection des CSAM.
Et il est clair que, puisque l'utilisation d'E2EE signifie que ces plateformes n'ont pas la capacité d'accéder à des versions lisibles des communications des utilisateurs – parce qu'elles ne détiennent pas de clés de chiffrement – les services de messagerie sécurisés seraient confrontés à un problème de conformité spécifique s'ils devaient être légalement autorisés. nécessaires pour comprendre le contenu qu’ils ne peuvent pas voir.
Les critiques du projet de l'UE préviennent donc que la loi obligera les plateformes de messagerie E2EE à dégrader les protections de sécurité phares qu'elles offrent en mettant en œuvre des technologies risquées telles que l'analyse côté client comme mesure de conformité.
La proposition de la Commission ne mentionne pas les technologies spécifiques que les plateformes devraient déployer pour la détection des CSAM. Les décisions sont transférées à un centre européen de lutte contre les abus sexuels sur enfants que la loi établirait. Mais les experts prédisent que cela serait très probablement utilisé pour forcer l’adoption de l’analyse côté client.
Une autre possibilité est que les plateformes ayant mis en place un cryptage fort choisissent de retirer complètement leurs services de la région ; Signal Messenger, par exemple, avait déjà prévenu qu'il quitterait un marché plutôt que d'être contraint par la loi de compromettre la sécurité des utilisateurs. Cette perspective pourrait laisser les citoyens de l'UE sans accès aux applications grand public qui utilisent les protocoles de sécurité E2EE de référence pour protéger les communications numériques, comme Signal, WhatsApp, propriété de Meta, ou iMessage d'Apple, pour n'en nommer que trois.
Aucune des mesures proposées par l'UE n'aurait l'effet escompté, à savoir prévenir la maltraitance des enfants, affirment les opposants à la proposition. Au lieu de cela, l’impact qu’ils prévoient se traduira par d’horribles conséquences pour les utilisateurs d’applications, car les communications privées de millions d’Européens seront exposées à des algorithmes d’analyse imparfaits.
Cela risque à son tour de déclencher des dizaines de faux positifs, affirment-ils ; des millions de personnes innocentes pourraient être impliquées à tort dans des activités suspectes, accablant ainsi les forces de l’ordre d’une série de faux rapports.
Le système envisagé par la proposition de l'UE devrait exposer systématiquement les messages privés des citoyens à des tiers qui seraient impliqués dans la vérification des rapports de contenu suspect qui leur sont envoyés par les systèmes de détection des plateformes. Ainsi, même si un contenu spécifique signalé n’avait pas été transmis aux forces de l’ordre pour enquête, après avoir été identifié comme non suspect à un stade antérieur de la chaîne de signalement, il aurait néanmoins nécessairement été examiné par quelqu’un d’autre. que l’expéditeur et le(s) destinataire(s) prévu(s). Alors RIP, confidentialité des communications.
La sécurisation des communications personnelles qui ont été exfiltrées d'autres plateformes poserait également un défi de sécurité permanent, avec le risque que le contenu signalé soit davantage exposé si de mauvaises pratiques de sécurité sont appliquées par l'un des tiers impliqués dans le traitement des rapports de contenu.
Les gens utilisent E2EE pour une raison, et le fait de ne pas avoir un groupe d'intermédiaires qui touchent à vos données est une bonne chose.
Où est ce plan vraiment effrayant maintenant ?
Généralement, l'élaboration de la législation européenne est une affaire à trois : la Commission propose une législation et ses co-législateurs, au Parlement européen et au Conseil, travaillent avec l'exécutif du bloc pour tenter de parvenir à un compromis sur lequel ils peuvent tous s'entendre.
Toutefois, dans le cas du règlement sur la maltraitance des enfants, les institutions européennes ont jusqu’à présent eu des points de vue très différents sur la proposition.
Il y a un an, les législateurs du Parlement européen ont convenu de leur position de négociation en suggérant des révisions majeures à la proposition de la Commission. Les parlementaires de tous bords politiques ont soutenu des amendements substantiels visant à réduire les risques liés aux droits, notamment en soutenant une exclusion totale des plates-formes E2EE des exigences de numérisation.
Ils ont également proposé de limiter l'analyse pour la rendre beaucoup plus ciblée : en ajoutant une disposition selon laquelle l'analyse ne devrait avoir lieu que sur les messages d'individus ou de groupes soupçonnés d'abus sexuels sur des enfants – c'est-à-dire, plutôt que la loi imposant une analyse générale de tous leurs messages. utilisateurs une fois qu’une plateforme reçoit un ordre de détection.
Un autre changement soutenu par les députés limiterait la détection aux CSAM connus et inconnus, supprimant l’exigence selon laquelle les plateformes doivent également détecter les activités de toilettage en contrôlant les échanges textuels.
La version parlementaire de la proposition a également poussé à l'inclusion d'autres types de mesures, telles que des exigences imposées aux plateformes pour améliorer la protection de la vie privée des utilisateurs en définissant par défaut les profils sur non publics afin de réduire le risque que des mineurs soient découverts par des adultes prédateurs.
Dans l'ensemble, l'approche des députés semble beaucoup plus équilibrée que la proposition initiale de la Commission. Cependant, depuis lors, les élections européennes ont révisé la composition du Parlement. Le point de vue de la nouvelle promotion de députés européens est moins clair.
Reste également la question de savoir ce que fera le Conseil européen, l'organe composé de représentants des gouvernements des États membres. Il lui reste encore à se mettre d'accord sur un mandat de négociation sur ce dossier, c'est pourquoi les discussions avec le Parlement n'ont pas pu démarrer.
Quiconque optant pour la confidentialité serait rétrogradé à un ensemble de fonctionnalités de base de style téléphone stupide, composé uniquement de texte et d'audio. Oui, c’est vraiment ce que les législateurs régionaux ont envisagé.
Le Conseil a ignoré les demandes des députés européens l’année dernière de s’aligner sur leur compromis. Au lieu de cela, les États membres semblent privilégier une position beaucoup plus proche de la position originale de la Commission consistant à « tout analyser ». Mais il existe également des divergences entre les États membres sur la manière de procéder. Et jusqu’à présent, suffisamment de pays se sont opposés aux textes de compromis qui leur sont présentés par la présidence du Conseil pour convenir d’un mandat.
Les propositions qui ont fuité lors des discussions du Conseil suggèrent que les gouvernements des États membres tentent toujours de préserver la capacité d'analyse globale des contenus. Mais un texte de compromis de mai 2024 a tenté de modifier la façon dont cela était présenté – décrivant par euphémisme l’exigence légale sur les plateformes de messagerie comme « modération des téléchargements ».
Cela a déclenché une intervention publique de la présidente de Signal, Meredith Whittaker, qui a accusé les législateurs européens de se livrer à des « jeux rhétoriques » dans le but d’obtenir un soutien à l’analyse massive des communications citoyennes. C'est quelque chose qu'elle a prévenu sur un ton pragmatique que cela « porterait fondamentalement atteinte au cryptage ».
Le texte qui a fuité à l'époque dans la presse aurait également proposé de demander aux utilisateurs d'applications de messagerie leur consentement pour que leur contenu soit analysé. Cependant, les utilisateurs qui n'acceptaient pas le filtrage verraient des fonctionnalités clés de leur application désactivées, ce qui signifie qu'ils ne pourraient pas envoyer d'images ou d'URL.
Dans ce scénario, les utilisateurs d’applications de messagerie dans l’UE seraient essentiellement obligés de choisir entre protéger leur vie privée ou bénéficier d’une expérience d’application de messagerie moderne. Quiconque optant pour la confidentialité serait rétrogradé à un ensemble de fonctionnalités de base de style téléphone portable, composé uniquement de texte et d'audio. Oui, c’est vraiment ce que les législateurs régionaux ont envisagé.
Plus récemment, des signes indiquent que le soutien à une surveillance massive des messages des citoyens pourrait diminuer au sein du Conseil. Plus tôt ce mois-ci, Netzpolitik a couvert une annonce du gouvernement néerlandais disant qu'il s'abstiendrait sur un autre compromis modifié, citant des inquiétudes concernant les implications pour E2EE, ainsi que les risques de sécurité posés par l'analyse côté client.
Plus tôt ce mois-ci, la discussion sur le règlement a également été retirée d'un autre ordre du jour du Conseil, apparemment en raison de l'absence de majorité qualifiée.
Mais un grand nombre de pays de l'UE continuent de soutenir les efforts de la Commission en faveur d'une analyse globale des messages. Et l’actuelle présidence hongroise du Conseil semble résolue à continuer de rechercher un compromis. Le risque n’a donc pas disparu.
Les États membres pourraient encore parvenir à une version de proposition qui satisfasse suffisamment leurs gouvernements pour ouvrir la porte à des discussions avec les députés européens, ce qui mettrait tout en jeu dans le processus de discussions à huis clos du trilogue de l'UE. Les enjeux pour les droits des citoyens européens – et pour la réputation du bloc en tant que champion de la vie privée – restent donc élevés.