Bruxelles sacrifie la confidentialité des échanges au nom de la lutte contre la pédopornographie
Une nouvelle proposition de la Commission européenne veut obliger les fournisseurs de messageries et d'hébergement à installer des backdoors dans leurs services pour lutter contre les contenus pédopornographique en ligne. C'est un ressors classique des gouvernements occidentaux, à l'objectif inattaquable en apparence mais porteur en sous-marin de sérieux risques pour le respect de la vie privée. Craignant pour la sécurité et la confidentialité des échanges, de nombreuses voix s'élèvent contre ces nouvelles obligations.
Alice Vitard
Mis à jour
12 mai 2022
C'est une nouvelle proposition législative qui inquiète beaucoup les défenseurs de la vie privée que vient de présenter la Commission européenne le 12 mai. Afin de lutter contre la pédopornographie en ligne, elle propose d'imposer de nouvelles obligations aux fournisseurs de services de communication et aux hébergeurs.
Une explosion des contenus illegaux
Le constat est particulièrement inquiétant : plus de 85 millions de photos et de vidéos représentant des abus sexuels commis sur des enfants ont été signalés dans le monde en 2021. La pandémie de Covid-19, faisant exploser les échanges en ligne, a exacerbé cette tendance. La fondation Internet Watch a ainsi constaté une augmentation de 64% des signalements d'abus sexuels impliquant des enfants en 2021, par rapport à 2020.
Or, l'autorégulation – utilisée jusqu'ici par les plateformes en ligne – fonctionne mal, juge Bruxelles. En effet, jusqu'à 95% de l'ensemble des signalements d'abus sexuels concernant des enfants qui ont été reçus en 2020 provenant du réseau social Facebook, "alors qu'il est clairement prouvé que le problème n'est pas propre à une seule plateforme". Pour comparaison, Twitter n'en a signalé que 65 000 en 2020. Meta, société-mère de Facebook, est simplement l'entreprise la plus zélée dans ses signalements, et celle à avoir mis en place les systèmes de détection les plus poussées.
Bruxelles vante une proposition équilibrée
"La proposition présentée ce jour définit des obligations claires pour les entreprises de détecter et de signaler les abus commis sur des enfants, ces obligations étant assorties de garanties solides qui préservent la vie privée de tous, dont les enfants", a résumé Ylva Johansson, commissaire européenne aux affaires intérieures.
Le texte prévoit une obligation d'évaluation des risques. Le but : vérifier le risque que le service soit utilisé pour diffuser du contenu pédopornographique ou même pour s'adonner à du "grooming" (pratique visant à solliciter des enfants à des fins sexuelles en se liant d'amitié avec eux et plus généralement en acquérant leur confiance). Les plateformes auront jusqu'à trois mois après l'entrée en vigueur du texte pour effectuer cette analyse. En fonction du résultat, elles devront prendre des obligations d'atténuation.
Une nouvelle obligation de détection ciblée
La Commission prévoit également une obligation de détection pour les fournisseurs ayant "reçu une injonction de détection" par une autorité judiciaire ou une autorité administrative indépendante d'un Etat membre. Pour ce faire, ils doivent exécuter des technologies "efficaces", "suffisamment fiables" et "les moins intrusives" possibles. L'idée est la suivante : elles ne doivent pas permettre d'extraire des informations autres que celles "strictement nécessaires à la détection" de contenus illicites.
Le signalement sera traité par un nouvel organe créé par le texte : le centre indépendant de l'UE chargé des questions d'abus sexuels sur les enfants. Il sera chargé de repérer les signalements erronés et de transférer les signalements légitimes aux services répressifs compétents.
Rappelons que le droit de l'Union européenne contient une interdiction d'imposer des obligations générales de surveillances aux plateformes afin de protéger la confidentialité des communications en ligne, corollaire de la protection de la vie privée. Or, la proposition de la Commission vise justement à contourner cette interdiction au nom de la protection des mineurs en ligne, un objectif évidemment louable.
A l'impossible nul n'est tenu
Cette obligation de détection soulève cependant de nombreuses problématiques. Tout d'abord, les plateformes qui offrent un chiffrement des communications devront "déchiffrer" les messages concernés par l'injonction de détection. Une pratique qui affaiblit nécessairement la protection de la vie privée en ligne. Mais le véritable problème se pose lorsqu'elles proposent un chiffrement de bout en bout (end to end encryption). Car, la clé de déchiffrement n'est alors connue que par des utilisateurs finaux. Il est donc techniquement impossible de fournir le contenu des échanges au centre dédié.
Will Cathcart, CEO de WhatsApp, a réagi à cette proposition sur Twitter en déclarant qu'elle mettait "gravement en danger la vie privée et la sécurité des citoyens de l'Union européenne". Il met en avant le risque que cette obligation de détection puisse être utilisée pour "porter atteinte aux droits de l'homme de différentes manières dans le monde". L'association de défense des droits numériques European Digital Rights (EDRi) a également critiqué ce système. "La proposition traduit une attaque potentielle à grande échelle contre l'intégrité de nos communications. Cela pourrait être un tremplin vers des tactiques de surveillances autoritaires, incompatibles avec les droits fondamentaux", écrit-elle dans un tweet.
Notons en particulier la complexité de détecter les pratiques de "grooming", qui relèvent du simple échange textuel et peuvent se faire sur de longues périodes. La détection de médias (photos ou vidéos) contenant des abus sexuels envers les enfants se fait par le recencement de ces contenus précis en amont, l'établissement d'une "signature électronique" (hash), puis la vérification automatisée de la signature des médias transitant par les plateformes pour s'assurer qu'ils ne correspondent pas aux contenus illégaux.
Ainsi, la vérification se fait sans que les opérateurs de plateformes ne voient les médias de leur utilisateurs. Mais pour le "grooming", impossible d'opérer de cette manière. Il faudra nécessairement accéder à l'ensemble des messages envoyés et analyser leur contenu. Une proposition non seulement techniquement complexe (risquant de nombreux faux positifs), mais aussi intrinsèquement invasive et équivalente à une surveillance systématique des communications de tous les utilisateurs.
Apple recule face aux critiques
Ces critiques rappellent celles faites à l'encontre d'Apple lorsqu'il a dévoilé un nouvel outil pour détecter les contenus pédopornographiques présents sur les iPhones et les iPads. Il prévoyait par exemple d'intégrer un algorithme dans l'application Messages pour scanner le contenu des communications et déterminer si la photo envoyée était sexuellement explicite. De nombreuses voix se sont élevées contre ce système, estimant qu'il affaiblissait considérablement la sécurité et la confidentialité des échanges. Face à cette levée des boucliers, Apple a revu son système.
Avant de devenir définitive, la proposition de la Commission devra être approuvée le Parlement européen et le Conseil. Les débats seront sûrement houleux étant donné l'importance de ces questions. Mais notons également que le Conseil souhaite depuis longtemps interdire le chiffrement sur les messageries au nom de la lutte contre le terrorisme, en obligeant les fournisseurs à autoriser les services de renseignement à accéder aux contenus échangés via un accès privilégié. Des pratiques qui se sont toujours révélées désastreuses par le passé, les accès privilégiés finissant systématiquement par être exploités abusivement, y compris par des criminels.
SUR LE MÊME SUJET
Bruxelles sacrifie la confidentialité des échanges au nom de la lutte contre la pédopornographie
Tous les champs sont obligatoires
0Commentaire
Réagir