Quelles solutions pour protéger les enfants en ligne tout en sauvegardant la vie privée ?
Autorégulation, backdoor, vérification d'identité... La régulation de la protection des mineurs en ligne apparaît comme un casse-tête pour les grandes plateformes et les Etats. Alors que l'Union européenne semble prête à sacrifier une partie de la vie privée des internautes, les entreprises technologiques s'organisent entre elles pour montrer leur bonne volonté. L'Usine Digitale vous propose un tour d'horizon des solutions actuellement proposées.
Les chiffres sont assez terrifiants : l'Internet Watch Foundation (IWF), une association britannique spécialisée dans la lutte contre les contenus pédopornographiques en ligne, a relevé 20 050 pages contenant des abus de catégorie A (les plus graves) durant l'année 2022. Un seuil jamais atteint auparavant. Proportionnellement, le matériel de catégorie A représente désormais 20% de tout le contenu consulté par l'IWF, contre 18% en 2021 et 17% en 2020.
Un programme de partage de signaux inter-plateformes
Face à ce constat, les fournisseurs de services en ligne – régulièrement accusés de ne pas faire assez pour supprimer ces contenus – s'organisent. La Tech Coalition, une organisation professionnelle visant à protéger les enfants en ligne, a présenté le 7 novembre 2023 le programme "Lantern", un système de partage de "signaux" pour aider les forces de l'ordre à arrêter les auteurs d'abus sexuels sur mineurs. "Jusqu'à présent, il n'existait aucune procédure cohérente permettant aux entreprises de collaborer contre les prédateurs échappant à la détection de tous les services", écrit l'association regroupant de nombreuses grandes entreprises technologiques parmi lesquelles Amazon, Meta, Discord, TikTok, Verizon, Roblox, Zoom, Niantic et Microsoft.
En pratique, les entreprises participantes – Discord, Google, Mega, Meta, Quora, Roblox, Snap et Twitch dans un premier temps – téléchargent et partagent les signaux sur la plateforme lorsqu'elles détectent "des activités qui violent leurs politiques contre l'exploitation des enfants". Ces signaux peuvent être "des URL" ou des "mots de passe". Grâce à ce partage, les auteurs pourront être plus facilement détectés et signalés aux autorités compétentes. C'est ainsi que lors de la phase pilote du projet, Mega a partagé les URL à Meta qui a permis de supprimer "plus de 10 000 profils Facebook, pages et comptes en infraction".
Source : Tech Coalition
Le flop d'Apple pour détecter les contenus pédopornographiques
Les initiatives des entreprises technologiques ne sont pas toujours bien reçues. Ce fut le cas d'Apple qui a connu un véritable flop lorsqu'il a dévoilé en 2021 un nouvel outil pour détecter les contenus pédopornographiques sur les iPhones et les iPads. Il prévoyait, par exemple, d'intégrer un algorithme dans l'application Messages pour scanner le contenu des communications et déterminer si la photo envoyée était sexuellement explicite. Face à un tollé général, la firme à la pomme avait revu son système.
En parallèle de ces initiatives d'autorégulation, les Etats disposent de leurs propres réglementations. En France, le secteur est réglementé à l'échelle de l'Union européenne. La directive 2011/93/UE du 13 décembre 2011 a été le premier texte adopté qui impose des sanctions dans le domaine des abus sexuels et de l'exploitation sexuelle des enfants. S'agissant d'une directive, les Etats membres – dont la France – devaient la transposer dans leur droit national. Une obligation partiellement remplie, d'après la Commission européenne. Elle note que "des difficultés persistent dans les domaines de la prévention, du droit pénal et des mesures d'assistance, d'aide et de protection pour les enfants victimes". En 2019, des procédures d'infraction à l'encontre de 23 Etats membres (à l'exception du Danemark, de Chypre, de l'Irlande et des Pays-Bas) ont été lancées.
Une exception à ePrivacy pour détecter les contenus illicites
Les abus sexuels en ligne sont également encadrés par une dérogation temporaire à la directive Vie privée et communications électroniques, dite "ePrivacy". Ce texte oblige les Etats membres à garantir la confidentialité des communications et des données relatives au trafic en interdisant à toute autre personne que les utilisateurs d'écouter, intercepter ou stocker les communications et les données relatives au trafic, hors interventions techniques strictement nécessaires à l'acheminement de la communication et à la facturation du service.
L'exception permet ainsi aux "fournisseurs de services de communications interpersonnelles non fondées sur la numérotation" (services de courrier électronique, services de messagerie instantanée et téléphonie internet) de continuer à procéder volontairement à la détection d'images pédopornographiques et de sollicitation d'enfants à des fins sexuelles sur leurs services. Etant temporaire, cette exception cessera de s'appliquer en décembre 2025. D'où la nécessité d'adopter une nouvelle législation.
Une proposition de la Commission controversée
"Dans moins de deux ans, la base juridique autorisant les initiatives volontaires des sociétés du secteur d'Internet visant à détecter les abus sexuels sur les enfants en ligne prendra fin dans l'UE, a déclaré une porte-parole de la Commission à Euractiv. L'ampleur et la gravité de ce crime exigent que nous agissions". Chose promise, chose due : Bruxelles a présenté le 11 mai 2022 une proposition de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants (CSAR), également connue sous le nom de "Chat control". Ce texte a suscité une levée de boucliers par les défenseurs de la vie privée.
Son article 7 permet à une autorité judiciaire ou une autorité administrative indépendante d'émettre une injonction de détection aux fournisseurs de services d'hébergement et aux fournisseurs de service de communications interpersonnelles (service de messagerie électronique). Ils devront alors prendre des mesures pour détecter les abus sexuels sur les enfants en ligne sur un service particulier. Détaillées à l'article 10 de la proposition, les mesures obligent notamment les messageries de "déchiffrer" les conversations. Une pratique qui met à mal la confidentialité des échanges.
Plus précisément, les fournisseurs concernés devront repérer trois types de données : les contenus "connus", les contenus "inconnus" et les activités de pédopiéage. Le contenu "connu" fait référence au matériel dont il a été confirmé qu'il constituait du matériel relatif à des abus sur les enfants (déjà répertoriés comme tels par les autorités compétentes). Celui "inconnu" est susceptible de constituer du matériel d'abus sur les enfants.
"La proposition traduit une attaque potentielle à grande échelle contre l'intégrité de nos communications. Cela pourrait être un tremplin vers des tactiques de surveillance autoritaire, incompatibles avec les droits fondamentaux", avait réagi l'European Digital Rights (EDRi), une association de défense des droits numériques. La proposition a également été critiquée par les principaux intéressés, à savoir les messageries. Will Cathcart, CEO de WhatsApp, avait réagi à cette proposition sur X en déclarant que cette obligation mettait "gravement en danger la vie privée et la sécurité des citoyens de l'Union européenne". Il mettait en avant le risque qu'elle puisse être utilisée pour "porter atteinte aux droits de l'homme de différentes manières dans le monde".
Les autorités européennes craignent pour la confidentialité des communications
Le ton était monté d'un cran avec la publication d'un avis conjoint de European Data Protection Board (EDPB) et de l'European Data Protection Supervisor (EDPS). Tout en rappelant que "les abus sexuels sur enfants" étaient "des crimes particulièrement graves et odieux", "les limitations aux droits à la vie privée et à la protection des données doivent respecter l'essence de ces droits fondamentaux et rester limitées à ce qui est strictement nécessaire et proportionné". Ils concluaient que "la proposition, dans sa forme actuelle, pouvait présenter plus de risques pour les individus et par extension, pour la société dans son ensemble, que pour les criminels poursuivis". Ils visaient en particulier les fameuses injonctions de détection qui "pourraient entraîner une dégradation substantielle de la confidentialité des communications, ce qui exposerait les enfants utilisant ces services à des surveillances ou à des écoutes".
La proposition de règlement s'adresse également "aux boutiques d'applications logicielles", en d'autres termes l'Apple Store et le Play Store. Ils sont tenus par l'article 6 de prendre "les mesures d'évaluation et de vérification de l'âge nécessaires pour identifier de manière fiable les enfants utilisateurs de leurs services". Une obligation vivement critiquée par les défenseurs de la vie privée. "Aucun outil viable et respectueux de la vie privée n'existe réellement à ce jour mais, surtout, le recours à ce genre de solution pose de sérieux problèmes quant à la protection de l'anonymat en ligne", a ainsi écrit la Quadrature du Net.
Un texte qui avance dans l'ombre
Le texte est désormais en cours de discussion entre les institutions européennes. Problème de taille : les négociations ne sont pas publiques. Le contenu des amendements n'est donc consultable que par des fuites (plus ou moins volontaires) de documents, dévoilés par la presse. La dernière actualité a été révélée par Euractiv le 10 octobre dernier : la présidence espagnole du Conseil de l'Union européenne souhaiterait limiter la portée des injonctions de détection aux contenus connus "pour l'instant".
En France, c'est le projet de loi visant à sécuriser et réguler l'espace numérique, dit projet de loi SREN, qui va en partie réglementer la protection en ligne des enfants. Le texte, qui doit désormais être voté en commission mixte paritaire, prévoit que les personnes dont l’activité est d’éditer "un service de communication au public en ligne et qui mettent à la disposition du public des contenus pornographiques" devront mettre en œuvre un système de vérification de l’âge. L'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) devra publier un référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l'âge.
Un dispositif de vérification de l'âge en cours d'expérimentation
La Commission nationale de l'informatique et des libertés (Cnil) sera chargée de donner son avis sur ce référentiel. Cette dernière a co-conçu avec Olivier Blazy, professeur à l’École polytechnique, et le Pôle d’expertise de la régulation numérique de l’État (PEReN), le prototype d’un dispositif permettant à la fois d’assurer un contrôle efficace, car reposant sur une preuve d’âge, et de garantir une forte protection de la vie privée. Le système est en cours d'expérimentation depuis février 2023.
SUR LE MÊME SUJET
Quelles solutions pour protéger les enfants en ligne tout en sauvegardant la vie privée ?
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
