« Responding to incidents of child sexual abuse material », le projet de règlement CSAM (pour « Child sexual abuse material ») est enfin disponible dans sa version officielle en français. Next INpact vous propose une explication ligne par ligne du texte, qui suscite de nombreuses réactions. Second volet de notre long format.
Nous poursuivons notre présentation ligne par ligne du projet de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants, des articles 25 à 89, dernier du texte.
- le futur règlement CSAM ligne par ligne (1ère partie)
- le futur règlement CSAM ligne par ligne (2de partie)
Le chapitre 3 du projet de règlement traite de volets beaucoup plus formels, avec en premier lieu celui relatif aux autorités de coordination.
À la première section, l’article 25 décrit la question des autorités compétentes. Ainsi, chaque État membre devra désigner une série d’autorités en charge d’appliquer et contrôler le règlement. L’une d’elles sera désignée « autorité de coordination ».
Cette autorité sera, en principe, « responsable de toutes les questions en lien avec l’application et le contrôle de l'application du présent règlement dans l’État membre concerné ». Elle en sera une sorte de chef d’orchestre dans l’État concerné.
Au sein de cette autorité de coordination, un point de contact traitera des demandes d’éclaircissements émises par les fournisseurs visés par une injonction qu'ils jugent peu claire.
Selon l’article 26, ces autorités de coordination devront s’acquitter de leurs missions « de manière objective, impartiale, transparente et en temps opportun ». Cela suppose qu’elles disposent des ressources suffisantes, notamment humaines et financières. De même, elles seront « juridiquement et fonctionnellement indépendantes de toute autre autorité publique », prévient encore le futur texte européen.
Les pouvoirs des autorités de coordination
L’article 27 dresse l’inventaire de leurs pouvoirs : droit d’information auprès des fournisseurs, droit de procéder à des inspections chez les fournisseurs et d’y réaliser des copies, droit de réclamer des explications de tout membre de leur personnel, droit de réclamer d’autres informations notamment pour « évaluer si les mesures prises pour exécuter une injonction de détection, une injonction de retrait ou une injonction de blocage sont conformes ».
La liste n’est pas fermée. Les États membres pourront, s’ils le souhaitent, « accorder des pouvoirs d’enquête supplémentaires aux autorités de coordination », indique le dernier alinéa de l’article 27.
L’article 28 les arme de pouvoirs de coercition. Par exemple, chaque autorité pourra rendre contraignants les engagements pris par chaque fournisseur. De même, elle pourra ordonner la cessation d’infraction, infliger des amendes, avec au besoin une astreinte…
D’autres mesures sont prévues à l’article 29, comme le pouvoir d’exiger de la direction d’un fournisseur qu’il adopte un plan d’action, le pouvoir de demander à l’autorité judiciaire ou une autorité administrative indépendante « d’ordonner la restriction temporaire de l’accès des utilisateurs au service concerné par l’infraction ». De telles restrictions seront temporaires, d’une durée en principe de quatre semaines. Elles seront décidées lorsqu’ « une infraction persiste et cause un préjudice grave ».
Tout ne pourra être décidé. L’article 30 demande que les décisions prises par l’autorité de contrôle soient proportionnées, efficaces et dissuasives, au regard de la gravité, de la répétition ou la durée de l’infraction.
À l’article 31, ces autorités de coordination sont encore autorisées par le législateur européen « à effectuer des recherches concernant du matériel accessible au public sur les services d’hébergement afin de détecter la diffusion de matériel connu ou nouveau relatif à des abus sexuels sur enfants ».
Les autorités pourront, à cette fin, utiliser les indicateurs figurant dans les bases de données prévues à l’article 44. Nous y reviendrons dans quelques lignes. En attendant, s’ils y trouvent des contenus relatifs à des abus sexuels sur enfants, elles pourront le signaler aux fournisseurs concernés, comme le prévoit l’article 32, afin de « leur demander de retirer ces éléments ou de les rendre inaccessibles, sur la base d’un examen réalisé par les fournisseurs de manière volontaire ».
Les fournisseurs hors UE, les plaintes des utilisateurs
La section 3 traite d’autres dispositions relatives au contrôle de l’application du règlement. Par exemple, indique l’article 33, l’État compétent sera celui où se situe l’établissement principal du fournisseur de service, ou si celui-ci est installé hors UE, là où il désigne son représentant légal.
Un fournisseur n’a pas procédé à cette désignation ? Pas de problème : le règlement en gestation accorde compétence à l’ensemble des États membres.
Les utilisateurs, mêmes enfants, pourront déposer une plainte. Cela a été dit plus haut, mais l’article 34 prévient que cette plainte pourra être portée devant l’autorité de coordination de leur lieu de résidence. « L’autorité de coordination qui reçoit la plainte évalue celle-ci et, le cas échéant, la transmet à l’autorité de coordination du lieu d’établissement ».
Des sanctions jusqu’à 6 % du chiffre d’affaires mondial
Sur le volet des sanctions, le règlement laisse aux États membres le soin de déterminer le régime applicable, sachant que là encore, ces mesures devront être « effectives, proportionnées et dissuasives ».
Plus exactement, l'article 35 fixe des montants maximums, qui ne pourront dépasser 6 % du chiffre d’affaires mondial de l’exercice précédent. Des seuils moindres sont prévus dans certains cas particuliers : fourniture d’informations incomplètes ou inexactes et restrictions aux contrôles sur place (1 %) ou pour l’astreinte (5 % du CA mondial quotidien).
Dans une logique de proportionnalité, l’État doit prendre en compte plusieurs critères avant d’appuyer sur le bouton sanction : nature, gravité, durée de l’infraction, son caractère intentionnel ou non, les précédents, la solidité financière du fournisseur, sa coopération, etc. On retrouve déjà cette logique dans le RGPD notamment.
Identification des contenus pédos et des sollicitations d’enfants, partage d’informations
L’article 36, premier de la section 4 relative à la « coopération », traite de l’identification et de la communication « de matériel relatif à des abus sexuels sur enfants en ligne ».
Le règlement met en place un système de partage d’informations pour faciliter « les communications entre les autorités de coordination, la Commission, le Centre de l’UE, les autres agences de l’Union concernées et les fournisseurs de services de la société de l’information pertinents ». Il est institué à l’article 39.
Comment sera alimentée cette base de données ? L’article 36 demande aux autorités de coordination de communiquer tous les contenus et les « transcriptions de conversation » identifiés comme pédopornographiques ou de sollicitations de mineurs. Ce sont les autorités de coordination, les autorités judiciaires ou d’autres autorités administratives indépendantes qui qualifieront ces contenus.
Dans ces traitements, seront également transmises les adresses (URL), lorsque des données sont hébergées chez des fournisseurs qui prestent en dehors de l’UE, mais rechignent à les retirer. Même situation pour les fournisseurs installés dans des pays tiers où les autorités sont peu coopératives. Le Centre de l’UE établira la liste noire de ces adresses, comme prévu à l’article 44. Plusieurs processus sont prévus pour assurer des vérifications et tenir la liste à jour.
L’article 37 gère la coopération transfrontière entre les autorités de coordination (AC). Quand l’AC d’un État membre ou la Commission européenne soupçonne un fournisseur de violer le règlement, elle réclame de l’AC du lieu d’établissement « d’examiner la situation et de prendre les mesures d’enquête et de coercition nécessaires ». Cette dernière a alors deux mois pour fournir une évaluation de l’infraction présumée et expliquer les mesures prises.
Des enquêtes conjointes à plusieurs AC pourront être mises en œuvre, relate l’article 38, sous le haut patronage du Centre de l’UE.
L’article 39 revient sur le système de coopération et de partage d’information précité. Autorités de coordination, Centre de l’UE, Europol, etc. seront appelés à travailler de concert. Et la Commission européenne prendra des actes d’exécution pour détailler la partition.
Le Centre de l’UE
Le chapitre IV concerne l'incontournable Centre de l’UE, plusieurs fois cités dans les articles précédents. Selon l'article 40, il sera désigné agence de l’UE « pour la prévention des abus sexuels sur enfants et la lutte contre ceux-ci ». Il aura la personnalité juridique (article 41).
Son rôle est pivot : faciliter la mise en œuvre des mécanismes de détection, signalement, retrait, blocage, partage d’information, expertise, coopération… Autant de missions précisées par l’article 43.
Le Centre mettra à disposition « des technologies à la disposition des fournisseurs pour l’exécution des injonctions de détection qui leur sont adressées ». Il assurera la maintenance de la base de données des signalements et recevra les injonctions de retraits, de blocage. C’est lui qui sera chargé de créer le système de partage d’informations ou encore la liste noire des URL qui serviront aux opérations de blocage.
Son siège ? À la Haye, aux Pays-Bas, près d’Europol (article 42). Selon le 72e considérant, en effet, « le fait que le Centre de l’UE et Europol soient situés au même endroit sera bénéfique, compte tenu du caractère hautement sensible des signalements communiqués à Europol par le Centre de l’UE et des exigences techniques de ces deux agences, telles que celles relatives aux connexions de données sécurisées ».
Des bases, des « indicateurs » et des balises
Des bases de données d’indicateurs sont instituées par l’article 44. Ils aideront à « détecter la diffusion de matériel relatif à des abus sexuels sur enfants », que le contenu soit connu ou non, quand d’autres permettront de détecter des sollicitations d’enfants.
Que seront précisément ces indicateurs ? Le projet de règlement est un peu prude. Il décrit des « identifiants numériques » générés à partir notamment des contenus et transcriptions communiqués par les autorités de coordination « de manière proactive » (considérant 56).
Ils seront en tout cas censés permettre « aux technologies de détecter la diffusion du même matériel (matériel connu) ou de matériel relatif à des abus sexuels sur enfants différent (matériel nouveau), ou les cas de sollicitation d’enfants, le cas échéant » (considérant 61). Ces indicateurs (ou empreintes numériques ?) accompagnés de « balises » pourront indiquer qu’une image signalée « fait partie d’une série d’images et de vidéos représentant la ou les mêmes victimes » (considérant 63).
Base de données des signalements
L’article 45 se penche sur la base de données de signalements. Ce stock sera nourri des alertes adressées par les hébergeurs et les éditeurs de solution de messagerie interpersonnelle. On y trouvera aussi des « indicateurs pertinents et les balises » associées aux contenus.
Ces bases de données seront sécurisées (article 46). Y auront seulement accès les autorités de coordination, ou encore Europol, l’agence européenne spécialisée dans la répression de la criminalité.
La Commission européenne prendra plusieurs actes délégués, destinés à compléter cette législation, afin de préciser les règles relatives aux bases de données d’indicateurs, leur production, la liste des URL, la base de données des signalements, les règles d’accès, les processus de vérifications et d’audits… Autant dire le cœur du cœur de ce futur régime (article 47).
Les signalements adressés au Centre de l’UE
Les signalements, proprement dits, sont l’objet de l’article 48. Comme précisé à l’article 12, quand un hébergeur ou un éditeur d’une solution de messagerie a connaissance, autrement que par une injonction, d’un abus sexuel potentiel sur mineur, il doit le signaler au Centre de l’UE.
Ce dernier l’analysera et dira si l’alerte est fondée. Le cas échéant, elle sera adressée à Europol et aux autorités répressives. Le fournisseur pourra être tenu de ne pas signaler la transmission de ce signalement à l’utilisateur concerné et même s’abstenir de retirer ces images ou vidéos durant un laps de temps fixé par les forces de l’ordre.
Le Centre de l’UE pourra effectuer des opérations de recherche chez les hébergeurs en utilisant les indicateurs, prévient l’article 49. Cela sera possible pour aider une victime afin de savoir si l’intermédiaire a bien supprimé le contenu signalé, ou bien pour épauler une autorité de coordination afin de jauger la nécessité d’émettre une injonction de détection ou de retrait ou pour vérifier l’efficacité des mesures mises en œuvre. De même, il pourra informer l’hébergeur de la présence d’un contenu prohibé, afin qu’il le retire après examen.
Pour mener à bien ses missions, l’article 50 demande au Centre de mettre à disposition des intermédiaires des « technologies » qu’ils pourront « acquérir, installer et faire fonctionner, gratuitement » afin d’exécuter des injonctions de détection.
Le Centre dressera la liste de ces outils, qui passeront d’abord sous les yeux d’un comité technique et du comité européen de la protection des données (CEPD).
À la section 3, qui vise les « traitements d’informations », le centre est autorisé à traiter une série de données à caractère personnel au fil de ses différentes missions (article 51).
La section 4 orchestre différentes collaborations, avec un rôle clef pour les agents référents désignés au sein de chaque autorité de coordination (article 52). Le Centre de l’UE devra coopérer pour sa part avec Europol (article 53), l’un et l’autre devant ouvrir le plus largement possible l’accès à leurs systèmes d’information pour les finalités du texte. Enfin, l’article 54 autorise la coopération avec des « organisations partenaires », celles qui, dans la société civile, œuvrent pour la prévention des abus sexuels sur enfants en ligne.
La section 5, qui débute à l’article 55, concerne l’organisation du Centre de l’UE. Son conseil d’administration sera par exemple « composé d’un représentant de chaque État membre et de deux représentants de la Commission », et d’un expert indépendant désigné par le Parlement européen, qui ne disposera toutefois pas du droit de vote. Europol pourra y envoyer un observateur, sur demande.
Les articles suivants concernent ses fonctions (article 57), la présidence (article 58), la tenue des réunions (article 59), les règles de vote (article 60), le conseil exécutif (articles 61 à 63), la direction (articles 64 à 65), le comité des aspects technologiques (article 66). L’article 67 et suivants les questions budgétaires, quand les articles 71 à 75 traitent du personnel.
Enfin, dans la section 8 titrée « dispositions générales », sont envisagés le régime linguistique (article 76), les règles de transparence (article 77) et les mesures de lutte contre la fraude (article 78) ainsi que de responsabilité (article 70) et d’autres points plus périmétriques (jusqu’à l’article 83).
Collecte de données et transparence
La collecte des données et les rapports de transparence exigés par le règlement font l’objet du chapitre V. FAI, hébergeurs et fournisseurs de solutions de messagerie interpersonnelle seront tenus de collecter des données, qui seront ensuite mises à disposition du Centre de l’UE.
Quelles données ? Il s’agira par exemple des technologies utilisées pour répondre à une injonction de détection, du taux d’erreur pour identifier des abus sur enfants et les mesures prises pour les corriger ou les prévenir. Ces intermédiaires devront quantifier les injonctions de retrait et de blocage, outre le temps moyen pour retirer les contenus.
Les autorités de coordination seront également appelées à fournir des données, en particulier sur les suites pénales données « aux signalements d’abus sexuels potentiels sur enfants en ligne que le Centre de l’UE a transférés ». Ils devront identifier les « risques les plus importants et récurrents d’abus sexuels sur enfants en ligne » et établir la liste des intermédiaires visés par une injonction de détection, de retrait ou de blocage.
Le Centre de l’UE établira un bilan du nombre d’indicateurs figurant dans ses bases de données, le nombre de signalements communiqués par les hébergeurs, le nombre de victimes d’abus sexuels, etc.
Des rapports de transparence sont aussi attendus des fournisseurs, explique l’article 84. Ils seront érigés à partir des données fournies aux autorités. Ces rapports annuels seront mis à disposition du public. Évidemment, ils ne devront contenir « aucune information susceptible de porter atteinte aux activités en cours en matière d’assistance aux victimes ou de prévention ou de détection des infractions sexuelles contre des enfants, d’enquêtes ou de poursuites en la matière ».
Enfin, le chapitre VI sur les dispositions finales demande à la Commission européenne de produire tous les cinq ans un rapport d’évaluation. À cette fin, elle aura accès aux informations détenues par les autorités de coordinations présentes dans chaque État membre.
L’article 86 concerne les pouvoirs de la Commission s’agissant des actes délégués, l’article 87 lui offre l’assistance d’un comité spécifique. L’avant-dernier article abroge le règlement 2021/1232 du 14 juillet 2021 qui concernait déjà la lutte contre les abus sexuels commis contre des enfants en ligne. L’ultime article 89 orchestre l’entrée en vigueur du règlement fixée à 20 jours après sa publication au Journal officiel de l’UE. Six mois plus tard, il entrera en application. Le texte débutant sa procédure parlementaire européenne, nous reviendrons sur sa version finale.
Plébiscites... et critiques
L’arrivée d’un tel texte dans le ciel européen a été critiquée par plusieurs acteurs, et accueillie par 41 contributions extérieures. Tutanota, une solution « open-source » de sécurisation des courriers, y voit « l'un des appareils de surveillance de masse les plus sophistiqués jamais déployés en dehors de la Chine : le balayage CSAM sur les appareils de tout le monde ».
Pour l’éditeur, « même si une IA scanne vos messages privés, cela reste une surveillance de masse sans mandat ».
« Personne ne nie que les abus sexuels sur les enfants soient un problème important qui doit être traité », relève-t-il. Toutefois, « lorsqu'on propose des mesures aussi radicales que l'analyse par le CSAM de chaque message de discussion privé, les arguments doivent être solides. Sinon, la Commission européenne n'aide personne, ni les enfants, ni nos sociétés libres et démocratiques ».
Dans un second billet, l’éditeur anticipe déjà une extension de ces mesures de surveillance, d’abord justifiée par la lutte contre la pédocriminalité. « Ensuite, on cherche des terroristes, des trafiquants d'êtres humains, des trafiquants de drogue, et ainsi de suite ».
Du côté du Chaos Computer Club (CCC), on estime qu’il n’y a pas de « communication fiable sans appareils fiables », ce qui implique l’intégrité des échanges, chiffrement et absence de transmission des contenus à des tiers. Pour le CCC, même avec un faible taux d’erreur, les solutions de détection automatisée pourraient frapper injustement, rien qu’en Allemagne, plusieurs milliers de messages chaque jour.
Dans une note adressée à la Commission européenne, Google partage évidemment l’objectif de lutter contre ces infractions à l’encontre des enfants – personne ne le conteste. Cependant, craint le G de GAFAM, l’obligation d'appliquer de tels outils « risque d'inciter les entreprises à prioriser la suppression au détriment de l'exactitude, et pourrait effectivement équivaloir à une obligation de filtrer tout le contenu ».
EuropISA, l’association européenne des FAI, rappelle à ce titre l’importance de la préservation du chiffrement de bout en bout, quand l’UNICEF applaudit l’initiative. L’ONG Missing Children Europe considère, elle aussi, que la lutte contre les abus sexuels visant les enfants « doit couvrir tous les domaines », même ceux en ligne, et réclame l’implication des intermédiaires, dont les FAI. CloudFlare est pour sa part plus dubitative sur le volet technique.
Les craintes des gardiens du RGPD ? Un scan généralisé
Surtout, dans une opinion commune, rendue publique le 29 juillet, le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont exprimé leurs inquiétudes.
Malgré les multiples garanties affichées, ils estiment que le texte en l’état pourrait générer plus de risques pour la société dans son ensemble que pour les criminels visés par le CSAM. Ils dénoncent des formulations peu claires dans les conditions permettant d’émettre une injonction de détection pour abus sexuel sur mineur (voir l’article 7, ci-dessus).
Par conséquent, « il existe un risque que la proposition ne serve de base à un scan généralisé et indiscriminé du contenu de pratiquement tous les types de communications électroniques », même si le futur règlement réclame des injonctions « ciblées ».
Les deux autorités, nées du RGPD, considèrent que l'utilisation de technologies, comme l'intelligence artificielle épaulée par des indicateurs, « est susceptible de générer des erreurs et représente un niveau élevé d'intrusion dans la vie privée des individus ».
Et celles-ci de rappeler l’importance du chiffrement pour le respect de la vie privée, la confidentialité des communications et la liberté d’expression.
