La Commission européenne veut surveiller l’intégralité du web, des mails et des messageries chiffrées

Un projet de règlement de la Commission européenne, que le Sénat s'apprête à discuter, veut faire surveiller, par des IA, l'intégralité du web, des emails et messageries chiffrées, afin d'identifier les « violences sexuelles sur mineurs ». Au-delà de son impossibilité technique, la proposition ferait de nombreuses victimes collatérales.

En mai 2022, la Commission européenne présentait une nouvelle proposition de règlement « visant à prévenir et à combattre les abus sexuels sur les enfants en ligne », afin d'obliger les fournisseurs de « certains services » à « détecter, signaler et retirer les matériels relatifs aux abus sexuels commis sur des enfants dans le cadre de leurs services » :

« Les obligations de détection concernent le matériel connu (photos et vidéos rechargées qui ont été précédemment repérées comme constituant du matériel relatif aux abus sexuels sur les enfants), le matériel nouveau (photos et vidéos qui n'ont pas été précédemment repérées) et le pédopiégeage (ou "grooming", une pratique selon laquelle les auteurs d'abus sexuels sur les enfants tissent une relation de confiance et un lien émotionnel avec des enfants afin de les manipuler, de les exploiter sexuellement et de les abuser). »

La Commission précisait que seraient concernés les « services d'hébergement et les services de communications interpersonnelles (tels que les services de messagerie), les boutiques d'applications et les fournisseurs d'accès à l'internet », comme le précise le projet de règlement : 

« Afin d’atteindre les objectifs du présent règlement, celui-ci devrait s’appliquer aux fournisseurs de services susceptibles d’être utilisés à mauvais escient à des fins d’abus sexuels sur enfants en ligne. Étant donné qu’ils sont de plus en plus souvent utilisés à ces fins, les services de communications interpersonnelles accessibles au public, tels que les services de messagerie et les services de messagerie électronique sur l’internet, dans la mesure où ils sont accessibles au public, devraient être couverts par le présent règlement. »

La proposition prévoit qu'ils « devront déployer des technologies qui soient les moins intrusives au regard de la vie privée en l'état actuel de la technique dans le secteur, et qui limitent autant que possible le ratio d'erreurs (faux positifs) ».

Une obligation de résultat et non de moyens

Le chiffrement de bout en bout (End-to-end encryption, ou E2EE) étant a priori incompatible avec de telles obligations, la Commission bottait en touche en rétorquant que ces dernières « sont technologiquement neutres, c'est-à-dire qu'elles ne précisent pas quelle technologie devrait être utilisée pour la détection », et qu' « il s'agit d'une obligation de résultat et non de moyens, qui laisse au fournisseur le choix de la technologie à exploiter, sous réserve du respect de garanties strictes ». 

La Commission précisait qu' « une technologie de chiffrement peut notamment être utilisée », eu égard au fait que « le chiffrement est un outil important pour la protection de la cybersécurité et de la confidentialité des communications ». 

Elle soulignait néanmoins que « cependant, des criminels pourraient abuser de son utilisation comme canal sécurisé pour dissimuler leurs actes, ce qui entraverait les efforts visant à traduire en justice les auteurs d'abus sexuels sur les enfants ».

Et ce, alors qu' « une grande partie des signalements d'abus sexuels sur les enfants [...] proviennent de services déjà chiffrés ou susceptibles de l'être à l'avenir ».

La Commission relevait que selon les estimations du National Centre for Missing and Exploited Children (Centre national américain pour les enfants disparus et exploités, NCMEC), « plus de la moitié de ses signalements CyberTipline disparaîtront avec un chiffrement de bout en bout, ce qui fera que les abus ne seront plus détectés, à moins que les fournisseurs ne prennent des mesures pour protéger également les enfants et la vie privée de ces derniers dans le cadre de services chiffrés de bout en bout » :

« Les analyses montrent que la perte estimée serait de 2 100 signalements par jour, alors que ces signalements auraient pu permettre de sauver des enfants d'abus persistants et d'empêcher que des auteurs d'abus ne commettent de nouveaux abus. »

Un processus itératif à trois niveaux 

Répondant aux risques de « surveillance de masse » qu'une telle proposition d'obligations pourraient engendrer, la Commission bottait là aussi en touche, rétorquant que l'obligation de détection « ne s'applique qu'à deux types de fournisseurs identifiés individuellement : les services d'hébergement et les services de communications interpersonnelles accessibles au public » et donc, incidemment, l'ensemble des personnes visitant des sites web, ou dotés d'adresses e-mail et messageries instantanées.

Elle n'en précisait pas moins que « le processus d'émission d'une injonction de détection est très détaillé et vise à limiter les mesures à ce qui est strictement nécessaire », et qu'elle devrait franchir trois paliers successifs : 

« Ce n'est que si les autorités estiment qu'il existe des preuves d'un risque important d'utilisation abusive et que les motifs justifiant l'adoption de l'injonction de détection l'emportent sur les conséquences négatives pour les droits et les intérêts légitimes de toutes les parties concernées, eu égard en particulier à la nécessité d'assurer un juste équilibre entre les droits fondamentaux de ces parties, que les autorités annoncent leur intention d'envisager une injonction de détection. »

La Commission soulignait que le fournisseur devrait en outre consulter l'autorité chargée de la protection des données dont elle dépend, et procéder à une analyse d'impact afférente, avant qu'une telle injonction puisse être ordonnée.

De plus, « ce n'est que si les autorités nationales confirment ensuite une troisième fois qu'un risque important persiste qu'elles pourraient demander une injonction à une autre autorité indépendante ou à une juridiction » :

« Ce processus itératif à trois niveaux garantit que les mesures sont limitées dans toute la mesure du possible, afin de faire en sorte qu'elles soient strictement nécessaires. »

Une détection effectuée de manière automatique et anonyme

Rappelant que « la législation impose une obligation de résultat et non de moyens », et que « les autorités nationales doivent tenir compte de la disponibilité et de l'adéquation des technologies pertinentes », la Commission concluait que « cela signifie qu'une injonction de détection ne sera pas émise si l'état de développement de la technologie est tel qu'il n'existe aucune technologie disponible permettant au fournisseur de se conformer à l'injonction » : 

« La détection est effectuée de manière automatique et anonyme, au moyen de technologies de pointe qui garantissent la plus grande efficacité possible et réduisent au minimum l'incidence sur le droit à la vie privée des utilisateurs. »

Le projet de règlement prévoit aussi de créer un nouveau centre, placé auprès d'Europol, chargé de prévenir et combattre les abus sexuels sur les enfants. Celui-ci sera en charge d'une liste de technologies utilisables et devra consulter le Comité européen de la protection des données (CEPD) à ce sujet :

« Il est également consulté sur les meilleures manières de déployer ces technologies pour garantir le respect des règles de l'UE applicables en matière de protection des données à caractère personnel. »

Dès lors, concluait la Commission, « il résulte de tout ce qui précède que les possibilités d'émettre des injonctions de détection et de procéder à la détection sont très réduites et limitées à ce qui est strictement nécessaire, tout en évitant tout abus des pouvoirs de détection ».

40 % des personnes suspectées avaient moins de 18 ans

L'eurodéputé Patrick Breyer, membre du Parti des pirates allemand, a répertorié les nombreux problèmes que posent ce « ChatControl ». Non content de signer « la fin de la confidentialité de la correspondance numérique », à mesure qu'elle est incompatible avec le chiffrement de bout en bout, cette forme de techno-solutionnisme pourrait générer plus de problèmes qu'elle n'en résoudrait.

• Trois pistes pour en finir avec le « solutionnisme technologique »

Breyer relève en effet que 80 % des signalements reçus par la police fédérale suisse « ne sont pas pénalement pertinents », mais relevant notamment de photos de vacances anodines montrant des enfants nus jouant sur une plage notamment. De même, en Irlande, seuls 20 % des signalements reçus en 2020 par les autorités ont finalement été confirmés comme relevant de la pédocriminalité.

De plus, souligne l'eurodéputé, et « même avec un taux de réussite de 99 %, cela signifierait que sur les 100 milliards de messages envoyés quotidiennement via WhatsApp, 1 milliard de faux positifs devraient être vérifiés », chaque jour. L'an passé, deux pères de famille américains avaient ainsi été soupçonnés, à tort, de pédophilie, pour avoir pris en photographie, à la demande de médecins, le sexe de leurs enfants. 

• Accusés à tort de pédophilie pour des photos faites à la demande de médecins

Patrick Breyer relève également que ceux qui échangent le plus de contenus pédocriminels le font surtout sur le dark web, ou encore en s'échangeant des liens vers des archives chiffrées protégées par des mots de passe, pas en pièces jointes de courriels ou de messageries chiffrées. 

Si certains le font, ils sont en outre bien plus nombreux à le faire de façon légitime et consensuelle, sous forme de sextos, y compris entre mineurs. Les enquêteurs risqueraient dès lors d'être noyés sous un tombereau de « faux positifs », ainsi que de sextos partagés entre mineurs consentants.

• Point de Contact relève une explosion de contenus à caractère sexuel autoproduits par les mineurs

La police allemande relevait ainsi qu'en 2021, près de 40 % des personnes suspectées d'avoir diffusé des contenus « pédopornographiques » sur Internet avaient moins de 18 ans, une proportion encore plus importante pour ceux qui avaient été accusés d'en posséder (sans forcément en avoir diffusé, NDLR), sur leurs smartphones notamment :

« En 2021, un total de 28 661 suspects (2020 : 12 516) ont été enregistrés. Parmi eux se trouvaient 11 666 jeunes âgés de 14 à 17 ans et 3 870 enfants de moins de 14 ans. La proportion de suspects mineurs était d'environ un tiers en 2020 (cas résolus : 1 650 enfants et 3 388 jeunes) et est maintenant passée à 54 %. »

En 2021, Apple avait certes tenté de déployer un mécanisme de recherche locale d'images de violences sexuelles sur mineurs, mais fait machine arrière suite à la bronca, et « compte tenu des retours des clients, des groupes de défense des droits, des chercheurs et d'autres personnes ».

• Apple va chercher des contenus pédopornographiques dans les iPhone américains
• Pédopornographie : Apple remet ses mesures controversées à plus tard
• Des mouchards dans vos poches ?
  

Sauf à installer des portes dérobées dans les messageries chiffrées, on peine à imaginer comment une telle proposition pourrait être mise en œuvre par les fournisseurs de messagerie. Or, l'installation de telles portes dérobées, serpent de mer régulièrement agité par les autorités dans le monde entier, nuirait à l'ensemble de la société, et est à ce titre dénoncé, depuis des années, par les professionnels de la cryptographie et de la cybersécurité, jusqu'aux anciens patrons de la NSA ou du GCHQ, son homologue britannique.

• Chiffrement de bout en bout : la Belgique veut une porte dérobée
• Le Congrès américain s'attaque (encore) au chiffrement de bout en bout
• Les Five Eyes, l’Inde et le Japon demandent à passer à travers le chiffrement de bout en bout

Nous reviendrons, dans un second article, sur la réponse de la commission des affaires étrangères du Sénat à cette proposition de règlement européen : 

• Le Sénat propose de rejeter le projet européen de surveillance de masse des communications