Un mémo interne du service juridique du Conseil de l'Union européenne estime que le projet de surveillance des messageries chiffrées, afin de lutter contre le partage de contenus pédocriminels, serait disproportionné, conduirait à une surveillance généralisée, et serait probablement jugé illégal par les instances de l'UE.
Un mémo interne (.pdf) du service juridique du Conseil de l'UE adressé à ENFOPOL, le groupe de travail relatif aux forces de l'ordre, estime que le projet, très décrié, de surveillance des messageries chiffrées à la recherche de contenus pédocriminels soulevait de sérieux doutes en matière de légalité, et même qu'il « serait probablement annulé par les tribunaux pour violation des droits de leurs utilisateurs », rapporte The Guardian.
Le mémo, qui vient de fuiter, estime que la proposition de règlement constituait une « limitation particulièrement grave des droits à la vie privée et aux données personnelles », et qu'il existait un « risque sérieux » qu'elle fasse l'objet d'un contrôle judiciaire « pour de multiples raisons ».
La lutte contre la pédocriminalité ne relèverait pas de la sécurité nationale
Le service juridique relève en effet que la Cour européenne de justice a précédemment jugé que la surveillance des métadonnées des communications n'était « proportionnée que dans le but de sauvegarder la sécurité nationale ». Par conséquent, « il est plutôt improbable qu'un filtrage similaire du contenu des communications dans le but de lutter contre le crime d'abus sexuel sur les enfants soit jugé proportionné, encore moins en ce qui concerne les comportements ne constituant pas des infractions pénales ».
Les juristes concluent que le règlement proposé « risque sérieusement de dépasser les limites de ce qui est approprié et nécessaire pour atteindre les objectifs légitimes poursuivis, et donc de ne pas respecter le principe de proportionnalité ».
Une proposition qui impliquerait nécessairement le profilage de masse
Ils s'inquiètent également du fait qu'en cherchant à lutter contre l'exploitation sexuelle des mineurs, les fournisseurs devraient introduire des processus de vérification de l'âge des utilisateurs de messageries chiffrées, ce qui « impliquerait nécessairement le profilage de masse » de leurs utilisateurs, ou l'analyse biométrique du visage ou de la voix de l'utilisateur. Selon eux, cela « ajouterait nécessairement une autre couche d'interférence avec les droits et les libertés des utilisateurs », ce qui ne semblerait guère réfréner les partisans de la proposition, relève The Guardian :
« Malgré ces conseils, il semblerait que 10 États membres de l'UE - Belgique, Bulgarie, Chypre, Hongrie, Irlande, Italie, Lettonie, Lituanie, Roumanie et Espagne - soutiennent le maintien du règlement sans modification. »
Le secret de la correspondance deviendrait ineffectif et vide de sens
Patrick Breyer, un eurodéputé allemand membre du Parti Pirate et siégeant à la commission des libertés civiles du Parlement européen, en pointe contre ce projet de « ChatControl », s’est exprimé sur le sujet. Il relève que les juristes estiment qu'en autorisant un accès généralisé aux communications personnelles de citoyens qui ne sont pas liées, même de loin, à l'exploitation sexuelle de mineurs, « le droit au secret de la correspondance deviendrait ineffectif et vide de contenu ». Cela constituerait « très probablement » une surveillance « générale et indiscriminée ». La législation risquerait donc de compromettre « l'essence du droit fondamental au respect à la vie privée » :
« Si le Conseil devait décider de maintenir les communications interpersonnelles dans le champ d'application du régime de l'ordonnance de détection, ce régime devrait être ciblé de telle sorte qu'il s'applique aux personnes à l'égard desquelles il existe des motifs raisonnables de croire qu'elles sont, d'une manière ou d'une autre, impliquées dans un délit d'abus sexuel d'enfants, qu'elles commettent ou qu'elles ont commis un tel délit... »
Les messageries chiffrées dénoncent 6 autres projets similaires
Sur Twitter, un thread du cryptographe et expert en sécurité informatique Alec Muffett résume les conclusions de l'analyse par les juristes du Conseil de l'UE de la proposition de « ChatControl » qui :
- entraverait la vie privée et la protection des données,
- ne serait pas clairement défini,
- conduirait à une surveillance généralisée,
- serait disproportionnée, et indiscriminée,
- impacterait des innocents,
- devrait faire l'objet de mandats.
Plusieurs messageries chiffrées, dont Signal, s'étaient récemment inquiétées de l'amoncèlement de projets de loi anti-chiffrement, et avaient menacé de cesser de fonctionner dans les pays qui les obligeraient à installer des portes dérobées, seul moyen de pouvoir scanner les messages avant qu'ils ne soient envoyés.
