Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »

L'European Digital Rights (EDRi), qui fédère une cinquantaine d'ONG de défense des droits humains à l'ère numérique, a compilé une impressionnante liste d'arguments s'opposant à ce qu'elle qualifie de « projet de loi européen le plus critiqué de tous les temps ».

La proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants est l' « une des lois européennes sur l'internet les plus controversées et les plus malavisées » auxquelles ait jamais été confronté l'EDRi, qui a compilé un nombre impressionnant d'avis et rappports d'experts à ce sujet :

« Un nombre sans précédent de parties prenantes se sont inquiétées du fait qu'en dépit de ses objectifs importants, les mesures proposées dans le projet de règlement européen sur les abus sexuels commis sur des enfants sont fondamentalement incompatibles avec les droits de l'homme, les droits fondamentaux et la jurisprudence de l'UE. »

EDRi relève bien évidemment que « toutes les parties prenantes conviennent de l'importance de l'objectif de protection des enfants ». Pour autant, « toutes les évaluations juridiques et techniques formelles ont conclu que les mesures proposées pourraient constituer des violations disproportionnées de la vie privée, des données personnelles et de la liberté d'expression, et s'appuyer sur des mesures techniquement irréalisables ou dangereuses. »

• La Commission européenne veut surveiller l'intégralité du web, des mails et des messageries chiffrées
• Les 2/3 des mineurs européens sont contre l’analyse de leurs messages persos
• L'Espagne voudrait que l'Europe interdise le chiffrement de bout en bout

La publication de cette compilation d'arguments est d'autant plus opportune qu'Apple vient tout juste d'expliquer avoir finalement renoncé à détecter les contenus pédocriminels afin d'éviter tout risque de « surveillance de masse », et que la Grande-Bretagne vient de son côté de renoncer à son propre projet de surveillance proactive des messageries chiffrées initialement destiné, tout comme la proposition européenne, à identifier les contenus pédosexuels, parce que cela s'avère « techniquement impossible ».

Quand les autorités se tirent une balle dans le pied...

EDRi commence son recensement en soulignant, ironiquement, que l'analyse d’impact de la Commission européenne reconnaît elle-même qu’il n’existe pas de méthodes offrant de bons niveaux de confidentialité, de sécurité et de faisabilité, et que son propre comité de surveillance réglementaire a pour sa part prévenu que la proposition pourrait s'apparenter à une surveillance généralisée, et donc illégale.

L'avis officiel du service juridique du Conseil de l'UE a, lui aussi, mis en garde contre un « risque sérieux » de surveillance généralisée, sapant le chiffrement, et violant l'essence même du droit à la vie privée.

Le Contrôleur européen de la protection des données et le Comité européen de la protection des données ont tous deux averti que la proposition porterait gravement atteinte à des personnes innocentes, sans que rien ne prouve qu'elle protégera les enfants.

... qui mettra en difficulté survivants d'abus, procureurs et policiers

EDRi relève également que plusieurs survivants d'abus sexuels sur mineurs se sont eux aussi prononcés contre le projet de règlement, au motif qu'il n'a pas fait montre de preuves de son efficacité, mais risque a contrario d'entraîner des faux positifs. De plus, en s'attaquant au chiffrement des communications, il pourrait décourager des victimes de témoigner ou d'aller rechercher de l'aide, tout en les exposant à des risques de chantage et de fraude.

• Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (1re partie)
• Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (2de partie)

Des experts de la protection des droits des enfants alertent de leur côté au sujet des risques de criminalisation du sexting entre adolescents consentants. Des procureurs allemands estiment que le règlement ne les aiderait pas à lutter contre la pédocriminalité, car il ne s'attaque pas aux problèmes réels auxquels ils sont confrontés. 

Des policiers spécialisés dans la protection de l'enfance craignent pour leur part d'être submergés de faux positifs et fausses alarmes, et de ne pas être en mesure de pouvoir traiter le volume de signalements qui leur seraient transmis.

Le FBI a d'ailleurs averti les membres du Parlement européen de la commission LIBE qu'il « ne dispose pas de ressources suffisantes pour traiter tous les cas de CSAM qu'ils détectent et qu'ils doivent donner la priorité à certains d'entre eux » et que, « de ce point de vue, la surveillance de masse des communications n'entraînerait pas une amélioration de l'application de la loi ».

Un consensus scientifique, universitaire, humanitaire et juridique

EDRi rappelle que 465 scientifiques et universitaires, experts en cybersécurité et questions de confidentialité, estiment que les mesures proposées sont dangereuses et intenables, et que 47 ONG de défense des droits humains à l'ère numérique appellent au rejet de la proposition de règlement, au vu des problèmes qu'il pose, et qu'il n'a pas été démontré qu'il pourrait atteindre les objectifs poursuivis.

Des chercheuses féministes expertes ont de leur côté qualifié la proposition de « paternaliste », et passant à côté des violences sexistes. De nombreux cryptographes y voient en outre une « guerre contre le chiffrement de bout en bout », en sus d'un risque de « surveillance de masse », d'autant plus absurde qu'elle serait inefficace, tout en entraînant de forts risques d'abus et d'erreurs.

Plusieurs juristes, dont un ancien conseiller principal du Haut-Commissariat des Nations Unies aux droits de l'homme, estiment que la proposition repose sur une logique erronée qui porterait atteinte aux droits procéduraux et à la présomption d'innocence, et qu'elle serait très probablement incompatible avec la jurisprudence de l'UE, avec une « forte probabilité d'annulation » par la CJUE.

« Traiter tout le monde comme un criminel potentiel » ?

EDRi relève en outre que plusieurs gouvernements et parlements nationaux se sont eux aussi prononcés contre la proposition de règlement. Les gouvernements de l'Estonie, de la Finlande, de Malte, de l'Italie et des Pays-Bas ont ainsi « tous soulevés de graves problèmes » à son sujet.

Paweł Lewandowski, sous-secrétaire d'État polonais à la chancellerie du Premier ministre, a par exemple expliqué à Euractiv que « ce règlement n'est pas du tout nécessaire », au vu des autres réglementations concernant la sécurité sur Internet, tout en soulignant qu'aucun des États de l'ancien bloc soviétique ne donnerait un tel blanc seing à ce type de surveillance indifférenciée.

Pour lui, le seul cas où une personne devrait être surveillée est celui où « le tribunal l'ordonne, et non les procureurs », et qu'elle ne devrait être autorisée qu'après la collecte de preuves, au motif que « nous ne pouvons pas traiter tout le monde comme un criminel potentiel ».

L'ensemble des partis du Parlement autrichien ont par ailleurs voté contre la proposition de règlement, « à moins qu'il ne puisse garantir la protection du cryptage, ne contienne aucune obligation générale de surveillance et respecte les droits de l'homme ».

Le service juridique du Parlement allemand qualifie pour sa part les mesures proposées de « surveillance généralisée » en violation de la Charte des droits fondamentaux, et les gouvernements autrichien et allemand se sont engagés à protéger totalement le chiffrement de bout en bout contre ce règlement.

Les députés du Parlement néerlandais ont de leur côté adopté une motion demandant à leur gouvernement de ne pas autoriser la mise en place de cette proposition au motif qu'elle affecterait le chiffrement de bout en bout et donc le droit à la confidentialité des communications.

Au printemps dernier, la commission de la justice du Parlement irlandais déplorait une « numérisation aveugle des communications numériques, menaçant la sécurité, la vie privée et la liberté d'expression de tous » qui ne pourrait qu' « inonder » les autorités de faux positifs, aux dépens tant des policiers que des enfants maltraités.

Même le Sénat français s'est fendu d'une résolution !

Le Sénat français, de son côté, a adopté une résolution évoquant « les graves atteintes aux droits fondamentaux susceptibles d’être posées par de telles entorses au chiffrement » et appelant à la « suppression des dispositions relatives à la recherche indifférenciée de contenus pédopornographiques » au motif que les recherches de contenus indifférenciées envisagées par la proposition sont « techniquement impossibles » sur des ensembles de contenus chiffrés de bout en bout :

« pour y procéder, les fournisseurs de services de communications interpersonnelles cryptés devraient donc renoncer, partiellement ou totalement, au cryptage des contenus, au détriment de la confidentialité des communications et au risque de créer des failles de sécurité dommageables. »

Les sénateurs constataient par ailleurs l’ « insuffisante maturité » des outils de détection automatique des contenus à caractère pédopornographiques, et a fortiori des contenus de « pédopiégeage » (consistant à se faire passer pour un mineur afin d'attirer des pédophiles), ce qui « risque donc de générer un nombre important de "faux positifs" et en conséquence, de voir portés à la connaissance des autorités de contrôle et des autorités répressives de nombreux contenus légaux. »

La résolution déplorait en outre que les garanties procédurales prévues par la proposition « ne sont pas suffisantes pour préserver les utilisateurs d’un risque de surveillance généralisée et permanente de leurs communications ».

Elle relevait également, « avec gravité, sur la base de l’avis conjoint du Comité européen de la protection des données et du Contrôleur européen de la protection des données », qu’en raison du manque de clarté de ses dispositions et de son large champ d’application, la proposition de règlement « risquerait de faire des exceptions posées au principe de confidentialité des communications une règle » et, dès lors, de « constituer la base d’une surveillance généralisée et indifférenciée de l’ensemble des contenus des communications électroniques » de tous leurs utilisateurs dans l’Union européenne et dans l’Espace économique européen.

Rendre, a contrario, le chiffrement obligatoire

Au Parlement européen, 14 eurodéputés de la commission parlementaire chef de file (libertés civiles, ou LIBE), issus de 4 groupes politiques, demandent le rejet du projet de règlement, au motif qu'il pourrait « violer l'essence même du droit à la vie privée », et qu'il n'est pas compatible avec les lois de l'UE en matière de droits humains.

Constatant qu'il n'est pas possible d'analyser le contenu des messages chiffrés sans compromettre fondamentalement l'objectif du chiffrement, et sans introduire de dangereuses failles de sécurité, les eurodéputés socialistes ont, a contrario, proposé que l'utilisation du chiffrement de bout en bout ne soit pas seulement « encouragée », mais dans certains cas rendue « obligatoire conformément aux principes de sécurité et de respect de la vie privée par défaut », reconnaissant expressément que le chiffrement profite également aux enfants.

Des amendements ont également été déposés afin de protéger le chiffrement contre les mesures « qui le sapent ou le contournent » ou qui découragent son utilisation, en vue d'exclure totalement les communications chiffrées des règles de détection et d'exclure tout affaiblissement du chiffrement, et pour s'opposer au fait que la loi puisse conduire au développement ou à l'utilisation de portes dérobées. 

De nombreux eurodéputés de la commission IMCO (marchés intérieurs) ont eux aussi critiqué le champ d'application de la proposition, qui « réduirait à néant la vie privée, la sécurité et la liberté d'expression de tous les internautes », résume EDRi.

L'eurodéputé David Lega (PPE), co-président de l'intergroupe du Parlement européen sur les droits de l'enfant, s'est lui aussi exprimé contre la proposition de règlement qui, « dans sa forme actuelle, présente des lacunes majeures ».

Un taux de faux positifs bien trop important

Microsoft, dont le logiciel PhotoDNA de détection des images pédosexuelles fait autorité, a de son côté recommandé de ne pas s'appuyer sur le taux de précision de 88 % avancé par la Commission européenne dans son étude d'impact.

Microsoft explique en effet que ce chiffre ne se rapporte qu'à « une seule technique en langue anglaise formée sur un petit ensemble de données de cas connus de sollicitation dans des communications textuelles historiques », et ne sert qu'à « signaler une sollicitation potentielle » en vue d'un examen dans le cadre d'un processus de modération plus large.

LinkedIn, qui utilise PhotoDNA, a de son côté constaté un taux de faux positif de 59 % : sur les 8 millions de fichiers scannés au moyen de technologies de reconnaissance des empreintes numériques (hachage) 75 avaient été automatiquement suspectées de relever de la catégorie CSAM, mais seuls 31 l'étaient vraiment.

La Computer & communications industry association (CCIA Europe) et huit associations industrielles européennes (ACT, CISPE Cloud, DOT Europe, eco, EuroISPA, FiCom, ISPA Austria et ITI), représentant les intérêts de nombreuses Big Tech dont Google, Meta, Microsoft ou Mozilla, ont pour leur part publié une déclaration commune estimant notamment que « les injonctions de détection, en raison de leurs graves conséquences, devraient être une mesure de dernier recours », mais également être conformes au DSA qui « interdit les obligations générales de surveillance par les prestataires d'hébergement ».

La déclaration commune souligne au surplus qu'une atteinte au chiffrement « aurait un impact sérieux sur l'infrastructure technique de l'internet » et « entraverait les efforts visant à créer un internet qui renforce la confiance, la vie privée des utilisateurs et la liberté d'expression ».

Le Haut Commissaire des Nations Unies aux droits de l'homme (OHCHR), tout comme plusieurs associations de journalistes et d'avocats, ainsi que 134 ONG représentant un large éventail de défenseurs des droits humains et numériques, des droits des enfants et des femmes, ont eux aussi appelé l'UE à rejeter la proposition de règlement, conclut EDRi :

« Lorsque l'on remet fondamentalement en cause le fonctionnement de l'internet, on le rend moins sûr pour tout le monde. S'il est adopté, ce règlement transformera l'internet en un espace dangereux pour la vie privée, la sécurité et la liberté d'expression de chacun. Cela inclut les enfants que cette loi vise pourtant à protéger. »