Le Royaume-Uni adopte le « projet de loi européen le plus critiqué de tous les temps »

Le Parlement britannique vient d'adopter un projet de loi d'autant plus controversé qu'il légalise des dispositions que le gouvernement a pourtant reconnu être « techniquement impossibles ». Le projet de loi français visant à sécuriser et réguler l’espace numérique (SREN) montre que certains députés français semblent étrangement vouloir s'en inspirer.

Après de longs débats et quatre années d’allers-retours, les deux chambres du Parlement britannique ont définitivement adopté le très controversé projet de loi Online Safety Bill (OSB), qui prétend faire du Royaume-Uni « l’endroit le plus sûr au monde où être en ligne ».

Similaire par certains aspects au projet de loi français « sécuriser et réguler l’espace numérique » (SREN), actuellement examiné en commission à l’Assemblée nationale, souligne l'agence Reuters, l'OSB entend protéger les mineurs sur Internet, et plus particulièrement sur les réseaux sociaux.

Les plates-formes devront ainsi et entre autres « supprimer rapidement ou empêcher la publication » de contenus incitant au suicide ou à l’automutilation, mettre en place des mesures supplémentaires de contrôle de l’âge des utilisateurs, publier des rapports réguliers sur les actions entreprises, faciliter les signalements de contenus ou situations problématiques, sous peine d'amendes pouvant atteindre 10 % de leur chiffre d’affaires mondial.

« Cette détection est techniquement impossible »

Véritable serpent de mer, la vérification de l'âge des internautes, destinée à empêcher les mineurs d'accéder aux contenus pornographiques, tout en protégeant la vie privée des internautes, avait déjà fait l'objet d'un projet de loi, abandonné en 2019.

• Aucune solution de contrôle d'âge satisfaisante, selon la CNIL 
• Les difficultés du contrôle d’âge en ligne, une « preuve de concept » sur la rampe
• Blocage des sites X : « il existera toujours des méthodes pour contourner la vérification d’âge »

Reuters relève en outre que son autre disposition la plus controversée, qui veut imposer aux messageries et grandes plates-formes de « scanner » de façon proactive les contenus échangés par leurs utilisateurs pour y détecter des contenus pédopornographiques, a bel et bien été conservée.

Et ce, alors que le gouvernement avait pourtant annoncé, la semaine passée, renoncer à la surveillance proactive des messageries chiffrées, au motif que « cette détection est techniquement impossible pour les messageries sécurisées par un chiffrement dit "de bout en bout" », comme n'avaient de cesse de le rappeler lesdites messageries depuis des mois, au point de menacer de quitter le pays si d'aventure cette surveillance proactive était adoptée en l'état.

• Online Safety Bill : WhatsApp et Signal continuent de tirer l’alarme
• La Grande-Bretagne renonce à la surveillance proactive des messageries chiffrées
• L'ex-directeur de l'ANSSI britannique dénonce lui aussi le projet de loi anti-chiffrement

Dans une déclaration conjointe, plusieurs ONG (le Center for Democracy & Technology, Global Partners Digital, l'Internet Freedom Foundation, l'Internet Society et Mozilla, qui constituent le comité directeur de la Global Encryption Coalition), évoque à ce titre « une législation qui présente des lacunes graves en matière de chiffrement et qui met plus que jamais en péril la sécurité de tous les internautes » : 

« Le projet de loi sur la sécurité en ligne donne à un régulateur britannique, l'Ofcom, le pouvoir d'obliger les plateformes à effectuer une surveillance de masse en scannant le contenu à l'aide de technologies qui porteraient atteinte à la sécurité et à la vie privée fournies par le chiffrement de bout en bout. »

« Ces technologies d'analyse n'existent pas »

Elles rappellent aussi que « ces technologies d'analyse n'existent pas et il est peu probable qu'elles existent un jour ». Les ONG estiment aussi que cette validation par le Parlement « est d'autant plus étrange que le Safety Tech Challenge Fund du gouvernement britannique, qui était censé identifier les technologies de balayage de sécurité, a échoué dans sa mission » : 

« Les évaluateurs du National Research Centre on Privacy, Harm Reduction and Adversarial Influence Online (REPHRAIN) du Royaume-Uni ont identifié des problèmes majeurs avec les technologies de balayage proposées dans le cadre de cette initiative, notamment le fait qu'elles compromettraient le chiffrement de bout en bout. Malgré ces preuves, le gouvernement britannique continue de s'aveugler volontairement sur les dangers à venir. »

« Il est essentiel que l'Ofcom [l'ARCOM britannique, ndlr] reconnaisse qu'il n'existe pas de technologies de surveillance sûres », conclut la déclaration : 

« Malgré la volonté manifeste du gouvernement britannique de fermer les yeux sur les réalités techniques et les conséquences néfastes d'une remise en cause du chiffrement de bout en bout, l'Ofcom doit utiliser ses nouveaux pouvoirs dans le but de préserver la sécurité des communications plutôt que de la compromettre. »

Une loi qui « porte atteinte à tous les utilisateurs d'Internet »

L'Electronic Frontier Foundation (EFF) états-unienne, pionnière des ONG de défense des libertés numériques, estime elle aussi que « le Parlement britannique a porté atteinte à la vie privée, à la sécurité et à la liberté de tous les utilisateurs d'Internet » : 

« Le Parlement britannique a adopté le projet de loi sur la sécurité en ligne (OSB), qui prétend faire du Royaume-Uni "l'endroit le plus sûr" du monde pour être en ligne. En réalité, le projet de loi sur la sécurité en ligne conduira à un Internet beaucoup plus censuré et verrouillé pour les utilisateurs britanniques. Le projet de loi pourrait permettre au gouvernement de porter atteinte non seulement à la vie privée et à la sécurité des résidents du Royaume-Uni, mais aussi à celles des internautes du monde entier. »

Rappelant que le seul moyen de pouvoir effectuer une telle surveillance proactive est d'imposer l'installation de portes dérobées (backdoors) dans les messageries chiffrées, l'EFF déplore que « paradoxalement, les législateurs britanniques ont créé ces nouveaux risques au nom de la sécurité en ligne » : 

« Si le Royaume-Uni utilise ses nouveaux pouvoirs pour analyser les données personnelles, les législateurs porteront atteinte à la sécurité dont les gens ont besoin pour se protéger des harceleurs, des voleurs de données, des gouvernements autoritaires et autres. »

Une loi qui « conduira à des décisions de censure politisées »

L'EFF souligne par ailleurs qu'en matière de censure et de filtrage, l'OSB oblige les plateformes à retirer les contenus que le gouvernement britannique « considère comme inappropriés pour les enfants » et que, « si elles ne le font pas, elles s'exposent à de lourdes sanctions ». 

« Le problème, c'est qu'au Royaume-Uni comme aux États-Unis, les gens ne sont pas d'accord sur le type de contenu qui est dangereux pour les enfants », poursuit l'ONG, remarque qui vaut aussi pour les autorités européennes : « Confier cette décision à des organismes de réglementation gouvernementaux conduira à des décisions de censure politisées ». 

L'ONG qualifie elle aussi les systèmes de vérification de l'âge de « préjudiciables », au motif que « cela viole les principes fondamentaux de l'accès anonyme et simple qui existent depuis le début de l'Internet » : 

« Il ne devrait pas être nécessaire de montrer sa carte d'identité pour accéder à Internet. Les systèmes de vérification de l'âge destinés à empêcher les enfants d'accéder à Internet conduisent invariablement les adultes à perdre leur droit à la liberté d'expression et à l'anonymat, ce qui est parfois nécessaire. »

Le « projet de loi européen le plus critiqué de tous les temps »

L'European Digital Rights (EDRi), qui fédère une cinquantaine d'ONG de défense des droits humains à l'ère numérique, avait d'ailleurs récemment compilé une impressionnante liste d'arguments, émanant tout autant d'ONG que de chercheurs et experts, universitaires, responsables politiques et gouvernementaux, s'opposant eux aussi à ce qu'elle qualifie de « projet de loi européen le plus critiqué de tous les temps ».

• Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »

La proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants (CSAR, ou #ChatControl pour ses opposants) voudrait en effet et elle aussi imposer ce type de surveillance proactive des contenus pédosexuels.

Et ce, alors que le projet de loi visant à sécuriser et réguler l’espace numérique (SREN) fait lui aussi actuellement polémique en France. Sur Linforme.com, notre confrère Marc Rees relève ainsi que cette « Hadopi de la cyberhaine » voudrait pouvoir « instaurer des messages d’avertissement et une peine de suspension contre les abonnés dont les box Internet ont servi à publier des messages haineux sur les réseaux sociaux ».

• « Sécuriser et réguler » le numérique : ce que contient le projet de loi
• Mozilla lance une pétition contre le projet de loi français de filtrage au niveau du navigateur

Une surenchère démagogue, voire populiste

Marc Rees a également répertorié une ribambelle d'amendements, dont plusieurs ont depuis été retirés après avoir été brocardés, révélant surtout que leurs auteurs ne maitrisaient pas ce dont il était question.

L'amendement qui voulait interdire de "publier", "commenter" et même "interagir" avec un hébergeur (dont réseaux sociaux) par VPN a donc été retiré par son auteur, le député de la majorité @MounirBelhamiti
Il reste plusieurs amendements #VPN sur la rampe du #PJLSREN
Thread ⤵️ https://t.co/gVlVFQA5zp pic.twitter.com/v2NiWUJOSR

— marc rees (@reesmarc) September 17, 2023

L'un d'entre eux voulait par exemple que les utilisateurs identifiés par une plateforme réservée aux adultes comme étant connectés par VPN (ou autre technologie qui invalide la vérif d’âge) soient traités par défaut comme des mineurs, et donc bloqués.

Deux autres voulaient obliger les fournisseurs de VPN à empêcher « l’accès à un réseau internet non soumis à la législation et réglementation française ou européenne », sous peine d'amende, de blocage et de déréférencement du fournisseur. 

Les auteurs de plusieurs d'entre-eux précisaient être « conscients de l’impossibilité technique d’encadrer le recours à des VPN, notamment dans un but de contournement de la loi », justifiant leurs amendements par le fait de « mettre ce sujet en lumière afin, à terme, de trouver une solution technique pertinente et efficace ».

Tout comme avec l'Online Safety Bill britannique, et plutôt que d'expliciter les termes du débat, ces parlementaires préfèrent la surenchère démagogue, voire populiste. À défaut de solution technique, ces éléments de langage leur permettent de faire croire à l'opinion publique qu'ils ne restent pas bras ballants, en s'assurant des marronniers journalistiques à peu de frais. 

Règle de base. Pour se faire un nom en politique, suffit de sortir "sous couvert de lancer le débat" une proposition bien clivante, qui va vous assurer une couverture médiatique pour pas un rond avec des médias accros aux éléments de langage.
Objectif atteint. #PJLSREN https://t.co/sqdIimT34z

— Alec ن Archambault (@AlexArchambault) September 20, 2023

« Interdire l'anonymat en ligne est un mythe »

« En voulant instaurer une censure autoritaire et extra-judiciaire, en voulant mettre fin à l’anonymat en ligne et en répétant les erreurs déjà commises avec la loi Avia, le gouvernement fait une nouvelle fois fausse route », déplore à ce titre la Quadrature du Net.

L'ONG estime en outre, avec Act Up, que les deux articles qui entendent renforcer le contrôle des sites proposant du contenu à caractère pornographique, « en leur imposant de vérifier l’âge des internautes pour bloquer l’accès aux mineur·es », comporte plusieurs « dangers », et « ne résoudra rien ».

Et ce, alors que la Commission européenne a pourtant rappelé, souligne l'avocat spécialiste du numérique Alexandre Archambault, que « les États membres devraient s'abstenir d'adopter des législations qui feraient double emploi avec ces règlements ou qui créeraient des dispositions plus strictes ou plus détaillées dans les domaines réglementaires concernés ».

• Emmanuel Macron voudrait bannir les cyberharceleurs des réseaux sociaux, sans juge
• La Commission européenne avertit la France qu'elle ne peut pas aller au-delà de ses règlements

« Interdire l'anonymat en ligne est un mythe », rappellent en outre les députés Eric Bothorel (Renaissance) et Philippe Latombe (Modem), spécialistes du numérique, en réponse à amendement voulant imposer aux utilisateurs de prouver leur identité auprès des plateformes en ligne.

Mythe que n'a de cesse de brocarder Matthieu Audibert, officier de Gendarmerie et doctorant en droit privé et sciences criminelles, spécialiste de la Cybercriminalité, depuis des années.

Petit #Thread
Fact checking de cet article.
D'emblée, cet article contient plusieurs contre-vérités.
Interdire l'anonymat: pour interdire l'anonymat sur les réseaux sociaux, encore faudrait-il qu'il existe or techniquement ce n'est pas le cas ⬇️ https://t.co/dh1soD8IIn

— Matthieu Audibert (@MattAudibert) July 24, 2021

Le vrai problème : l'absence de moyens accordés à la Justice

L'anonymat sur Internet, au sujet duquel nous avons consacré moult articles, a d'ailleurs été battu en brèche par le ministère de la transition numérique et des télécommunications qui, en réponse à une question parlementaire, rappelait en février 2023  qu'« il est dans l'immense majorité des cas, possible pour les autorités publiques, de découvrir l'identité des auteurs d'infractions à partir de leurs données de connexion » :

« Renforcer les moyens et les outils dont disposent la justice et la police pour agir plus promptement et efficacement contre les utilisateurs, mettant ainsi fin au sentiment d'impunité sur les réseaux sociaux, demeure la solution privilégiée pour réprimer les propos haineux en ligne. »

Une absence de moyens que n'a lui aussi de cesse de brocarder maitre Archambault, depuis des années. 

Une nouvelle fois, le sentiment (réel) d'impunité sur le numérique résulte non pas de l'anonymat (qui au passage n'existe plus depuis 2004) mais du manque de moyens accordés à la justice donc aux services enquêteurs. La responsabilité des pouvoirs publics est immense. https://t.co/GdvD2iAEWY pic.twitter.com/8HyZEO0GVP

— Alec ن Archambault (@AlexArchambault) September 20, 2023

« L’arsenal législatif actuel permet déjà de punir les cyberviolences, le problème réside davantage du côté de l’application de ces lois », plaide pour sa part le collectif Féministes contre le cyberharcèlement, pour qui le projet de loi SREN « propose des mesures bancales, liberticides, et inefficaces pour lutter contre les violences en ligne » : 

« Seuls 3% des actes de cyberviolences font l’objet de poursuites judiciaires et 67% des personnes s’étant rendues dans un commissariat dans le but de porter plainte se sont vues refuser le dépôt de plainte, alors que ces refus sont illégaux. Ce dont nous avons besoin, c’est d’une volonté politique d’allouer un budget conséquent à la lutte contre la haine en ligne, pas d’un empilement de lois liberticides. »