Connexion
Abonnez-vous

Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (1re partie)

La fin, les moyens

Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (1re partie)

Les objectifs sont détaillés au premier article, accompagné d’un résumé des obligations qui pèseront sur les « fournisseurs des services », selon l’expression un peu désuète, mais consacrée. Derrière, on retrouve les plateformes, les hébergeurs, les fournisseurs d’accès, les « boutiques » d’apps avec une distribution des nouvelles règles que la Commission veut leur imposer.

Le 19 août 2022 à 13h44

« Responding to incidents of child sexual abuse material », le projet de règlement CSAM (pour « Child sexual abuse material ») est enfin disponible dans sa version officielle en français. Next INpact vous propose une explication ligne par ligne du texte, qui suscite de nombreuses réactions. Premier volet de notre long format. 

« Avec 85 millions de photos et de vidéos représentant des abus sexuels commis sur des enfants signalés à l'échelle mondiale pour la seule année 2021, sachant que bien d'autres ne le sont pas, les infractions sexuelles contre les enfants sont très répandues » indiquait la Commission européenne le 11 mai dernier, lorsqu’elle a dévoilé son projet de règlement.

Elle promettait alors des règles « claires » accompagnées « de garanties solides » afin de lutter contre « l'utilisation abusive des services en ligne à des fins de commission d'abus sexuels sur des enfants ».

Ces règles « obligeront les fournisseurs de certains services à détecter, signaler et retirer les matériels relatifs aux abus sexuels commis sur des enfants dans le cadre de leurs services », résumait-elle encore avant de dévoiler sa copie.

Détecter, signaler, bloquer et retirer ces contenus, voilà en quelques verbes décrit l’objectif poursuivi par ce futur règlement, texte qui sera d’application directe dans l’ensemble des États membres.

La Commission refuse en effet de laisser ce sujet épineux entre les mains des seuls États membres. Un tel scénario accentuerait à ses yeux les risques de « forum shopping » consistant à créer des parenthèses juridiques dans certaines zones européennes. Autant d’enclaves peu en phase avec la nécessaire concurrence, obligeant de surcroit les prestataires à adapter leur système à une série de réglementations fragmentées.  

Le texte compte pour l’instant 84 considérants. Des propos introductifs précieux non seulement pour comprendre les 89 articles suivants, mais aussi lors des recours devant la Cour de justice de l’Union européenne. Et pour cause, le juge du droit de l’UE y puise une aide en cas de difficultés d’interprétation.

Le législateur européen mesure combien est sensible le sujet de la détection des contenus. Pas étonnant qu’à 35 reprises, reviennent l’expression « proportionnel » et ses digressions. « Équilibré » et ses variantes sont cités 18 fois. Quant à « ciblé » et ses autres ramifications, on les retrouve près d’une quinzaine de fois dans le corps. Autant de références qui pèseront quand viendront le temps des querelles juridictionnelles.

Hébergeurs, messageries, stores, FAI

Dans sa philosophie, le règlement veut « contribuer au bon fonctionnement du marché intérieur en fixant des règles claires, uniformes et équilibrées afin de prévenir et de combattre les abus sexuels sur enfants d’une manière efficace et respectueuse des droits fondamentaux de toutes les parties concernées », expose le considérant n°4.

Application extraterritoriale et définitions

Comme le DSA, le DMA et avant, le RGPD, ce texte est d’application extraterritoriale. Pour éviter le contournement par délocalisation, il s’applique à l’ensemble des prestataires qui fournissent leurs services dans l’Union, peu importe le lieu de leur établissement principal.

Que le fournisseur soit à Breuschwickersheim en Alsace, à Amsterdam aux Pays-Bas, ou dans la Silicon Valley outre-Atlantique, il devra respecter le futur règlement CSAM.

L’article 2 donne, classiquement, les définitions des expressions utilisées dans chacun des articles, avec parfois un sentiment d’enfonçage de porte ouverte comme lorsqu’ « utilisateur » est défini par « toute personne physique ou morale qui utilise un service de la société de l’information pertinent », et d’autres choix des nuances alchimiques.

Ainsi, « enfant », dans le règlement, vise « toute personne physique âgée de moins de dix-huit ans », alors qu’« enfant utilisateur » est « une personne physique qui utilise un service de la société de l’information pertinent et qui est une personne physique âgée de moins de dix-sept ans ».

Une évaluation des risques 

Les obligations, décrites à partir du chapitre 2, sont de différents ordres. Les premières concernent l’évaluation et l’atténuation aux risques, objets de la section 1. L’hébergeur comme les services de messagerie devront en effet identifier, analyser et évaluer le risque que leur « service soit utilisé à des fins d’abus sexuels sur enfants en ligne » (article 3).

Comment faire ? Plusieurs poids et mesures devront peser pour cette évaluation : les cas précédents d'abus sexuels sur mineurs, les mentions dans les CGU et les mesures prises pour appliquer ces règles, les « fonctionnalités permettant la vérification de l’âge » et celles permettant de signaler des cas d’abus sexuels sur les enfants en ligne...

Autre évaluation à mener, celle sur le risque de sollicitation des enfants (ou « pédopiégeage »). Les voyants devront clignoter quand des adultes ont la possibilité de rechercher des « enfants utilisateurs » ou d’entrer en contact par communications privées avec échange de photos et vidéos à la clef.

Le fournisseur pourra étayer son évaluation en étant accompagné par le Centre de l’UE, un organe installé par le texte « chargé de prévenir et de combattre les abus sexuels sur enfants ».

Il pourra aussi, mais à ses frais sauf s’il est une PME, solliciter une « analyse d’échantillons de données représentatives et anonymisées » afin d’identifier « tout abus sexuel potentiel sur enfants en ligne ».

Le calendrier est contraint : cette phase d’évaluation devra intervenir dans les trois mois de l’entrée en vigueur du règlement, puis au moins une fois tous les trois ans. Ce calendrier sera beaucoup plus accéléré lorsque le fournisseur sera visé par une injonction de détection, une arme prévue par le règlement (voir infra, nous y reviendrons) : l’évaluation devra intervenir dans les deux mois suivant l’expiration d’une période déterminée.

Des mesures d'atténuation 

L’évaluation terminée, l’article 4 exige des intermédiaires la mise en œuvre de « mesures d’atténuation raisonnables, adaptées » et donc proportionnelles. Dans un inventaire à la Prévert, elles passeront par une « dotation en personnel » suffisante, des « systèmes de modération des contenus ou de recommandation du fournisseur », ou encore des mesures de coopération avec les concurrents, la société civile ou les autorités, et des solutions de contrôle parental ciblées.

Si le fournisseur identifie un risque d’utilisation à des fins de sollicitation d’enfants, il devra adopter tout autant des « mesures d’évaluation et de vérification de l’âge nécessaires pour identifier de manière fiable les enfants utilisateurs sur leurs services, leur permettant ainsi de prendre les mesures d’atténuation ». 

Cette évaluation des risques et l’adoption de mesures d’atténuation seront retranscrites dans un rapport. Un document transmis à une autorité de coordination installée dans l’État membre du fournisseur et au Centre de l’UE. Selon l’article 5, cette autorité de coordination pourra au besoin exiger des mises à jour, par exemple une extension des mesures d’atténuation si celles décrites sont jugées trop restreintes. 

Les boutiques d’application

Les boutiques d’applications, les fameux « Stores », ne sont pas en reste. Selon l’article 6, ces boutiques devront évaluer conjointement avec les fournisseurs d’apps le niveau de risque. Elles devront elles aussi prendre des mesures préventives et « raisonnables » pour empêcher les « enfants utilisateurs d’accéder aux applications logicielles pour lesquelles ils ont identifié un risque important ».

Ces fournisseurs de boutiques prendront des « mesures d’évaluation et de vérification de l’âge nécessaires pour identifier de manière fiable les enfants utilisateurs de leurs services ». Autant dire que les évolutions à venir sur le terrain de la pornographie en ligne pourraient servir de tube à essai dans le sillage de ce futur règlement.

Au besoin, la Commission pourra guider ces acteurs par des lignes directrices qui, au passage, devront tenir compte des « évolutions technologiques ».

Obligation de détection

La section 2 est relative aux obligations de détection, deuxième série de règles que devront respecter les fournisseurs, peu importe leur pedigree.

Selon l’article 7, l’autorité de coordination pourra saisir le juge ou une autorité administrative indépendante (comme l’Arcom, en France) pour qu’une injonction de détection soit émise. Pour l’aider dans cette tâche, l’autorité de coordination établira un projet de demande d’injonction et plusieurs échanges en amont sont prévus avec le fournisseur, avec notamment l’édition d’un plan de mise en œuvre « contenant les mesures qu’il projette de prendre pour exécuter l’injonction ».

Cette injonction visera aussi bien des contenus « connus » que des contenus « nouveaux », non encore identifiés comme tels. Elle sera décidée lorsqu’ « il existe des éléments probants indiquant un risque important que le service soit utilisé à des fins d’abus sexuels sur enfants en ligne ».

Un « risque important » sera réputé vrai dès lors que, malgré des mesures d’atténuation, le service reste utilisé pour diffuser du contenu « relatif à des abus sexuels sur enfants » et qu’il y a eu des précédents dans les 12 derniers mois. Conditions facilement vérifiées pour les services en ligne où transitent des millions de messages… chaque jour.

Des mesures de détection sont programmées pour lutter aussi contre la sollicitation d’enfants, dans les logiciels de messagerie en ligne.

Pratiquement, l’injonction ordonnera à l’hébergeur ou au fournisseur de messagerie de prendre durant un délai déterminé des mesures pour détecter des abus sexuels sur des mineurs. Ces injonctions seront prises pour une période de 24 mois s’agissant de la diffusion de matériel connu ou nouveau, ou 12 mois pour le pédopiégeage.

La détection se fera par des outils technologiques, décrits à l’article 10 sur lequel nous reviendrons.

Il y aura donc nécessairement une atteinte au secret des correspondances, à la protection de la vie privée pour assurer la protection de l’enfance. Les considérants insistent néanmoins pour souligner le caractère « ciblé » de ces outils.

L’injonction de détection devra être limitée au strict nécessaire… sachant que cette limitation ne s’envisagera que si elle ne nuit pas au critère d’efficacité. En guise d’exemples de « limitations », le considérant 23 imagine une détection concentrée « à des types spécifiques de canaux d’un service de communications interpersonnelles accessible au public, ou à des utilisateurs ou groupes d’utilisateurs spécifiques ». Soit de belles marges de manœuvre et consécutivement un risque d’atteintes à d’autres droits et libertés.

Mieux encore. À la lecture du considérant 25, on découvre que les autorités pourront se fonder « sur des éléments de preuve découlant de services comparables pour déterminer s’il y a lieu de demander l’émission d’une injonction de détection pour un nouveau service ».

L’article 8 ajoute des règles de formalisme sur ces injonctions et les éventuelles demandes d’éclaircissements. Des modèles sont d’ailleurs prévus en annexe. L’article 9, enfin, organise le droit au recours effectif du fournisseur visé par une injonction.

Des technologies de détection proposées par le Centre de l’UE

L’article 10, central, esquisse les technologies de détection des contenus pédopornographiques et de sollicitation d’enfants.

Pour mettre en œuvre l’injonction, l’hébergeur ou le fournisseur d’une solution de messagerie aura une liberté de moyens, mais il est aussi « autorisé à acquérir, à installer et à exploiter gratuitement des technologies mises à disposition par le Centre de l’UE ». Plus loin, l’article 50 charge en effet ce pôle d’établir des listes d’outils de détection. 

La Commission essaye de ménager les intérêts en présence, pas nécessairement compatibles. Ainsi, « les fournisseurs devraient prendre toutes les mesures de sauvegarde nécessaires pour garantir que les technologies qu’ils utilisent ne puissent être utilisées, par eux-mêmes ou par leurs employés, non plus que par des tiers, à des fins autres que la mise en conformité avec le présent règlement, et éviter ainsi de compromettre la sécurité et la confidentialité des communications des utilisateurs » implore le considérant 26. Ce dernier exige que soient respectées plusieurs autres exigences, dont « l’utilisation d’une technologie de chiffrement de bout en bout ».

Ces technologies devront en outre être « efficaces », avec un taux d’erreurs le plus bas possible. Toujours dans une logique de proportionnalité, elles seront le moins intrusives et ne permettront d’extraire des communications que les « schémas révélateurs de la diffusion de matériel connu ou nouveau relatif à des abus sexuels sur enfants ou la sollicitation d’enfants ».

Ces schémas connus seront définis par avance et devront révéler par exemple « la possibilité d’un pédopiégeage », préviennent les propos introductifs, assez nuageux sur ces expressions.

Pour être plus explicite, le considérant 28 prévient que « lorsqu’il est question de détection de la sollicitation d’enfants dans des communications interpersonnelles accessibles au public, les fournisseurs de services devraient assurer un contrôle humain régulier, précis et détaillé ainsi qu’une vérification humaine des conversations dans lesquelles les technologies ont détecté une potentielle sollicitation d’enfants ». En somme, des solutions d’IA doublées de vérifications humaines.

Dans le même temps, le fournisseur devra proposer un mécanisme de plainte, « adapté » et « convivial » permettant aux utilisateurs de contester les décisions de retrait ou de blocage. Le traitement de ces plaintes devra se faire « de manière objective, efficace et rapide ».

De même, les utilisateurs seront informés de l’exploitation de technologies destinées à détecter des abus sexuels sur mineurs dans le cadre de ces injonctions, outre que tous les abus potentiels seront signalés au Centre de l’UE.

Le point 5 de l’article 10 demande ceci dit au fournisseur de ne transmettre aux utilisateurs « aucune information susceptible de réduire l’efficacité des mesures prises pour exécuter l’injonction de détection ».

Les utilisateurs concernés seront informés avoir été pris dans le filet de ces outils de détection, seulement si Europol ou les autorités nationales ont confirmé que « les informations communiquées aux utilisateurs n’entraveraient pas les activités de prévention et de détection des infractions sexuelles contre les enfants, ni les activités d’enquêtes et de poursuites en la matière ».

L’article 11 donne pour sa part compétence à la Commission d’émettre d’autres lignes directrices sur ces derniers articles.

Obligation de signalement

La section 3 traite des obligations en matière de signalement. L’article 12 évoque la situation où l’hébergeur ou l’éditeur d’une solution de messagerie a connaissance, autrement que par une injonction, d’un abus sexuel potentiel sur mineur via son service. Un mécanisme « accessible, adapté à l’âge et convivial » sera installé pour permettre à chacun de lui adresser des signalements.

Le cas échéant, le fournisseur devra signaler ces faits au Centre de l’UE. L’article 13 traite du contenu de ce signalement : adresse IP, éléments d’identification de l’utilisateur, des images, vidéos et textes le cas échéant, etc.

L’utilisateur concerné en sera en principe informé pour pouvoir déposer plainte auprès de l’autorité de coordination. De même, il sera informé si le Centre de l’UE a considéré le signalement comme manifestement infondé. Un silence après trois mois équivaudra à la même solution.

Injonction de retrait

La section 4 se concentre sur les « obligations de retrait ». L’autorité de coordination du lieu d’établissement pourra demander au juge ou à l’autorité administrative indépendante d’émettre une injonction visant à retirer ou rendre inaccessible un contenu pédocriminel dans toute l’UE.

Le fournisseur devra exécuter cet ordre dans les 24 heures. Comme le décrit l’article 14, l’injonction comportera « une motivation suffisamment détaillée expliquant (…) les raisons pour lesquelles le matériel constitue du matériel relatif à des abus sexuels sur enfants ». Elle devra contenir l’URL exacte, le service visé, etc. Le formalisme est détaillé par le même article.

Le fournisseur pourra ne pas y donner suite en cas de force majeure ou « d’impossibilité de fait », qui ne lui est pas imputable. En cas d’erreurs manifestes dans cette injonction, il devra toutefois solliciter des éclaircissements auprès de l’autorité de coordination.

L’article 15 concerne les voies de recours et la « fourniture d’information ». Le droit au recours effectif est ouvert aux intermédiaires comme aux utilisateurs qui ont partagé le contenu ciblé par une injonction de retrait. Voilà pourquoi, lorsqu’un contenu est retiré dans un tel cadre, le fournisseur de service doit en informer l’auteur, avec explication des motifs et de son droit à contester la décision. Ce principe connaît une exception lorsque les autorités demandent le secret. L’enjeu est évidemment d’éviter de mettre à plat des procédures pénales, en révélant cette attention.

Injonction de blocage

Les obligations en matière de blocage font l’objet de la section 5. De telles injonctions pourront être prises suivant les mêmes formes que les injonctions de retrait, dixit l’article 16. L’initiative appartiendra à l’autorité de coordination du lieu d’établissement qui devra solliciter là encore cette décision de l’autorité judiciaire ou de l’autorité administrative indépendante.

La cible change cette fois puisque le blocage sera imposé au FAI. Dans les 24 heures, il devra prendre « des mesures raisonnables pour empêcher les utilisateurs d’accéder au matériel connu relatif à des abus sexuels sur enfants ». Le site à bloquer figurera parmi les adresses figurant sur une liste noire prévue par l’article 44 et fournie par le Centre de l’UE.

La force majeure ou l’impossibilité de fait pourra empêcher le blocage, mais là encore l’intermédiaire devra s’empresser de signaler la moindre difficulté aux oreilles de l’autorité de coordination.

Plusieurs mesures sont prises pour tenter de limiter le risque de faux positifs. L’autorité de coordination, avant de réclamer le blocage d’accès, devra ainsi vérifier un « échantillon représentatif » d’URL et ces travaux seront doublés par des échanges avec le Centre de l’UE.

La décision de blocage sera prise quand :

  • « Il existe des éléments probants indiquant que le service a été utilisé au cours des 12 derniers mois, dans une mesure appréciable, pour accéder ou tenter d’accéder au matériel relatif à des abus sexuels sur enfants, dont l’emplacement est indiqué par les URL »,
  • le blocage est nécessaire pour éviter la diffusion de ce genre de contenus, 
  • les URL « indiquent, d’une manière suffisamment fiable, l’emplacement du matériel relatif à des abus sexuels sur enfants »,
  • les motifs du blocage l’emportent sur les conséquences négatives en termes de liberté d’expression et d’information

L’article 17 décrit le formalisme de la demande d’injonction de blocage. L’article 18 détaille quant à lui le droit au recours du FAI et des éditeurs de site.

L’article 19, de la section 6, pose un principe d’exemption des fournisseurs (hébergeurs, FAI, etc.) pour les infractions sexuelles contre les enfants qui pourraient lui être reprochés en application du droit pénal national, quand l’intermédiaire se contente de mettre en œuvre le règlement.

Droit des victimes

Un droit à l’information des victimes est prévu par l’article 20. Les victimes d’abus sexuels sur enfants peuvent recevoir des informations sur les contenus où elles apparaissent. La demande se fera via l’autorité de coordination et le Centre de l’UE.

Les hébergeurs leur apporteront une « assistance raisonnable » pour retirer ou rendre un tel contenu inaccessible, pose l'article 21. L’autorité de coordination apportera son coup de main au besoin, qui ira de l’accompagnement jusqu’à une injonction de retrait adressée au fournisseur récalcitrant.

Conservation des contenus retirés

L’article 22 impose la conservation des « informations » ainsi traitées, à l’égard des hébergeurs et des services de messagerie. Les données de contenus et les données à caractère personnel devront être conservées pour plusieurs finalités, en particulier en cas de procédure pénale.

Fait notable, les intermédiaires pourront aussi conserver ces contenus (vidéos, images, etc.) pour aiguiser leurs propres outils de détection. Le règlement leur interdit toutefois de conserver de données à caractère personnel dans un tel cadre (donc pas d’images du visage, de voix…).

Point de contact, représentant légal

Chaque fournisseur, prévient l’article 23, devra en tout cas avoir un point de contact pour la mise en œuvre du règlement. Son rôle ? Fluidifier les communications avec les autorités impliquées.

L’article 24 traite d’une situation particulière, celle de fournisseurs installés dans des pays tiers à l’UE. Ils devront désigner dans un État membre une personne (physique ou morale) comme « représentant légal ».

C’est ce représentant qui servira de courroie de transmission avec les autorités, notamment pour les injonctions de détection, de retrait et de blocage. Il devra à cette fin être doté des pouvoirs et ressources « nécessaires », sachant qu’il pourra être reconnu coresponsable des violations reprochées au fournisseur. 

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Bien que le sujet du propos soit important c’est toujours la problématique de l’usine à gaz…

votre avatar

Sur la forme : il ne faut pas écrire “1ère partie” mais “1re partie”.

votre avatar

Tu peux expliquer pourquoi ? Car, j’ai toujours pensé que la première forme était préférable.

votre avatar

Une fois ce prétexte opposé avec succès à un droit fondamental, il faut s’attendre:




  • à voir de nouveaux prétextes similaires s’opposer à ce droit fondamental, y compris en provenance des états membres qui vont utiliser la brèche ainsi créée.



  • à voir la même mécanique utilisée pour mettre à terre les autres droits fondamentaux. Si la commission arrive à jeter par la fenêtre le principe de proportionnalité, il n’y aura presque plus de limite dans l’instrumentalisation de faits divers pour détruire les droits fondamentaux du plus grand nombre.




La commission se prépare ni plus ni moins à tirer le tapis des droits humains de sous les pieds des citoyens.

votre avatar

La pedopornographie est donc un prétexte et non un fléau.

votre avatar

Il est (àmha) quand même indispensable de légiférer, mais quel merdier et quels défis par rapport aux libertés individuelles, et aux caractère privé de la correspondance, enterré !



Signaler une erreur, c’est quand même indiqué en GROS … Si tu veux faire ton “grammar extrem” sans ça l’intérêt de ton post par rapport au Schmilblick, c’était pour le faire reculer ?

votre avatar

Si, c’est un des pire fléau possible, mais les politiques on le chic pour utiliser tout les systèmes de luttes pour des trucs sans aucun lien.

votre avatar

ragoutoutou a dit:


Une fois ce prétexte opposé avec succès à un droit fondamental, il faut s’attendre:




  • à voir de nouveaux prétextes similaires s’opposer à ce droit fondamental, y compris en provenance des états membres qui vont utiliser la brèche ainsi créée.



  • à voir la même mécanique utilisée pour mettre à terre les autres droits fondamentaux. Si la commission arrive à jeter par la fenêtre le principe de proportionnalité, il n’y aura presque plus de limite dans l’instrumentalisation de faits divers pour détruire les droits fondamentaux du plus grand nombre.




La commission se prépare ni plus ni moins à tirer le tapis des droits humains de sous les pieds des citoyens.


La crainte est partagée par plusieurs personnes/organisations. Critiques que je retrace dans un panorama à la fin du 2d volet (publié lundi)

votre avatar

ragoutoutou a dit:


La commission se prépare ni plus ni moins à tirer le tapis des droits humains de sous les pieds des citoyens.


De toute façon c’est toujours les mêmes prétextes : child abuse un coup terrorisme le coup d’après.
A chaque fois c’est la même chose, à base de solutionnisme technologique et SURTOUT pas d’éducation et de prévention (qui ont le défaut de couter de l’argent public et d’être sur un temps long supérieur à un mandat électoral).
On commence à être habitué (Naomie Klein, tout ça).

votre avatar

j’ai lu en diagonale pour le moment, mais je vois rien sur la répression.



à un moment donner va falloir remonter les filière et taper dessus non ? on aura beau mettre toutes les contremesure derrière si tu tape pas violent à la source ça changera rien.



pour l’éducation c’est peine perdue à mon sens (à moins que tu parles d’éduquer les enfants à pas se faire piéger ?)



ça fait combien de temps qu’on parles des abus chez les curés ? et donc combien de temps que des parents continue d’envoyer leur gosses à l’abattoir ?

votre avatar

C’est moi, ou le système va vite s’engorger avec la détection des nudes envoyés entre ado ?



Remarque, ca fera pas de mal d’éviter que les photos se baladent ensuite.

votre avatar

J’ai pas trop compris comment ils prévoient de concilier « l’utilisation d’une technologie de chiffrement de bout en bout » avec “un contrôle humain régulier, précis et détaillé ainsi qu’une vérification humaine des conversations”

votre avatar

Je viens de commander un couple de pigeons du 59 …



Tapez pas c’est une blagounette :langue:

votre avatar

Qué bordel, c’est tout ce que je trouve à dire !

votre avatar

ils font pas comme la hadopi ou les injonctions de retrait de google, ils partagent pas de liste de sites ?



( :troll: :humour: :team_premier_degré: )

votre avatar

L’article 2 donne, classiquement, les définitions des expressions utilisées dans chacun des articles, avec parfois un sentiment d’enfonçage de porte ouverte (…)


L’expérience m’a apprise que l’évidence peut être une notion très subjective, c’est pour ça que j’aime bien aussi enfoncer les portes ouvertes dans mon métier. Et que cet aspect me paraît essentiel aussi en droit.




… les « fonctionnalités permettant la vérification de l’âge » …


J’ai comme qui dirait une impression de déjà vu, avec les difficultés que ça apporte au vu du RGPD.




Ces fournisseurs de boutiques prendront des « mesures d’évaluation et de vérification de l’âge nécessaires pour identifier de manière fiable les enfants utilisateurs de leurs services ».


Ouep, ça se confirme, c’est dommage de voire l’UE rollback l’avancée que fut le RGPD.




Il y aura donc nécessairement une atteinte au secret des correspondances, à la protection de la vie privée pour assurer la protection de l’enfance. Les considérants insistent néanmoins pour souligner le caractère « ciblé » de ces outils.


Cela va promettre une belle torsion intellectuelle et le détail donné après n’est guère encourageant. Le texte a beau vouloir rappeler qu’il “cible” et qu’il ne s’adresse qu’à ce point précis, il n’en demeure pas moins que les moyens mis en place risquent d’être disproportionnés. L’automatisation de la détection implique naturellement de faire bouffer des tonnes de contenu aux systèmes d’analyse de données. Surtout lorsqu’on exige une faible marge d’erreur.



Je me suis arrêté au point “Obligations de signalement” et poursuivrai plus tard, mais dans l’immédiat, ce texte me paraît très compliqué à mettre en oeuvre vu qu’il essaye de concilier des choses que ne peuvent l’être sans coûteux compromis.



Le chiffre de 85 millions de contenus de ce type identifiés sur 2021 peut paraître énorme, mais mis en relation avec la totalité des échanges qui ont lieu sur Internet, c’est complètement disproportionné encore une fois (via recherche rapide j’ai trouvé 500 millions de message par jours postés sur Twitter, pas le temps de chercher plus de sources dans l’immédiat). Au risque de me faire insulter (et sachez que le train des injures roule sur le rail de mon indifférence), j’ai du mal à considérer le “très répandues” du constat de la Commission cité au début de l’article. Oui c’est beaucoup mis au regard de la gravité des faits, mais à l’échelle des contenus échangés sur le Web en une journée, c’est marginal et ne nécessite donc pas une réponse aussi disproportionnée. Et non, je ne minimise pas non plus le sujet qui reste grave et l’objectif visé est noble. Mais la mise en oeuvre ne doit pas se faire à un tel prix.

votre avatar

Le chiffre de 85 millions de contenus de ce type identifiés sur 2021 à diviser par le nombre de fois qu’un même contenu a été identifié… On marche sur la tête…

votre avatar

carbier a dit:


La pedopornographie est donc un prétexte et non un fléau.


Ce n’est pas l’un ou l’autre, c’est l’un et l’autre dans le cas présent.



Hormis sur la planète des bisounours ou tout est toujours merveilleux, il arrive souvent dans les autres mondes que des politiciens prennent un problème et l’utilisent pour obtenir autre-chose. On appelle ça instrumentaliser.

votre avatar

al_bebert a dit:


j’ai lu en diagonale pour le moment, mais je vois rien sur la répression.



à un moment donner va falloir remonter les filière et taper dessus non ? on aura beau mettre toutes les contremesure derrière si tu tape pas violent à la source ça changera rien.


Le problème justement c’est que c’est “facile” pour un politicien de faire une loi concernant internet.



C’est beaucoup plus difficile de faire changer les lois dans d’autres pays, où la moralité se situe sur d’autres plans : en.wikipedia.org Wikipediaquand c’est pas carrément “culturel”.



Quand on a qu’un marteau tout ressemble à un clou.




pour l’éducation c’est peine perdue à mon sens (à moins que tu parles d’éduquer les enfants à pas se faire piéger ?)


En autre. Mais oui, l’éducation ça comprends aussi une sensibilisation par les parents, du coup…
Les histoires de revenge-porn sont assez connues.
Mais c’est vrai qu’on met sur le même plan l’ado qui prends un selfie et le gamin yemenite qui se fait violer dans une cave , du coup c’est sur que ça aide pas à faire comprendre le problème aux ados justement.




ça fait combien de temps qu’on parles des abus chez les curés ? et donc combien de temps que des parents continue d’envoyer leur gosses à l’abattoir ?


C’est parce que les voies du saigneur sont impénétrables , il faut bien trouver autre chose. Impie :-)

votre avatar

pamputt a dit:


Tu peux expliquer pourquoi ? Car, j’ai toujours pensé que la première forme était préférable.


Il a raison, les règles sont claires.
https://www.academie-francaise.fr/abreviations-des-adjectifs-numeraux

votre avatar

(j’ai lu ton lien)
tant pis, je continuerais, à faire ‘la faute’, et écrire :




  • “la 2ème femme”
    bien qu’il ‘serait’ préférable d’écrire

  • “la 2me femme”
    :fumer:

votre avatar

Après reprise de la lecture…



Concernant l’article 12, si je comprends bien le fournisseur a une obligation de délation s’il détecte par un moyen quelconque que son service a été utilisé pour les contenus incriminés par le règlement. Toute considération morale mise à part, sur ce point je trouve cela préférable plutôt que l’idée d’autres textes de loi qui demandent au fournisseur d’agir de son propre chef (et oubliant ainsi qu’il n’a pas le pouvoir judiciaire). En soit, c’est dans la même continuité que les plateformes de signalement qui existent déjà et ceux-ci sont examinés par une entité dédiée à ce sujet. Après évidemment, l’entité en question reste sujette à débat quant à sa pertinence ou compétence…



L’injonction de retrait utilise le même mécanisme que celui du retrait des contenus terroristes mais avec un délai de traitement accordé étonnement 24 fois plus long.



Le point sur le blocage est un “petit plus” par rapport au règlement sur les contenus terroristes pour le coup. Cela dit, si la méthode choisie reste le filtrage par DNS l’efficacité de celle-ci sera une nouvelle fois très relative. La notion d’échantillon représentatif des URL pour justifier le blocage ou non ne me paraît pas habituelle, est-ce qu’il y a déjà eu des précédents de disposition de ce genre ? Là comme ça, ça ne me dit rien.




Un droit à l’information des victimes est prévu par l’article 20. Les victimes d’abus sexuels sur enfants peuvent recevoir des informations sur les contenus où elles apparaissent. La demande se fera via l’autorité de coordination et le Centre de l’UE.


Quid du cas où la victime n’est pas une citoyenne de l’UE ?




Fait notable, les intermédiaires pourront aussi conserver ces contenus (vidéos, images, etc.) pour aiguiser leurs propres outils de détection. Le règlement leur interdit toutefois de conserver de données à caractère personnel dans un tel cadre (donc pas d’images du visage, de voix…).


En soit ce dispositif m’a l’air bien écrit. Alimenter des outils de détection sans pour autant conserver les données relatives aux victimes me paraît pas mal sur le papier. Cela dit, j’ai comme l’impression que la mise en oeuvre risque d’avoir des problèmes d’étanchéité entre les ceux deux notions importantes.



La première partie du texte est quand même la plus inquiétante car elle essaye de concilier des éléments qui m’ont l’air difficilement conciliables sans faire des compromis risqués (détection automatisée, fiable, tout en préservant la vie privée… C’est très difficile). J’ai peur qu’elle ne fasse méchamment rogner sur des principes qui sont pourtant censés être chers à l’UE.



Le reste sur le signalement et l’action sont au final les mêmes dispositifs (à quelques détails près) que celui du texte sur le terrorisme et ont évité de tomber dans le piège de laisser l’intermédiaire décider de l’action à prendre (n’était-ce pas la loi Avia qui voulait faire ça justement ?).

votre avatar
votre avatar

Un bel exemple des risques et conséquences induits par le contrôle automatisé.

Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (1re partie)

  • Hébergeurs, messageries, stores, FAI

  • Application extraterritoriale et définitions

  • Une évaluation des risques 

  • Des mesures d'atténuation 

  • Les boutiques d’application

  • Obligation de détection

  • Des technologies de détection proposées par le Centre de l’UE

  • Obligation de signalement

  • Injonction de retrait

  • Injonction de blocage

  • Droit des victimes

  • Conservation des contenus retirés

  • Point de contact, représentant légal

Fermer