Le Parlement européen a prolongé jusqu’en août 2027 les « règles temporaires » autorisant, par dérogation à la directive « ePrivacy » sur la vie privée et les communications électroniques, la détection volontaire de contenus pédopornographiques (CSAM, pour Child sexual abuse material).

Adoptées en 2021, elles avaient déjà été prolongées en 2024, et devaient expirer le 3 avril 2026. Le texte a été adopté par 458 voix pour, 103 voix contre et 63 abstentions, précise le communiqué du Parlement.

Il souligne par ailleurs que, « bien qu’ils soutiennent la prolongation de la dérogation, les députés estiment que les mesures volontaires doivent rester proportionnelles et ciblées et ne doivent pas s’appliquer aux communications chiffrées de bout en bout ».

Trois amendements encadrent et limitent la surveillance

Un amendement à la proposition de règlement a en effet rajouté le fait que le traitement « ne concerne pas les communications interpersonnelles auxquelles le chiffrement de bout en bout est, a été ou sera appliqué ».

La proposition initiale prévoyait par ailleurs que la dérogation « s’applique jusqu’au 3 avril 2028 », délai finalement rapporté « jusqu’au 3 août 2027 ».

De plus, la technologie utilisée « ne devrait s’appliquer qu’aux contenus déjà identifiés comme tels ou signalés comme potentiellement pédopornographiques par un utilisateur, un signalant de confiance ou une organisation », bloquant les velléités de recours à des IA censées identifier de nouveaux contenus CSAM.

Le communiqué souligne en outre que « les mesures devraient cibler les utilisateurs ou les groupes d’utilisateurs spécifiques identifiés par une autorité judiciaire raisonnablement soupçonnés d’être liés à ces abus », et non l’ensemble de la population.

Un second amendement, porté par l’eurodéputée tchèque du Parti pirate Markéta Gregorová, a en effet introduit le fait que le traitement sera « ciblé, spécifié et limité à des utilisateurs individuels, à un groupe spécifique d’utilisateurs, en tant que tels ou en tant qu’abonnés à un canal de communication spécifique, pour lesquels il existe des motifs raisonnables de soupçonner un lien, même indirect, avec du matériel relatif à des abus sexuels commis contre des enfants, et qui ont été identifiés par l’autorité judiciaire compétente ».

Un troisième amendement précise que « cette utilisation soit limitée aux cas où le fournisseur a reçu un rapport ou un signalement précis de la part d’un utilisateur, d’un signaleur de confiance ou d’un organisme agissant dans l’intérêt public contre les abus sexuels commis contre des enfants au sujet d’une communication, d’un compte ou d’une interaction spécifique, qui constitue un motif raisonnable de soupçonner un cas d’abus sexuel commis contre des enfants en ligne, et que la détection soit strictement limitée à ce qui est nécessaire vis-à-vis du cas signalé ».

« Jusqu’à présent, ce système constituait une intrusion totalement disproportionnée dans notre vie privée. Les plateformes scannaient des millions de messages privés de citoyens innocents sans aucun soupçon raisonnable », relève l’eurodéputée belge Saskia Bricmont (Verts/ALE) dans Le Soir :

« Grâce à cet amendement, la position du Parlement s’oriente désormais clairement vers une approche ciblée. La surveillance ne devrait s’appliquer qu’aux communications des personnes suspectées et uniquement avec une autorisation judiciaire. »

Le nombre de signalements a diminué de 50 % par rapport à 2022

Sur la base du mandat actuel, les négociations en trilogue entre le Parlement européen, la Commission européenne et le Conseil de l’UE devraient débuter dès demain, se félicite l’ex-eurodéputé pirate Patrick Breyer, en pointe dans la lutte contre ce #ChatControl depuis des années.

Il qualifie même ce vote d’« historique » à mesure qu’il « met fin au scan massif et non ciblé des discussions privées ». Et ce, d’autant que « la Commission européenne et la grande majorité du Conseil de l’UE, à l’exception de l’Italie, ont jusqu’à présent catégoriquement rejeté toute restriction sur le scan de masse non ciblé ».

Le fait de permettre aux messageries et plateformes en ligne de détecter des contenus pédocriminels à des fins de protection des mineurs relevait toutefois jusque-là « d’une possibilité, et non d’une obligation », tempère 01net.

Patrick Breyer rappelle que 99 % des rapports émanent d’une seule entreprise états-unienne : Meta, et qu’un rapport de la police allemande, basé sur 300 000 conversations, avait conclu que 48 % d’entre elles relevaient de « faux positifs » sans intérêt d’un point de vue pénal, faisant perdre du temps aux forces de l’ordre.

En outre, 40 % des enquêtes menées en Allemagne visaient des mineurs « qui partagent des images sans réfléchir (par exemple, des sextos consensuels), plutôt que des prédateurs organisés ».

Breyer note également que le nombre de signalements a diminué de 50 % par rapport à 2022, probablement du fait de la généralisation des messageries chiffrées, qu’il n’est pas possible de surveiller du fait du chiffrement de bout en bout.