La très controversée proposition de règlement européen « relatif aux abus sexuels commis sur des enfants » a discrètement, mais activement, été soutenue par une ONG états-unienne commercialisant, par ailleurs, un logiciel de reconnaissance des contenus pédosexuels.
La proposition de règlement connu sous son acronyme anglais CSAR (Child Sexual Abuse Regulation, ou CSAR, surnommé #ChatControl par ses opposants) aurait été discrètement soutenue par une ONG états-unienne commercialisant, par ailleurs, un logiciel de reconnaissance des contenus pédosexuels.
Or, la mesure phare de cette proposition de règlement vise précisément à imposer une technique appelée client side scanning (« analyse côté client ») afin d'analyser les contenus avant qu'ils ne soient partagés, sur les terminaux des utilisateurs. Objectif : détecter de façon proactive les contenus relatifs à des abus sexuels ou à des tentatives de manipulation de mineurs dans les images, les vidéos et les messages. Et ce, quand bien même cela reviendrait à imposer l'installation de portes dérobées dans les messageries chiffrées de bout en bout.
- La Commission européenne veut surveiller l'intégralité du web, des mails et des messageries chiffrées
- Les 2/3 des mineurs européens sont contre l’analyse de leurs messages persos
- L'Espagne voudrait que l'Europe interdise le chiffrement de bout en bout
C'est ce que révèle une longue enquête publiée dans Le Monde, Die Zeit, Balkan Insight, De Groene Amsterdammer, Solomon et IRPI Media. Les trois journalistes à l'origine de ces révélations, qui ont enquêté pendant 9 mois, expliquent avoir « rencontré d’importantes difficultés pour obtenir des documents internes de la Commission européenne relatifs à la proposition CSAR » :
« S’il est fréquent que la Commission ne traite pas les demandes d’accès aux documents dans les délais légaux, certaines de nos demandes déposées dès le mois décembre 2022 sont restées sans réponse des mois durant. »
Les réticences de la Commission furent telles que les journalistes ont dû saisir le médiateur européen pour obtenir une première série de documents. Mais la Commission refuse toujours de leur confier plusieurs autres documents, dont un courriel de l'ONG, au motif que « la divulgation des informations contenues dans ce document porterait atteinte à l’intérêt commercial de l’organisation ».
Le médiateur européen enquête d'ailleurs actuellement sur quatre plaintes distinctes déposées par les auteurs de cette enquête, « visant un possible manquement de la Commission à ses obligations de transparence ».
Le projet de loi européen le plus critiqué de tous les temps
En novembre 2021, la commissaire européenne chargée des affaires intérieures, Ylva Johansson, une Suédoise considérée comme membre de « l'aile gauche des sociaux-démocrates » donnait le ton : « les défenseurs de la vie privée parlent très fort. Mais il faut aussi que quelqu’un parle pour les enfants. »
L'ONG de défense des libertés numériques EDRi, qui a compilé une impressionnante liste d'arguments répertoriés par ses opposants, le qualifie en effet de « projet de loi européen le plus critiqué de tous les temps ».
- Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »
- Le Royaume-Uni adopte le « projet de loi européen le plus critiqué de tous les temps »
Ylva Johansson y voit de son côté sa « priorité numéro un », en revendiquant, face aux nombreuses critiques, le soutien de nombreuses organisations de protection de l’enfance qui réclament bruyamment l’adoption du texte.
Les documents obtenus par les trois journalistes leur font cependant écrire que, « loin d’être un mouvement spontané, la campagne en faveur du CSAR a été largement orchestrée et financée par un réseau d’organisations liées à l’industrie technologique et aux services de sécurité, dont les intérêts vont bien au-delà de la protection de l’enfance » :
« Malgré les efforts de la Commission pour garder le silence sur les détails de la campagne, notre enquête, fondée sur des dizaines d’entretiens, des fuites de dossiers internes et des documents obtenus grâce aux lois de transparence, révèle une étroite coordination entre ces lobbys et le cabinet de Mme Johansson – qui n’a pas souhaité répondre à nos questions. »
- Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (1re partie)
- Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (2de partie)
Thorn, une ONG aux bras longs
« Nous avons partagé de nombreux moments sur le chemin menant à cette proposition. Nous avons mené des consultations approfondies. Vous avez contribué à fournir des éléments qui ont servi de base à la rédaction de cette proposition », écrit la commissaire en mai 2022 à la directrice exécutive de Thorn quelques jours avant la présentation de son texte.
Créée par les stars hollywoodiennes Ashton Kutcher et Demi Moore pour combattre le trafic sexuel des enfants au Cambodge, cette ONG commercialise par ailleurs des technologies reposant sur des IA permettant d’identifier les images d’abus sexuels commis sur des enfants.
Safer, son produit commercial, se vante de travailler pour Vimeo, Flickr, imgur, GoDaddy, AWS, Niantic, MindGeek, OpenAI, Gphy, Quora, etc. Or, soulignent les journalistes, « si le client side scanning était imposé à toutes les grandes plates-formes actives dans l’Union européenne (UE), Thorn pourrait bien devenir l’un des grands bénéficiaires de la nouvelle réglementation – aux côtés d’autres entreprises technologiques avec lesquelles elle s’est déjà associée, comme Amazon ou Microsoft ».
Thorn, de son côté, se targue en effet d'avoir établi des partenariats avec AWS, Google, Microsoft, Facebook, Twitter, Dropbox, Intel, Adobe, Pinterest, Flickr, Snapchat, etc., ainsi qu'avec plusieurs ONG dont le National Center for Missing & Exploited Children (NCMEC), dont la CyberTipline centralise le recueil des signalements de CSAM.
Et Neelie Kroes, ex-vice-présidente de la Commission européenne et commissaire européenne à la Société numérique, fait partie de son conseil d'administration, tout comme Ernie Allen, l'ex-président du National Center for Missing & Exploited Children (NCMEC) et membre du board de la WeProtect Global Alliance, deux des principales ONG de lutte contre les contenus pédosexuels.
Le coût pourrait se chiffrer en centaines de millions de dollars
« Thorn a poussé pour cette réglementation bien avant qu’elle ne soit couchée sur le papier », révèlent les journalistes. L'ONG a même « engagé des lobbyistes de haut niveau », dont FGS Global, un important cabinet de lobbying au considérable entregent bruxellois, à qui elle a versé plus de 600 000 euros pour la seule année 2022, ce qui lui a permis de « bénéficier d’un accès privilégié aux législateurs européens tout au long de la préparation du texte » :
« Répertorié en tant qu’organisation caritative dans les registres de transparence de l’UE, Thorn a rencontré les équipes de tous les hauts responsables de la Commission ayant un droit de regard sur la sécurité ou la politique numérique, de Margrethe Vestager (numérique) à Margaritis Schinas (mode de vie), en passant par Thierry Breton (marché intérieur). Ursula von der Leyen, la présidente de la Commission, a été l’une des premières informées des plans de lutte contre les abus sexuels sur les enfants, dès novembre 2020, lors d’une vidéoconférence à laquelle a assisté Ashton Kutcher. »
De plus, des courriels obtenus auprès de la Commission « après une longue bataille révèlent des échanges entre eux continus et étroits dans les mois qui ont suivi le lancement de la proposition CSAR ». Mais également que l'équipe d'Ylva Johansson « a facilité à plusieurs reprises l’accès de Thorn à des lieux de décision cruciaux auxquels assistaient les ministres et les représentants des Etats membres ».
Non contents d'exposer leur « volonté de collaborer étroitement » avec l’équipe de la commissaire, des envoyés de Thorn ont même proposé leur aide pour préparer du « matériel de communication sur les abus sexuels commis en ligne sur des enfants ». Ils ont aussi « offert leur expertise pour la création de la base de données » du futur Centre européen pour la prévention et la lutte contre les abus sexuels commis sur des enfants, censé héberger une série d’indicateurs permettant de repérer les contenus pédopornographiques, soulignent les journalistes :
« Thorn est l’un des défenseurs les plus fervents de ce nouvel organisme qui aurait pour fonction d’examiner et d’approuver les technologies de surveillance, mais également de les acheter et les proposer aux petites et moyennes entreprises. La proposition de Thorn de contribuer gratuitement à la construction de sa base de données pourrait faire figure d’offre généreuse si des intérêts commerciaux majeurs n’étaient pas en jeu. »
« En raison de l’ampleur de la proposition, le coût pourrait se chiffrer en centaines de millions de dollars », estime Meredith Whittaker, la présidente de la Signal Foundation, qui chapeaute la célèbre messagerie chiffrée.
Le contrôleur européen craint une surveillance de masse
Thorn n'est pas le seul acteur états-unien à avoir activé ses lobbyistes afin de pousser du col cette proposition de règlement européen. WeProtect Global Alliance, une autre ONG créée sous l'impulsion des autorités britanniques et américaines afin de lutter contre l'exploitation et les abus sexuels des enfants en ligne, est désormais enregistrée en tant que fondation aux Pays-Bas.
Elle se vante aujourd'hui de représenter les intérêts de 102 gouvernements, 66 entreprises privées, 92 ONG et 9 organisations intergouvernementales. Cette ONG est qualifiée d' « organisation centrale chargée de coordonner et de rationaliser les efforts mondiaux et les améliorations réglementaires » dans la lutte contre les abus sexuels en ligne commis sur des enfants par la direction des affaires intérieures (DG Home) de la Commission européenne, qui lui a octroyé près d'un million d'euros, notamment pour organiser un sommet à ce sujet à Bruxelles.
Antonio Labrador Jimenez, l’un des plus hauts fonctionnaires de la DG Home, « qui a joué un rôle central dans la rédaction et la promotion de la proposition du CSAR », soulignent les journalistes, fait aussi partie de son conseil d’administration. Y figurent également l'ancien président du NCMEC, le chef de l'unité du département de la Justice états-unien en charge de la lutte contre l'exploitation sexuelle des enfants, le directeur éxécutif d'Interpol et Julie Cordua, la CEO de Thorn.
Ross Anderson, chercheur en sécurité à l’université de Cambridge, « les soupçonne de vouloir affaiblir le chiffrement des communications en laissant les organisations de protection de l’enfance mener le combat à Bruxelles », écrivent les journalistes :
« La communauté de la sécurité et du renseignement a toujours utilisé des questions qui effraient les législateurs, comme les enfants et le terrorisme, pour saper la vie privée en ligne. Ils ont dit aux responsables politiques de l’UE que, une fois que les mécanismes ont été mis en place pour cibler le contenu pédopornographique, il sera facile de décider de cibler également le terrorisme. Nous savons tous comment cela fonctionne, et lors de la prochaine attaque terroriste, aucun législateur ne s’opposera à l’extension du “client side scanning” aux crimes politiques. »
Une inquiétude partagée par Wojciech Wiewiorowski, le contrôleur européen de la protection des données, pour qui la proposition CSAR reviendrait à « franchir le Rubicon » vers une surveillance de masse des citoyens de l’UE, voire d'autres pays si cette mesure était généralisée.
D'autres domaines bénéficieraient de la détection
Les trois auteurs de l'enquête ont d'ailleurs obtenu le compte-rendu d'une réunion entre le chef de la DG Home et la directrice exécutive d’Europol, Catherine De Bolle, visant à discuter de la proposition et de la contribution de l’agence de coopération policière à la lutte contre la pédopornographie.
Ils y ont découvert qu'Europol avait soulevé l'hypothèse d’utiliser le futur Centre européen à d’autres fins : « il y a d’autres domaines de criminalité qui bénéficieraient de la détection ».
« Une fois que cette technologie est déployée sur des milliards d’appareils à travers le monde, il est impossible de revenir en arrière », expliquent Ana-Maria Cretu et Shubham Jain, chercheurs à l’Imperial College. Pour eux, les systèmes de « client side scanning » pourraient être « discrètement altérés pour lancer sur un appareil une reconnaissance faciale à l’insu de son propriétaire », précisent les journalistes.
Leur enquête révèle en outre que « lorsque la proposition CSAR a été attaquée par les experts en matière de protection de la vie privée, un groupe presque inconnu est venu à la rescousse ». Le Brave Movement (« mouvement des courageux »), « un mouvement mondial centré sur les survivants qui fait campagne pour mettre fin aux violences sexuelles subies par les enfants », avait en effet été lancé quelques semaines seulement avant la publication du texte, et « rapidement devenu un allié-clé d’Ylva Johansson ».
En avril 2022, l'ONG avait invité la commissaire à un « sommet mondial des survivants » en ligne. Un an plus tard, elle participait à une séance photo devant le Parlement européen lors de la « journée d’action du mouvement Brave », aux côtés d’un groupe de survivants réunis pour « exiger des dirigeants de l’UE qu’ils soient courageux et agissent pour protéger des millions d’enfants en danger de la violence et des traumatismes qu’ils ont subis ».
We can do this! We must #BeBrave & protect children.
Commissioner @YlvaJohansson with survivors in front of the @Europarl_EN
Support our #EUvsChildSexualAbuse legislation. More details➡️ https://t.co/aNB08Uauau pic.twitter.com/RTX5tKeQT0
— EU Home Affairs (@EUHomeAffairs) April 25, 2023
« L’objectif principal de la (…) mobilisation autour de cette proposition de loi est de la faire adopter » et de « créer un précédent positif pour d’autres pays que nous inviterons à adopter une législation similaire », précise une note stratégique interne que se sont procurés les journalistes.
Brave Movement a aussi recruté en mai 2023 Jessica Airey en tant que manager de sa campagne européenne. Sur son LinkedIn, elle précise avoir travaillé à la DG Home d'octobre 2022 à février 2023, et soutenu les campagnes législatives pour la proposition de loi européenne sur les abus sexuels envers les enfants « en étroite collaboration avec l'équipe politique qui a élaboré la législation et des partenaires tels que Thorn [et] l'Alliance mondiale WeProtect ».
« Qui bénéficiera de la législation ? Pas les enfants. »
L'enquête révèle en outre que la Oak Foundation, dirigée par un ancien fonctionnaire du département d’Etat américain, a accordé 10,3 millions de dollars pour la création du Brave Movement, 5,3 millions à Thorn, et 1,5 million de dollars à Purpose Europe, un cabinet de conseil britannique contrôlé par le géant français Capgemini. Celui-ci a rencontré le cabinet de Johansson à plusieurs reprises. Capgemini a aussi travaillé avec plusieurs organisations de l’European Child Sexual Abuse Legislation Advocacy Group (Eclag), une coalition pro-CSAR lancée dès la présentation officielle du texte, et associée à Thorn, au Brave Movement ou encore à l’Internet Watch Foundation – une ONG britannique proposant une technologie permettant d’identifier les abus sexuels envers les enfants, et financée par certains des plus grands acteurs du numérique.
Cette convergence de lobbyistes états-uniens est d'autant plus « remarquable », soulignent les journalistes, que la Commission s'est également illustré par son « silence opposé aux autres parties prenantes ».
L'ONG EDRi s’est en effet plainte « à plusieurs reprises du manque de considération de la commissaire, qui n’a jamais reçu ses représentants ». « Malgré sa légitimité incontestée », OffLimits, la plus ancienne « hotline » d’Europe dévolue au signalement des abus contre les mineurs, s’est elle aussi heurtée à un mur de silence de la part de la Commission européenne.
« J’ai invité la commissaire Johansson, mais elle n’est jamais venue », regrette Arda Gerkens, directrice jusqu’à septembre 2023 : « Qui bénéficiera de la législation ? Pas les enfants. » Elle juge au contraire que la proposition de Mme Johansson est excessivement « influencée par des entreprises qui prétendent être des ONG, mais qui agissent plutôt comme des entreprises technologiques » :
« Des groupes comme Thorn font tout ce qu’ils peuvent pour faire avancer cette législation, non seulement parce qu’ils pensent que c’est la voie à suivre pour lutter contre les abus sexuels sur les enfants, mais aussi parce qu’ils ont un intérêt commercial à le faire. »
Commentaires (15)
#1
Puisqu’ils disent que c’est pour protéger les enfants, je ne comprends pas que des gens puissent croire qu’ils y aient un quelconque intérêt économique par derrière ! Quel est le meilleur moyen de faire cesser la pédopornographie si ce n’est de mettre un mouchard sur tous les téléphones qui scannera tous les documents à la recherche uniquement de photos d’enfants dénudés ? Le reste sera bien évidemment ignoré et oublié dès le scan effectué…
Ce n’est pas si aberrant que certaines personnes puissent avoir de tels idées (et encore que…), mais mettre autant de moyens derrière ce seul argument et se défendre derrière une cause pour l’apparence c’est détestable à souhait pour rester poli…
Si jamais ça passe et que l’usage est étrangement détourné, sera t’il possible de faire un recours collectif pour viol après s’être fait de la sorte ?
#2
Du coup est-ce qu’il y a déjà eu des idées / proposition techniques crédibles de technologies qui permettraient à la fois de garantir la vie privée, le “bon usage” du ou des outils, tout en prévenant effectivement le child porn ?
Il me semble que c’est, comme les DRM, un problème logique insoluble qui ne peux “marcher” qu’en criminalisant le contournement d’une solution technique bancale.
Mais ptet qu’il y a eu de bonnes idées ?
#2.1
Personnellement, je me demande s’il ne serait pas possible d’avoir une analyse d’image en local avant chaque envoi. En cas de positif, le message ne peut pas être envoyé.
En cas de faux positif, le “pire” est une expérience dégradée de l’utilisateur. En cas de faux négatif, l’image est envoyée (c’est dommage, mais “tant pis” tant que c’est exceptionnel).
Dans ce cas, pas de cassure du chiffrement (puisqu’on fait le traitement AVANT celui-ci).
Par contre, ça veut dire qu’on ne peut pas faire appel aux services tiers (quel dommage…).
Ça veut aussi dire qu’il faut imposer une obligation de moyen aux fournisseurs de systèmes de communication, et non pas une obligation de résultat.
#2.2
Il y a des abus possibles, voire probables, dont celui cité par l’article :
#3
Quand le mieux est l’ennemi du bien… ou dans sa version simplifiée comme me le répétait souvent mon ancien coloc :
” P’tain touche z’y pas tant que ça marche à peu près correctement !! “
#4
OK, mais quel impact si tout reste en local (et qu’il n’y a donc aucune communication réseau) ?
J’imagine que les raisonnements des journalistes sont liés au fait que l’élément vérifié serait envoyé à un serveur. Dans ce cas, oui, il y aurait pleins de dangers.
À noter que si on part du principe qu’on ne fait pas confiance au logiciel, le fait qu’il intègre, ou non, un système de “client-side scanning” ne change rien : il peut envoyer les infos n’importe où dès maintenant.
Aujourd’hui, rien n’empêche techniquement WhatsApp d’envoyer une copie de chaque message envoyé aux serveurs de Facebook. Et s’ ils le faisaient, il faudrait que quelqu’un prenne le temps de vérifier que WhatsApp n’envoie pas chasue message 2 fois, via une analyse des flux réseau, pour qu’on s’en rende compte… C’est en ça que j’ai plus confiance en Signal, qui est Open Source.
#5
Oui mais d’un autre coté, vu que les app sont déjà proprio et déjà mises à jour toute les semaines sans que rien ni personne ne le contrôle, la situation me parait pas vraiment différente.
En gros ça ferais “juste” une lib de plus à embarquer dans l’appli avec les données à utiliser qui seraient mises à jour, +/- comme actuellement.
La question c’est qui va vérifier, valider ça . Est-ce qu’on autorise les versions N-1, N-2 de l’appli ?
Est-ce que c’est open-source et si oui qui va se taper la tâche de vérifier le code source , et aussi de vérifier que ce qui est compilé est bien ce qui est publié ?
Les chipset récents commencent à intégrer des “puces AI” - quoi que ça veuille dire , mais est-ce que ça implique que les téléphones + anciens doivent se voir blacklistés ? Et si oui qu’est- ce qui empêchera les pédo de justement utiliser ces anciens téléphones …?
Je pense que ces questions sont pas insoluble , mais terriblement contraignants et anti-écologique , un problème qui me parait contradictoire.
#6
Je suis très étonné qu’un tel article n’ai pas plus d’échanges ici. Nous sommes tellement désabusés ? ^^’
#6.1
Oui merci pour l’article.
Une très mauvaise solution pour un problème qui est relativement bien maîtrisé, à contrario de la haine et du harcelement en ligne.
C’est d’un , ne rien lâcher, les cycles se raccourcissent sur la fenêtre d’Overton de la surveillance généralisée
Trop de lectures + wee + le reste.
#7
La prévention, l’éducation, la formation du personnel enseignant, des parents, …
Le solutionnisme technologique est une tentative déplacée de régler un problème profond qui existe en dehors de toute technologie.
#8
Oui je suis d’accord avec ça , bien sur.
#9
Comme d’habitude avec JM Manach, un article fouillé sur une sujet d’importance. Merci encore pour ce type d’article.
C’est lobbying de haute volé.
De toute façon il n’y a qu’une solution pour que tout cela n’est pas lieu, ne pas faire d’enfants. Comme ça l’origine du problème n’existera plus. Mauvaise blague à part est-ce l’unique moyen de détecter les possesseur d’images ? Ils les récupèrent de qui ? comment ?
Bref mauvaise solutions qui servent d’autres intérêts pour un grave problème, surtout que ces solutions serviront les prémices d’une surveillance généralisée.
Comme dans bladerunner, , il était interdit de ne pas avoir de télévision, nous cela sera le smartphone…
#10
Au delà de l’aspect politique, je suis très surpris que ces ONG / sociétés se targent d’avoir développé des solutions d’IA permettant la détection automatique de contenu illicite. Si comme la plus part des modèles actuels, ces IA sont assises sur des formes de deeplearning ou apprentissage renforcé, il faut des bases d’entraînement et de test. Or dans la plus part des pays occidentaux, la simple possession d’image à caractère pédopornographique est interdite. Comment font-ils (s’il le font vraiment)?
#11
Au passage, si on ne s’en doutait pas:
https://balkaninsight.com/2023/09/29/europol-sought-unlimited-data-access-in-online-child-sexual-abuse-regulation/
#12
Pour ma part, ce qui me sidère le plus, c’est de voir d’une part ce genre de loi votée en Grande Bretagne…
Et de la quantité invraisemblable de pognon investi par les différents parties du “pour” pour du lobbying. Rien que ça, ça devient carrément douteux.
Sans parler de ce qui pourrait s’apparenter à des conflits d’intérêt pour certains, ou au moins, à la politique des portes tournantes : politique ==> boite privé ==> politique.
Ca fait peur pour les libertés individuelles pour le moins, et ça montre aussi qu’on est loin de la femme/l’homme politique représentant le citoyen lambda, mais plutôt de le femme/l’homme politique VRP de grosses boites…