Le Parlement européen vient d'adopter un compromis « historique » au sujet de la controversée proposition relative à la lutte contre les contenus pédosexuels, en supprimant la surveillance proactive des messageries, afin de préserver le chiffrement sécurisé. 

« Le Conseil Justice et Affaires intérieures n'adoptera pas comme prévu sa position sur le règlement européen relatif à la "lutte contre les abus sexuels sur enfants" », apprenait-on il y a 10 jours, du fait que l’Allemagne, l’Autriche, la Pologne et l’Estonie, « entre autres, se positionnent clairement contre le projet actuel », et que la France « se pose également des questions ».

C'était la deuxième fois que le vote prévu était reporté. Le Contrôleur européen de la protection des données (CEPD), qui a pour mission première d’assurer que les institutions et organes européens respectent le droit à la vie privée et à la protection des données, avait depuis rendu un avis pour le moins tranché au sujet de la proposition controversée, intitulé « Un point de non retour » et évoquant le risque d'une « société de surveillance ».  

• La Commission européenne veut surveiller l'intégralité du web, des mails et des messageries chiffrées
• La CNIL européenne fustige elle aussi la controversée proposition de règlement #ChatControl
• La proposition de règlement européen sur les contenus pédosexuels a (encore) été reportée 

Les principaux groupes politiques du Parlement européen sont dans la foulée parvenus à un accord, rapporte Euractiv. La mesure la plus décriée, visant à scanner les contenus même et y compris dans les messageries, ce qui lui a valu d'être surnommé « #ChatControl », serait pour l'instant mise en pause, voire écartée.

Selon le nouveau texte (CSAR), les technologies utilisées pour détecter les contenus pédosexuels (CSAM) devront en effet faire l’objet d’un « audit indépendant quant à leur performance ». Or, des centaines d'experts expliquent depuis des mois qu'il est impossible de scanner les messageries chiffrées sans y introduire de « porte dérobée », et/ou de mettre un terme au chiffrement de bout en bout (E2EE), ce qui lui a aussi valu d'être qualifié de « projet de loi européen le plus critiqué de tous les temps ».

• Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »
• Apple a renoncé à détecter les contenus pédocriminels pour éviter la surveillance de masse
• Le Royaume-Uni adopte le « projet de loi européen le plus critiqué de tous les temps »

Toute surveillance devra être ciblée et faire l'objet d'un mandat

Fortune précise que le Parlement « proposera une version de la loi qui supprime tout ce qui concerne le scan de masse des services tiers, la vérification obligatoire de l'âge et l'exclusion des mineurs de moins de 16 ans des applications sociales courantes ». De plus, « toute surveillance devra être ciblée et faire l'objet d'un mandat ».

L'eurodéputé pirate Patrick Breyer, en lutte contre #ChatControl depuis des mois, relève que ne pourra être autorisée qu'une « surveillance ciblée d'individus et de groupes spécifiques dont on peut raisonnablement penser qu'ils sont liés à des contenus pédopornographiques », et non plus l'ensemble des internautes, comme le voulait initialement la Commission européenne.

La proposition du Parlement ajoute en outre « plusieurs mesures de protection des enfants qui manquaient dans la version originale ». Les profils des enfants seraient privés par défaut, et ils devraient accorder leur autorisation avant que quelqu'un puisse les contacter ou leur envoyer des photos. 

Il devra en outre exister des « motifs raisonnables de suspicion » 

La version du texte finalement approuvée et consultée par Euractiv se concentrerait sur le Centre de l’UE, qui coordonnera la lutte contre les abus sexuels, et les injonctions de détection, qui devront cibler des groupes spécifiques d’utilisateurs, tels que les « abonnés à un canal de communication spécifique », par exemple. 

De plus, il devra exister des « motifs raisonnables de suspicion » quant à l’existence d’un lien avec des cas d’abus sexuels commis sur des enfants pour que ces utilisateurs puissent être ciblés, précise Euractiv. 

Le Centre pourra également rechercher des contenus relatifs à des abus sexuels sur des enfants dans des « contenus accessibles au public », à l’instar des robots d’indexation du web. Les autorités procéderaient à une analyse proactive du contenu Internet accessible au public, ce qui permettrait de plus d'analyser le darknet. Les fournisseurs d'accès seraient quant à eux tenus de retirer les contenus « manifestement illégaux » dès qu'ils en seraient informés.

Un compromis historique soutenu de gauche à droite

La commission des Libertés civiles, de la Justice et des Affaires intérieures (LIBE) du Parlement européen devrait adopter le texte le 13 novembre, afin que puisse être entamées les négociations interinstitutionnelles (également appelées « trilogues »), dernière étape du processus législatif.

« Même si ce compromis, soutenu par les progressistes et les conservateurs, n'est pas parfait sur tous les points, c'est un succès historique », se félicite Patrick Breyer, à mesure qu'il va permettre de « préserver le chiffrement sécurisé » : 

« Nous avons réussi à gagner une large majorité en faveur d'une approche différente et nouvelle de la protection des jeunes contre les abus et l'exploitation en ligne. En tant que pirate et combattant de la liberté numérique, je suis fier de cette avancée. Les gagnants de cet accord sont d'une part nos enfants, qui seront protégés de manière beaucoup plus efficace et à l'abri des poursuites judiciaires, et d'autre part tous les citoyens, dont la confidentialité de la correspondance numérique et la sécurité des communications seront garanties. »

Breyer se félicite aussi de la levée de la vérification de l'âge des utilisateurs de services en ligne, ce qui permettra aussi de protéger les lanceurs d'alerte, qui pourront continuer à communiquer de façon anonyme, sans avoir à s'identifier.

Il rappelle que le Parti pirate appelle à protéger les jeunes, notamment du « grooming » (« pédopiégeage », en français, terme désignant la sollicitation de mineurs à des fins sexuelles) en obligeant les services Internet et applications à être sécurisées « par défaut et par design ».