La Computer & Communications Industry Association, lobby des industries de la tech, publie une nouvelle « prise de position » sur la proposition de règlement CSAM. Elle met à l’index plusieurs angles morts du texte destiné à lutter contre la pédopornographie en ligne.
Dans son analyse, l’association considère que ce règlement en gestation ne doit pas introduire de nouvelles règles « qui viendraient contredire l’interdiction de la surveillance généralisée, violeraient la vie privée et d’autres droits fondamentaux ou saper le chiffrement ». Or, « la CCIA craint que la proposition de règlement n’échoue sur ces trois points ».
Dans sa note d’analyse, elle soulève, entre autres, des risques de conflits de normes entre le futur règlement CSAM et le Digital Services Act ou encore le RGPD.
Ce dernier plaide pour le principe de minimisation des données traitées, quand le CSAM réclame une vérification d’âge sur de nombreux services en ligne, impliquant d’importantes collectes de données à caractère personnel. Et encore, le représentant de la tech ne sait même pas comment les services en ligne pourront les mettre en œuvre.
Le CCIA réclame davantage de verrous pour empêcher la surveillance généralisée des échanges, notamment dans la phase de détection des contenus pédopornographiques. De même, les injonctions de détection devraient être accompagnées d’un surplus de garanties pour s’assurer de leur proportionnalité.
Pour ces acteurs, la proposition de la Commission européenne risque d’affaiblir la solidité du chiffrement. Elle pourrait dans le même temps générer de nombreux faux positifs, en particulier dans la détection des contenus « pédo » non encore connus des bases de données existantes. « Cela pourrait entraîner de nombreuses fausses accusations à l’encontre d’utilisateurs innocents, avec de graves conséquences dans le monde réel pour ces personnes et une ingérence dans leurs droits à la vie privée et à la protection des données ».
Critiquant des règles trop uniformes, la CCIA rappelle que les prestataires de cloud n’ont pas connaissance des contenus de leurs clients, qui seuls disposent d’un contrôle effectif. « Exiger des fournisseurs de cloud qu'ils analysent, surveillent et filtrent les données de leurs clients constituerait une atteinte disproportionnée à la confidentialité et à l'intégrité ».
Commentaires (13)
#1
Mais non. C’est même cocasse de voir que Google est membre de ce groupe.
#2
Mais vous ne comprenez pas ! C’est pour protéger les enfants !
#2.1
Ben oui quand même un peu. Et pour attraper les salopards aussi.
mais on voit bien que la faisabilité technique d’une telle surveillance entraine des problèmes sociaux des plus délicats à régler. Si on a affaire à des boites anglo-saxonnes qui sous-traitent la gestion de tels systèmes dans un pays en voie de développement, je crains le pire.
Casser les sites qui sont sur le Dark Web me semble plus utile, plus facile à faire. Là au moins on sait qu’il n’y a pas matière à discussion.
Je repense à cette affaire : https://www.nextinpact.com/article/69833/accuses-a-tort-pedophilie-pour-photos-faites-a-demande-medecins. A titre personnel jamais je n’aurai envoyé une telle photo sans la mettre dans une archive RAR avec un mot de passe à 30 caractères envoyé par un second canal que l’archive. Et surtout pas par MMS ou autre système de ce type, car tout est stocké en clair chez les opérateurs…
#3
Garantir l’exactitude de l’information “âge” fournie par un individu nécessite d’accéder directement ou indirectement aux données de l’état civil.
Donc, quelle que soit la méthode d’identification choisie, il faudra forcément un tiers de confiance qui soit capable de lever l’anonymat.
#4
Clairement, il aurait été possible de l’éviter en appliquant la directive :
Le problème, c’est que s’assurer de ce point implique :
Autant dire qu’en terme de protection de la vie privée, faisabilité technique, etc. C’est franchement compliqué à envisager.
Après, le problème c’est toujours le même : détecter c’est bien, mais c’est surtout que l’utilisateur DOIT pouvoir se défendre avant d’être éventuellement “condamné” (par la justice ou par les CGU d’un service).
Aujourd’hui, un algo alerte tout seul un lambda du service modération, qui passe 10 sec sur la photo, juge et clique sur un bouton qui peut ruiner ta vie numérique.
En équivalent IRL, c’est comme si ton bailleur pouvait te mettre à la rue de ton logement par décision unilatérale parce qu’un voisin a cru te voir t’exhiber un jour à travers la fenêtre parce que tu cuisinais avec un tablier “rigolo”.
#5
Le RAR ou Zip avec password, ça ne me semble pas être une méthode très robuste pour envoyer des informations confidentielles.
Il conviendrait d’utiliser des méthodes de chiffrement plus fort, comme du PGP par exemple.
#5.1
surtout que pour le coup, c’est la synchro automatique de son tel vers le cloud qui a niqué le gars, donc à la seconde ou il a pris la photo depuis son tel…
#5.2
Yep, tout à fait.
D’ailleurs je me pose une question : ces systèmes de détection automatisée peuvent-ils fonctionner si l’utilisateur amène sa propre clé de chiffrement des données ? Je sais que Google Workspace a ajouté cette possibilité récemment pour les comptes d’entreprise et je ne pense pas que pour le gratuit ce soit le cas (je ne m’en sers pas, donc aucune idée). Mais dans le cas d’un provider qui fournit cette possibilité, logiquement ce type d’analyse des contenus ne devrait plus être possible.
Ou alors ça ne sert à rien de proposer de fournir sa propre clé de chiffrement.
#5.3
Il suffit de déporter l’analyse dans le terminal quand la photo est non chiffrée pour que ça reste possible.
C’est ce qui avait fait polémique à propos d’Apple l’an dernier.
Le contexte était un peu différent : algo local activé uniquement si connexion à iCloud (mais rien n’empêcherait de supprimer cette restriction) et base de contenu prédéfini (ce qui évite le cas “Google”), mais on va bien arriver avec l’évolution en puissances des smartphones à la possibilité de déclencher des alertes sur soupçon d’image de pédopornographie quitte à transférer dans ce cas les images à un serveur pour vérification. Pour le bien des enfants, on justifie plein de choses.
#5.4
Oui en effet il y a eu aussi cette histoire avec Apple.
Je rejoins ta conclusion, analyse que j’avais aussi déjà émise ici. Ce sont des visions court terme qui se focalisent sur l’enfant tout ça pour protéger ses 18 premières années et ensuite le laisser vivre le reste de sa vie dans une prison sans droits (ça s’appelle de l’exagération, je préfère préciser pour ceux qui n’auraient pas compris la figure de style). J’ai toujours des doutes quant à la pertinence de la démarche malgré le bien fondé de l’objectif.
#5.5
Tu as raison, mais c’est trop compliqué GPG pour beaucoup de gens, dans l’urgence tu n’as pas le temps d’expliquer à quelqu’un qui ne veut pas comprendre.
Pas plus tard que la semaine dernière un fournisseur ne comprenait pas pourquoi je ne voulais pas envoyer ma CNI par WeTransfer.
#5.6
Ca finira par rentrer à force d’insister
(ce n’est pas sale - ni en lien avec le thème de la brève)
Mon dernier dossier de LOA a été fait comme ça, tous les docs envoyés par partage depuis mon Claude avec mot de passe fourni par un autre moyen. Le commercial a eu du mal au début, mais à force c’est rentré.
Il suffit de leur expliquer que le mail est une carte postale en matière de confidentialité.
#6
Depuis des dizaines d’années, les pires des idées étaient justifiées par :
Après 2001, l’ordre s’est inversé, avec la composante “terrorisme” prenant le pas sur les autres prétextes de sécurité. Avec des piqûres de rappel régulières, nous avons vécu 20 années fastes pour le serrage de boulon sécuritaire et le recul généralisé des libertés.
Je suis étonné que la guerre en Ukraine (“en Europe”) ne servent pas plus que cela, et je m’amuse de revoir la pédophilie pointer le bout de son nez.
Enfin, je “m’amuse”… toutes proportions gardées, hein. l’ad odium bat son plein, et ça marche plutôt bien quand vous collez les miquettes aux gens. Je vous ai parlé des 20 dernières années ?