La Commission européenne prépare actuellement un paquet législatif pour lutter contre les abus sexuels sur les enfants. Le projet, qui sera bientôt présenté, couvre en partie la diffusion de contenu pédopornographique (CSAM - child sexual abuse material) via internet. En outre, la directive vise à cibler les communications privées et chiffrées, telles que celles effectuées sur les services de messagerie. Les critiques déclarent que cette forme de surveillance de masse préventive constitue non seulement une menace pour la vie privée, la (cyber)sécurité et le droit à la liberté d'expression, mais aussi un danger pour la démocratie en général.
Quels sont les projets de la Commission européenne et de la présidence du Conseil ?
Olivier Onidi, directeur général adjoint des affaires intérieures, a exposé les ambitions de la Commission européenne lors d'une réunion du groupe parlementaire mixte de contrôle. Selon Onidi, la proposition est une tentative d'inclure tous les moyens de communication dans son champ d'application. La valeur ajoutée réelle de la proposition serait "de couvrir toutes les formes de communication, y compris la communication privée", a répondu M. Onidi à une question de l'eurodéputé Patrick Breyer (groupe parlementaire Pirates/Verts). C'est Beyer qui a donné aux plans de la Commission le nom de "Chat Control".
A l'origine, la présentation du projet explosif était prévue pour le 1er décembre mais a depuis disparu du calendrier de la Commission. Sur demande, un porte-parole s'est contenté de confirmer que la Commission travaillait sur la proposition, affirmant toutefois ne pas être en mesure de fournir une date concrète pour le moment.
La proposition pourrait trouver un soutien parmi les Etats membres. La Slovénie, par exemple, qui assure actuellement la présidence du Conseil, a fait de la lutte contre la maltraitance des enfants l'une de ses principales priorités. Pour la présidence, il est "essentiel de se concentrer sur la dimension numérique", selon un document du Conseil publié par Statewatch en septembre. Le travail des autorités chargées des enquêtes serait particulièrement compliqué par le chiffrement de bout en bout. En conséquence, le rôle des "mesures proactives" - en d'autres termes, les approches automatisées pour scanner le contenu - devrait au moins être ouvert à la discussion.
La façon dont le Parlement européen se positionnera sur la proposition n'est pas encore certaine. Toutefois, cette année, les députés européens ont déjà voté en faveur de l'autorisation pour les plateformes telles que Facebook, Skype et Gmail de continuer à analyser le contenu. De nombreuses plates-formes et services en nuage le font sur une base volontaire depuis un certain temps, bien que le renforcement récent de la réglementation sur la protection des données ait rendu cette pratique temporairement illégale. Pour l'instant, l'exemption adoptée à la hâte s'applique pendant trois ans, ne concerne que le contenu non chiffré et pourrait être remplacée par la nouvelle loi envisagée.
Comment cette mesure pourrait-elle être mise en œuvre techniquement ?
Si l'obligation de "scannage" devait être intégrée au projet de loi, il est néanmoins peu probable que des détails techniques y soient inclus. La formule magique de Bruxelles est habituellement "mesures proactives", comme dans les cas où le contenu terroriste doit être retiré du web. La mise en œuvre technique exacte est donc susceptible d'être laissée aux opérateurs eux-mêmes. Il reste également à savoir si tous les fournisseurs de messagerie seront concernés ou seulement ceux qui ont un certain nombre d'utilisateurs.
En principe, ils peuvent s'appuyer sur une infrastructure déjà existante, comme le logiciel PhotoDNA développé par Microsoft ou la base de données du "National Center for Missing and Exploited Children (NCMEC)", une organisation basée aux États-Unis. Cette dernière stocke des empreintes numériques, appelées hashs, de photos ou de vidéos qui ont déjà été enregistrées comme contenu illégal. Ainsi, à l'avenir, l'envoi d'un message pourrait être précédé du relevé du hash de la pièce jointe, qui est ensuite comparé à la base de données. Dans le cas où le fichier serait identifié comme pertinent, cela permettrait non seulement de bloquer la transmission du message, mais aussi de donner l'alerte à la police.
Microsoft utilise déjà son PhotoDNA - en combinaison avec l'intelligence artificielle - dans un certain nombre de ses produits, notamment Skype, OneDrive et Xbox. En outre, l'entreprise a mis son logiciel à la disposition d'autres fournisseurs, comme par exemple Google, Twitter et Facebook.
Récemment, Apple a également annoncé qu'elle prenait des mesures contre la propagation de CSAM. Il était notamment prévu de scanner les images sur le smartphone par rapport à la base de données NCMEC - en d'autres termes, d'utiliser le "client-side scanning" (CSS) - avant de les télécharger dans le nuage. En outre, Apple a envisagé la possibilité de mettre en place un "contrôle parental" sur ses appareils. Grâce à l'intelligence artificielle, celui-ci aurait alors été en mesure de détecter les images "sexuellement explicites" avant l'envoi des messages et d'avertir les parents en cas de découverte d'un contenu pertinent. Toutefois, après une vague mondiale de protestations, Apple a mis ses projets en veilleuse pour le moment.
Le CSS est également l'une des technologies de surveillance qui pourraient découler de la législation européenne. Tout récemment, dans une étude conjointe, un groupe de chercheurs et d'inventeurs de renommée mondiale, spécialisés dans le domaine de la cybersécurité et du chiffrement, a vivement critiqué tout projet envisageant de "scanner le contenu des appareils des utilisateurs finaux". Les experts concluent : le scan côté client est une menace pour la vie privée, la sécurité, la liberté d'expression et la démocratie dans son ensemble.
Bien que le chiffrement de bout en bout reste techniquement intact avec le CSS - ce n'est rien d'autre qu'une feuille de vigne dans le cas où les messages seraient sur le point d'être scannés pour un contenu spécifique avant d'être envoyés. Enfin, avec le CSS, le risque existe de permettre à des acteurs malveillants, tels que des pirates d'État ou des criminels ordinaires, d'utiliser les failles potentielles de la sécurité comme passerelles.
En termes concrets : Que signifie "chat control" ?
Indépendamment des détails de la mise en œuvre technique, si les plans de la Commission sont mis en œuvre, l'intrusion dans la vie privée sera assez profonde. Imaginez que chaque message, quel que soit le motif du soupçon, soit automatiquement examiné, évalué et, en cas de correspondance supposée, signalé - non seulement aux fournisseurs, mais aussi aux autorités.
Inévitablement, cela inclurait d'innombrables photos et vidéos parfaitement normales et légitimes que les gens s'envoient. Si la détection automatique, encore peu fiable à ce jour, devait donner l'alerte, le contenu devrait être vérifié par des humains dans tous les cas. Non seulement cela violerait encore davantage le droit à la vie privée, mais cela ouvrirait également une autre porte d'entrée susceptible d'être utilisée à mauvais escient.
En définitive, une telle loi aurait des conséquences massives pour les fournisseurs, les obligeant soit à se connecter à une infrastructure existante, soit à développer leurs propres solutions pour se conformer à la loi. Cela ferait le jeu des grands fournisseurs qui disposent de ressources suffisantes pour mettre en œuvre les exigences requises. Les fournisseurs qui ne disposent pas des ressources nécessaires ou qui trouvent l'effort trop important pourraient alors se retirer de l'UE.
Ce système est-il éventuellement extensible à un stade plus avancé ?
L'intrusion dans les appareils par le biais de chat control serait déjà critique si, en effet, seules les contenus illégaux étaient recherchés, comme cela est actuellement prévu - et même si les utilisateurs pouvaient avoir confiance que cela ne changerait pas à l'avenir. Les experts en informatique craignent toutefois que, même si le balayage côté client n'est utilisé dans un premier temps que pour la recherche de CSAM, la pression politique et sociale pour étendre son champ d'application sera immense.
À ce stade, les experts font valoir qu'une infrastructure de surveillance, une fois en place, non seulement crée des désirs, mais, après sa mise en œuvre, laisse peu de possibilités de s'opposer à une expansion demandée ou de s'assurer que le système ne sera pas utilisé de manière abusive. Techniquement, une telle évolution est très facile à réaliser. Par conséquent, les experts en informatique concluent que le CSS constitue une atteinte à la vie privée encore pire que toutes les propositions précédentes visant à affaiblir le chiffrement. Edward Snowden a avancé un argument similaire contre les plans d'Apple visant à mettre en œuvre une technologie de surveillance similaire pour scanner les appareils. Le lanceur d'alerte a exprimé sa crainte d'une surveillance de masse sans précédent.
Cette proposition est-elle même légale ?
Selon un avis juridique du professeur Ninon Colneric (PDF), le balayage automatisé pourrait en effet être illégal. La surveillance sans raison spécifique ni soupçon raisonnable est interdite dans l'UE en raison de sa violation des droits fondamentaux. La Cour européenne de justice a confirmé ce point de vue à plusieurs reprises et a, par exemple, réprouvé la conservation des données à plusieurs reprises.
Néanmoins, les tentatives de relancer le zombie de la rétention des données par des astuces juridiques ne se sont pas éteintes. On retrouve régulièrement cette demande dans les documents du conseil de différents pays de l'UE. Ainsi, ce type de surveillance de masse fait toujours partie de la loi allemande sur les télécommunications ("Telekommunikationsgesetz"), bien qu'elle soit actuellement suspendue.
Quelles actions puis-je entreprendre pour protester contre le projet ?
Jusqu'à présent, il n'y a pas de grandes alliances de la société civile contre la proposition, mais la protestation ne fait que s'amplifier. Le député européen Patrick Breyer a créé une page d'information et des appels à l'action sur chatkontrolle.de. Il appelle les citoyens à contacter les représentants de la Commission européenne, tels que la commissaire européenne aux affaires intérieures, Ylva Johannson, ou la présidente de la Commission européenne, Ursula von der Leyen, par téléphone et par e-mail, et à exprimer leur protestation. Dans les semaines à venir, des alliances de la société civile et d'autres formes de manifestation pourraient également voir le jour. Pour cela, il peut être utile de s'impliquer soi-même et de contacter les organisations de défense des droits civils et du numérique sur la question de chat control.
source :
https://netzpolitik.org/2021/eu-commission-why-chat-control-is-so-dangerous/