" Des réserves ". "Des lacunes importantes". "L'efficacité et la proportionnalité [...] ne sont pas suffisamment démontrées". "Les options [...] ne sont pas présentées de manière suffisamment ouverte, complète et équilibrée".
On pourrait croire qu'il s'agit d'une enquête sur une transaction commerciale douteuse ou un quelconque scandale politique trouble. Mais en fait, les phrases ci-dessus font référence à un avis récemment révélé d'un comité d'examen de la Commission européenne concernant la proposition à venir de leurs propres collègues pour une "Législation visant à lutter efficacement contre les abus sexuels envers les enfants". La publication de cette proposition est actuellement prévue pour le 27 avril 2022, bien qu'il soit probable qu'elle soit reportée au mois de mai. La proposition se concentre sur la lutte contre la diffusion en ligne de contenu pédopornographique.
Publiées hier (22 mars) par le média français Contexte et datées du 15 février 2022, ces déclarations inquiétantes de la Commission européenne ne sont que la partie émergée de l'iceberg d'une proposition législative qui, selon EDRi et 39 autres groupes de la société civile, pourrait détruire l'intégrité des communications privées en ligne dans l'UE et créer un dangereux précédent pour le monde entier.
Lors de réunions, les collaborateurs de la commissaire aux affaires intérieures Ylva Johansson, qui dirige le dossier, nous ont rassurés en affirmant que la nouvelle loi ne contiendrait pas d'exigences en matière de scanning généralisé, et qu'elle ne toucherait pas au chiffrement. Mais les résultats du "Regulatory Scrutiny Board" (RSB) qui a mené l'examen interne racontent une version très différente :
"Le rapport [sur la législation visant à lutter efficacement contre les abus sexuels sur les enfants] n'est pas suffisamment clair sur la manière dont les solutions qui prévoient la détection de nouveaux contenus d'abus sexuels sur les enfants ou le grooming (ndrl : Pédopiégeage) respecteraient l'interdiction [de l'UE] des obligations générales de surveillance."
"Compte tenu de l'affirmation [...] sur les limites des technologies disponibles qui existent pour l'utilisation dans les communications chiffrées [...], le rapport devrait être plus clair sur la faisabilité pratique des options politiques et rassurer sur l'application effective."
"Le rapport devrait préciser comment les options qui prévoient l'obligation de détecter de nouveaux contenus relatifs à l'abus sexuel d'enfants ou le grooming respecteraient les exigences en matière de protection de la vie privée, en particulier l'interdiction des obligations générales de surveillance."
Il en ressort que le projet actuel de législation, élaboré par la commissaire Johansson et son équipe de la DG HOME (ndrl : La direction générale des migrations et des affaires intérieures est une direction générale de la Commission européenne), contient des règles qui obligeraient les fournisseurs de services de communication en ligne à procéder à la surveillance généralisée des communications privées des personnes, même celles qui sont chiffrées. En outre, l'avis souligne l'illégalité de la surveillance généralisée en vertu du droit européen, ce qui signifie que si elle est mise en œuvre, la proposition de loi pourrait être annulée par la Cour de justice.
Au début de cette année, EDRi a averti, par le biais de ses "10 principes de contrôle des conversations", que la surveillance généralisée équivaudrait à une surveillance de masse antidémocratique et illégale. EDRi a recommandé que toutes les interventions dans les conversations confidentielles soient ciblées sur la base de soupçons raisonnables, de mandats judiciaires et de garanties appropriées, conformément à la législation européenne sur les droits fondamentaux.
En outre, nous avons mis en garde la Commission contre le fait d'affaiblir, de compromettre ou de contourner le chiffrement. Le chiffrement est vital pour garantir la protection de nombreux aspects, des achats en ligne à la sécurité nationale, et certains des plus grands experts mondiaux en matière de cybersécurité ont récemment averti que le fait de forcer l'analyse des environnements chiffrés "ne garantit pas une prévention efficace de la criminalité et n'empêche pas la surveillance. En fait, l'effet est plutôt inverse".
De plus, l'avis indique que le projet de loi exigerait également que cette surveillance généralisée soit effectuée non seulement pour le contenu qui a été vérifié par les autorités pour s'assurer qu'il est illégal, mais aussi pour rechercher des images "inconnues" ainsi que de prétendues preuves de "grooming" à l'aide d'outils d'IA notoirement peu fiables. Nous avons tous vu des photos être automatiquement signalées sur les réseaux sociaux parce qu'un outil d'IA pensait à tort qu'elles contenaient de la nudité, et nous avons tous subi la frustration d'un courriel important qui se retrouvait automatiquement dans notre dossier de spam.
Ces conséquences sont déjà assez graves, mais imaginez maintenant que la conséquence ne soit pas seulement un courriel perdu, mais plutôt un signalement à la police vous accusant de diffuser du contenu illégal concernant des abus sexuels d'enfants ou de solliciter un enfant. Le résultat final inévitable de ces technologies serait inconcevable pour ceux qui sont accusés à tort.
Le rapport met également en évidence un grave déficit dans l'élaboration des politiques de la Commission, censée être fondée sur des preuves :
"L'option de mise en œuvre privilégiée ne devrait pas être identifiée d'emblée, mais émerger à la suite d'un processus d'évaluation et de comparaison analytique."
Cela nous indique que la DG HOME avait déjà son approche préférée et a cherché à faire en sorte que le reste de la proposition s'y adapte, plutôt que d'analyser objectivement la situation. Compte tenu du manque de preuves et de proportionnalité de la version à court terme de cette loi, nous sommes au regret de dire que cela ne nous surprend pas.
L'avis souligne également que les points de vue des parties prenantes - y compris ceux qui ont soulevé des préoccupations au sujet de la proposition - "devraient être présentés de manière plus transparente". Cela renforce notre conviction qu'il est important que nous défendions notre vie privée tant que nous le pouvons encore.
La question à un million d'euros reste donc la suivante : si tous ces problèmes graves affectent encore la proposition, pourquoi a-t-elle été autorisée à passer la commission d'examen ? Et que dit cette évaluation de la légalité de la législation temporaire déjà existante ?
L'avis indique que l'approbation du comité est assortie de réserves parce que le comité "attend de la DG qu'elle rectifie" les "lacunes" avant la proposition finale. Cette approche ne semble guère appropriée ou fiable, étant donné que l'avis révèle une incapacité systématique de la DG HOME à présenter une proposition proportionnée, fondée sur des preuves et respectueuse des droits fondamentaux. Qui plus est, le document qui a fait l'objet d'une fuite montre qu'une version antérieure de la proposition a échoué à son examen l'année dernière. Des leçons vitales, notamment sur la nécessité de respecter la vie privée, ne sont manifestement pas tirées.
Le 9 mars 2022, la commissaire Johansson a écrit aux membres du Parlement européen pour les rassurer sur le fait que sa proposition "n'interdirait pas ou n'affaiblirait pas de manière générale le chiffrement. La Commission n'envisage pas de proposer un mécanisme ou des solutions dans sa proposition qui rompraient cet engagement." Au contraire, ce qui ressort clairement de cette fuite d'avis, c'est que - comme nous l'avons expliqué dans un récent blog - saper un chiffrement fort semble être exactement ce que la proposition a l'intention de faire.
Dans la perspective de la proposition officielle qui sera présentée plus tard dans l'année, nous demandons instamment à tous les commissaires européens de se souvenir de leurs responsabilités en matière de droits de l'homme et de veiller à ce qu'une proposition qui menace le cœur même du droit à la vie privée des personnes et la pierre angulaire de la société démocratique ne soit pas présentée.
source :
https://edri.org/our-work/leaked-opinion-of-the-commission-sets-off-alarm-bells-for-mass-surveillance-of-private-communications/