L’Union Européenne se trouve à la croisée des chemins. D’un côté, sa réputation de longue date en matière de protection de la vie privée. De l’autre, un projet législatif présenté en mai 2022 visant à lutter contre les abus sexuels sur les enfants, qui menace de réduire considérablement la confidentialité et la sécurité des messageries pour des centaines de millions d’Européens. Cette proposition controversée, surnommée le «contrôle des chats», soulève de vifs débats et critiques.
Un plan techno-solutionniste pour protéger les enfants en ligne
La Commission Européenne, qui a rédigé cette proposition, la présente comme un moyen de défendre les droits des enfants sur Internet en s’attaquant au détournement des outils technologiques grand public par les agresseurs. Selon elle, ces derniers utiliseraient de plus en plus les apps de messagerie pour distribuer du matériel pédopornographique (CSAM) et même pour entrer en contact avec de nouvelles victimes.
L’approche adoptée par l’UE, sans doute influencée par le lobbying du secteur des technologies de protection de l’enfance, est techno-solutionniste. L’initiative de la Commission se concentre sur la régulation des services numériques, principalement les messageries, en leur imposant l’obligation légale d’utiliser des outils technologiques pour scanner les communications des utilisateurs afin de détecter et signaler les activités illégales.
Des exigences de détection très larges qui inquiètent
La proposition initiale contient une obligation pour les plateformes, une fois visées par un ordre de détection, de scanner les messages des gens, non seulement à la recherche de CSAM connus (des images d’abus précédemment identifiées et hashées), mais aussi de CSAM inconnus (de nouvelles images). Cela augmenterait encore le défi technique d’une détection précise avec peu de faux positifs.
Un autre volet exige des plateformes qu’elles identifient les activités de sollicitation d’enfants (grooming) en temps réel. En plus de scanner les images uploadées, les apps devraient donc être capables d’analyser le contenu textuel des échanges pour tenter de comprendre quand un adulte essaie d’attirer un mineur dans une activité sexuelle.
Utiliser des outils automatisés pour détecter des signes de comportements prédateurs dans les interactions générales entre utilisateurs ouvre la porte à d’innombrables erreurs d’interprétation de conversations innocentes, avertissent les opposants au texte. Au final, ces obligations de détection très larges transformeraient les messageries grand public en outils de surveillance de masse, s’alarment-ils.
Le chiffrement de bout en bout menacé
La proposition initiale n’exempte pas les plateformes qui utilisent le chiffrement de bout en bout (E2EE) des exigences de détection. Or le E2EE implique que ces services n’ont pas accès au contenu en clair, puisqu’ils ne détiennent pas les clés de chiffrement. Ils seraient donc confrontés à un problème de conformité s’ils devaient analyser un contenu qu’ils ne peuvent pas voir.
Les experts prédisent donc que cette loi forcerait les messageries E2EE à dégrader leur sécurité en implémentant des technologies à risque comme le scanning côté client. Certains services pourraient aussi choisir de se retirer entièrement du marché européen, privant les citoyens de l’UE d’apps grand public bénéficiant de protocoles E2EE solides comme Signal, WhatsApp ou iMessage.
Des millions de faux positifs à craindre
Pour les critiques, aucune de ces mesures n’aurait l’effet escompté de prévenir les abus. Au contraire, ils redoutent d’horribles conséquences alors que les échanges privés de millions d’Européens seraient exposés à des algorithmes de scanning imparfaits, déclenchant potentiellement des millions de faux positifs.
D’innombrables citoyens innocents pourraient ainsi être impliqués à tort dans des activités suspectes, submergent les forces de l’ordre sous un flot de signalements erronés. De plus, le système envisagé exposerait régulièrement les messages privés à des tiers chargés de vérifier le contenu signalé, annihilant la confidentialité même en l’absence de transmission à la police.
Des divisions au sein des institutions européennes
Pour l’instant, les colégislateurs de l’UE n’arrivent pas à s’entendre. Le Parlement Européen a adopté l’an dernier une position visant à réduire les risques, avec une exemption totale du scanning pour les plateformes E2EE. Il a aussi proposé de limiter le filtrage aux seuls utilisateurs suspectés d’abus, d’exclure la détection du grooming, et d’obliger les plateformes à mieux protéger la vie privée.
Mais le Conseil Européen, lui, semble favoriser une position plus proche de la proposition initiale de la Commission. Des fuites révèlent que les gouvernements des États membres essaient toujours de préserver la possibilité d’un scan généralisé, quitte à forcer les utilisateurs à choisir entre vie privée et fonctionnalités. Le soutien pourrait toutefois s’effriter, les Pays-Bas ayant récemment fait part de leurs réserves.
Le contrôleur européen de la protection des données a prévenu l’année dernière que cette proposition représentait un point de basculement pour les droits démocratiques.
– Wojciech Wiewiórowski, Contrôleur européen de la protection des données
Un avenir incertain pour le « contrôle des chats »
Malgré ces divisions, le projet de loi reste sur la table, avec tous les risques qu’il comporte. Les élections européennes ont renouvelé la composition du Parlement, et la position des nouveaux élus est moins claire. Le Conseil n’a pas encore arrêté de mandat de négociation, bloquant le début des discussions, mais la présidence hongroise semble déterminée à trouver un compromis.
Si les États membres parviennent à un accord satisfaisant suffisamment de gouvernements, cela ouvrirait la voie à des négociations en trilogue avec les eurodéputés, remettant tout en jeu. Les enjeux pour les droits des citoyens européens et la réputation de l’UE comme championne de la vie privée restent donc élevés. Enfin, si cette loi est finalement adoptée, elle fera très certainement l’objet de contestations juridiques, le droit européen interdisant d’imposer une obligation générale de surveillance. L’avenir du « contrôle des chats » et son impact sur le chiffrement des messageries en Europe demeurent plus qu’incertains.