Le projet de rglement relatif aux abus sexuels commis sur des enfants est controvers car il exigerait des fournisseurs de services en ligne quils analysent proactivement leurs services - y compris les communications interpersonnelles prives des utilisateurs - la recherche de matriel pdopornographique (CSAM) et de pdopornographie. Les documents divulgus rvlent un dsaccord entre les tats membres de lUE sur le champ dapplication du rglement et sur la meilleure faon de protger la scurit des enfants tout en respectant les droits des 447 millions dhabitants de lUE, enfants et adultes confondus. Lexigence de dtection proactive rend probablement le rglement CSA illgal dans sa forme actuelle.Cest ce quaffirment non moins que le propre service juridique du Conseil (dont lanalyse davril aboutissant cette conclusion a galement fait lobjet dune fuite), ainsi que lautorit de contrle de la protection des donnes de lUE, qui a condamn le projet actuel lanne dernire. Dune part, la lgislation europenne en vigueur interdit dimposer aux plateformes en ligne une obligation gnrale de surveillance du contenu ; dautre part, la Charte des droits fondamentaux de lUE limite la manire dont les droits des individus peuvent tre restreints par ltat.
La sollicitation denfants des fins sexuelles, ou pdopigeage, est une pratique o un adulte se "lie damiti" avec un enfant (de manire gnrale en ligne, mais le pdopigeage hors ligne existe galement) dans le but de commettre des abus sexuels son encontre . L'adulte cherche se rapprocher d'un enfant et instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l'intention de perptrer des abus sexuels.
En mi-2022, une proposition de la Commission europenne obligeait les entreprises technologiques analyser les messages privs la recherche de matriel d'abus sexuel d'enfants (CSAM) et de preuves de pdopigeage, mme lorsque ces messages sont censs tre protgs par un chiffrement de bout en bout.
Les services en ligne qui reoivent des ordres de dtection en vertu de la lgislation en cours de l'Union europenne auraient des obligations concernant la dtection, le signalement, la suppression et le blocage du matriel d'abus sexuel d'enfants connus et nouveaux, ainsi que la sollicitation d'enfants, quelle que soit la technologie utilise dans les changes en ligne , indique la proposition. Le plan appelle le chiffrement de bout en bout un outil de scurit important, mais ordonne essentiellement aux entreprises de casser ce chiffrement de bout en bout par tous les moyens technologiques ncessaires :
Afin de garantir l'efficacit de ces mesures, de permettre des solutions sur mesure, de rester technologiquement neutres et d'viter le contournement des obligations de dtection, ces mesures devraient tre prises quelles que soient les technologies utilises par les prestataires concerns dans le cadre de la fourniture de leurs services. Par consquent, le prsent rglement laisse au fournisseur concern le choix des technologies exploiter pour se conformer efficacement aux ordres de dtection et ne devrait pas tre compris comme incitant ou dcourageant l'utilisation d'une technologie donne, condition que les technologies et les mesures d'accompagnement rpondent aux exigences de prsent rglement.
Cela inclut l'utilisation de la technologie de chiffrement de bout en bout, qui est un outil important pour garantir la scurit et la confidentialit des communications des utilisateurs, y compris celles des enfants. Lors de l'excution de l'ordre de dtection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s'assurer que les technologies qu'ils emploient ne peuvent pas tre utilises par eux ou leurs employs des fins autres que le respect du prsent rglement, ni par des tiers, et pour viter ainsi de porter atteinte la scurit et la confidentialit des communications des utilisateurs .
Rendre obligatoire la surveillance sans soupon de toutes les communications en ligne, et en particulier des communications prives, pourrait tre considr comme une violation du droit la vie prive et la protection des donnes personnelles.
Rglement CSA
- Le nom complet du dossier lgislatif est Rglement du Parlement europen et du Conseil tablissant des rgles pour prvenir et combattre les abus sexuels concernant des enfants et sa rfrence est 2022/0155(COD) ;
- il est souvent appel "rglement CSA", "CSAR" ou "proposition CSAM". Ses dtracteurs l'ont galement baptis "Chat Control" ;
- il s'agit d'une lex specialis par rapport la Loi sur les services numriques de l'UE, ce qui signifie qu'il s'appuie sur certaines parties de la Loi sur les services numriques (celles qui concernent la lutte contre le matriel pdopornographique en ligne) et qu'il les particularise ;
- la base juridique du rglement est l'article 114 du trait sur le fonctionnement de l'Union europenne (TFUE), qui prvoit le fonctionnement du march intrieur de l'UE.
Dans lternel dbat sur le chiffrement, une fuite de documents de mai 2023 rvle les rponses de 20 tats membres de lUE une enqute du Conseil auprs du groupe de travail sur lapplication de la loi (LEWP), et plus particulirement de son sous-groupe police . Il reprsent le point de vue des forces de lordre.
Les autorits charges de lapplication de la loi dfendent systmatiquement leurs propres intrts : prvenir, dtecter, enquter et poursuivre les auteurs dinfractions.
Elles ont tendance laisser dautres intrts dautres parties prenantes (par exemple, les droits de lhomme, lconomie, le renseignement et la scurit nationale, les relations internationales). Il incombe aux dcideurs politiques, cest--dire ceux qui rdigent le rglement de la CSA, de rechercher et dintgrer tous ces autres intrts dans le produit final. Bien que les dcideurs politiques aient tendance accorder beaucoup dimportance aux points de vue des services rpressifs, il ne faut pas sattendre ce que les rponses au LEWP dictent elles seules la manire dont le rglement CSA sera finalement rdig.
Rponses anti-chiffrement et pro-pouvoirs de police
LEspagne a rcemment dclar que le chiffrement de bout en bout devrait tre totalement interdit par la loi. Cette position est extrme et rare pour un gouvernement dmocratique en 2023. Les autorits charges de lapplication de la loi et dautres reprsentants du gouvernement soulignent gnralement limportance du chiffrement de bout en bout avant de proposer des moyens de laffaiblir ou de le compromettre.
Les arguments typiques des services rpressifs contre le chiffrement sont galement repris par lEspagne : les services rpressifs doivent pouvoir continuer faire leur travail, il est impratif quils aient accs aux donnes (pour lesquelles ils disent galement quil devrait y avoir des obligations de conservation des donnes) et la capacit de les analyser , quelle que soit limportance du volume . En dautres termes, ils veulent pouvoir tout surveiller, et plus il y en a, mieux cest.
Chypre, la Slovnie, la Lituanie, la Croatie et la Hongrie ont adopt une position similaire : laccs des forces de lordre au contenu du End-to-end encryption (E2EE) ou chiffrement de bout en bout devrait tre inscrit dans le rglement CSA (et donc les ordres de dtection vers les services E2EE devraient tre inclus dans le champ dapplication), parce que lE2EE est utilis pour masquer les dlits de maltraitance denfants. Chypre et la Slovnie font au moins un geste dans le sens de la protection de la vie prive, tandis que la Lituanie pense que tout le monde devrait faire confiance la police.
La Croatie est sceptique quant lexistence dalternatives efficaces pour la dtection des CSAM dans les environnements E2EE, et la Hongrie veut imposer laccs des forces de lordre aux donnes. Chypre a dclar que bien entendu, une telle rglementation devrait tre quilibre avec la ncessit de garantir le droit la vie prive, en tenant compte de la jurisprudence de la Cour europenne de justice .
La Slovnie a exprim une opinion similaire en disant que pour la dtection dans un environnement crypt, nous devons utiliser ou dvelopper une technologie qui interfre le moins possible avec le droit la vie prive de ceux qui ne commettent pas dabus sexuels . Toutefois, elle craint que ce dveloppement ne soit entrav si le rglement CSA contient des dispositions interdisant laffaiblissement de lE2EE et ne lapprouve donc pas.
La Lituanie nest pas du mme avis en ce qui concerne le respect de la vie prive. Elle se plaint que les rgulateurs europens de la protection des donnes sont trop absolutistes en ce qui concerne le droit la vie prive et quils ne parviennent pas trouver un juste quilibre entre le respect de la vie prive et lapplication de la loi.
Des rponses quivoques : Le cryptage est important, mais... .
Belgique et Pologne : des positions contradictoires sur lE2EE et la rglementation
La Belgique et la Pologne affirment comprendre l'importance d'un chiffrement fort, mais selon Center for Internet and Society (CIS) , leurs rponses indiquent qu'elles ne comprennent pas vraiment comment fonctionne le chiffrement de bout en bout.
La rponse de la Pologne est similaire celle de la Belgique. Elle se dit favorable une formulation rglementaire visant viter l'affaiblissement de l'E2EE et souligne l'importance de l'E2EE pour la scurit des communications. Les deux pays disent qu'ils veulent une chose, puis demandent son contraire. Vouloir que les services E2EE puissent supprimer l'E2EE sur dcision de justice est tout fait incompatible avec le fait de dire que l'on est favorable un langage rglementaire excluant l'affaiblissement de l'E2EE , poursuit le Center for Internet and Society.
Selon le CIS, la technologie souhaite par la Belgique et la Pologne n'existe tout simplement pas. Et ce n'est pas faute d'avoir essay : les experts en scurit informatique ont essay pendant des dcennies de l'inventer, parce que les gouvernements ont continu pendant des dcennies l'exiger, et pendant des dcennies ces tentatives ont chou. Aprs un quart de sicle d'chec dans l'invention de la technologie magique et mythique du chiffrement scuris qui ne permet l'accs qu'aux bons et non aux mchants, il est peut-tre temps pour les gouvernements d'accepter que c'est impossible.
Danemark et Roumanie : des positions opposes sur lexclusion des services E2EE du champ dapplication du rglement CSA
Plusieurs pays de lUnion europenne ont rpondu quils taient favorables une formulation rglementaire excluant laffaiblissement de lE2EE en raison de son importance pour la vie prive et la cyberscurit. Cependant, pour tre efficace, le rglement CSA ne devrait pas exclure le matriel de lE2EE des ordonnances de dtection, tant donn que les services de lE2EE sont connus pour tre utiliss dans le cadre de la GPAE et du grooming.
Le Danemark est favorable une formulation rglementaire prcisant que le rglement nempche pas les fournisseurs dutiliser lE2EE dans leurs services. Cependant, le Danemark nest pas favorable lexclusion des services E2EE du champ dapplication du rglement, car cela compromettrait la capacit de la proposition atteindre son objectif , tant donn que les MSTC se propagent souvent par le biais de plates-formes qui utilisent lE2EE , selon lexprience de la police nationale.
La Roumanie explique que les services E2EE devraient tre inclus dans le champ dapplication du rglement CSA. Parfois, un ordre de dtection fonctionnera, parfois non, en fonction des circonstances et des particularits de la technologie de chiffrement. Si le chiffrement est fort, une ordonnance de dtection ne fonctionnera pas ; mais parfois le chiffrement est faible et peut tre cass, et dans ce cas, les autorits devraient avoir les outils juridiques pour essayer daccder au matriel dcrypt. Cette explication fonde la position politique de la Roumanie sur des ralits techniques et non sur un dsir brutal de maximiser les pouvoirs de la police.
La Slovaquie estime que lutilisation du chiffrement de bout en bout (ou de toute autre forme de chiffrement) par un fournisseur de services ne peut en soi justifier le non-respect des obligations du rglement CSA, et elle souhaite vraiment que toute formulation rglementaire concernant lE2EE le prcise, afin dviter de crer un vide juridique susceptible de crer une sphre de scurit pour le CSAM ou le grooming .
LIrlande approuve le principe selon lequel les services E2EE ne devraient pas tre interdits ou affaiblis, mais sopposerait linclusion de toute formulation qui pourrait avoir pour effet de restreindre lefficacit du rglement. Larticle mentionne galement que lIrlande devrait appliquer fermement la lgislation europenne en matire de protection de la vie prive, en particulier lencontre des grandes entreprises technologiques amricaines telles que Meta. LE2EE est un trs bon moyen de protger la vie prive des utilisateurs.
Les Pays-Bas et la Bulgarie sont tous deux favorables la protection de lE2EE. La Bulgarie dclare quelle nest pas favorable laffaiblissement de lE2EE, car il est essentiel pour garantir des communications scurises. La rponse des Pays-Bas souligne plusieurs reprises leur politique nationale : ne pas rendre le chiffrement de bout en bout impossible. Le Parlement nerlandais a adopt une rsolution en juillet 2022 demandant spcifiquement au gouvernement nerlandais de ne pas accepter les propositions qui rendent le chiffrement de bout en bout impossible .
Le gouvernement amricain, de concert avec les gouvernements du Royaume-Uni et de l'Australie ont tent de saper le chiffrement de bout en bout, la seule mthode qui existe actuellement pour protger de faon fiable l'information dans le monde, avait crit Edward Snowden, linformaticien amricain et lanceur dalerte, dans un article dopinion publi sur le site Web du journal dinformation britannique the Gardian. Selon lancien employ de la CIA et de la NSA, si ces gouvernements russissent saper le chiffrement, notre infrastructure publique et notre vie prive seront dfinitivement mises en danger.
En effet, le chiffrement est une mthode de protection de l'information, le principal moyen d'assurer la scurit des communications numriques, au lieu quelles soient protges par les plateformes Internet. Lorsquun trafic Internet est chiffr de bout en bout, il ne peut tre lu que par lexpditeur et le destinataire qui disposent dune cl de dchiffrement. Dans le cas contraire, tout gouvernement, entreprise ou criminel qui s'en aperoit peut - et, en fait, le fait - en voler une copie, enregistrant secrtement vos informations pour toujours , a crit Snowden.
Dans le reste du monde, l'Inde est la premire dmocratie interdire massivement les applications de messagerie chiffre. Le gouvernement indien fait partie de ceux qui voient d'un mauvais il le chiffrement, estimant qu'il ne fait que permettre aux criminels d'viter la dtection et de menacer la scurit de la nation et du public. Pour certains analystes, bien que le gouvernement indien ait tort, cela ne l'a pas empch d'essayer d'imposer des portes drobes ou d'interdire purement et simplement les communications chiffres.
En mai de cette anne, le gouvernement indien a interdit 14 applications de messagerie chiffres ou peer-to-peer, dont certaines open source, pour des raisons de scurit nationale. Il affirme que ces applications taient utilises par des terroristes dans la rgion du Jammu-et-Cachemire, un territoire disput entre lInde et le Pakistan. Parmi les applications interdites figurent Element, Wickrme, Mediafire, Briar, BChat, Nandbox, Conion, IMO et Zangi.
La communaut du logiciel libre en Inde a critiqu cette dcision, estimant quelle tmoignait dun manque de comprhension du fonctionnement de ces applications et quelle nempcherait pas les groupes violents dutiliser dautres moyens de communication. Elle a galement soulign limportance de ces applications pour la communication pendant les catastrophes et dans les lieux de travail.
Source : Center for Internet and Society, Edri
Et vous ?
tes-vous pour ou contre le chiffrement de bout en bout ?
Quel est votre avis sur le dsaccord au sein de l'UE ce sujet ?
Quelle solution prconisez-vous ?
Voir aussi :
&img=https://wordpress.kennycaldieraro.fr/wp-content/uploads/2023/10/Fiable-et-ultra-rapide-le-SSD-Crucial-P5-Plus-2.webp.webp)
