Une mesure qui changerait le Web et nos démocraties, à jamais : lundi 23 octobre avait lieu un séminaire organisé par le contrôleur européen de la protection des données (CEPD), qui s’intitulait « un point de non-retour ? ». Pendant plus de deux heures, différents experts se sont succédé pour commenter une mesure controversée du futur règlement visant à mettre fin aux abus sexuels sur les enfants, le « CSAR » (pour « Child sexual abuse regulation »). Si le futur règlement est adopté, il contraindrait les plateformes et les messageries, y compris chiffrées, à détecter et signaler aux autorités les contenus pédopornographiques (appelés « Child Sexual Abuse Material » ou CSAM).
Cette nouvelle obligation, désignée parfois sous l’appellation de « chat control »- contrôle des conversations – suscite depuis le début la controverse. Selon de nombreux experts, elle affaiblirait, voire mettrait fin, au chiffrement des messageries chiffrées comme WhatsApp, Signal ou Telegram. Sur ces plateformes, seuls le destinataire et l’expéditeur, détenteurs d’une clé, ont accès aux contenus échangés. Ni la messagerie elle-même, ni les forces de l’ordre ne peuvent en avoir connaissance, même s’il s’agit de grand banditisme, de terrorisme, ou de pédopornographie. En ébréchant le chiffrement, et en obligeant les entreprises à mettre en place une détection automatique, le règlement pourrait conduire à une surveillance généralisée de toutes nos communications, se sont alarmés les défenseurs de la vie privée.
Des mesures « pas efficaces et nuisibles »
Il s’agissait donc pour le CEPD, une autorité indépendante chargée de contrôler la façon dont les institutions européennes – comme la Commission européenne – protègent les données, de réunir des experts de différents domaines et de confronter les points de vue. Un an plus tôt, le CEPD et les CNILS européennes avaient déjà, dans un avis commun, expliqué que le projet de règlement « soulevait de sérieuses préoccupations en matière de protection des données et de la vie privée ». À l’issue du séminaire du 23 octobre, le Contrôleur va désormais plus loin. Il conclut qu’il existe un « consensus très large et presque sans précédent entre (…) organismes de protection des données, experts juridiques, monde universitaire, industrie, société civile, législateurs nationaux et autorités chargées de l’application de la loi ».
Obliger à scanner l’ensemble des messageries serait « non seulement inefficace, mais aussi nuisible ». Une telle mesure « remettrait en question les fondements [de la vie privée] qui, une fois ébranlés, mèneraient à un changement radical dont nous ne pourrions pas revenir », s’est alarmé Wojciech Wiewiórowski, le Contrôleur européen de la protection des données, pendant le séminaire.
"There is a broad and almost unprecedented consensus that today’s seminar has shown – a consensus between different groups of stakeholders – that the CSAM proposal is not only ineffective, but also harmful" @W_Wiewiorowski closing the #EDPS #Seminar on #CSAM Proposal pic.twitter.com/BE5KbSvyt0
— EDPS (@EU_EDPS) October 23, 2023
Un point de non-retour ? Un point de non-retour.
Sous sa forme actuelle, écrit le Contrôleur européen dans sa note d’information publiée le 23 octobre, « la proposition CSAM modifierait fondamentalement Internet et la communication numérique tels que nous les connaissons. Il s’agirait d’un point de non-retour ». L’organisme indépendant espère que les voix des experts qui s’exprimaient ce lundi finissent par arriver aux oreilles de la Commission européenne. Ylva Johansson, la commissaire européenne à l’origine du règlement, était invitée à s’exprimer lors de ce séminaire, qui avait lieu dans l’enceinte du Parlement européen. Mais cette dernière, en proie à différentes controverses, n’a pas répondu à l’invitation, a précisé le Contrôleur européen.
Pendant le séminaire, trois points ont cristallisé les inquiétudes et critiques des experts : l’inefficacité, l’impossibilité technique et le risque de surveillance à grande échelle – avec ses conséquences alarmantes pour nos droits fondamentaux.
Des mesures de détection facilement contournables
Les spécialistes ont d’abord expliqué que le fait d’imposer un scan général en vue d’identifier des contenus pédopornographiques n’offrira pas plus de protection aux enfants, pour une raison simple. Les mesures de détection qui seraient mises en place pourraient être facilement contournées, a rappelé le professeur et expert en cybersécurité Bart Preneel, de l’université de Louvain en Belgique.
« Une fois que vous savez ce que l’IA recherche, il est possible de la contourner, et vous pourrez également utiliser l’IA pour contourner l’IA, de sorte qu’il y aura concurrence entre les outils d’IA ». Qui l’emportera ? Probablement celui qui cherche à contourner le scan automatique, a répondu Bart Preneel.
Des faux positifs à foison
Deuxième problème soulevé : ce type de système de détection ne serait pas fiable, car il génèrerait des faux positifs. « Cette technologie n’est pas exempte d’erreurs, or, nous parlons de milliards de communications chaque jour », a souligné Alexander Hanff, informaticien et spécialiste de la protection de la vie privée. « Même si nous avons un taux d’erreur de 0,1 %, cela représente des millions de faux positifs ou de faux négatifs chaque jour, ce qui n’est pas quelque chose que nous pouvons accepter dans une démocratie ».
Ces faux positifs risquent d’inonder des services d’enquête, déjà sous l’eau. Difficulté supplémentaire, la détection ne se limiterait pas aux contenus pédopornographiques (comme des photos ou des images). Elle est censée aussi s’appliquer au « grooming » – un terme qui désigne le fait, pour un adulte, de chercher à rencontrer un mineur en ligne à des fins sexuelles, ou en vue de produire des contenus pédopornographiques. Or, comment cette technologie va-t-elle distinguer des mineurs qui échangent des sextos, et un mineur en danger face à un pédocriminel ?
« Il faudrait faire la différence avec l’IA entre contenus légitimes et illégitimes, ce qui serait extrêmement difficile à faire », reconnaît le professeur Bart Preneel. « À titre d’exemple simple, il faudrait éventuellement avoir un moyen fiable de vérifier l’âge, et je pense que c’est quelque chose de très difficile à faire, sauf si nous imposons le fait que tout le monde se connecte avec une identité fournie par l’État. Ce qui soulève bien entendu de nombreuses autres questions », ajoute-t-il.
Dans la balance bénéfices risques, le compte n’y serait tout simplement pas, expliquent les experts interrogés. D’un côté, les citoyens seraient beaucoup plus surveillés. De l’autre, les enfants ne seraient pas plus en sécurité.
Impossibilité technique
Autre défi posé par la proposition de règlement : techniquement, il est impossible d’analyser les contenus d’une conversation sans affaiblir le chiffrage de bout en bout et sans porter atteinte à la vie privée des utilisateurs. « C’est la conclusion sans équivoque de centaines de scientifiques et de chercheurs de premier plan dans ce domaine. Et de nombreux experts s’accordent à dire que les solutions technologiques de pointe actuelles pour la détection ne sont pas suffisamment fiables et sont également vulnérables aux cyberattaques », estime le Contrôleur.
C’est ce qu’a expliqué Claudia Peersman, une chercheuse qui a fait partie d’un groupe d’experts chargés, au Royaume-Uni, d’évaluer des systèmes censés scanner des messages chiffrés sans compromettre la vie privée des personnes. Or, selon cette dernière, « aucun des outils n’a été en mesure de satisfaire (nos critères). (…) Nous pensons simplement que ces outils ne sont pas prêts à être déployés à grande échelle sur des messages privés, au sein d’environnements chiffrés de bout en bout ».
Enfin, le scan généralisé de toutes nos communications générera le sentiment d’être constamment sous surveillance – ce qui affectera nos droits fondamentaux. De nombreux jeunes adultes ou des adolescents pourraient renoncer à être politiquement actifs, à militer, ou à explorer leur sexualité, si les autorités étaient en mesure de surveiller leur communication numérique.
« La vie privée n’est pas une option, mais une passerelle essentielle vers tous nos autres droits fondamentaux »
Or, rappelle Ella Jakubowska, chargée de mission au sein de l’ONG European Digital Rights (EDRi), « la vie privée n’est pas une option, mais une passerelle essentielle vers tous nos autres droits fondamentaux ». C’est ce principe du respect de la vie privée qui nous « permet de jouir d’autres droits (…) comme le fait de pouvoir exprimer sa propre personnalité, son identité et ses croyances. C’est de ce principe que découle notre capacité à s’investir dans la vie politique, économique, sociale et culturelle ». Pour cette dernière, il n’y a pas à opposer vie privée et sécurité, comme le fait la Commission européenne dans sa proposition. Il ne s’agit pas de renoncer à la vie privée pour garantir la sécurité des enfants, ajoute-t-elle.
La mise en place de ce type de technologie signifierait aussi qu’un grand nombre de données soit collecté. Comment s’assurer que la détection soit bien limitée aux contenus pédopornographiques ? C’est une question à laquelle personne ne sait répondre, expliquent les spécialistes. Et plus largement, l’Union européenne et ses États membres sont-ils réellement prêts à accepter une surveillance de masse des communications ? Sont-ils prêts à brouiller la frontière entre les pays démocratiques et les régimes autoritaires, a questionné le Contrôleur.
Côté institutions européennes, aucune réponse à ces questions n’a pour l’instant émergé depuis la fin du séminaire. Mais les lignes pourraient bouger ce 25 octobre. Ce mercredi, les membres de la commission des libertés civiles du Parlement européen doivent justement poser des questions à la Commissaire européenne Ylva Johansson. Et cette fois, la femme politique ne pourra pas décliner l’invitation.
À lire aussi : Quand Gérald Darmanin repart à l’assaut du chiffrement, après l’attentat d’Arras
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Séminaire du CEPD du 23 octobre 2023
Une fois qu’on a cassé cette barrière de vie privée, c’est aussi la porte ouverte à toute forme de discrimination et répression politique: Prenont par exemple en Pologne ou en Hongrie une femme qui cherche à avorter, les membres des communautés LGBTQI+, des migrants de certaines origines qu’on cherche à tout prix à expulser, etc.
Il est toujours plus facile de ne rien faire, toutefois, cela ne résoud pas le problème de fond.
Si “la barrière de la vie privée”, est une formule élégante pour désigner des activités illégales ou non recommendables, il faudrait vraiment savoir ce que l’on veut. Lorsqu’on a une vie privé et des activités saines, on n’a pas grand chose à cacher.
Pas de problème, continuons a protéger les pédophiles, comme on protège les délincants, les escrocs, les terroristes, l’imigration illégale, les squatteurs, l’évasion fiscale, les trafics en tout genre.
Les voyous n’ont pas de soucis à se faire, la société les protège.