L’ombre des lobbys industriels a plané sur la Commission européenne, lorsqu’elle a élaboré le règlement CSAR (pour « Child Sexual Abuse Regulation »), une proposition de législation relative aux abus sexuels commis sur des enfants. C’est ce que montre une enquête du Monde, réalisée en partenariat avec d’autres médias, publiée lundi 25 septembre. Le règlement, très controversé, est actuellement en discussion au Parlement européen.
Il imposerait, s’il est adopté, ce qu’on appelle un « client side scanning » (« analyse côté client » en français). Concrètement, Signal, Telegram, Meta (WhatsApp, Messenger), TikTok et bien d’autres seraient obligés de scanner toutes les conversations privées de leurs utilisateurs. L’objectif : détecter des images, des vidéos ou encore des messages pédopornographiques, grâce à un scan effectué par un système d’intelligence artificielle. Si de tels contenus sont identifiés, ils seraient alors signalés aux forces de l’ordre.
Le chiffrement de bout en bout fragilisé
Si ce type de scan existe déjà pour les contenus publiés sur les plateformes du Web, il s’agirait cette fois d’appliquer ce système aux messageries chiffrées : de quoi entraîner une forte opposition des chercheurs en sécurité et des associations de défense des droits numériques comme la Quadrature du Net, l’association européenne EDRi (« European Digital Rights association »), ou encore l’ONG américaine Electronic Frontier Foundation. Le 13 septembre dernier, 82 ONG ont publié une lettre ouverte, demandant à l’Europe de ne pas mettre en place une surveillance de masse. Le règlement reviendrait à mettre en place « le système de surveillance le plus sophistiqué jamais déployé, en dehors de la Chine et de l’URSS. Sans exagération », écrivait Matthew Green, un cryptographe, à la lecture du texte.
A lire aussi : Pédopornographie : la proposition de loi européenne provoque une levée de boucliers
Les CNILS européennes et les juristes du Conseil (les représentants des 27 États membres) ont également émis de fortes réserves. Instaurer un tel système, appelé parfois « chat control », reviendrait en effet à mettre à mal la vie privée des citoyens européens, parce qu’il fragilise ce qu’on appelle le chiffrement de bout en bout.
C’est cette technologie, utilisée par exemple sur Telegram, Signal et WhatsApp, qui nous permet de communiquer sans que les plateformes elles-mêmes ou l’État ne puissent accéder aux contenus des messages échangés. Sur ces messageries, les communications ne sont visibles que par l’expéditeur et le destinataire des messages, seuls détenteurs d’une clé qui permet de les déchiffrer.
À lire aussi : Le Saviez-vous ? On ne dit pas “cryptage” mais “chiffrement”
Une étroite coordination entre ces lobbys industriels et la commissaire européenne
Or, selon nos confrères, le lobby de l’industrie technologique et des services de sécurité aurait œuvré, en coulisses, pour que le règlement CSAR voit le jour. Des organisations liées à ces industries auraient leurs entrées au cabinet de Ylva Johansson, la commissaire européenne aux Affaires intérieures, à l’origine du texte. La responsable politique a, depuis sa présentation, qualifié la proposition de loi de « priorité numéro un ». Et pour battre en brèche les nombreuses alarmes des défenseurs des droits inquiets de ses impacts sur la vie privée des citoyens européens, la commissaire européenne expliquait s’appuyer sur des organisations de protection de l’enfance.
Problème : comme le montrent nos confrères du Monde, certaines de ces organisations n’auraient pas seulement pour objectif de protéger les mineurs. Elles auraient même tout intérêt à ce que cette proposition devienne une loi européenne. Pourquoi ? Il se trouve qu’elles vendent aussi des technologies d’IA permettant d’identifier les images d’abus sexuels commis sur des enfants. Et si le texte est adopté, elles pourraient être les grandes bénéficiaires de cette législation, se trouvant en pole position pour vendre leurs solutions. L’enquête cible particulièrement Thorn, une ONG américaine ayant une activité commerciale. Ses logiciels de « client side scanning » sont déjà utilisés par OpenAI, Flickr, ou encore le département de la sécurité intérieure américain, détaillent nos confrères.
Or, cette ONG, dont le président du conseil d’administration était l’acteur américain Ashton Kutcher jusqu’à peu, a eu de nombreux contacts avec plusieurs commissaires européens. L’association a aussi collaboré avec le cabinet de Mme Johansson, rapportent nos confrères qui citent une lettre de cette dernière datée de mai 2022, adressée à la direction de Thorn. « Nous avons partagé de nombreux moments sur le chemin menant à cette proposition. Nous avons mené des consultations approfondies. Vous avez contribué à fournir des éléments qui ont servi de base à la rédaction de cette proposition », est-il écrit, quelques jours avant la publication officielle de la proposition de règlement. L’enquête fait état d’une étroite coordination entre cette ONG et le cabinet de Mme Johansson. Sollicitée, cette dernière n’a pas souhaité répondre aux questions de nos confrères.
Les messageries chiffrées, des refuges « pour les prédateurs d’enfants »
Cela fait des années que le chiffrement est attaqué, sous couvert de lutte contre le terrorisme et la pédopornographie. D’un côté, les défenseurs des droits pensent qu’il ne faut pas toucher au chiffrement des messages de bout en bout, y compris lorsqu’il est utilisé par les pédocriminels, le grand banditisme ou les groupes terroristes, car cela reviendrait à surveiller toute communication. De l’autre, certains pensent qu’il faut au contraire mettre en place des exceptions au chiffrement, ce qui empêcherait les criminels de communiquer en toute sécurité, sans que les forces de l’ordre ne puissent accéder à leurs messages.
Le Haut conseil à l’égalité entre les femmes et les hommes (HCE), auteur d’un rapport sur la pédocriminalité révélé par L’Informé le 22 septembre, milite en ce sens. Cette instance considère que ces messageries sont des refuges « pour les prédateurs d’enfants ». Pour preuve : « Environ deux tiers des contenus à caractère sexuel concernant les enfants sont partagés via (c)es messageries privées », écrivent les auteurs de ce rapport.
Il est impossible de scanner les messages sans altérer le chiffrement
Le problème est qu’il n’existe pas, aujourd’hui, de technologie capable de scanner les messages sans altérer le chiffrement. Mettre en place cette exception au chiffrement (ce qu’on appelle une porte dérobée) signifierait la fin de la confidentialité des communications privées.
Cela a été rappelé par Facebook et Apple au Royaume-Uni, pays dans lequel une loi visant à contourner le chiffrement a aussi fait l’objet de débats ces derniers mois. Meta, la maison mère de WhatsApp, a écrit dans un communiqué qu’il était impossible de surveiller les messages sans compromettre le chiffrement de bout en bout. Même son de cloche quelques semaines plus tard chez Apple. Selon des fonctionnaires britanniques dont les propos ont été rapportés par le Financial Times, aucune technologie n’est capable d’analyser des messages chiffrés de bout en bout, sans mettre à mal la vie privée.
Des mesures qui « affectent l’essence du droit à la vie privée »
De quoi inquiéter fortement, outre de nombreuses associations de défense des droits, les CNILs européennes, gardiennes de la protection de la vie privée, et le contrôleur européen de la protection des données (EDPS). Ces derniers avaient émis, le 29 juillet 2022, de fortes réserves sur le texte, estimant qu’il présentait de graves risques pour les droits fondamentaux. « Les mesures permettant aux autorités publiques d’avoir accès au contenu des communications, sur une base généralisée, affectent l’essence du droit à la vie privée », s’alarmait Wojciech Wiewiórowski, le contrôleur européen de la protection des données. « L’impact négatif de la surveillance généralisée des communications textuelles et audio des individus est si grave qu’il ne peut être justifié au regard de la Charte des droits fondamentaux de l’Union européenne (UE) », ajoutait-il.
Même avis – bien que non officiel – des juristes du Conseil, qui estiment que le texte présente un risque sérieux au vu « des limitations particulièrement importantes au droit à la vie privée », rapportait The Guardian en mai dernier. Les discussions autour de ce texte y sont bloquées depuis des mois, en raison de l’opposition de certains pays.
Autre problème : les solutions de scan qu’on trouve actuellement sur le marché relèveraient des faux positifs – des contenus signalés pour pédopornographie par erreur. Ce qui engorgerait inutilement les services des forces de l’ordre. Et pour les défenseurs des droits, cette faille, qui serait accordée pour lutter contre la pédopornographie, si le règlement finit par être adopté, présente un autre danger. Elle pourrait être élargie à la moindre occasion pour des contenus terroristes, puis pour d’autres utilisations bien plus controversées. La proposition de ce règlement doit faire l’objet d’un vote de la commission des libertés civiles du Parlement européen en octobre prochain.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Le Monde
