Les responsables européens de la protection des données contre la loi de surveillance des messageries (update)
L’UE veut obliger les fournisseurs de services d’e-mails et de messagerie instantanée à scanner les communications et à signaler celles contenant du matériel pédopornographique. Le projet de loi suscite de nombreuses critiques, y compris en Suisse. Les hauts responsables de la protection des données de l'UE estiment que les droits fondamentaux sont menacés.
Mise à jour du 8 août 2022: Le projet de loi présenté par la Commission européenne pour prévenir et combattre les abus sexuels sur les enfants continue de susciter des critiques. Dans un communiqué commun, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données s'expriment à leur tour sur le projet de loi. Selon eux, dans sa forme actuelle, la loi est davantage susceptible de porter préjudice aux individus et à la société en général que pour les criminels poursuivis.
«Il ne fait aucun doute que l'abus sexuel d'enfants est un crime des plus odieux qui exige une action rapide et efficace, mais la proposition, dans sa forme actuelle, présente de graves lacunes. Elle manque de sécurité juridique sur de nombreux points et inclut des notions vagues qui peuvent conduire à des mises en œuvre divergentes à travers l'UE, en particulier en ce qui concerne les ordonnances de détection», a déclaré Ventsislav Karadjov, vice-président du CEPD. Telles qu'elles sont actuellement proposées, ces injonctions pourraient même nuire à ceux qu'elles sont censées protéger et conduire à ce que des enfants puissent être mis sur écoute et surveillés.
Les responsables européens de la privacy critiquent en outre les technologies proposées pour détecter les contenus illégaux. Scanner les communications à l'aide de l'intelligence artificielle pourrait donner lieu à des erreurs et constituent une intrusion drastique dans la sphère privée.
«Les mesures permettant aux autorités publiques d'avoir accès au contenu des communications, sur une base généralisée, affectent l'essence du droit à la vie privée. Même si la technologie utilisée se limite à l'utilisation d'indicateurs, l'impact négatif de la surveillance des communications textuelles et audio des individus sur une base généralisée est si grave qu'il ne peut être justifié au titre de la Charte des droits fondamentaux de l'UE», résume le Contrôleur européen de la protection des données Wojciech Wiewiórowski.
News originale du 12 mai 2022: L’UE projette une loi controversée de surveillance des messageries
C'est un objectif louable que poursuit l'UE avec le projet de loi présenté le 11 mai. La Commission européenne souhaite prévenir et combattre les abus sexuels sur les enfants en ligne. «Le système actuel, qui repose sur la détection et le signalement volontaires par les entreprises, s’est révélé insuffisant pour protéger correctement les enfants et, en tout état de cause, il ne sera plus disponible, dès que la solution provisoire actuellement en vigueur aura cessé de s’appliquer», explique l’exécutif européen dans son communiqué.
La Commission souhaite ainsi responsabiliser davantage les fournisseurs , qui se verront contraints de détecter, signaler et supprimer le matériel relatif à des abus sexuels sur des enfants dans leurs services. Ils devront également évaluer et réduire le risque que leurs services fassent l'objet d'abus. Les mesures prises à cet effet doivent être proportionnelles au risque et être liées à des conditions et des mécanismes de protection solides.
Chiffrement sur la sellette
La manière dont les fournisseurs de services d’e-mail ou de messagerie instantanée passeront au crible les contenus à la recherche de matériel suspect est laissée à leur appréciation, explique la Commission. Les services proposant un chiffrement de bout en bout et qui n’ont donc pas accès aux conversations vont devoir trouver des stratagèmes pour se mettre en conformité. On pense notamment aux stat-tup suisses Proton (e-mail) et Threema (messagerie instantanée) dont le succès tient justement à la confidentialité qu’ils garantissent aux utilisateurs.
L’an dernier, Apple avait lancé une solution destinée à concilier protection et confidentialité, avec un système scannant les photos directement sur l’appareil des utilisateurs pour y détecter du matériel pédopornographique. Mais la firme à la pomme s’était vite ravisée face aux nombreuses critiques des défenseurs de la vie privée lui reprochant notamment l’opacité du mécanisme et le risque de faux positifs.
La Commission sait que le terrain est miné. Dans son projet, elle souligne ainsi que «les fournisseurs devront déployer des technologies qui soient les moins intrusives au regard de la vie privée en l’état actuel de la technique dans le secteur, et qui limitent autant que possible le ratio de faux positifs». Elle indique par ailleurs qu’un centre dédié sera créée pour vérifier les signalements effectués par les fournisseurs avant de les communiquer aux autorités répressives et à Europol, et que fournisseurs et utilisateurs auront le droit de contester en justice toute mesure les concernant.
>>Pour en savoir plus: Système de lutte contre la pédopornographie: Apple fait marche arrière
Critiques en Suisse
Les voix critiques à l’égard du projet européen sont cependant nombreuses, y compris en Suisse. «L’accent mis par la commission sur la prétendue solution technique au problème social complexe de l'abus d'enfants et de la diffusion de telles représentations est erroné dans son approche, écrit par exemple l'association Digitale Gesellschaft. Reporter la responsabilité sur les fournisseurs de services de communication, placer un soupçon généralisé sur tous les utilisateurs et mettre à mal le secret des télécommunications ne peut pas être, dans un État de droit, l'alternative à un travail de police responsable et ciblé». L’association promet de suivre la procédure législative de manière critique.
Le gouvernement suisse devra également se pencher sur le «contrôle des messageries». Judith Bellaiche, conseillère nationale vert’libérale et directrice de l'association économique Swico, a déposé à ce sujet une interpellation avec des questions au Conseil fédéral. «Même si le but peut paraître légitime, les questions que soulève ce moyen sont fondamentales pour la gestion de notre sphère privée, de notre protection des données et, en fin de compte, de nos droits fondamentaux», écrit la parlementaire. Elle demande au Conseil fédéral de dire dans quelle mesure les citoyens suisses, mais aussi les fournisseurs locaux de services de messagerie, seraient concernés par la loi européenne. Au-delà, elle pose la question de savoir si ce contrôle est «compatible avec la conception suisse de la protection des données et en particulier avec nos droits démocratiques fondamentaux».
>> Lire notre grand entretien avec Judith Bellaiche sur les sujets politico-numériques du moment