Internet : Le projet de loi de l’UE contre les contenus pédopornographiques menace la vie privée

L’Union européenne souhaite actualiser la réglementation concernant la protection des mineurs. Parmi les mesures envisagées figure une nouvelle consigne qui rend obligatoire l’analyse de tous les messages, y compris chiffrés, pour traquer les contenus pédopornographiques.

C’est une proposition de loi qui assurément provoquera de vives controverses, alors qu’elle concerne un sujet qui ne peut souffrir de la moindre contestation possible : la lutte contre la pédopornographie. Mais si cet objectif est toujours légitime et nécessaire, son exécution peut-elle tout autoriser ? En clair, c’est la sempiternelle interrogation : la fin justifie-t-elle les moyens ?

Bruxelles désire mobiliser obligatoirement les plateformes dans la lutte contre la diffusion et le stockage de contenus pédopornographiques (qu’on appelle en anglais CSAM, pour child sexual abuse material en anglais). Comment ? En scannant tout ce qui circule sur leurs serveurs. Ce travail ne serait pas effectué par les autorités elles-mêmes, mais par les intermédiaires techniques que sont les fournisseurs et les hébergeurs. Ils auraient pour tâche, selon cette nouvelle stratégie, de détecter automatiquement ces fichiers, à les signaler et à les supprimer.”

La Commission a effectivement présenté le 11 mai sa nouvelle stratégie pour protéger les enfants sur le net et les former à cet environnement. En marge de celle-ci, Bruxelles indique qu’une proposition de législation a été adoptée sur la protection des enfants contre les abus sexuels. Celle-ci balaie plusieurs enjeux, dont celui de la lutte contre les abus sexuels sur mineur.

Dans une foire aux questions, Bruxelles souhaite, à travers cette révision de la loi, « définir les responsabilités des fournisseurs, en les obligeant à évaluer et à atténuer le risque d’utilisation abusive de leurs services ». Une nouvelle charge reposera alors sur les épaules de ces intermédiaires pour vérifier ce qui circule sur les réseaux et intervenir le cas échéant.

Dans un autre document, la Commission indique que le tout sera administré par une nouvelle agence à La Haye. Ce centre européen sur les abus sexuels envers les enfants aura pour rôle de « faciliter l’action » des intermédiaires techniques, en étant un « pôle d’expertise », mais aussi « d’analyser les signalements » pour écarter les détections erronées avant qu’ils n’arrivent aux forces de l’ordre.

Une surveillance massive au nom de la lutte contre la pédopornographie

Les formulations très générales données ici par la Commission européenne ne permettent pas de saisir véritablement ce qu’il se joue ici : il s’agit rien de moins que de contraindre les plateformes technologiques qu’elles se soumettent à une obligation de surveillance de masse des messages, afin de combattre la propagation de contenus pédopornographiques.

La lutte contre l’exploitation sexuelle des mineurs constitue sans aucun doute une obligation morale. Mais cet impératif se retrouve ici dans une situation qui peut l’amener à se heurter à d’autres droits et libertés, comme la préservation de la vie privée et le secret de la correspondance. De fait, tous ces enjeux fondamentaux se retrouvent en concurrence.

Ce qui est en jeu n’est pas la défense des personnes possédant des contenus pédopornographiques, en organisant leur impunité sans prendre aucune mesure. Il s’agit de préserver les intérêts de toutes les autres personnes, qui se trouvent être pour certains des exigences constitutionnelles : c’est le cas du secret des correspondances et du respect de la vie privée.

Or, la perspective d’une obligation de balayage générale et indiscriminée sur les services d’hébergement et de communication fait peser un risque que tous les outils techniques qui permettent de garantir effectivement ce secret des correspondances, à commencer par le chiffrement de bout en bout. De fait, ce plan européen pourrait conduire à son affaiblissement.

Et cette orientation est déjà en train de susciter une levée de boucliers. Le 10 mai, Marcel Kolaja, député européen et membre du Parti pirate, a promis que ses collègues combattraient cette « folie ». Il en a également profité pour tacler l’amateurisme apparent de Bruxelles sur ce sujet, en pointant une contradiction dans le texte.

« La Commission veut que les fournisseurs puissent fouiner dans les communications privées des citoyens sans porter atteinte à la sécurité et à la confidentialité. A-t-elle consulté quelqu’un qui comprenne réellement la sécurité informatique ? Le texte se contredit lui-même », a-t-il écrit sur Twitter.

Pourquoi est-ce tant critiqué ?

Les spécialistes en cryptographie, justement, ont commencé à tirer la sonnette d’alarme sur Twitter. Alec Muffett, un ingénieur informatique spécialisé dans la cryptographie et la sécurité des systèmes et des réseaux, s’est fendu d’un long fil sur Twitter pour exposer tout ce qui ne semble pas aller dans cette proposition européenne.

Ce document est la chose la plus terrifiante que j’aie jamais vue »

Matthew Green

Matthew Green, autre expert, a lui aussi partagé des remarques très négatives à l’égard du texte. « Ce document est la chose la plus terrifiante que j’aie jamais vue. Il propose un nouveau système de surveillance de masse qui lira les messages privés, non pas pour détecter la pédopornographie, mais pour détecter la sollicitation d’enfants à des fins sexuelles. »

« Permettez-moi d’être clair : pour détecter cette sollicitation, il ne suffit pas de rechercher la pédopornographie connue. Il ne s’agit pas non plus d’utiliser l’IA pour détecter de nouveaux contenus de ce type, ce qui est aussi envisagé. Il s’agit d’exécuter des algorithmes qui lisent vos messages pour comprendre ce que vous dites, à grande échelle », ajoute-t-il.

Aux yeux de ce spécialiste, cela va entraîner une cascade de problèmes : le système ne sera pas efficace, il fera des erreurs, il ne comprendra pas ce qu’il lira. Surtout, il va lire des messages qui devraient être privés. Et surtout, c’est ouvrir une boîte de Pandore. Une fois que l’on s’autorise à déployer des systèmes pour lire des messages sur un sujet, pourquoi ne pas faire de même sur un autre ?

Pour Matthew Green, c’est clair : ce document « décrit les machines de surveillance de masse les plus sophistiquées jamais déployées en dehors de la Chine et de Russie », ajoutant, pour celles et ceux qui trouveraient qu’il exagère, que « ce n’est pas une exagération ». L’UE « n’est même pas capable de comprendre ce qu’elle demande sur le plan technologique », assène-t-il.

Comment expliquer cette insuffisance ? Ross Anderson, professeur en ingénierie de la sécurité à Cambridge et à Édimbourg, l’attribue à une certaine fermeture d’Ylva Johansson, la commissaire aux affaires intérieures. L’intéressée, qui a présenté cette régulation ce 11 mai, est accusée d’avoir « refusé à plusieurs reprises de rencontrer les groupes de la société civile au sujet de sa loi ».

Quand d’Apple reculait dans une situation légèrement similaire

Toute cette affaire vous rappelle peut-être quelque chose : en 2021, Apple a fait couler beaucoup d’encre en présentant un outil permettant de chercher la présence de contenus pédopornographiques. De nombreuses voix s’étaient élevées alors pour souligner les difficultés que cela allait engendrer, malgré toutes les barrières promises par l’entreprise américaine pour éviter les dérives.

Le mécanisme de déchiffrement des données se fait en 3 étapes sécurisées selon Apple // Source : Apple
Le mécanisme de déchiffrement des données se fait en 3 étapes sécurisées selon Apple

En fin de compte, la firme de Cupertino a choisi de temporiser devant la polémique. En septembre, l’entreprise américaine a annoncé le report à une date indéterminée son outil NeuralMatch. La société a évoqué une pause de plusieurs mois, un temps nécessaire, selon elle, pour améliorer encore son système, en concertation avec les spécialistes du sujet.

Cette première proposition de la Commission européenne n’est qu’au tout début de son parcours législatif. Elle doit également être approuvée par le Conseil, qui réunit les États membres et le Parlement. C’est sans doute dans cette dernière enceinte que les résistances les plus farouches se manifesteront, comme l’a montré le tweet du représentant du Parti pirate.

La proposition européenne sur les contenus pédopornographiques met en tout cas en exergue le problème récurrent de la technologie, où il peut être très tentant de mobiliser des outils de plus en plus puissants au profit d’une cause juste et urgente. Mais comment concilier un tel objectif avec d’autres droits tout aussi nécessaires ? L’enfer est souvent pavé de bonnes intentions.

Politico