L'an passé, la Commission européenne avait proposé de faire surveiller, par des IA, l'intégralité du web, des emails et messageries chiffrées, afin d'identifier les « violences sexuelles sur mineurs ». Au Sénat, les rapporteurs proposent de supprimer ce qu'ils qualifient de « surveillance de masse des communications ».
Dans l'exposé de leurs motifs, les sénateurs Ludovic Haye (RDPI, ex-LREM), Catherine Morin-Desailly (Union centriste) & André Reichardt (apparenté LR), rapporteurs de la proposition de résolution de la commission des affaires européennes relative à la proposition de règlement européen (voir notre précédent article), se disent « pleinement convaincus par la finalité de cette proposition de règlement ».
Pour autant, « ils observent néanmoins que ses dispositions soulèvent certaines difficultés en matière de protection des droits et libertés fondamentaux », et que « trois points particuliers ont retenu leur attention » :
- les risques d'atteintes à la vie privée, « notamment dans le champ des communications interpersonnelles » ;
- le risque de perte d'efficacité que générerait le nouveau système, et notamment le risque d'un « trop-plein » de signalements qui « risquerait de compliquer le travail des autorités répressives » ;
- la « plus-value incertaine » qu'apporterait la création d'un nouveau centre dédié auprès d'Europol.
Ils déplorent en effet qu' « en l'espèce, la proposition de règlement introduirait une dérogation généralisée au principe de confidentialité des communications », afin de pouvoir étendre les injonctions de détection, non seulement aux contenus publics, accessibles sur le web ou les réseaux sociaux, mais également aux « communications interpersonnelles, tels que les courriels, les boucles de messageries privées et la téléphonie en ligne – les contenus audio étant également explicitement inclus ».
Ils qualifient cette dérogation de « paradoxale », alors que la Cour de justice de l'Union européenne (CJUE) « interdit désormais toute conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation au nom de la lutte contre la criminalité grave », suivant en cela l' « approche restrictive des exceptions à ce principe » également développée par la Cour européenne des droits de l'Homme (CEDH).
- Conservation des données de connexion : la justice de l'UE siffle la fin du match, ou presque
- La conservation généralisée des données de connexion est contraire à la Constitution
En outre, et « techniquement, les recherches de contenus envisagées seraient impossibles » à effectuer sur les contenus faisant l'objet de chiffrements de bout en bout, précisent les rapporteurs :
« En pratique, afin d'être en mesure de se conformer au règlement, les fournisseurs de services de communication interpersonnelle cryptés [sic] devraient renoncer, partiellement ou en partie, au chiffrement des contenus, ce qui comporterait des risques pour la confidentialité des communications et la sécurité. »
Une atteinte à l'interdiction de surveillance généralisée
La possibilité d'ordonner des injonctions de détection des contenus pédopornographiques ou de pédopiégeage sur le web et les réseaux sociaux constitue pour sa part « une atteinte manifeste à l'interdiction de surveillance généralisée des contenus », prévue par la directive sur le commerce électronique de 2000, et récemment réaffirmée par le Digital Services Act :
« Ce risque a été souligné par les représentants de la commission nationale informatique et libertés (CNIL) lors de leur audition par les rapporteurs, au cours de laquelle ils ont précisé que la proposition rendait possible une analyse généralisée et systématique du contenu de quasiment tout type de communication électronique. »
Les rapporteurs relèvent que « si des exceptions à ce principe existent, notamment pour la recherche de contenus sous droits d'auteur », aux termes de la directive sur les droits voisins de 2019, elles demeurent pour l'instant « ciblées, et limitées à la recherche de contenus déjà connus ».
A contrario, « la recherche de nouveaux contenus via des logiciels d'intelligence artificielle paraît plus discutable », en particulier au regard des faibles performances des logiciels d'intelligence artificielle (IA) disponibles sur le marché.
La Commission européenne reconnaît elle-même, dans son étude d'impact, que les technologies d'IA actuellement disponibles sur le marché « génèreraient environ 12 % de faux positifs pour la détection de nouveaux contenus » :
« Ainsi, un nombre considérable de contenus parfaitement légaux pourraient être portés à la connaissance des autorités de contrôle, au risque d'affecter la liberté d'expression, y compris dans l'espace public. »
Dès lors, « les garanties apportées par la proposition pour éviter de déclencher une injonction de détection [...] et limiter l'utilisation des données à caractère personnel une fois cette injonction émise paraissent insuffisantes au regard du risque de "chalutage généralisé" des données par les fournisseurs que pourrait ouvrir une telle réglementation », concluent les rapporteurs.
Un risque de surveillance de masse des communications
De plus, la complexité procédurale et la durée (de « plusieurs semaines, voire plusieurs mois ») du processus itératif à trois niveaux censé encadrer le déclenchement de telles injonctions « ne constitueraient pas un gage d'efficacité accrue de la lutte contre la diffusion d'abus sexuels en ligne sur les enfants » :
« À l'évidence, au regard des principes de confidentialité des communications et de protection de la vie privée, le dispositif envisagé ne respecterait pas le principe de proportionnalité. »
Les rapporteurs demandent dès lors « la suppression des dispositions de la proposition de règlement autorisant, sur émission d'une injonction de détection, la recherche indifférenciée de contenus pédopornographiques et de "pédopiégeage" dans les services de communications interpersonnelles, face à un risque de surveillance de masse des communications ».
Ce faisant, soulignent-ils, « loin d'affaiblir cette proposition de règlement qui harmoniserait la réponse européenne contre les abus sexuels sur les enfants, ce choix la sécuriserait juridiquement ».
Une usine à gaz législative, procédurale et budgétaire
Les rapporteurs estiment par ailleurs que la « nécessité » du nouveau centre de l'Union européenne placé auprès d'Europol, censé servir de « facilitateur » entre les différents acteurs de la lutte contre les contenus pédocriminels, « n'apparaît pas évidente » :
« Cependant, son intervention allongerait de facto les échanges entre ces acteurs, tout comme ses avis préalables étireraient la procédure d'injonctions de détection. Ce qui est évidemment préjudiciable dans des situations où les jours, parfois, les heures, comptent. »
Ils la qualifient en outre de « nouvelle structure coûteuse ». Celle-ci serait en effet dotée d'une centaine d'agents et son coût de fonctionnement est évalué à plus de 28 millions d'euros annuels par la Commission européenne, alors même qu'elle partagerait ses fonctions administratives, « y compris les fonctions liées à la gestion du personnel, aux technologies de l'information et à l'exécution du budget », avec Europol.
Ils proposent dès lors de « renoncer à la création envisagée d'un centre dédié », et de transférer les missions qu'il était prévu de lui confier à Europol au sein d'un pôle dédié, « à condition que ses moyens soient augmentés à due proportion ».
Audits externes, ouverture des données et « name and shame »
Les rapporteurs déplorent enfin que l'article 19 de la proposition « réaffirme le régime de responsabilité limitée des hébergeurs », en disposant que les fournisseurs de services en lignes ne pourront être tenus pour « responsables d'infractions sexuelles contre des enfants au seul motif qu'ils exercent, de bonne foi, les activités nécessaires pour se conformer aux exigences du règlement ».
Ils souhaitent a contrario « souligner le rôle déterminant joué par le modèle économique des plateformes en ligne dans la prolifération des contenus préjudiciables aux mineurs », et estiment « crucial » que les autorités nationales et européennes puissent « faire pression sur ces acteurs privés, via une règlementation contraignante », assortie de la possibilité de sanctionner leurs lacunes dans la lutte contre les contenus pédopornographiques (« et de manière plus large, les autres contenus illégaux et préjudiciables »).
Ils s'interrogent au surplus sur l'opportunité de confier, « une fois de plus », le contrôle de l'espace public en ligne aux acteurs privés du numérique :
« Sans méconnaître la réelle efficacité de certaines initiatives prises, y compris par les GAFAM, en matière de lutte contre les contenus pédopornographiques, il est en effet indispensable de reconnaître que l'assainissement de l'espace public – et a fortiori privé – en ligne ne pourra constituer pour eux un objectif que tant qu'il est compatible avec leurs propres objectifs de rentabilité. »
Pour ce faire, il serait dès lors « indispensable que les autorités de régulation soient en mesure de pouvoir auditer ces services elles-mêmes », ou qu'elles puissent confier de tels audits à des chercheurs qualifiés et indépendants de ces acteurs privés.
Ils appellent dès lors à un renforcement des moyens humains et financiers des autorités de régulation, ainsi qu'à l'obligation d'ouverture des données des fournisseurs de services numériques à ces auditeurs ou chercheurs :
« De telles capacités d'audit externe permettraient en outre à ces autorités de régulation, ou à la Commission européenne elle-même, de rendre publics, si nécessaire, les éventuels manquements des fournisseurs à leurs obligations au titre du règlement, dans une logique de "name and shame" qui pourrait, à terme, permettre de détourner utilisateurs et surtout annonceurs publicitaires de ces services, en jouant sur le risque réputationnel. »
Sites X : filtrage parental « par défaut », sous peine d'écran noir
Les rapporteurs appellent par ailleurs à l' « activation par défaut » des dispositifs techniques de contrôle parental pour limiter et filtrer les contenus préjudiciables accessibles aux mineurs, « et à leur extension aux opérateurs téléphoniques, lorsqu’un abonnement téléphonique est souscrit pour l’usage d’un mineur ».
Ils qualifient en outre de « nécessaire l’instauration de dispositifs – fiables et respectueux de la vie privée – de vérification de l’âge des utilisateurs par les fournisseurs, notamment pour l’accès aux contenus pornographiques », ainsi qu'au fait d'imposer, sur les sites pornographiques, « l’affichage d’un écran noir tant que l’âge de l’utilisateur n’a pas été vérifié ».
