Le Parlement européen a adopté mardi son projet de position sur les plans visant à lutter contre les abus sexuels sur enfants en ligne, appelant à ce que les nouvelles règles européennes évitent la « surveillance de masse » ou le « scan » d’Internet.
Une écrasante majorité de 51 des 54 membres de la commission de la justice, tous groupes politiques confondus, ont soutenu cette position à la suite de ce que le négociateur en chef Javier Zarzalejos a décrit comme un processus « sensible, complexe et controversé ».
La position de la commission doit être approuvée par la plénière la semaine prochaine avant que les négociations avec les États membres de l’UE puissent s’ouvrir.
En mai 2022, la Commission européenne a proposé d’utiliser les technologies émergentes pour analyser les messages cryptés de bout en bout sur des plateformes telles que Whatsapp de Meta afin de détecter, signaler et supprimer les contenus pédopornographiques (CSAM).
La proposition a déclenché une âpre dispute, opposant les lobbies de la protection de la vie privée aux défenseurs des droits de l’enfant, et a vu la commissaire européenne aux Affaires intérieures, Ylva Johansson, répondre aux allégations d’influence indue.
Les critiques ont évoqué une violation majeure de nos droits fondamentaux à la vie privée en ligne, ainsi que des inquiétudes quant au fait que les technologies n’étaient pas suffisamment matures pour identifier le CSAM sans signaler faussement des millions de contenus légaux et incriminer à tort les utilisateurs.
Le projet de compromis du Parlement impose aux plateformes numériques d’atténuer les risques que leurs services soient utilisés à des fins d’abus sexuels en ligne et de manipulation d’enfants. Il permet également aux autorités judiciaires d’émettre des « ordres de détection » aux plateformes numériques, les obligeant à utiliser des technologies émergentes – telles que la fonction dite de hachage perpétuel – pour détecter les matériels pédopornographiques (CSAM). Mais contrairement à la proposition de la Commission, ces ordonnances devraient être ciblées, limitées dans le temps et utilisées en « dernier recours » lorsqu’il existe des « motifs raisonnables de soupçon ».
S’adressant à L’Observatoire de l’Europe après le vote, Zarzalejos a assuré que le Parlement avait réussi à marcher sur la corde raide entre la protection des enfants en ligne et la protection du droit fondamental à la vie privée numérique.
« Il s’agit de trouver le juste équilibre entre la protection des enfants et en même temps de fournir un cadre juridique dans lequel la vie privée et la protection des données sont garanties », a déclaré Zarzalejos. « Cela présente certaines complexités d’un point de vue juridique, mais aussi en termes de caractère intrusif des technologies qui devraient être déployées pour détecter et supprimer le matériel pédopornographique. »
« Cet équilibre a été atteint. Et je pense que le large soutien que ce dossier a obtenu est très révélateur de l’esprit de compromis et de l’importance que tous les groupes politiques ont attaché à cette proposition », a-t-il ajouté.
Le Parlement a également soutenu la proposition de créer un Centre européen pour la protection de l’enfance pour aider à mettre en œuvre les nouvelles règles en collaboration avec les autorités nationales compétentes et Europol, l’agence européenne chargée de l’application des lois, basée à La Haye.
Le centre aiderait à développer des technologies de détection, à mener des enquêtes et à infliger des amendes aux plateformes si nécessaire.
Les députés ont également proposé de créer un nouveau forum consultatif pour garantir que les voix des victimes soient entendues.
« Le Centre européen sera extrêmement important en tant qu’institution centrale et, pour la première fois, les victimes et les survivants seront reconnus dans un forum consultatif au sein du Centre européen. Je pense donc que dans l’ensemble, ce dossier fournira les outils nécessaires être à la fois juridiquement solide et efficace », a déclaré Zarzalejos.
Ordres de détection « ciblés »
Les ordres de détection très contestés inclus dans la proposition de la Commission obligeraient les services de messagerie numérique à déployer la technologie d’analyse côté client (CSS) pour accéder aux messages cryptés des utilisateurs.
Dans un avis accablant sur la proposition publié en mai dernier, le service juridique du Conseil de l’UE a soulevé de « sérieuses préoccupations juridiques » concernant les ordonnances de détection et leur potentielle « ingérence grave dans les droits fondamentaux », tels qu’ils sont inscrits dans le droit européen.
Le projet de position du Parlement demande que les communications cryptées soient exclues du champ d’application des ordonnances de détection. La technologie CSS met en danger « l’intégrité et la confidentialité » des communications cryptées, indique le texte de compromis.
Les députés ont également limité de manière significative la portée des ordonnances de détection aux ordonnances émises par le tribunal dans des situations de suspicion raisonnable.
Le groupe européen de défense des droits numériques EDRi, qui s’est fermement opposé à la proposition de la Commission, a salué le compromis du Parlement.
« Les députés européens chargés des libertés civiles ont reconnu à juste titre que personne ne sera en sécurité en ligne si l’UE brise le cryptage », a déclaré Ella Jakubowska, conseillère politique principale à l’EDRi.
« Il s’agit d’une étape cruciale pour garantir que la réglementation de l’Internet repose sur des preuves et sur la réalité juridique et technique, et non sur les promesses des sociétés d’IA », a ajouté Jakubowska.
Mais les défenseurs des droits de l’enfant ont accusé le Parlement de faire preuve de myopie en édulcorant les ambitions de la Commission. Selon ECPAT International – une plateforme mondiale visant à mettre fin à l’exploitation sexuelle des enfants – limiter les ordres de détection à des suspects ciblés permettra aux auteurs de continuer à commettre des abus sous le radar des forces de l’ordre.
Amy Crocker, responsable de la protection de l’enfance et de la technologie à ECPAT, a déclaré que le projet de position du Parlement constitue « un revers alarmant pour la sécurité des enfants en ligne ».
« Cela contredit clairement les attentes des citoyens européens et, plus grave encore, compromet activement la sécurité de nos enfants dans les espaces numériques. C’est une décision qui favorise la bureaucratie au détriment du bien-être des enfants », a-t-elle déclaré.
Le toilettage pourrait passer inaperçu
Pour lutter contre le harcèlement en ligne des mineurs, les députés ont soutenu mardi l’appel aux services numériques ciblant les enfants pour qu’ils exigent le consentement de l’utilisateur pour les messages non sollicités, disposent d’options de blocage et de mise en sourdine et renforcent le contrôle parental.
Mais la Commission avait voulu aller plus loin, en utilisant des modèles linguistiques basés sur l’IA pour détecter des modèles de comportement qui pourraient s’apparenter à du toilettage d’enfants afin d’attraper les prédateurs en ligne.
ECPAT a déclaré : « Décider de ne pas détecter le toilettage signifie que nous abandonnons la possibilité de prévenir en premier lieu des dommages futurs. »
Un nouveau rapport publié en octobre par WeProtect Global Alliance suggère que les plateformes de jeux sociaux deviennent de nouveaux environnements dangereux pour l’interaction adulte-enfant, où les conversations peuvent dégénérer en situations de préparation à haut risque en seulement 19 secondes, avec un temps de préparation moyen de 45 minutes.
Mais selon Zarzalejos, de nouvelles mesures d’atténuation des risques pour les plateformes contribueront à protéger les enfants de ces dangers.
« Permettez-moi de préciser que le toilettage entre dans le champ d’application du règlement. Il y aura des mesures d’atténuation particulièrement destinées à empêcher le toilettage », a-t-il déclaré.
« Le seul changement sur lequel nous nous sommes mis d’accord est de supprimer le toilettage de l’audit de détection », a-t-il ajouté.
