Dans une lettre ouverte publiée ce lundi 22 janvier, 19 petites et moyennes entreprises européennes du numérique s’alarment d’un futur règlement européen qui leur imposerait de scanner les conversations de leurs utilisateurs, y compris sur les messageries chiffrées.
« Une forte préoccupation » : ce lundi 22 janvier, une vingtaine de « petites et moyennes entreprises » européennes du numérique et une dizaine d’organisations du secteur ont adressé une lettre ouverte aux 27 États membres de l’Union européenne, au sujet du projet de règlement européen « CSAR » (pour « Child sexual abuse regulation »). La future loi, en cours d’adoption, vise à mettre fin aux abus sexuels commis sur les enfants. Une de ces mesures, controversée, inquiète particulièrement les signataires de cette lettre, dont font partie Olvid et Proton : elle imposerait aux messageries, y compris chiffrées, de détecter et de signaler aux autorités les contenus pédopornographiques (appelés « Child Sexual Abuse Material » ou CSAM).
Cette nouvelle obligation contraindrait autant les géants comme WhatsApp que les petits comme Olvid à « ébrécher » leur chiffrement : de quoi constituer « un impact négatif considérable sur la vie privée et la sécurité des enfants en ligne », en plus des « conséquences potentiellement dramatiques sur le niveau de cybersécurité au sein de l’Union Européenne », écrivent les 29 signataires.
« Des risques accrus en ligne pour les citoyens et entreprises »
Dans une messagerie chiffrée, seuls le destinataire et l’expéditeur, détenteurs d’une clé, ont accès aux contenus échangés. Ni la messagerie elle-même, ni les forces de l’ordre ne peuvent en avoir connaissance, même s’il s’agit de terrorisme ou de pédopornographie. Contraindre les entreprises à mettre en place une détection automatique reviendrait, ni plus ni moins, à surveiller toutes nos communications, s’étaient alarmés, ces derniers mois, les défenseurs de la vie privée dont les CNILs européennes et le CEPD, le contrôleur européen de la protection des données. Cette autorité indépendante est chargée de contrôler la façon dont les institutions européennes – comme la Commission européenne – protègent les données.
À lire aussi : Imposer la détection de contenus pédopornographiques serait aussi inefficace que nuisible, selon des experts
Et leur position est reprise, ce lundi 22 janvier, par ces petites et moyennes entreprises européennes, parmi lesquelles on trouve Nextcloud, offrant des solutions d’hébergement de cloud, Surfshark, proposant des solutions VPN, ou encore Matrix Foundation, un système de messagerie instantanée open-source. Ces dernières font état de leur « forte préoccupation ». « La recherche de contenus spécifiques – tels que des textes, des photos et des vidéos – dans une communication chiffrée de bout en bout nécessiterait la mise en œuvre d’une porte dérobée, ou d’une technologie similaire appelée “client- side scanning”. Même si un tel mécanisme était créé dans le but de lutter contre la criminalité en ligne, il serait également rapidement utilisé par les criminels eux-mêmes, exposant ainsi les citoyens et les entreprises à des risques accrus en ligne », s’alarment-elles.
Proposé par la Commission européenne, le texte avait été modifié par le Parlement européen en octobre dernier. Désormais, c’est au tour du Conseil, la représentation des 27 États membres, de s’entendre sur une seule et même version, avant d’entamer la phase de trilogue. Pendant cette négociation à trois institutions, « les législateurs ne doivent pas ignorer les dangers que le texte de la Commission européenne fait peser sur les citoyens et les entreprises européens », explique Romain Digneaux, chargé des affaires publiques chez Proton, dans une déclaration envoyée à 01net. En d’autres termes, les PME et organisations signataires aimeraient que les États-membres de l’Union européenne ne dévient pas de la position des Eurodéputés.
Les Eurodéputés ont exclu les conversations chiffrées
Le Parlement européen, qui a adopté sa position en novembre dernier, a en effet reconnu que les technologies actuelles de détection des contenus « n’étaient pas compatibles avec l’objectif de garantir des communications confidentielles et sécurisées », écrivent les auteurs de la lettre. Non seulement les Eurodéputés ont ajouté à la version initiale du Règlement CSAR plusieurs gardes fous, « afin d’éviter une surveillance de masse ou un contrôle généralisé de l’internet », est-il précisé dans le communiqué du Parlement européen de novembre 2023. Ils ont par exemple mis en place un système « d’ordonnances limitées dans le temps de détection et de surveillance des contenus à caractère pédopornographique », seulement en cas de « motifs raisonnables de suspicion ». Il ne s’agit donc plus de surveillance générale, mais de détection ponctuelle et encadrée.
Mais surtout, les Eurodéputés ont recommandé d’exclure de l’obligation de détection « le contenu chiffré de bout en bout ». Une position que saluent ces entreprises qui ne veulent pas avoir « à procéder à une surveillance massive de la correspondance privée, pour le compte des forces de l’ordre ». Ils demandent que le « client-side scanning » et les portes dérobées en particulier ne (leur) soient pas imposés ».
Une charge administrative trop lourde pour ces PME ?
Dans leur lettre, les signataires soulignent aussi qu’en pratique, la mise en place d’une telle procédure constituerait une « nouvelle charge administrative » importante — une charge telle qu’elle pourrait « submerger (…) nos entreprises », craignent-ils. Au vu des volumes de communication en jeu, « même un taux d’erreur insignifiant des technologies appliquées à la recherche de “contenu abusif” entraînerait l’examen manuel de millions de faux positifs chaque jour ». En arrière-plan, ces PME du numérique rappellent qu’elles n’ont tout simplement pas les mêmes moyens que des géants comme Meta (WhatsApp) ou Apple (iMessage) qui pourraient sans difficulté embaucher des équipes dédiées à ce scan obligatoire.
Les PME européennes demandent donc aux 27 États membres de s’aligner sur la position des Eurodéputés, qui proposent « un bon compromis pour maintenir la sécurité et la confidentialité en ligne tout en assurant la sécurité des enfants sur Internet ».
La publication de cette lettre ouverte ce lundi n’est pas anodine. La semaine dernière, le Conseil discutait d’une prolongation de mesures temporaires mises en place pour détecter des contenus pédopornographiques, en attendant l’adoption de ce règlement européen. Pendant cette réunion, un document interne aurait circulé. Selon Euractiv, il était destiné à prouver l’efficacité de la détection de contenus pédopornographiques, suggérant que le Conseil pourrait avoir une position sur le texte bien moins protectrice de la vie privée que le Parlement européen.
D’autre part, la lettre a vocation à rappeler les enjeux et l’impact considérable que pourrait avoir une telle législation, explique la messagerie suisse Proton, interrogée par 01net. D’autant qu’une réunion informelle des ministres européens est prévue cette semaine, et que le sujet du CSAR pourrait être abordé. Le rythme des négociations sur ce texte pourrait d’ailleurs s’accélérer. La présidence belge du Conseil de l’UE, débutée ce 1ᵉʳ janvier, espère trouver un consensus entre les 27 États membres d’ici le début du mois de mars, avant d’entamer la phase de trilogue.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.