Le Chat Control est incompatible avec les droits fondamentaux Le projet soulve de telles proccupations en matire de droits fondamentaux que la GFF (The Society for Civil Rights) se joint au dbat

L'UE dclare la guerre au chiffrement de bout en bout et exige l'accs aux messages privs sur n'importe quelle plateforme Au nom de la protection des enfants



La Commission europenne a prsent un projet de rglement visant tablir des rgles pour prvenir et combattre la violence sexuelle l’encontre des enfants (rglement du Chat Control). Ce projet de rglement soulve de telles proccupations en matire de droits fondamentaux que la GFF se joint au dbat alors que le projet est encore en cours de dlibration au niveau de l’UE.

Le projet de rglement de la Commission europenne sur le Chat Control (contrle des chats) est actuellement en cours de ngociation au Parlement europen et au Conseil des ministres. Avec la lutte contre les violences sexuelles faites aux enfants, le projet poursuit un objectif essentiel pour la protection des enfants et de leurs droits et peut justifier des restrictions des droits fondamentaux.

Cependant, il existe des doutes considrables quant l’efficacit des mesures proposes. La GFF (The Society for Civil Rights) est convaincus que le projet viole la Charte des droits fondamentaux de l’UE sur des points cruciaux. Voici les cinq principales objections relatives aux droits fondamentaux que soulve la proposition de contrle du chat.

Le Chat Control viole le droit la vie prive

La proposition de la Commission europenne prvoit toute une srie d’obligations pour certains services en ligne tels que les fournisseurs d’accs Internet, les magasins d’applications, les plateformes d’hbergement et les services de communications interpersonnelles. Les services de communications interpersonnelles sont, par exemple, des services de courrier lectronique tels que GMail ou des services de messagerie instantane tels que WhatsApp.

L’expression « contrle du chat » est souvent utilise de manire familire pour dsigner le projet de rglement de la Commission europenne dans son ensemble. Au sens strict, il s’agit de la partie du projet selon laquelle les autorits peuvent obliger les fournisseurs de services de communication tels que WhatsApp surveiller les communications prives.

Il s’agit d’une restriction particulirement grave du droit la vie prive et la protection des donnes caractre personnel (articles 7 et 8 de la Charte des droits fondamentaux de l’UE) : La surveillance n’est pas limite aux personnes spcifiquement souponnes d’avoir commis un dlit. En outre, contrairement la conservation des donnes, qui est galement incompatible avec la Charte mais se limite aux mtadonnes – c’est–dire aux informations sur qui a communiqu avec qui et quel moment – le contrle des chats comprend la surveillance du contenu des messages privs.

Les autorits peuvent imposer des « ordres de dtection » aux fournisseurs de services de communications interpersonnelles. Cela signifie que les autorits peuvent, par exemple, obliger les services de messagerie surveiller les communications de tous leurs utilisateurs. Il suffit que l’autorit ait identifi un risque significatif que le service en question soit utilis pour la diffusion de reprsentations de violences sexuelles l’encontre d’enfants.

Les ordonnances de dtection ne doivent pas ncessairement se limiter la surveillance des communications d’utilisateurs spcifiques qui sont souponns. Au contraire, les autorits peuvent ordonner que le contenu de toutes les communications de tous les utilisateurs du service soit surveill titre prventif. Il s’agit donc d’une forme de surveillance de masse sans motif valable.

Une telle ordonnance de dtection peut obliger les fournisseurs de services filtrer le contenu pour dtecter les reprsentations connues ou inconnues de violence sexuelle l’encontre des enfants. En outre, elle peut prvoir l’obligation de dtecter les tentatives de sollicitation de mineurs par des adultes (grooming). Les contenus ainsi dtects doivent tre transmis par les fournisseurs de services un centre europen nouvellement cr, qui transmettra les informations aux autorits rpressives des tats membres aprs un contrle de plausibilit.

Bien que les fournisseurs de services soient libres de choisir les technologies qu’ils utilisent pour se conformer l’ordonnance de dtection, ces technologies doivent en tout tat de cause tre en mesure d’analyser le contenu des communications. Pour dtecter les reprsentations connues de violences sexuelles l’encontre d’enfants, une comparaison automatise des fichiers multimdias envoys avec une base de donnes de rfrence peut suffire. Pour dtecter des reprsentations inconnues de la violence sexuelle et du « grooming », l’apprentissage automatique doit tre utilis pour analyser le contenu smantique des chats.

Ces mthodes sont particulirement sujettes l’erreur : elles ne font qu’mettre une hypothse sur la signification du contenu en se basant sur des modles dans la communication analyse – sans rellement comprendre le contenu ou le contexte de la conversation. Dans sa jurisprudence sur la conservation des donnes, la Cour europenne de justice a indiqu qu’une surveillance de masse indiscrimine du contenu des communications violerait l’essence mme du droit la vie prive.

La surveillance de masse indiscrimine est incompatible avec les droits fondamentaux la vie prive et la protection des donnes garantis par la Charte de l’Union europenne, qu’il s’agisse de communications chiffres ou non chiffres. Au centre des critiques du public concernant le contrle des chats se trouve le fait que le projet de rglement n’exempte pas les services de communication chiffre de bout en bout des injonctions de dtection.

Ces services garantissent que seules les personnes impliques dans une conversation prive peuvent lire le contenu de la communication – ni le fournisseur de services ni les tiers ne peuvent le dchiffrer. De plus en plus de personnes choisissent spcifiquement des messageries chiffres de bout en bout pour se protger. Si le fournisseur d’une telle messagerie reoit un ordre de dtection, il ne peut pas le rejeter au motif que le fournisseur de services ne peut pas accder au contenu des communications de ses utilisateurs.

Le projet de la Commission europenne souligne l’importance du chiffrement de bout en bout. Toutefois, les fournisseurs de services ne peuvent choisir qu’entre des technologies qui leur permettent de dtecter des contenus illicites dans des communications prives. En d’autres termes, les fournisseurs de services qui proposent un chiffrement de bout en bout sans porte drobe ne seront pas en mesure de mettre en uvre les ordres de dtection qu’ils pourraient recevoir des autorits et entreront donc en conflit avec la loi. Cette attaque contre le chiffrement de bout en bout accrot l’intensit de la restriction des droits fondamentaux cause par la surveillance de masse indiscrimine.

Menace d’effets paralysants pour les liberts de communication

La Cour europenne de justice a dj averti plusieurs reprises que la surveillance de masse indiscrimine a un impact ngatif indirect sur la libert d’expression (article 11 de la Charte des droits fondamentaux de l’UE) : les participants la communication sont empchs d’exprimer librement leurs opinions s’ils ne peuvent pas tre srs de la confidentialit de leurs communications. Cela affecte particulirement les dtenteurs du secret professionnel, tels que les journalistes qui communiquent avec leurs sources, les dnonciateurs et les militants de l’opposition.

Ce danger sera exacerb si le rglement sur le contrle des chats, tel que propos par la Commission europenne, s’attaque au chiffrement de bout en bout des services de messagerie. Les groupes de personnes susmentionns utilisent ces messageries pour de bonnes raisons. Si cette possibilit leur est retire parce que les fournisseurs de services doivent affaiblir le chiffrement de bout en bout, on peut s’attendre des « effets de refroidissement » considrables, c’est–dire un effet dissuasif sur l’exercice du droit fondamental la libert d’expression et d’information.

Cet effet se produit indpendamment du fait que les fournisseurs de services surveillent le contenu des communications prives par une porte drobe dans la technologie de criffrement ou en analysant le contenu sur l’appareil de l’utilisateur avant qu’il ne soit criffr (analyse ct client). Les participants la communication s’attendent ce que leur communication reste confidentielle partir du moment o ils saisissent un message dans le programme de chat de leur tlphone portable – et pas seulement au moment o ce message est remis son destinataire. Le facteur dcisif est que l’attente de confidentialit et d’intgrit du processus de communication soit branle un point tel que les personnes concernes se sentent obliges de restreindre elles-mmes l’exercice de leur libert de communication.

Obligations de filtrage de facto pour les fournisseurs d’hbergement sans garanties

La critique publique de la proposition s’est concentre sur l’expression « contrle des chats », qui met en vidence les obligations prvues pour les messageries de scanner les chats privs. Mais les obligations prvues pour les services d’hbergement qui stockent des contenus de tiers pour le compte de leurs utilisateurs ne rsistent pas non plus un examen approfondi des droits fondamentaux.

Les services d’hbergement comprennent ceux qui mettent des contenus de tiers la disposition du public (plateformes telles que YouTube, services d’hbergement de sites web publics) ainsi que ceux qui offrent leurs clients un stockage priv dans le cloud (Dropbox, iCloud Drive). Il s’agit galement de services dont le contenu n’est accessible qu’ un groupe ferm de personnes (comptes privs sur Twitter, groupes ferms sur Facebook, hbergeurs de sites web d’entreprises accs restreint).

Dans la mesure o les obligations prvues pour les fournisseurs d’hbergement concernent des contenus non publics, les menaces pour la vie prive et la libert d’expression dcrites aux points 1 et 2 sont galement pertinentes pour les services d’hbergement. En outre, il existe des problmes spcifiques : bon nombre des garanties procdurales en matire de droits fondamentaux envisages pour les injonctions de dtection peuvent finir par tre totalement ludes dans le cas des services d’hbergement. Cela est d aux diffrentes rgles de confidentialit pour les communications sur les messageries d’une part et les services d’hbergement d’autre part.

Les services d’hbergement (y compris les fournisseurs de stockage dans le cloud priv tels que Google Drive ou Dropbox) peuvent non seulement tre tenus d’analyser les contenus privs en vertu du rglement sur le contrle des bavardages, mais ils peuvent aussi le faire volontairement. Le rglement sur le contrle des chats stipule que tous les fournisseurs de services doivent d’abord procder leur propre analyse des risques pour dterminer si leurs services prsentent un risque d’utilisation abusive des fins de violence sexuelle l’encontre d’enfants.

Ce n’est que si les autorits estiment qu’un fournisseur de services rpond cette analyse de risque par des mesures volontaires insuffisantes qu’elles imposeront un ordre de dtection. Dans le cadre de ces mesures volontaires, les fournisseurs de services d’hbergement peuvent avoir recours des filtres sujets aux erreurs pour surveiller les tlchargements privs des utilisateurs. Dans ce scnario, il n’y a pas de contrle public de l’impact de ces mesures sur les droits fondamentaux des utilisateurs.

cet gard, les services d’hbergement diffrent des services de messagerie : Les programmes de messagerie et de courrier lectronique tels que Whatsapp, Signal ou ProtonMail relvent de la directive « vie prive et communications lectroniques« , qui interdit en principe ces fournisseurs de services de surveiller le contenu des communications prives de leurs utilisateurs. Une drogation temporaire cette interdiction, qui soulve elle-mme de srieuses questions en matire de droits fondamentaux, doit tre remplace par le rglement sur le contrle des chats.

Aprs l’entre en vigueur de ce rglement, les messageries et les fournisseurs de services de courrier lectronique ne pourront accder au contenu des communications prives que sur la base d’un ordre de dtection. Pour les fournisseurs d’hbergement tels que le stockage priv dans le cloud, en revanche, la directive e-Privacy avec son interdiction de surveiller les communications prives ne s’applique pas.

Pour les fournisseurs d’hbergement, il sera rgulirement intressant d’viter une injonction de dtection imminente par des mesures « volontaires ». De cette manire, les entreprises conservent un plus grand contrle, y compris sur les cots. Il y a une forte incitation viter des mesures coteuses pour protger les droits fondamentaux des utilisateurs. Il est donc probable que les services d’hbergement dploient « volontairement » des programmes de filtrage sujets aux erreurs sans les garanties procdurales prvues pour les injonctions de dtection des autorits.

Avant d’imposer une ordonnance de dtection, une autorit doit valuer le risque pos par le service par rapport l’interfrence avec les droits fondamentaux des utilisateurs. cet gard, la Cour europenne de justice a fix des limites troites l’utilisation obligatoire des systmes de filtrage. Celles-ci ne sont compatibles avec l’interdiction des obligations gnrales de surveillance que si les filtres fonctionnent de manire si irrprochable que les fournisseurs de services n’ont pas procder une « valuation indpendante du contenu » afin d’carter les faux positifs.

Les systmes de filtrage sont incapables de satisfaire aux normes de la Cour, du moins en ce qui concerne les reprsentations inconnues de violence sexuelle l’encontre d’enfants et le « grooming ». Si un service d’hbergement filtre « volontairement » les contenus dans le cadre de son obligation de minimiser les risques, il n’y a pas d’valuation publique de la compatibilit des systmes de filtrage avec les droits fondamentaux des utilisateurs. En consquence, des utilisateurs innocents peuvent se voir bloquer leur compte par inadvertance, voire tre dnoncs tort aux autorits charges de l’application de la loi.

Les obligations de blocage de sites web ncessitent une surveillance des internautes

Le projet de rglement prvoit des obligations de blocage pour les fournisseurs d’accs l’internet en ce qui concerne les sites web individuels (URL). Avant qu’une autorit n’mette une ordonnance de blocage, elle doit exiger des fournisseurs d’accs l’internet qu’ils lui fournissent des informations sur l’accs des utilisateurs l’URL en question.

Pour pouvoir collecter les informations ncessaires sur l’accs des URL individuels et les transmettre aux autorits, les fournisseurs d’accs l’internet devraient surveiller le comportement de navigation de tous leurs clients de manire prventive et exhaustive. Une telle surveillance serait toutefois incompatible avec l’interdiction des obligations gnrales de surveillance et avec le droit fondamental au respect de la vie prive.

En outre, ces informations sont techniquement inaccessibles aux fournisseurs d’accs l’internet si l’URL est criffre l’aide du protocole https. Presque tous les sites web utilisent dsormais le protocole https pour garantir que, par exemple, les donnes relatives l’adresse ou la carte de crdit que les utilisateurs saisissent dans les formulaires web sont transmises sous forme chiffre. L’utilisation gnralise du protocole https est recommande par l’Office fdral de la scurit de l’information.

Le blocage cibl d’URL individuels est galement impossible pour les fournisseurs d’accs l’internet sans abandonner le crhiffrement https et surveiller le contenu des activits en ligne de leurs utilisateurs. Le blocage de sites web bas sur le DNS n’est pas adapt au blocage planifi d’URL individuels, car le blocage DNS affecte toujours des domaines entiers. Un blocage DNS dirig contre un fichier individuel sur une plateforme d’hbergement de partage affecterait galement tous les autres contenus hbergs par le mme hbergeur de partage et ne rpondrait donc pas l’exigence de la Cour europenne de justice selon laquelle le blocage de sites web doit tre strictement cibl.

Dans la pratique, il existe donc un risque considrable que les fournisseurs d’accs l’internet se conforment de manire excessive aux ordonnances de blocage, au dtriment de la libert d’expression et d’information des utilisateurs, en utilisant le blocage DNS pour bloquer l’accs un domaine entier. Ou bien ils tenteront de mettre en uvre un blocage plus cibl et de surveiller le comportement de navigation de leurs clients, tout en sacrifiant la scurit des communications en ligne via le criffrement https.

La vrification de l’ge met en danger la libert de communication

Le projet de rglement stipule que tous les fournisseurs de services de messagerie et de courrier lectronique qui risquent d’tre utiliss des fins de toilettage doivent vrifier l’ge de leurs utilisateurs. Le risque identifi ne doit pas tre significatif – l’obligation de mettre en uvre la vrification de l’ge s’appliquerait donc en principe tous les services de courrier lectronique et de messagerie qui permettent la communication entre mineurs et adultes. En outre, l’obligation de vrification de l’ge s’applique galement tous les fournisseurs de magasins d’applications. Ils doivent galement empcher les utilisateurs mineurs de tlcharger des applications qui prsentent un risque important d’tre utilises des fins de manipulation psychologique.

Les fournisseurs de services peuvent choisir entre des mthodes d’valuation de l’ge (par exemple, l’analyse faciale base sur l’IA, comme celle dj utilise par Instagram) et des mthodes de vrification de l’ge ( l’aide d’un document d’identit ou d’une preuve d’identit numrique). Ces deux procdures sont extrmement intrusives pour les utilisateurs.

La vrification de l’ge au moyen de documents d’identit est proche d’interdire l’utilisation anonyme d’internet. L’analyse faciale assiste par l’IA, quant elle, est souvent confie par les fournisseurs de services des entreprises externes, ce qui laisse aux utilisateurs peu de contrle sur le traitement de ces donnes personnelles particulirement sensibles. Si la technologie se trompe, les jeunes adultes peuvent galement tre exclus de l’utilisation de certaines applications. Les personnes qui ne possdent pas de documents d’identit ou qui ne veulent pas confier leurs donnes biomtriques une entreprise sont exclues de technologies de communication cruciales.

Il n’est gure possible d’utiliser un smartphone moderne sans magasin d’applications. Se passer de services de messagerie est galement draisonnable, surtout pour les personnes qui, pour de bonnes raisons, attachent une importance particulire l’utilisation anonyme de l’internet (dnonciateurs, victimes de harclement, personnes politiquement perscutes). Contrairement aux fournisseurs de services, les utilisateurs ne peuvent pas toujours choisir entre diffrentes procdures de vrification de l’ge.

Pour les utilisateurs mineurs (en particulier les adolescents), leurs droits fondamentaux la libert d’expression et d’information sont gravement restreints si les magasins d’applications refusent catgoriquement de leur permettre d’installer certaines applications sans mettre ces droits en balance avec le risque que l’application reprsente pour les utilisateurs mineurs. En raison de la forte concentration du march dans ce domaine, les possibilits de passer un autre magasin d’applications sont limites.

Source : GFF (The Society for Civil Rights)

Et vous ?

Quel est votre avis sur le sujet ?

Pensez-vous que ces arguments de la GFF contre le Chat Control sont crdibles ou pertinentes ?

Voir aussi :

Chat Control : les utilisateurs refusant une analyse intrusive ne pourront pas partager des photos et des liens. La France renoncerait son veto et la loi pourrait encore tre approuve par l’UE

Lettre ouverte de Tuta appelant les tats membres de l’UE dfendre le chiffrement. Les tats membres de l’UE doivent dcider de leur camp : vie prive ou surveillance

Laissez-vous surveiller : les gouvernements de l’UE sont susceptibles d’approuver ChatControl ds le mois de juin et ainsi ouvrir la voie une surveillance de masse que des acteurs comme Signal dnoncent



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.