Proposé le 11 mai, déjà jugé disproportionné et dangereux pour la sécurité des données de tous. Voici ce qu'il faut savoir sur le projet de loi de la Commission européenne pour lutter contre la pédopornographie.

Un meilleur internet pour les enfants au sein de l'UE

Pourquoi la confidentialité de vos conversations est en sursis

On pourrait parler d'un pavé dans la mare qui n'en finit pas de faire des remous. Les complotistes parleraient même d'un cheval de Troie. Pourtant, tout part d'une bonne intention.

Pédopornographie: la lutte continue au Luxembourg La diffusion d'images pornographiques d'enfants ou d'adolescents reste l'un des principaux combats de l'Union européenne. Au Grand-Duché, cette problématique est prise très au sérieux et se poursuit grâce à des synergies avec des ONG et les pays voisins.

Le 11 mai dernier, la Commission européenne a annoncé une nouvelle proposition législative visant à prévenir et à combattre les abus sexuels sur les enfants en ligne. Une initiative rattachée à la nouvelle stratégie européenne «un meilleur internet pour les enfants» qui a très rapidement suscité de nombreuses interrogations.

Et pour cause, le fait est que si le projet passait en l'état, il imposerait des obligations aux fournisseurs de services en ligne, notamment celles de détecter, signaler et retirer les images pédopornographiques. Une nouvelle positivement accueillie par de multiples associations de défense pour le droit des enfants. Beaucoup moins par les spécialistes en cybersécurité et des militants des droits de l'homme.

Car pour cela, et c'est là que le bât blesse, il faudrait alors mettre en place une sorte de scan général de tous les contenus partagés au moyen d'algorithmes d'intelligence artificielle... Qui signerait alors la fin des communications chiffrées. Dit plus simplement, jamais plus vos conversations ne seraient complètement privées, sur aucun canal de communication en ligne. Et cela déclenche pas mal de réactions virulentes sur la toile, les plus communément reprises étant celles du cryptographe Matthew Green enseignant à Johns Hopkins et de Alex Muffet, le cryptographe derrière la mise en place du chiffrement de bout en bout dans Facebook Messenger.

Au Luxembourg, c'est le député Laurent Mosar (CSV) qui a rapidement interpelé à la Chambre sur le sujet, en déposant une question parlementaire le 17 mai pour connaitre le positionnement du gouvernement. Celle-ci a été débattue le jeudi 16 juin et a fait réagir de nombreuses personnalités politiques.

Le projet n'en étant qu'au stade de proposition à l'échelle européenne, la ministre de la Justice Sam Tanson (Déi Gréng) avait finalement rappelé au nom du gouvernement que celui-ci s'inscrit dans une volonté de créer un monde digitalisé plus sûr pour les jeunes et que le Luxembourg restera très attentif au débat européen autour du projet.

«Le volet technique n'est pas bien détaillé»

Contactée par la rédaction, la députée Déi Gréng Stéphanie Empain faisant partie de la commission de la Justice a répondu sans détours au Luxemburger Wort.

«Le grand constat que nous faisons, c'est que le texte proposé n'est pas proportionnel. En simplifiant l'idée, cela revient à ouvrir chaque courrier qui entre et sort de la poste, mais sur le web! Nous validons l'urgence d'agir contre les abus sur les enfants sur le net, chaque photo et vidéo qui circule est dommageable, mais est-ce une bonne idée de faire une surveillance de masse sur tous les habitants de l'Europe? La réponse est un non très clair.»

Quant au fond, il n'est pas jugé plus pertinent par les membres de la commission: «Le projet donne un but à atteindre, mais pas vraiment les moyens pour y arriver. Le volet technique n'est pas bien détaillé».

On est sur le même genre de problématique qu'avec le terrorisme: sur la base d'une action pour le bien, on est prêt à empiéter sur les libertés fondamentales des gens. Stéphanie Empain, députée Déi Gréng

Plus que le fond et la forme, la députée juge même la proposition «dangereuse» au milieu d'un «climat de défiance assez généralisé à l'égard des institutions européennes». «On est sur le même genre de problématique qu'avec le terrorisme: sur la base d'une action pour le bien, on est prêt à empiéter sur les libertés fondamentales des gens. Certaines personnes qui sont déjà très méfiantes depuis la crise sanitaire quant au respect de la liberté pourraient percevoir ce texte comme une sorte de porte dérobée pour entrer dans leur intimité et les espionner.»

Cependant, Stéphanie Empain est formelle, «c'est une chose de dire qu'on ne veut pas de surveillance de masse. Mais à côté, il faut vraiment trouver des solutions et œuvrer de façon commune». L'occasion pour la députée de rappeler qu'«au niveau luxembourgeois, nous aurons la possibilité avec la nouvelle législation votée au niveau national que les policiers puissent enquêter sous pseudonyme dans ce genre d'affaires à l'avenir, ce qui n'était pas possible avant. Nous avons également agrandi le service dédié, avec cinq agents supplémentaires».

«Ce serait la fin de la confidentialité numérique en Europe»

Du côté de la Commission nationale pour la protection des données (CNPD), l'avis du commissaire Marc Lemmer rejoint celui de la commission de la Justice sur bien des points.

D'après lui, «cette proposition de loi va à l'encontre des droits fondamentaux, car cela obligerait tous les acteurs à être transparents. Ce serait la fin de la confidentialité numérique en Europe». Et s'il assure que la CNPD n'a pas été contactée en amont du projet, tout comme le reste des instances de ce type implantées dans chaque Etat membre, il ne doute pas qu'«elle le sera dans la suite du processus législatif».

Prochaines étapes Conformément aux informations données en date du 13 mai sur le site officiel de la Commission européenne, «il appartient à présent au Parlement européen et au Conseil de dégager un accord sur la proposition. Une fois adopté, le nouveau règlement remplacera l'actuel règlement provisoire. Quant aux citoyens, ils pourront formuler des commentaires pendant au moins 8 semaines».

Le commissaire reste toutefois confiant, «le texte ne devrait pas pouvoir passer en l'état», mais il met en effet en avant «le problème éternel qu'on rencontre sur d'autres législations: on veut combattre un fléau, mais ce qu'on veut mettre en place soulève un autre problème tout aussi grand. Pour trancher, ce sont les politiques qui doivent s'entendre sur la marche à suivre».

Dans la logique du RGPD tel qu'il a été instauré, c'est incompréhensible qu'il n'y ait pas eu d'analyse d'impact de faite au préalable Marc Lemmer, commissaire à la CNPD

Et dans un monde idéal, en prenant en compte les avis des professionnels du secteur, puisque d'après les dires de Ross Anderson (professeur en ingénierie de la sécurité en poste à Cambridge et à Édimbourg) cité chez nos confrères de Numerama, une partie du résultat final du projet serait due à Ylva Johansson. La commissaire aux affaires intérieures ayant présenté le projet le 11 mai aurait «refusé à plusieurs reprises de rencontrer les groupes de la société civile au sujet de sa loi».

Dans l'immédiat, plusieurs points sont interpellants selon le commissaire de la CNPD, à commencer par le fait «qu'il soit proposé de rendre possible un contrôle systématique, complet et obligatoire des contenus, sans aucun besoin d'ordonnance judiciaire. Il n'y a pas de cran de sécurité, pas de palier. Je pense que c'est une bonne chose de vouloir responsabiliser des géants comme Facebook, mais d'une certaine façon, cela revient en plus à tout mettre dans la main privée par rapport à la main publique!»

Une analyse de proportionnalité semble donc être au goût du jour pour la suite, «puisque dans la logique du RGPD tel qu'il a été instauré, c'est incompréhensible qu'il n'y ait pas eu d'analyse d'impact de faite au préalable avec présentation des résultats et surtout de la balance bénéfices-risques».

Surtout qu'aux yeux de Marc Lemmer, «cette régulation présentée est une deuxième étape. Depuis l'an dernier, il a été établi une exemption temporaire dans le cadre du règlement ePrivacy pour avoir accès à certaines données sur les plateformes. Cela s'est fait sans consultation publique et sans étude préalable annoncée non plus».

Une boîte de Pandore à ne pas ouvrir

Et que se passerait-il si le projet passait sans encombre en l'état? Pour le commissaire, il est plus que certain que cette transparence voulue puisse entrainer bien des dérives qu'il serait difficile de stopper. Une boîte de Pandore en somme.

«S'il aboutit, ce projet poserait à très grande échelle la question des limites de l'IA telle que nous la connaissons actuellement. Car beaucoup de situations pourraient induire de faux positifs... Aux vraies conséquences en cas de signalements! Prenons l'exemple d'une personne signalée par erreur, pour qui une procédure serait enclenchée, même si elle est abandonnée par la suite, il y aurait des traces, qui pourraient être récupérées à tort sur des serveurs américains... Ce qu'il faut plutôt que des machines, c'est déjà de mettre pleinement à profit l'ensemble des autorités judiciaires et policières dédiées au sein de l'UE, en leur offrant plus de moyens financiers pour opérer. Actuellement, ceux qui se dévouent pour ces tâches complexes et pouvant heurter le mental sont sous-équipés dans la plupart des Etats membres!»

La balle est à présent dans le camp du Parlement et du Conseil européen, les deux organes devant débattre du texte et apporter des propositions. Au vu de la levée de boucliers déjà observable parmi l'ensemble des personnalités politiques, il est certain que la réunion des trois instances en bout de piste pour l'accord final sera très attendue.



