La nouvelle approche de la présidence belge du Conseil de l’UE concernant le projet de loi sur la détection et la suppression des contenus pédopornographiques en ligne met l’accent sur les tâches des autorités de coordination, telles que la catégorisation des risques ou les injonctions de détection.
Chaque État membre de l’UE doit disposer d’une autorité de coordination chargée de recevoir les évaluations de risques, de mettre en œuvre des mesures d’atténuation et de coordonner les efforts visant à détecter, signaler et supprimer les contenus pédopornographiques en ligne (CSAM).
Le règlement de l’UE sur les contenus pédopornographiques vise à créer une solution permanente pour la détection et le signalement de ces contenus en ligne. Ce règlement a été critiqué car, dans sa forme initiale, il permettait aux autorités judiciaires de demander à des plateformes de communication telles que WhatsApp ou Gmail d’analyser les messages privés des utilisateurs pour y détecter des éléments suspects.
La nouvelle approche proposée par la présidence belge, exposée dans un document daté du 13 mars consulté par Euractiv, mentionne un texte présenté lors de la réunion du groupe de travail « Application de la loi » le 1er mars. Le groupe est chargé de traiter les questions relatives aux activités législatives, ainsi qu’à l’activité policière transfrontière et aux aspects opérationnels connexes.
La nouvelle approche était à l’ordre du jour d’une réunion de cette instance préparatoire du Conseil ce mardi (19 mars).
La nouvelle approche prévoit que les injonctions de détection soient plus ciblées afin d’améliorer l’évaluation et la catégorisation des risques et d’assurer la cybersécurité et le cryptage des données, tout en continuant à inclure les services utilisant le chiffrement de bout en bout dans le champ d’application des injonctions de détection.
Le chiffrement de bout en bout est une méthode de communication sécurisée qui empêche les tiers, y compris l’application de messagerie utilisée, d’accéder aux données envoyées d’un utilisateur à un autre.
Le chiffrement de bout en bout a été au cœur de nombreux débats liés au dossier, notamment la question de la nécessité de le transgresser pour détecter les contenus pédopornographiques en ligne. Certains ont préconisé cette approche, tandis que d’autres ont plaidé pour des méthodes qui préservent le cryptage, insistant sur l’importance de la confidentialité des données.
Dans le document de la présidence, l’évaluation des risques consiste en une catégorisation des risques, des mesures d’atténuation et des injonctions de détection, qui seraient émises pour donner le feu vert à la détection de contenus pédopornographiques sur les plateformes.
Catégorisation des risques
La présidence propose une méthodologie pour évaluer le risque associé à un service ou à ses composants, en classant les services selon trois niveaux de risque : élevé, moyen et faible.
Ces catégories sont déterminées en tenant compte de facteurs tels que la nature du service, son architecture de base, la politique du fournisseur, les dispositifs de sécurité et les comportements des utilisateurs, dans le but d’aider les fournisseurs de services à évaluer les risques de voir des contenus pédopornographiques diffusés via leurs services.
La catégorie fournit également des critères permettant à l’autorité de coordination du pays concerné de déterminer les mesures à prendre pour atténuer ces risques.
Les fournisseurs de services devront faciliter le processus de catégorisation des risques par l’autorité de coordination à l’aide d’un modèle après avoir déterminé le risque de CSAM au sein de leurs services.
Ils devront communiquer les résultats de l’évaluation des risques, les mesures d’atténuation et l’auto-évaluation à l’autorité de coordination, qui vérifiera la catégorisation, demandera des informations supplémentaires si nécessaire et confirmera la décision du fournisseur ou attribuera une catégorie différente sur la base de son évaluation.
Les fournisseurs pourront signaler s’ils ont identifié un risque dans leur service nécessitant une injonction de détection, mais cela ne déclenchera pas automatiquement une injonction de détection. Seule une autorité de coordination peut décider de demander à une autorité judiciaire ou administrative indépendante d’émettre une telle injonction.
En fonction du niveau de risque, les fournisseurs seront soumis à différents niveaux de garanties et d’obligations. Tous les fournisseurs devront mettre en œuvre des mesures d’atténuation et, selon la catégorie de service, des mesures supplémentaires adaptées, spécifiques aux caractéristiques du service, s’appliqueront également.
Suivant la catégorie, le service ou ses composants feront l’objet d’une nouvelle catégorisation après une période donnée. Le règlement pourrait fixer des durées maximales pour chaque catégorie : 12 mois pour un risque élevé, 24 mois pour un risque moyen et 36 mois pour un risque faible.
Les durées maximales permettent aux autorités de coordination de fixer des durées spécifiques, qui peuvent être communiquées aux fournisseurs de services lors de la catégorisation. L’autorité peut procéder à un changement de catégorie à tout moment, ce qui peut entraîner des mesures d’atténuation obligatoires si le service est recatégorisé comme étant à haut risque ou à risque moyen.
Pour les services dont le risque est élevé ou moyen, des mesures d’atténuation supplémentaires sont obligatoires. L’autorité de coordination expliquera pourquoi ces mesures sont nécessaires lorsqu’elle rendra sa décision de catégorisation. Le non-respect de ces mesures entraînera des sanctions.
Pour les services à faible risque, des mesures d’atténuation supplémentaires sont recommandées afin d’aider le fournisseur à identifier les améliorations potentielles du service. Dans ce cas-ci, le non-respect de ces mesures n’entraîne aucune sanction.
Injonctions de détection
La présidence belge suggère de limiter les injonctions de détection aux services à haut risque en dernier recours. L’autorité de coordination peut personnaliser l’injonction en fonction des risques spécifiques, en donnant la priorité à la méthode la moins intrusive.
Selon une annexe, pour les services à haut risque, les injonctions de détection incluent les services utilisant le chiffrement de bout en bout, alors que ce n’est pas le cas pour les services à risque moyen ou faible.
Les critères de personnalisation seront vérifiés par les autorités compétentes émettant l’injonction à la demande de l’autorité de coordination.
Cette demande porte sur la durée de l’injonction de détection, les technologies utilisées, l’impact sur la protection des communications interpersonnelles, les limitations potentielles du champ d’application et d’autres garanties.
Le document introduit le terme « utilisateur d’intérêt » (user of interest en anglais), qui désigne un expéditeur ou un destinataire potentiel de contenu pédopornographique ou la personne derrière une tentative de pédopiégeage (ou « grooming » en anglais), à savoir les pratiques de manipulation visant à exploiter et à abuser des personnes.
Dans ce cas, la détection se fait automatiquement sans que personne, y compris le fournisseur, n’en soit conscient jusqu’à ce qu’un certain nombre d’incidents dans les comptes des utilisateurs indiquent un partage potentiel de tels contenus ou de tentatives de pédopiégeage.
Lorsqu’un fournisseur reçoit une injonction de détection pour ces éléments, il met en place des mécanismes pour détecter des connexions avec des contenus pédopornographiques et/ou pédopiégeage connus ou nouveaux.
Un utilisateur adulte est signalé comme « utilisateur d’intérêt » après avoir été détecté automatiquement un certain nombre de fois.
Pour les enfants, lorsqu’une correspondance potentiellement dangereuse est détectée, l’enfant est immédiatement alerté à l’insu du fournisseur. L’enfant peut alors faire un rapport au fournisseur.
Les fournisseurs ne sont informés d’un éventuel abus que lorsqu’un utilisateur est identifié comme « utilisateur d’intérêt ». Seuls ces utilisateurs sont signalés au Centre de l’UE, un nouveau centre d’expertise pour aider à lutter contre la maltraitance à l’égard des enfants. Selon le document, cela permet de réduire le taux d’erreur dans la détection des nouveaux cas de harcèlement sexuel et de manipulation.
Prochaines étapes
Dans sa nouvelle approche, la présidence belge suggère de se concentrer sur la compréhension et le traitement des risques potentiels associés aux technologies familières.
Les délégations sont donc invitées à faire part de leurs préoccupations techniques concernant les technologies de détection, afin de permettre l’inclusion de garanties supplémentaires. En outre, il faudra définir le rôle du Centre de l’UE dans la vérification des technologies et la collaboration avec d’autres agences de cybersécurité de l’UE.
[Édité par Anne-Sophie Gayet]