Le dernier texte de compromis de la présidence belge du Conseil de l’UE sur le projet de loi sur la détection et la suppression des contenus pédopornographiques en ligne clarifie davantage les seuils de catégorisation des risques et définit les obligations des fournisseurs de services en matière de conservation des données.
Le règlement, qui vise à créer un système de détection et de signalement des abus sexuels commis contre des enfants en ligne, a été critiqué parce qu’il pourrait permettre aux autorités judiciaires de demander l’analyse de messages privés sur des plateformes telles que WhatsApp ou Gmail.
Le dernier texte de compromis, daté du 9 avril et consulté par Euractiv, a été envoyé par la présidence belge de l’UE au groupe de travail « Application de la loi », qui est responsable des questions législatives et opérationnelles liées à la police transfrontalière.
Fournisseurs de services
Selon le projet de législation, les fournisseurs de services en ligne peuvent volontairement signaler des contenus à l’autorité de coordination, même s’il n’existe qu’un soupçon d’utilisation abusive de leurs services, et non des preuves concrètes d’un tel abus. Cela peut nécessiter des injonctions de détection.
Le nouveau texte de compromis précise que les fournisseurs doivent enregistrer et conserver les résultats des injonctions de détection.
Toutefois, ils ne sont pas tenus de communiquer les données tant que les occurrences liées à de nouveaux contenus pédopornographiques potentiels n’ont pas été signalées deux fois et que les occurrences liées à des tentatives de sollicitation d’enfants n’ont pas été signalées trois fois, le tout pendant la durée des injonctions de détection en question.
Les autorités compétentes sont les autorités juridiques nationales, tandis que l’autorité de coordination de chaque État membre de l’UE supervise l’évaluation des risques et les mesures d’atténuation, ainsi que les efforts de détection, de signalement et de suppression des contenus pédopornographiques en ligne.
Les injonctions de détection obligent les fournisseurs de services à rechercher activement et à signaler les cas de contenu pédopornographique ou les tentatives de sollicitation d’enfants sur leurs plateformes.
Les fournisseurs sont invités à ne signaler volontairement que les nouveaux cas potentiels d’abus pour les utilisateurs au comportement répété, afin de garantir la proportionnalité. Les fournisseurs doivent enregistrer le premier cas d’un tel comportement et le conserver pendant la durée d’une injonction de détection, en supprimant les enregistrements à l’expiration de l’injonction.
Dans cette partie du règlement, le nouveau contenu pédopornographique contraste avec les références précédentes au contenu connu. Dans ce contexte, le contenu « connu » fait référence au contenu qui a déjà circulé et a été détecté, par rapport au contenu « nouveau » qui n’a pas encore été identifié.
Les fournisseurs doivent également aider le Centre européen de prévention et de répression des abus sexuels commis contre des enfants à mener des audits fonctionnels et de sécurité au niveau du code source afin de lutter contre ces contenus, indique le nouveau texte.
Dans ce contexte, la législation vise à examiner le logiciel sous-jacent de la plateforme faisant l’objet de l’audit et la manière dont il est impliqué dans la diffusion de contenus pédopornographiques.
Catégorisation des risques
Le nouveau texte fixe également des seuils spécifiques pour classer les fournisseurs de services en fonction du degré de risque de leurs services. Les projets précédents définissaient les critères de catégorisation de manière plus générale.
Dans le texte de compromis, les indicateurs sont pondérés en fonction de leur impact sur les risques d’abus sexuels sur les enfants, les scores obtenus déterminant les niveaux de risque élevé, moyen et faible. Les services qui dépassent 60 % des indicateurs de risque présentent un risque élevé, ceux qui se situent entre 25 % et 60 % présentent un risque moyen et ceux qui se situent en dessous de 25 % présentent un risque faible.
La méthodologie de catégorisation des risques doit s’appuyer sur les rapports des fournisseurs à l’autorité de coordination. Différentes versions des modèles d’auto-évaluation doivent être fournies en fonction de la taille et du type de services offerts. La notation doit être basée sur des critères tels que la taille et le type de service, l’architecture, les politiques de sécurité et les tendances des utilisateurs.
Un nouvel ajout au texte précise que l’autorité de coordination peut demander aux fournisseurs de mettre à jour les évaluations des risques plus tôt que prévu si des éléments probants suggèrent un changement significatif dans le risque d’abus. Cela inclut les informations fournies par les fournisseurs offrant des services à risque faible ou moyen.
Le Centre de prévention de l’UE
Le texte mis à jour élargit le rôle du Centre de prévention l’UE afin qu’il puisse conseiller la Commission sur l’approbation des technologies permettant de détecter les contenus pédopornographiques ou de pédopiégeage (« grooming » en anglais), qu’ils soient connus ou nouveaux.
Il permet également au Centre de réaliser des audits au niveau du code source lorsqu’il émet des avis sur les technologies. Par « code source », on entend l’examen des instructions de programmation du logiciel ou de la plateforme faisant l’objet de l’audit.
La commission Technologie et le conseil des victimes, composés d’experts et de victimes, guideront les activités du Centre en le conseillant sur l’approbation de ces technologies.
Autorités de coordination et autorités compétentes
Les États membres devraient avoir la liberté de désigner un organe judiciaire ou administratif indépendant pour émettre des ordres spécifiques, notamment en ce qui concerne le droit à un recours juridictionnel effectif contre les décisions prises par les autorités compétentes, selon le texte.
Vérification de l’âge
Le texte de compromis précédent stipulait déjà que les mesures de vérification de l’âge devaient donner la priorité à la vie privée et aux intérêts de l’enfant, sans profilage de l’utilisateur ni identification biométrique.
La nouvelle version souligne que les mesures de vérification et d’évaluation de l’âge doivent respecter les principes relatifs au traitement des données personnelles, en particulier les principes de légalité, de limitation des finalités et de minimisation des données.
[Édité par Anna Martino]