« Chat Control » : 5 minutes pour comprendre la polémique sur cette législation européenne

Le vote des États membres au Conseil de l’Union Européenne, ce mardi 14 octobre, pourrait enterrer ou réanimer un projet de loi déjà bien abîmé. Présenté en mai 2022 par la Commission européenne, le règlement CSAM (Child Sexual Abuse Material) fait l’objet d’âpres négociations au point de se transformer en nouveau serpent de mer législatif.

Baptisé « Chat Control » par ses opposants, le texte vise à contrer la prolifération d’images et vidéos d’abus sexuels sur des enfants, et à lutter contre la pédocriminalité mais s’attire les foudres des défenseurs de la vie privée.

Quelle est la législation soumise au vote ?

Les représentants des gouvernements des pays membres vont assister à la première lecture du texte proposé par la Commission européenne. Dans sa nouvelle mouture, le règlement « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » compte obliger les plates-formes et services de messagerie en ligne à détecter puis signaler de tels contenus. En l’état, la détection des contenus pédocriminels par les plates-formes se fait sur la base du volontariat et deviendrait de facto obligatoire avec le concours des utilisateurs.

Comment marcherait le contrôle des contenus ?

Pour rendre le processus moins intrusif, la solution technique retenue implique d’effectuer cette détection directement sur l’appareil, PC comme smartphone, et non sur un serveur lointain. Le nom de cette technologie ? Le Client Side Scanning ou en français le Scan côté client.

« Cela reviendrait à scanner les photos ou les vidéos sur le point d’être envoyées avant qu’elles ne soient protégées par le chiffrement d’une application de messagerie ou d’e-mail », éclaire Alessandro Fiorentino, directeur de la protection des données personnelles chez Adequacy, spécialiste de la protection des données à caractère personnel. « L’outil comparerait l’image avec une base de données de références qui posent problème », explique-t-il.

Il faudrait pour cela installer un petit logiciel dans le système d’exploitation de l’appareil ou dans l’application utilisée mais aussi potentiellement télécharger la base de données comparative sur le smartphone. Tout dépendrait ensuite de la puissance de calculs de l’appareil et de son espace de stockage pour faire un scan fluide avant l’envoi d’un fichier.

« Ils présentent cela comme une solution magique mais elle est irréaliste techniquement. Ils tentent d’imposer un type de technologie standardisée sans donner les détails de sa mise en opération », tranche Romain Digneaux, chargé des affaires publiques chez Proton, spécialiste suisse de la protection de la vie privée.

Que dénoncent les opposants ?

Le texte « Chat Control » s’est attiré depuis le tout début des critiques virulentes d’entreprises européennes comme d’ONG. Dans une lettre ouverte publiée ce mardi, une quarantaine de start-up et l’association européenne de petites et moyennes entreprises du numérique (European Digital SME Alliance) appellent les ministres à rejeter la législation en bloc. Selon eux, elle « détruirait la protection de la vie privée, affaiblirait le chiffrement des données et porterait atteinte à la compétitivité des entreprises européennes ».

« Cela pose clairement des questions éthiques et de cybersécurité d’ouvrir son téléphone à un logiciel extérieur qui ressemble à un mouchard et risque de produire des faux positifs en confondant une photo de vacances d’un enfant avec du contenu pour pédophile », déplore Alessandro Fiorentino d’Adequacy. « Cela reviendrait aussi à installer une vulnérabilité sur son appareil avec une porte ouverte sur l’extérieur et il n’y a pas non plus de garantie que le scan se limite à des applications et ne concerne pas ensuite tout l’appareil », appuie Romain Digneaux de Proton.

En ligne de mire, des abus de la technologie pour mettre en place une surveillance de masse à des fins de contrôle politique. Principales concernées, les applications de messageries chiffrées comme WhatsApp, Telegram ou Signal, dont le modèle économique repose beaucoup sur la confidentialité des échanges, menacent de quitter le marché européen en cas d’adoption.

Quelles sont les chances d’être adopté ?

Une semaine avant le vote, les positions des 27 ne sont pas figées. La présidence tournante danoise l’a remis à l’ordre du jour et penche donc pour une adoption en l’état avant de finaliser les contours.

Par la voix du ministère de l’Intérieur plus que celui du Numérique, la France y serait également favorable tout comme une douzaine d’États membres. Avec son poids démographique et électoral, l’Allemagne pourrait faire basculer la balance et s’est montrée, pour des raisons historiques évidentes, souvent allergique à toute tentative de surveillance de masse.

Quoi qu’il arrive, une adoption n’ouvrirait la voie qu’à une nouvelle phase de négociations avec le Parlement européen et la Commission dans le cadre d’un « trilogue ». La loi définitive ne pourrait pas voir le jour avant 2026.