avec « Chat Control », l’UE accusée de menacer la vie privée des citoyens

Discuté mercredi par la Commission européenne, le projet de règlement « Chat Control » veut renforcer la détection et le signalement des contenus pédocriminels dans l’UE pour mieux protéger les mineurs. Ses opposants y voient une grave atteinte aux libertés fondamentales, voire la fin de la vie privée en Europe.

La ligne de fracture est nette : d’un côté, ceux qui prônent la sécurité des enfants à tout prix ; de l’autre, ceux qui craignent un précédent dangereux pour la vie privée.

Avec le projet de règlement « Chat Control », c’est le dilemme auquel se heurte l’Union européenne. Conçu pour détecter les contenus pédocriminels en ligne, le texte, débattu mercredi 8 octobre entre États membres au Conseil de l’UE, pourrait autoriser le scan automatique des messages dont le chiffrement est garanti, notamment sur des plateformes comme WhatsApp ou Signal.

Cette perspective inquiète défenseurs des libertés et experts en cybersécurité qui dénoncent une façade destinée à justifier une surveillance de masse, au risque de fragiliser les normes de cryptage.

Mercredi, l’opposition ferme de l’Allemagne a rebattu les cartes. Faute de consensus, « ChatControl » a été retiré de l’ordre du jour du Conseil européen prévu le 14 octobre, illustrant les vives divisions au sein de l’UE sur la frontière entre protection et intrusion.

Inspection automatique de messages avant chiffrement

Officiellement intitulé « Règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants »(abrégé CSAR), le projet de règlement présenté en mai 2022 par la commissaire européenne aux Affaires intérieures Ylva Johansson, vise à harmoniser dans l’UE les règles de détection, signalement et retrait de contenus pédosexuels, ainsi que de lutte contre le grooming [sollicitation d’enfants à des fins sexuelles].

À ce jour, faute de structure européenne, seuls quelques acteurs signalent volontairement les contenus pédosexuels. Ces signalements transitent alors par le National Center for Missing and Exploited Children (NCMEC) – un centre américain qui centralisait plus de 36 millions de signalements en 2023 –, avant de les renvoyer vers les États membres. Avec « Chat Control », Bruxelles souhaite créer un centre européen dédié et rendre cette détection obligatoire dans toute l’Union.

Le règlement entend pour cela transformer la détection volontaire de contenus pédocriminels en obligation légale pour toutes les plateformes et messageries opérant dans l’UE.

De nombreuses associations de protection de l’enfance, regroupées au sein de la campagne ChildSafetyON, défendent le projet avec vigueur. Selon elles, le règlement CSAR est un « impératif moral et juridique », afin que les plateformes cessent de se soustraire à leur responsabilité face aux violences sexuelles.

Auprès de franceinfo, la Fondation pour l’enfance (qui fait partie de la campagne ChildSafetyON) a par ailleurs contesté les communications alarmantes sur le règlement CSAR, affirmant qu' »il ne s’agit pas d’une surveillance généralisée, mais d’une détection ciblée, limitée et proportionnée ».

La disposition la plus controversée, l’introduction possible d’un scanning côté utilisateur (client-side scanning), consisterait en l’inspection automatique des messages avant chiffrement, afin de repérer des contenus illégaux (images, vidéos, liens).

Ces obligations de détection concerneraient non seulement les messageries, mais aussi les plateformes de stockage et d’hébergement, qui pourraient être visées par des « ordres de détection » émis par les autorités.

« La fin de la vie privée en Europe »

Pour de nombreux spécialistes, un tel procédé affaiblirait le chiffrement de bout en bout [garanti notamment sur des messageries comme WhatsApp ou Signal], en créant une « porte dérobée » potentielle. Sont ainsi fréquemment évoqués les risques de faux positifs, d’abus, et de surveillance généralisée.

Sur le site de la campagne StopChatControl, une pétition propose de « Dire non à : la fin de la vie privée en Europe, la surveillance de vos messages privés, l’analyse automatisée de vos photos et vidéos ». Au 10 octobre, le compteur affiche quelque 83 545 signatures.

« Il est urgent d’alerter nos gouvernements et nos députés pour leur signifier clairement notre refus d’un tel dispositif qui menace nos libertés fondamentales », peut-on lire sur le site de la campagne, dans un texte jouxtant une carte de l’UE faisant apparaître les pays défendant le règlement européen, et ceux qui s’y opposent.

Tandis que la Finlande, la Belgique, les Pays-Bas et récemment l’Allemagne se montrent réticents, la Suède, le Danemark, l’Irlande, l’Italie, l’Espagne, mais aussi la France comptent, eux, parmi les pays favorables.

En août dernier, la députée européenne Mathilde Androuët (groupe Patriotes pour l’Europe, PfE) avait alerté le Parlement européen : « Si l’objectif est bien évidemment louable, le CEPD [Comité européen de la protection des données], de nombreuses sociétés technologiques, experts en cybersécurité et associations de défense des droits numériques, estiment que cette mesure ouvre la voie à une surveillance de masse généralisée, menaçant la vie privée et les libertés des Européens ». La Française, membre du Rassemblement national, précisait alors que la Signal Foundation [qui gère l’application de messagerie cryptée Signal] avait indiqué « qu’elle pourrait être contrainte de quitter le marché européen plutôt que de compromettre le chiffrement de son service ».

Dans un communiqué du 17 juin dernier, Meredith Whittaker, présidente de la Signal Foundation, avait en effet critiqué les dernières propositions de l’UE en matière de contrôle des discussions pour prévenir les abus sexuels sur mineurs, les qualifiant de « vieux vin reconditionné dans une nouvelle bouteille ».

« Depuis des décennies, les experts sont clairs : il est impossible de préserver l’intégrité du chiffrement de bout en bout tout en exposant les contenus chiffrés à la surveillance. Pourtant, des propositions en ce sens sont régulièrement formulées », écrit-elle.

« Soit le chiffrement de bout en bout protège tout le monde et garantit la sécurité et la confidentialité, soit il est compromis pour tout le monde. » – Meredith Whittaker, présidente de la Signal Foundation

« Briser le chiffrement de bout en bout rendrait tous les citoyens de l’UE vulnérables aux cybercriminels, aux régimes autoritaires et aux interférences étrangères. Un chiffrement fort est essentiel pour notre sécurité numérique et notre compétitivité économique », lit-on ainsi dans une autre pétition intitulée « Non à Chat Control, outil de surveillance de masse » et déposée mardi sur la plateforme des pétitions de l’Assemblée nationale.

« Tous les algorithmes connus, susceptibles d’être contournés »

Un mois auparavant, plus de 500 chercheurs avaient signé une lettre ouverte alertant que la version actuelle du projet affaiblirait gravement la sécurité numérique et la confidentialité, tout en n’apportant pas de protection significative aux enfants.

« Il n’existe aucun algorithme d’apprentissage automatique capable d’effectuer une telle détection sans commettre un grand nombre d’erreurs (par exemple, il est difficile même pour les humains de faire la distinction entre du contenu pédopornographique et des sextos entre adolescents), et tous les algorithmes connus sont fondamentalement susceptibles d’être contournés », écrivaient-ils.

De manière générale, les juristes estiment que certaines dispositions pourraient contrevenir à la Charte des droits fondamentaux de l’Union européenne, en particulier à ses articles 7 (respect de la vie privée), 8 (protection des données personnelles) et 11 (liberté d’expression et d’information), inspecter un message avant chiffrement revenant, selon eux, à ouvrir une correspondance avant qu’elle n’atteigne son destinataire.

Alors que l’Allemagne a annoncé mercredi ne pas vouloir soutenir un texte autorisant la surveillance de conversations privées, l’avenir du CSAR demeure à ce jour incertain. Les représentants des États membres au Conseil de l’UE ont d’ailleurs décidé jeudi de retirer le vote de l’ordre du jour du 14 octobre.

L’opposition de Berlin fait ainsi basculer le rapport de force, les partisans du texte ne disposant plus des 15 États membres, représentant 65 % de la population européenne, nécessaires à son adoption.