Deux instances européennes chargées de la protection des données personnelles ont dernièrement mis en garde Bruxelles. Dans un rapport paru vendredi 29 juillet, le Contrôleur européen de la protection des données et le Comité européen de la protection des données, se sont inquiétés des « risques » pour la vie privée, que comporterait un projet de règlement de la Commission européenne, permettant d’obliger une plate-forme ou une messagerie en ligne à détecter des contenus pédophiles.
Présenté en mai, ce projet centré sur la lutte contre la pédopornographie, instaurerait un « centre européen de lutte contre l’exploitation sexuelle des enfants » et imposerait aux grandes plates-formes en ligne de « mesurer les risques de distribution de pornographie infantile ou de sollicitation à caractère sexuel », de supprimer rapidement les contenus illégaux et de signaler tous les contenus pédopornographiques détectés.
Ouvertement dénoncé au cours des derniers mois par des ONG de défense de la vie privée, le patron de WhatsApp – Will Cathcart – et d’autres entreprises technologiques, c’est désormais à l’équivalent européen de la CNIL de désavouer publiquement ce règlement. En cause, une disposition en son sein qui prévoit d’imposer un scan de tous les messages, dont ceux chiffrés, pour déceler tout contenu pédopornographique – child sexual abuse material (CSAM), en anglais – et prendre les mesures adéquates, le cas échéant.
Des mesures jugées « extrêmement préoccupantes »
Le texte européen prévoit ainsi une « obligation de détection ciblée », qui contraindrait les services de grandes plates-formes à supprimer des contenus signalés par une autorité nationale. Les entreprises devront ainsi « déployer des technologies aussi peu intrusives que possible, en conformité avec la loi et les technologies existantes, et devront limiter au maximum les taux de faux positifs ».
Un énoncé bien trop vague, selon ses détracteurs, pour qui le texte crée une injonction contradictoire entre surveillance des messages échangés et respect de la vie privée. « Les mesures proposées pour détecter des sollicitations d’enfants dans le cadre de services de communications interpersonnelles [messageries] sont extrêmement préoccupantes », juge le Contrôleur européen de la protection des données, Wojciech Wiewiorowski.
Ces inquiétudes rejoignent celles exprimées notamment par l’Allemagne, qui a mis en garde contre la surveillance des messageries cryptées, telles que WhatsApp. Pour le député européen allemand du Parti pirate Patrick Breyer, « contrôler les messages instantanés équivaudrait à demander à La Poste d’ouvrir et lire tous les courriers ». C’est « un pas en direction d’une surveillance d’Etat à la chinoise », a-t-il ajouté dans un communiqué.
Un risque possible pour le droit au respect de la vie privée
« Tout en soutenant les objectifs et les intentions derrière cette proposition », le Comité européen de la protection des données et le Contrôleur européen de la protection des données (CEPD) « expriment leurs graves inquiétudes quant à l’impact des mesures envisagées sur la vie privée et les données personnelles ».
Selon ces instances européennes, « il y a un risque que la proposition puisse donner lieu à une analyse généralisée et à l’aveugle du contenu de quasiment tout type de communication électronique ». Elle appelle en conséquence à une « clarification » des conditions dans lesquelles les injonctions de détection pourront être adressées aux fournisseurs de services.
« L’utilisation de technologies (…) telle que l’intelligence artificielle est susceptible de générer des erreurs et représente un haut degré d’intrusion dans la vie privée des individus ». [Dès lors le] texte peut présenter plus de risques pour les individus, et, par extension, pour la société dans son ensemble, que pour les criminels. »
La Commission européenne se défend
La commissaire européenne aux affaires intérieures, Ylva Johansson, a défendu au début de juillet son projet de règlement face aux critiques, dans un billet de blog. Elle a rappelé que toute détection était encadrée par des garde-fous, « ciblée et limitée dans le temps ». Un nouveau centre européen sera chargé de vérifier qu’un contenu n’est pas signalé à tort avant d’être envoyé à la police.
« Aucune image innocente ne finira dans les bases de données de la police », a assuré la commissaire suédoise. Ylva Johansson a également ajouté que la détection d’images pédopornographiques était déjà effectuée sur une base volontaire par des plates-formes, telles que Facebook et Twitter, ou des services de messagerie, comme Gmail. La proposition de règlement doit faire l’objet d’une négociation avec le Parlement européen et le Conseil, qui représentent les Etats membres.