Peeping cops
Le groupe de travail des polices européennes a multiplié les réunions (sept en trois mois) pour finaliser les « questions techniques » liées à la proposition de règlement « établissant des règles pour prévenir et combattre les abus sexuels concernant les enfants ». Il a poussé à son adoption la semaine prochaine, avant la fin de la présidence belge du Conseil de l’UE le 30 juin.
La présidence du Conseil de l’UE veut faire adopter la proposition de règlement européen de surveillance des contenus pédosexuels, révèle l’ex-eurodéputé pirate allemand Patrick Breyer, en pointe contre l’adoption de ce texte. Il est surnommé #ChatControl parce qu’il vise à scanner l’ensemble des images partagées par les utilisateurs de messageries (cf nos actus).
D’après ses informations, le COREPER II (pour Comité des représentants permanents, l’organisme de l’Union européenne qui prépare les travaux du Conseil de l’Union européenne), composé des représentants permanents de chacun des États membres, devrait adopter le projet de « compromis » récemment proposé par la Belgique, qui préside le Conseil de l’Union européenne jusqu’au 30 juin.
Sept réunions en 96 jours
Un rapport (.pdf) sur l’état d’avancement des travaux, daté du 7 juin dernier, souligne que sous la présidence belge, le groupe de travail « Law Enforcement Working Party – Police » (LEWP-P) a consacré « beaucoup de temps et d’efforts » à l’examen de nouvelles approches de la proposition de règlement « établissant des règles pour prévenir et combattre les abus sexuels concernant les enfants ». Même chose -pour la rédaction des textes de compromis, en y consacrant rien moins que sept réunions entre le 1er mars et le 4 juin.
La présidence s’y serait efforcée de « répondre aux préoccupations exprimées par certaines délégations en ce qui concerne la proportionnalité et le ciblage des ordres de détection et la cybersécurité ». Elle a notamment proposé « deux éléments constitutifs interdépendants » :
- l’amélioration de l’évaluation et de la catégorisation des risques des services, classés dans trois catégories : « risque élevé », « risque moyen » ou « risque faible », afin de « rendre les injonctions de détection plus ciblées »,
- la protection de la cybersécurité et des données chiffrées, « tout en maintenant les services utilisant le chiffrement de bout en bout dans le champ d’application des injonctions de détection ».
Une « surveillance de masse » du chiffrement de bout en bout
La présidence belge a, en effet, proposé de maintenir les services utilisant le chiffrement de bout en bout (E2EE) dans le champ d’application des injonctions de détection adressées aux services à haut risque. « À condition que cela n’oblige pas les fournisseurs à créer un accès aux données chiffrées de bout en bout », et que les technologies utilisées pour la détection « soient examinées en ce qui concerne leur efficacité, leur impact sur les droits fondamentaux et les risques pour la cybersécurité ».
La proposition belge de « compromis » prévoit dès lors un mécanisme scannant l’ensemble des photos et vidéos avant qu’elles ne soient envoyées dans les messageries, au moment où les utilisateurs vont les chercher dans la galerie de leurs terminaux, ou lorsqu’ils s’en serviront pour enregistrer des images à la volée.
Le « compromis » belge prévoit également que les utilisateurs « consentent » à cette surveillance : ils auront certes la possibilité de la refuser, mais ne pourront dès lors plus partager photos, vidéos et URL (les contenus audio ont aussi été exclus).
Un « consentement » contraint, et donc a priori contraire au RGPD, qui entraînera ce que l’ONG EDRi qualifie de « surveillance de masse », en violation du droit de correspondance protégé par la CEDH et la Charte des droits fondamentaux de l’UE.
Des « questions techniques » et une « usine à gaz »
Le texte ne précise pas, cela dit, comment seraient identifiées puis scannées les URL partagées par les utilisateurs. Rien non plus sur les informations qui seront envoyées aux personnes dont les images ou URL auraient été identifiées CSAM (pour « child sexual abuse material »). Rien aussi sur les procédures qu’elles pourraient mettre en œuvre pour contester ce type de signalement, au regard du risque particulièrement élevé de « faux positifs ».
Comme nous le relevions dans notre précédent article sur cette « usine à gaz », il n’évoque pas non plus les mesures qui pourraient être prises pour ne pas alerter les utilisateurs dont les contenus relèveraient véritablement de CSAM ou « les activités constituant la sollicitation d’enfants (« grooming ») ». Un pédophile découvrant que les images ou URL qu’il prévoyait d’envoyer ont été bloquées pourrait en effet être tenté d’effacer les autres traces susceptibles de l’incriminer.
Le courrier n’en relève pas moins que, lors de la réunion du LEWP-P du 4 juin 2024, la présidence a noté qu’il n’était « pas nécessaire de poursuivre l’examen au niveau technique, étant donné que toutes les questions techniques avaient été traitées de manière exhaustive ». Elle n’a pour autant pas rendu publics les détails de la mise en œuvre de ces « questions techniques » :
« La présidence est déterminée à parvenir à un compromis et a l’intention, à la suite de la présentation de l’état d’avancement des travaux lors de la session du Conseil du 13 juin 2024, de publier un texte de compromis et d’inviter ensuite le Comité des représentants permanents à approuver un mandat de négociation partiel. »
Alexandre Archambault, avocat spécialiste du droit du numérique, relève que le texte devra ensuite être validé par le Parlement, tout en déplorant une mode opératoire « en catimini », à l’image de celui qui avait présidé à l’adoption du blocage des contenus sans juge.
Et en catimini (même mode opératoire que pour le blocage sans juge promis-juré-ça-ne-sera-que-pour-la pédopornographie), le scan de chaque échange privé est en passe d'être imposé.
— Alec ن Archambault (@AlexArchambault) June 12, 2024
Certes cela devra être "validé" par le Parlement, mais la brèche est làhttps://t.co/1C5I89T5V8
, mais la brèche est làLe courrier rappelle que la présidence belge avait aussi tenu à préciser que la détection ne devrait pas s’appliquer aux comptes utilisés par l’État à des fins de sécurité nationale, de maintien de l’ordre ou à des fins militaires. Mais sans que l’on comprenne non plus comment, techniquement, cela serait possible, sauf à créer une liste des personnes à ne pas surveiller, ironise Alexandre Archambault.
MàJ à 18h49 avec la remarque d’Alexandre Archambault sur la liste des personnes à ne pas surveiller.