L'Union européenne vient de franchir une étape décisive concernant le très sensible projet de règlement contre la diffusion d’images pédopornographiques (CSAM). Après trois ans de négociations houleuses, les 27 États membres se sont accordés sur une position commune. Ce texte, qui avait initialement provoqué un tollé en proposant de scanner systématiquement les messageries chiffrées comme WhatsApp ou Signal, a été profondément remanié. La version finale abandonne l'obligation de surveillance systématique, mais introduit de nouveaux mécanismes qui ne rassurent pas les défenseurs des libertés numériques.
Qu'est-ce qui remplace le scan obligatoire des messages ?
L'idée initiale d'une surveillance généralisée et obligatoire a été abandonnée faute de consensus. De nombreux acteurs, dont la ministre allemande de la Justice, considéraient qu'un tel scan à grande échelle des messages privés devait être « tabou dans un État de droit ». Le nouveau texte prolonge le régime actuel, où les plateformes peuvent déjà détecter ces contenus sur la base du volontariat.
Cependant, le compromis renforce les exigences imposées aux services en ligne. Les plateformes jugées à risque pour les mineurs auront l'obligation d'adopter des "mesures de réduction des risques". Concrètement, cela signifie qu'elles devront intégrer des outils de signalement et ajuster les paramètres de confidentialité par défaut. C'est cette disposition, proposée par le Danemark, qui ravive les craintes autour du projet ChatControl.
Pourquoi cette nouvelle approche reste-t-elle controversée ?
Pour les opposants, ce changement n'est qu'une façade. L'eurodéputé Patrick Breyer, figure de la lutte contre ce règlement, estime que cette nouvelle formulation est une manière détournée de réintroduire le scan des conversations privées. Selon lui, en obligeant les entreprises à prendre « toutes les mesures appropriées », le texte pourrait de fait les contraindre à scanner les messages, y compris ceux protégés par le chiffrement de bout en bout, pour se couvrir juridiquement.
Le problème est que le motif, bien que légitime, pourrait ouvrir la porte à une surveillance de masse généralisée. Les experts soulignent que les moyens techniques envisagés pour combattre les abus sexuels sur enfants, comme le scan côté client (analyse du contenu sur l'appareil de l'utilisateur avant chiffrement), sont loin d'être fiables. Carmela Troncoso, directrice à l'Institut Max Planck pour la sécurité et la vie privée, alerte sur le risque très élevé de faux positifs. Des photos de famille à la plage ou des images médicales pourraient être signalées à tort, submergeant les enquêteurs et sapant l'efficacité de la lutte.
Quelles sont les prochaines étapes et les autres enjeux ?
Il est crucial de noter que ce texte n'est pas encore une loi. Il s'agit de la position commune du Conseil, qui va maintenant entamer des négociations avec le Parlement européen et la Commission européenne. Le processus législatif s'annonce encore long et complexe, d'autant que le Parlement avait adopté en 2023 une version du projet sans aucune obligation de scan.
Parallèlement, le projet introduit une autre mesure controversée : la vérification d'âge obligatoire pour télécharger et utiliser certaines applications jugées à risque. Cette mesure pose d'importants problèmes de vie privée, car elle pourrait nécessiter de fournir des documents d'identité à des entreprises privées. De plus, son efficacité est remise en question, car de telles barrières peuvent être facilement contournées via des VPN, poussant potentiellement les jeunes utilisateurs vers des plateformes moins sécurisées. Les technologies de détection par IA sont jugées trop imprécises pour être une solution viable.
Face à ces solutions techniques aux effets secondaires potentiellement dévastateurs, de nombreux experts appellent à se concentrer sur des mesures préventives. L'éducation à la sécurité en ligne, au consentement et le renforcement des services d'aide aux victimes sont présentés comme des alternatives plus efficaces pour éradiquer le mal à la source, plutôt que de simplement tenter de contenir sa diffusion numérique.
