Chat Control : l'union européene voudrait une IA qui analyse... toutes vos communications

Arrivée initialement en 2022 à la Commission Européenne sous une présidence de la Suède, le Règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants — que nous appellerons Chat Control par la suite, vous devinerez rapidement pourquoi — est un proposition de réglementation européenne visant à obliger les fournisseurs de service de messagerie instantanée à appliquer de manière automatique et systématique des filtres de détection des contenus sensibles (comprendre, sexuels) afin d’en protéger les mineurs et lutter contre la pédopornographie. Un noble but, sans aucun doute. Dans la pratique, les choses sont bien plus complexes.

En effet, dans un contexte où la vérification d’âges des internautes sur les sites adultes est on ne peut plus au goût du jour avec une efficacité plus que débattable, voilà qu’un squelette revient des placards pour toujours plus de surveillance du Net. Initialement, Chat Control imposait à toutes les entreprises offrant à leurs utilisateurs un moyen de communication ou du stockage en ligne l’obligation d’analyser l’intégralité des messages et médias envoyés par ses utilisateurs afin de détecter, signaler et retirer tout contenu sexuel illégal incluant des mineurs. Si la chose est déjà en place sur les plateformes d’hébergement de contenu publiques (qu’il s’agisse des sites pornographiques comme des réseaux sociaux), l’étendue de la surveillance à vos conversations privées pose de nombreux risques. Dans la première version du texte, le règlement était incompatible avec le chiffrement de bout en bout, c’est-à-dire le mécanisme protégeant les données transférées en garantissant que seuls votre interlocuteur et vous êtes capables d’obtenir une version lisible du message.

Une fonctionnalité pourtant essentielle des messageries instantanées comme What’s App, Telegram, et, plus récemment, Facebook ; autant pour des questions de sécurité — ne vous est-il jamais arrivé d’envoyer un mot de passe ou une clef WiFi par WhatApp ? — que légale — l’hébergeur n’est pas en capacité technique de fournir des données à un organisme tiers, par exemple un état autoritaire souhaitant tracer ses opposants ou étouffer indirectement diverses minorités, ou encore un copinage un peu trop zélé entre entreprises. Si jamais la question vous intéresse, Discord n’est en revanche pas de la partie, et fait même tranquillou des résumés par IA de vos écrits (it’s not a bug confidentiality leak, it’s a feature!). Rajoutez un peu d’éthique : d’une part, la perspective que n’importe qui puisse avoir accès à votre vie privée a de quoi fait froid dans le dos. D’autre part, la délégation de la modération et de la vérification est connue pour être soit automatisée (nous pensons également à l’IA, à sa gourmandise énergétique et, surtout, à ses biais), induisant un fort risque de faux positifs ; soit d’équipes sous la responsabilité des entreprises (qui sont connues pour sous-traiter ce travail dans des pays émergents). Au niveau technique, la géolocalisation basée sur les adresses IP se contourne également facilement avec un VPN resortant en dehors des états membres, ce qui restreint d’autant plus l’efficacité pratique d’un potentiel contrôle. Voilà donc une mesure dont la mise en application semble bien plus hasardeuse que son noble but !

Un dessin qui remonte au moins aux années 2000 : le débat n’a rien de nouveau !

Pour toutes ces raisons, la première version de Chat Control a été retravaillée de manière à être compatible avec ce chiffrement de bout en bout… mais fut tout de même retoquée début 2024 du fait de l’atteinte aux droits fondamentaux à la vie privée et à la protection de données qu’elle induit. Plus précisément, le Comité européen de la protection des données (CEPD) a jugé qu’en l’état, le projet ne permettait pas de garantir en pratique que seuls les individus susceptibles d’abus sur mineurs seraient traqués. Comprenez que les parlementaires craignent que la loi ne serve d’excuse pour mettre en place une surveillance de masse systématique. Un argument sans surprise partagé par le parti pirate, qui souligne de surcroît l’inefficacité de la chose en prenant l’exemple de la Suisse.

Pourtant, la question continue de faire débat au parlement européen. En effet, un consensus clair n’a pas été trouvé quant à la proposition, qui reste alors « en discussion »… un statut sur lequel le Danemark, actuellement en présidence de l’Union depuis le 1er juillet, compte bien surfer pour remettre une dernière version de la proposition à l’agenda politique. Un vote aura ainsi lieu le 14 octobre prochain quant à son adoption, et, similairement à Stop Killing Games, une partie des internautes s’est groupée pour militer contre la mesure, accompagnée de diverses entreprises habituées de la confidentialité tels Proton ou Mullvad.

En restant au niveau européen, la Convention Européenne de Droits de l'Homme stipule (Article 10 alinéa 1) :

Toute personne a droit à la liberté d'expression. Ce droit comprend [...] la liberté de communiquer des informations ou des idées sans qu'il puisse y avoir ingérence d'autorités publiques.

Difficile de ne pas y voir une opposition directe à Chat Control. Les organes judiciaires de l'Union, à savoir la Cour Européenne des Droits de l'Homme et la Cour Européenne de Justice, pourraient donc également avoir leur mot à dire si jamais le règlement se retrouvait adopté.

Pour y voir plus clair (et polariser d’autant plus le débat, soyons honnêtes), un site nommé Fight Chat Control a été mis en ligne, qui récapitule les positions des états membres ainsi que les moyens de contact des eurodéputés, afin que vous puissiez leur faire part de votre mécontentement. Côté France, la balance serait pour le moment du côté du support de la mesure, bien que les positions exactes des députés ne soient pas connues.

Par ici pour Fight Chat Control

Par ici pour un récapitulatif des mesures et une chronologie de l’affaire, par le parti Pirate

Un petit résumé rapide du projet de réglementation.