Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, article 8, alinéa 1er.
Le 5 mai 2022, la Commission européenne présentait une proposition de règlement visant à mieux prévenir et combattre les abus sexuels sur les enfants. Le texte, qui est particulièrement fourni, contient des volets préventifs, répressifs, éducatifs et administratifs. Il y est notamment question de scanner, à l'aide de l'IA, les communications afin de détecter et empêcher la transmission de contenus à caractère pédopornographique, y compris les communications préalables tel le grooming (ou le pédopiégeage en français), qui consiste pour des adultes à convaincre des enfants de s'exposer sexuellement à des abus.
Le contexte est clair. En particulier depuis les confinements des années précédentes, la question de la pédocriminalité en ligne est un sujet brûlant et le problème, qui existe depuis longtemps, ne cesse de prendre davantage d'ampleur. Jusqu'ici, la lutte contre ces crimes repose en grande partie sur les actions volontaires de sociétés privées comme les plateformes de réseaux sociaux. Ces actions sont saluées par le législateur mais se révèlent insuffisantes pour endiguer le phénomène. En ce sens, de nombreux États membres de l'Union adoptent ou envisagent d'adopter, chacun de leur côté, des dispositions visant à protéger les mineurs sur internet mais aucun État ne saurait se prévaloir d'imposer ses vues aux géants du numérique et à l'ensemble de la sphère internet. L'Union Européenne en revanche, du fait du poids financier de son marché intérieur, a prouvé à de nombreuses reprises ses capacités et dispositions à devenir le gendarme mondial du numérique.
Commençons, comme souvent, par quelques rappels. D'abord, si l'adoption de traités internationaux nécessite une ratification et si les directives prises par le Conseil de l'Union doivent être transposées dans les différents droits nationaux avant de produire des effets, accordant généralement une certaine marge de modifications, les règlements européens s'imposent directement à tous les États membres. C'est notamment le cas du RGPD, le règlement général sur les données personnelles. Ensuite, au niveau de la hiérarchie des normes, quoique la doctrine débatte toujours pour déterminer la primauté entre Constitution nationale et Conventions internationales, il n'est pas contestable que ces dernières supplantent les lois nationales. En cas d'adoption de ce règlement, aucun État membre de l'Union européenne ne pourra s'y soustraire. Enfin, il convient de rappeler que beaucoup de normes supérieures et de décisions juridiques de principe reposent sur un arbitrage qui doit être effectué entre la protection de différents droits fondamentaux qui se trouvent en opposition sur un sujet donné. C'est le cas de ce règlement.
Jamais visée directement ni même évoquée dans la proposition de règlement, la question qui semble cristalliser les débats est celle du chiffrement de bout en bout des communications (ou end-to-end encryption - E2EE). Il s'agit de la technique consistant à utiliser des clés de chiffrement privées qui ne sont connues que de l'expéditeur et du destinataire d'un service, de façon à protéger les échanges contre toute intrusion ou falsification. Fournir une master key à des Gouvernements ou à l'éditeur du service serait de nature à compromettre drastiquement les échanges et représenterait un risque énorme pour la sécurité et la confidentialité des messages échangés.
Le règlement se borne à demander aux fournisseurs de services de communication en ligne, aux FAI et aux hébergeurs de contenus de détecter, signaler et retirer le matériel relatif aux abus sexuels sur les enfants. Il s'agit donc d'une obligation de résultats et non d'une obligation de moyens. Ainsi, le législateur se lave les mains des moyens techniques qui devront être mis en œuvre pour y parvenir, de la même façon que lorsqu'il impose de filtrer effectivement l'accès des mineurs aux sites pornographiques tout en respectant le droit, sans expliquer comment. Différents axes sont envisagés. Peut-être certains se souviennent-ils du projet d'Apple de l'an dernier de scanner algorithmiquement tous les contenus sur les terminaux des utilisateurs avant leur mise en ligne et qui avait été écarté face la bronca retentissante de leurs clients. Il s'agit de l'une des pistes retenues. D'autres concernent le scan des contenus après leur mise en ligne, et impliqueraient donc le déchiffrement des communications. L'éventail des possibles est très large et la proposition de règlement le mentionne expressément :
Afin de garantir l’efficacité de ces mesures, de permettre l’adoption de solutions adaptées, de rester technologiquement neutres et d’éviter le contournement des obligations de détection, ces mesures devraient être adoptées indépendamment des technologies utilisées par les fournisseurs concernés dans le cadre de la fourniture de leurs services.
Voici bien une tournure qu'il serait maladroitement possible de reformuler en "Utilisez tous les moyens techniques pour empêcher le contournement de la détection".
Ainsi, le CEPD, l'équivalent européen de la CNIL, rendait en août 2022 un avis exprimant leurs "graves préoccupations en matière de protection des données et de respect de la vie privée" que ce règlement fait peser sur les citoyens de l'Union. De son côté, le Comité économique et social européen (CESE), qui est un organe consultatif de l'UE depuis le Traité de Rome (1957), composé de représentants des organisations d'employeurs, de salariés et d'autres acteurs représentatifs de la société civile, a-t-il également sonné l'alarme dans son avis rendu le mois suivant :
[Le CESE] soutient le règlement proposé dans son principe, mais il est réservé quant au caractère disproportionné des mesures envisagées et au risque d’atteinte à la présomption d’innocence car elle vise à obliger les entreprises technologiques à scanner les messages, photos ou vidéos postés en ligne, pour détecter d’éventuels abus sur enfants [...].
Lutter contre la pédopornographie en ligne est légitime et nécessaire, mais imposer un système de détection privé prima facie d’un certain type de contenu, aussi illicite, illégal et dangereux soit-il, fait peser le risque d’une surveillance généralisée de tous les échanges virtuels...
La chose est donc admise : le règlement présente des risques manifestes d'atteintes disproportionnées à de nombreux droits et libertés fondamentales, à commencer par le droit à la vie privée (et au secret de sa correspondance), à la liberté de communication et d'information, à la liberté d'entreprendre et à la présomption d'innocence. Sur un plan plus terre à terre, il s'agit de renforcer les pouvoirs (et obligations) de censure de sociétés privées, de pouvoir porter atteinte au secret des sources, à la protection des données personnelles, au secret de la correspondance privée et d'instaurer les prémisses d'un principe de présomption de culpabilité. Cela sans compter sur le manque à gagner pour les entreprises européennes spécialisées dans la sécurisation des échanges numériques ou pour la sécurité des systèmes et communications d'entreprises.
Les 27 (États membres de l'UE) sont très divisés sur la question et, si ce règlement est toujours sur les rails, il est encore loin de faire l'unanimité. Une fuite d'un document officiel, relayé par Wired au mois de mai dernier, présente la position de 20 États sur la question. Certains pays s'y opposent, à commencer par l'Allemagne, l'Italie, la Finlande ou l'Estonie. Dans le camp d'en face, 15 États y sont favorables, notamment l'Espagne, à l'origine de la proposition et qui partage avec la Hongrie et Chypre la position la plus radicale sur la casse du chiffrement par les autorités. De leur côté, des pays tels les Pays-Bas, l'Irlande et le Danemark soutiennent l'idée de scanner les contenus tout en essayant de préserver vaguement une forme de chiffrement. La position des 7 derniers États n'est pas connue et celle de la France, second pays le plus influent de l'UE après l'Allemagne, pourrait être déterminante.
L'examen du texte se poursuit et, le 20 novembre prochain, la saisine des commissions parlementaires sera annoncée en séance plénière au Parlement européen. Nous le disions plus haut, la question posée est une question d'arbitrage entre des intérêts fondamentaux qui s'opposent mutuellement. Protéger les mineurs contre les crimes sexuels est une nécessité et une obligation légitime qui pèse sur les Gouvernements. Protéger la vie privée des citoyens et la présomption d'innocence en sont une autre. Sans possibilité de conjuguer les deux équitablement, il s'agit comme toujours de trancher entre sécurité et libertés et la tendance législative, depuis quelques décennies, tend à privilégier l'ordre.