L’Europe met en pause son projet d’imposer aux messageries chiffrées le scan de nos conversations en ligne
Alors que les 27 pays de l’Union européenne devaient se prononcer, jeudi 20 juin, sur le règlement CSAR, un projet de législation européenne qui impose un scan des conversations et échanges de fichiers aux messageries – y compris chiffrées – la décision a finalement été reportée à une date ultérieure. La polémique a pris de l’ampleur cette semaine, après la publication d’un billet acerbe de la PDG de la messagerie chiffrée Signal.
« Arrêtez ce projet, l’Europe ! ». Le message du lanceur d’alerte Edward Snowden sur X, à propos du projet de règlement européen « CSAR » (pour « Child sexual abuse regulation ») visant à mettre fin aux abus sexuels commis sur les enfants, a-t-il été entendu ? En pleine polémique sur la future législation européenne, qui imposerait un scan de nos conversations en ligne sur les messageries y compris chiffrées comme WhatsApp et Signal, les représentants des 27 pays de l’Union européenne ont fait marche arrière. Ces derniers, qui devaient adopter une position commune sur ce texte jeudi 20 juin, ont finalement décidé de reporter leur décision sine die.
C’est ce que nous apprennent nos confrères belges de Datanews, qui précisent que le vote a été retiré de l’ordre du jour au dernier moment. La raison ? Peut-être cette polémique, présente depuis des mois, et qui a enflé ces derniers jours après un billet publié par Meredith Whittaker, présidente de la Signal Foundation, qui chapeaute la messagerie chiffrée Signal.
La loi conduirait à surveiller toutes nos conversations en ligne, selon ses détracteurs
La chercheuse en éthique de l’intelligence artificielle déplorait, sur son compte X, la dernière mouture du projet de règlement, dont l’objectif est de davantage protéger en ligne les mineurs contre la pédopornographie. Jusqu’à présent, la détection de contenus pédopornographiques dépend de la coopération volontaire des plateformes. Or, ce cadre est, selon des associations de défense des droits des enfants, insuffisant.
Pour améliorer la lutte contre la pédocriminalité en ligne, le règlement CSAR veut obliger les plateformes, dont les messageries chiffrées, à détecter automatiquement les contenus pédopornographiques dans les messages et fichiers échangés. Et selon Meredith Whittaker, la PDG de Signal, comme selon d’autres opposants au texte, le projet de législation conduirait à une surveillance généralisée de nos conversations. Il sonnerait le glas du caractère privé et confidentiel de nos échanges en ligne, y compris sur les messageries chiffrées.
Pour rappel, sur ces plateformes, seuls le destinataire et l’expéditeur, détenteurs d’une clé, ont accès aux contenus échangés. Ni la messagerie elle-même, ni les forces de l’ordre ne peuvent en avoir connaissance, même s’il s’agit de terrorisme ou de pédocriminalité. Or, contraindre ces messageries comme WhatsApp, Signal, Telegram, Proton, Olvid… à mettre en place une détection automatique reviendrait, ni plus ni moins, à surveiller toutes nos communications, estiment les détracteurs du texte. Il serait techniquement impossible de mettre en place une « porte dérobée » sans affaiblir le chiffrement des échanges, ajoutent-ils.
Les opposants : CNILs européennes, scientifiques, politiques, messageries chiffrées, PME du numérique…
Depuis sa publication par la Commission européenne en mai 2022, le texte a suscité une véritable levée de boucliers, dont nous vous avons régulièrement fait part. Les oppositions se sont d’abord cantonnées aux défenseurs des droits numériques et de la vie privée, comme les CNILS européennes et le CEPD, le contrôleur européen de la protection des données (CEPD).
Cette autorité indépendante, chargée de contrôler la façon dont les institutions européennes protègent les données, avait réuni, en octobre dernier, une quinzaine d’experts au sein du Parlement européen pour discuter du sujet. Tous les spécialistes aboutissaient à la même conclusion : obliger les plateformes à détecter des contenus pédopornographiques, y compris sur les messageries chiffrées, serait aussi « inefficace que nuisible ».
Le rang des opposants a ensuite été rejoint par des entreprises du numérique et des scientifiques. Tout récemment, 48 parlementaires européens ont publié une lettre ouverte, s’alarmant de ce « projet de surveillance de masse ». Signal et Threema ont expliqué, de leur côté, qu’elles quitteraient le marché européen, si une telle mesure était adoptée. Will Cathcart, le PDG de la messagerie chiffrée WhatsApp, a aussi rappelé sur X que « le fait de scanner les messages comme le propose l’UE brise le chiffrement. C’est de la surveillance et c’est une voie dangereuse à suivre. »
Si la future règlementation a pour l’instant peu été décriée par les politiques français – hormis Pierre Beyssac du Parti Pirate – elle a été très discutée dans d’autres pays. En Allemagne, le député européen Patrick Breyer (rapporteur fictif du projet de règlement, et membre du Parti Pirate) tente depuis des mois d’alerter l’opinion sur les risques posés par cette future législation.
En parallèle, le projet de règlement CSAR a été entaché de différentes affaires, révélées par voie de presse – comme les liens entre des lobbys de la surveillance sur le Web et la commissaire européenne à l’origine du texte, le recours à des publicités « microciblées » sur X qui pose question, ou encore une technologie de détection préconisée par Bruxelles, qui serait loin d’être optimale.
La proposition de la présidence belge… qui tombe à l’eau
Face à la bronca, la présidence belge de l’Union européenne a cherché un compromis, en proposant que le scan, qui devrait être mis en place par les messageries y compris chiffrées, aurait lieu au seul moment du téléchargement d’une image ou d’un lien, soit avant le chiffrement, explique Politico. Seules les images, les vidéos et les messages écrits seraient concernés – l’audio en serait exclu. Enfin, les conversations issues des ministères et des gouvernements ne pourraient pas être scannées, pour des raisons de sécurité nationale. Les utilisateurs pourraient refuser ce dispositif, mais ils ne pourraient plus envoyer des images et des liens.
Cette nouvelle proposition est loin d’avoir convaincu ses opposants. Ce qui est appelé « modération du téléchargement », est aussi dangereux que la proposition initiale, a déclaré la PDG de Signal dans son billet publié avant l’annonce du report du vote. Le texte « sape fondamentalement le chiffrement », que le scan ait lieu avant le chiffrement ou non, estime-t-elle. « Nous pouvons appeler cela une porte dérobée, une porte d’entrée ou une “modération de téléchargement” », mais « quel que soit le nom qu’on lui donne, chacune de ces approches crée une vulnérabilité qui peut être exploitée par des pirates informatiques et des États-nations hostiles », écrit-elle dans son billet.
Les 27 de l’UE encore divisés sur ce sujet
Selon nos confrères de Politico, les 27 pays de l’UE sont toujours assez divisés sur la question. Si Věra Jourová, la vice-présidente de la Commission européenne, a martelé jeudi lors d’une conférence « que même les messageries chiffrées peuvent être brisées pour une meilleure protection des enfants », des pays comme l’Allemagne et l’Autriche s’opposent à la mesure. La France ne semble pas, pour l’instant, avoir de position tranchée.
Pourtant, comme le rappelle Matthew D. Green, professeur agrégé d’informatique et membre de l’Institut de sécurité de l’information de l’Université américaine Johns Hopkins, « tout l’intérêt des messageries chiffrées est de rendre tout scan ou contrôle des messages impossible ». Si une telle architecture de surveillance est mise en place, la tentation pourrait être grande de l’étendre à d’autres finalités. Sur son compte X, l’expert en chiffrement explique : « Une fois que vous aurez mis en place une architecture dans laquelle chaque message privé passera par un filtre d’analyse, avec signalement à la police, la seule question qui se posera à l’avenir sera la suivante : quelles mises à jour logicielles apporterez-vous à ce filtre ? ».
Comprenez : si la mesure est acceptée pour détecter les contenus pédopornographiques, il sera très facile, en suite, de l’étendre à d’autres contenus. Pour le député européen Patrick Breyer, le report du vote sine die est une bonne nouvelle, mais la bataille est encore loin d’être gagnée. Le texte devrait être discuté ultérieurement sous présidence hongroise, qui prendra ses fonctions au 1ᵉʳ juillet. Une fois une version du texte adoptée par le Conseil, cette dernière sera ensuite discutée en trilogue avec le Parlement européen et la Commission européenne.