La proposition de règlement de la Commission européenne visant à prévenir et à combattre les abus sexuels sur enfants est destinée à protéger l’intégrité physique, l’avenir et la vie privée des enfants.
Et il est urgent de le faire. Après la pandémie de COVID-19, les abus sexuels sur enfants commis en ligne et hors ligne ont augmenté de manière effroyable.
En outre, le temps est compté, dans deux ans seulement, la législation relative à la détection volontaire cessera de s’appliquer.
Le 29 juillet, le comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD) ont adopté un avis conjoint sur la proposition de règlement visant à prévenir et à combattre les abus sexuels sur enfants.
Je formule ci-après une réponse détaillée expliquant en quoi la proposition de la Commission est dûment motivée, juridiquement solide et absolument nécessaire pour lutter contre le fléau des abus sexuels sur enfants commis en ligne.
Il est pour le moins surprenant et frappant que l’avis conjoint de l’EDPB et du CEPD ne fasse aucune mention du droit de l’enfant au respect de sa vie privée.
L’abus sexuel sur enfant est un acte horrible. Il peut détruire la vie d’une personne et la déposséder d’elle-même. Lorsque des images circulent en ligne pendant des années après les faits, les effets psychologiques sur la victime peuvent être dévastateurs. Or ce droit à la non-diffusion d’images, ce droit au respect de la vie privée, est totalement passé sous silence par l’avis.
Notre proposition législative trouve un juste équilibre entre les différents droits fondamentaux concernés, eu égard notamment à la gravité des abus sexuels sur enfants.
Les mesures d’atténuation constituent une première étape nécessaire dans un système qui est centré sur la prévention. La proposition vise non seulement à détecter les abus sur enfants, mais aussi à les prévenir. Les mesures d’atténuation ont pour objectif fondamental de protéger les enfants contre la diffusion ultérieure d’images et de vidéos montrant l’abus dont ils ont été victimes et contre les sollicitations à des fins d’abus sexuels («pédopiégeage»). Elles permettent également à un fournisseur de services d’éviter une éventuelle injonction de détection si son infrastructure est jugée suffisamment à même de ramener le risque d’abus sexuels sur enfants en ligne à un niveau faible.
La législation laisse au fournisseur concerné le choix des technologies à utiliser pour se conformer efficacement aux injonctions de détection, pour autant que ces technologies satisfassent aux exigences du règlement.
En ce qui concerne le lien avec le RGPD et la directive «vie privée et communications électroniques», les règles proposées créent un système équilibré et ciblé, limité à ce qui est strictement nécessaire.
La proposition exige que ces fournisseurs déploient des technologies qui soient les moins intrusives au regard de la vie privée en l’état actuel de la technique dans le secteur.
Les systèmes de détection ne doivent être utilisés que dans le but de détecter et de signaler des abus sexuels sur enfants et des garanties strictes empêchent leur utilisation à d’autres fins.
La proposition prévoit des voies de recours juridictionnel, les fournisseurs comme les utilisateurs ayant le droit de contester en justice toute mesure les concernant. Les utilisateurs ont droit à une indemnisation pour tout préjudice qui pourrait résulter d’un traitement dans le cadre de la proposition.
En ce qui concerne le lien avec le règlement provisoire qui cessera de s’appliquer dans deux ans, notre proposition ne pourrait être plus claire: «l’action volontaire s’est donc révélée insuffisante pour lutter contre l’utilisation à mauvais escient des services en ligne à des fins d’abus sexuels sur enfants».
La législation respecte l’article 52 de la charte des droits fondamentaux et précise explicitement que «les mesures figurant dans la proposition affectent, en premier lieu, l’exercice des droits fondamentaux des utilisateurs des services concernés. Ces droits incluent notamment les droits fondamentaux au respect de la vie privée (y compris au respect de la confidentialité des communications, dans le cadre du droit plus large du respect de la vie privée et familiale), à la protection des données à caractère personnel et à la liberté d’expression et d’information. Si ces droits revêtent une grande importance, aucun d’entre eux n’apparaît comme étant une prérogative absolue, mais ils doivent être pris en considération par rapport à leur fonction dans la société. L’article 52, paragraphe 1, de la charte permet de limiter l’exercice de ces droits, sous réserve des conditions énoncées dans cette disposition.»
La procédure d’injonction de détection a été précisée dans la législation. Contrairement à la détection volontaire actuelle, elle n’implique pas un suivi généralisé des communications textuelles ou audio des particuliers.
Ce n’est que lorsque les autorités estiment qu’il existe des éléments probants indiquant un risque important que le service soit utilisé à des fins d’abus sexuels sur enfants en ligne et que les motifs conduisant à l’émission de l’injonction de détection l’emportent sur les conséquences négatives pour les droits et les intérêts légitimes de toutes les parties concernées qu’elles annoncent leur intention d’envisager une injonction de détection de matériel pédopornographique ou de pédopiégeage ciblée sur les risques spécifiques identifiés par le fournisseur de services.
Avant l’émission d’une injonction de détection, le fournisseur doit être consulté. Si les autorités constatent encore l’existence d’un risque de matériel pédopornographique ou de pédopiégeage, le fournisseur est invité à indiquer comment il mettra en œuvre la détection de ce matériel. Cela est conforme à la nécessité d’assurer un juste équilibre entre les droits fondamentaux des fournisseurs, des enfants et de tous les utilisateurs.
Lorsqu’une éventuelle détection impliquerait un traitement à haut risque, et dans tous les cas liés à la détection du pédopiégeage, le fournisseur doit réaliser une analyse d’impact relative à la protection des données et consulter les autorités chargées de la protection des données.
Les injonctions de détection sont limitées dans le temps, soumises à des garanties procédurales strictes, et ciblent un type précis d’infraction dans le cadre d’un service précis. L’intervention des autorités chargées de la protection des données est renforcée, en s’appuyant sur le règlement général sur la protection des données.
Il est clair que la législation peut inciter les entreprises à mettre au point des solutions techniques. La détection à des fins de cybersécurité est déjà en cours, comme la reconnaissance des liens dans WhatsApp.
Les évolutions dans le domaine technologique se multiplient. À cet égard, un article récent expose dans les grandes lignes des solutions pour détecter, dans les services cryptés, le matériel relatif à des abus sexuels sur enfants (Thoughts on Child Safety on Commodity Platforms, Ian Levy et Crispin Robinson, 21 juillet 2022).
En juillet 2022, des experts techniques du Centre national de communications (GCHQ) et du Centre national de cybersécurité britanniques ont publié un article présentant différents moyens de détecter le matériel pédopornographique dans les services cryptés, tout en protégeant la vie privée des utilisateurs.
Il ne s’agit là que d’un exemple, et la Commission collabore étroitement avec les acteurs du secteur, les organisations de la société civile et le monde universitaire dans le cadre du forum de l’UE sur l’internet, afin de soutenir les travaux de recherche visant à découvrir d’autres solutions techniques.
Conformément à l’objectif central de la proposition, à savoir mieux protéger les enfants, l’identification du pédopiégeage ne concerne les communications interpersonnelles que lorsqu’il est établi que l’un des utilisateurs est un enfant.
La proportionnalité est garantie par l’association au processus de toutes les parties concernées avant l’émission d’une injonction, par des conditions et garanties strictes et par la participation d’une deuxième autorité indépendante. Cela ne permet pas d’examiner de manière généralisée et indifférenciée le contenu de pratiquement tous les types de communications électroniques.
Les outils automatisés recherchent des indicateurs précis d’abus sexuels potentiels sur enfants, ce qui signifie qu’ils sont conçus pour vérifier si un contenu donné est susceptible de constituer un tel abus, mais non pour vérifier quel est l’objet de ce contenu.
Le centre de l’UE chargé de prévenir et de combattre les abus sexuels sur enfants donnera aux fournisseurs un accès gratuit à une technologie permettant de détecter et de procéder au réexamen humain de tous les signalements. Cela allégera la charge pesant sur les fournisseurs, en particulier les plus petits d’entre eux.
Le rapport d’analyse d’impact indique que les technologies de détection de matériel connu présentent un taux de faux positifs estimé tout au plus à 1 sur 50 milliards (soit un taux de faux positifs de 0,000000002 %).
En ce qui concerne la détection de matériel pédopornographique nouveau, le taux de précision est nettement supérieur à 90 %. Il existe des technologies de détection des nouveaux contenus pédopornographiques dont le taux de précision peut être fixé à 99,9 % (soit un taux de faux positifs de 0,1 % faisant ensuite l’objet d’un réexamen humain).
Quant à la détection de la sollicitation d’enfants dans les communications textuelles, elle repose généralement sur la détection de schémas. Les outils de détection automatique ont acquis un degré élevé de précision et les indicateurs deviennent plus fiables avec le temps, à mesure que les algorithmes apprennent à les reconnaître, à la suite d’un réexamen humain. Certaines des technologies existantes de détection du pédopiégeage (comme celle de Microsoft) présentent un «taux de précision» de 88 %, avant réexamen humain.
Avec la législation proposée, des taux d’erreur élevés seraient rapidement détectés par le centre de l’UE, ce qui garantira qu’aucun faux positif ne donnera lieu à un signalement auprès des services répressifs. Les entreprises seraient immédiatement informées lorsque leurs outils produisent des notifications erronées et elles seraient tenues de prendre des mesures pour y remédier.
Comme indiqué au considérant 26 de la proposition de règlement, les obligations qu’il est proposé d’imposer aux fournisseurs de services en matière de détection de matériel pédopornographique sont neutres sur le plan technologique, ce qui signifie qu’elles ne prescrivent pas quelle technologie devrait être utilisée pour la détection, tant que la technologie retenue satisfait aux conditions et garanties strictes prévues pour protéger tous les utilisateurs. Il s’agit d’une obligation de résultat et non de moyens.
Cela inclut l’utilisation de la technologie de chiffrement de bout en bout, qui est un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris des enfants.
L’autorité de coordination peut toujours décider de demander une injonction de détection. Elle joint à cette demande le plan de mise en œuvre du fournisseur et les avis rendus par le centre de l’UE et l’autorité chargée de la protection des données.
Afin de s’acquitter pleinement de leurs missions, Europol et le centre de l’UE doivent se fournir mutuellement un accès aussi large que possible aux informations et systèmes d’information pertinents. Cela se fera conformément aux actes du droit de l’Union régissant cet accès.
La présente réponse démontre ainsi que législation a déjà tenu compte des questions soulevées par l’avis. Je suis fière de cette proposition. Elle est proportionnée et prévoit des conditions et garanties qui sont à la fois strictes et justes.
Ce que je trouve le plus frustrant, c’est qu’une opposition fondée uniquement sur des notions abstraites pourrait apparaître, des notions abstraites fondées elles-mêmes sur des malentendus.
Ce qui me préoccupe, ce sont les répercussions très concrètes, très choquantes, des abus sur enfants: sur les enfants, sur les adultes qu’ils deviendront et sur la société dans son ensemble.
Cette législation est véritablement la meilleure que l’Union européenne puisse faire.
Détails
- Date de publication
- 7 août 2022
- Auteur
- Direction générale de la communication