"Lutte contre la pédocriminalité" ou "surveillance généralisée" ? Cinq questions sur le projet de règlement européen surnommé "Chat Control"

Faut-il choisir entre la protection des enfants et la vie privée des Européens ? C'est le dilemme formulé par les opposants à un projet de règlement européen visant à lutter contre la pédocriminalité en ligne, surnommé "Chat Control", qui doit être discuté par le Conseil de l'Union européenne (UE), mercredi 8 octobre, avant une éventuelle adoption le 13 ou 14 octobre.

Ce projet, de son nom complet "Règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants", a une ambition claire : faciliter la détection des contenus pédocriminels et leurs échanges dans l'UE, afin de punir leurs détenteurs et de protéger les enfants plus efficacement. Mais de nombreux collectifs y voient un danger important pour les libertés personnelles, voire "la fin de la vie privée en Europe", et certaines plateformes ont déjà annoncé qu'elles quitteraient l'UE si le projet était adopté. Pourquoi fait-il autant débat ?

1 Pourquoi ce projet de règlement a-t-il vu le jour ?

Le projet de règlement européen, souvent désigné par son acronyme anglais CSAR (pour "Child Sexual Abuse Regulation"), a été initialement présenté en mai 2022 par la commissaire européenne aux Affaires intérieures de l'époque, la Suédoise Ylva Johansson. La Commission européenne inscrit le projet dans la stratégie de l'UE pour défendre les droits des enfants, et défend l'adoption d'"un cadre juridique clair et harmonisé" au niveau européen.

Le texte initial (PDF) rappelle que certaines plateformes "utilisent déjà volontairement des technologies afin de détecter et de signaler les abus sexuels sur enfants en ligne et de retirer le matériel concerné de leurs services". Mais la Commission pointe plusieurs écueils, et notamment le fait que "la grande majorité des signalements", dont "la qualité et la pertinence (...) varient", "proviennent d'une poignée de fournisseurs".

Ensuite, cette démarche volontaire s'appuie pour le moment sur une dérogation temporaire adoptée par l'UE, qui autorise certaines pratiques normalement interdites par un autre texte (la directive ePrivacy de 2002). Cette dérogation devait déjà s'éteindre en août 2024, avant d'être prolongée pour deux ans en avril 2024.

Enfin, le parcours actuel des signalements est alambiqué, car il passe principalement par les Etats-Unis. En effet, Washington oblige déjà les fournisseurs de services établis sur le sol américain à signaler les contenus pédocriminels, non pas aux autorités, mais au Centre national américain pour les enfants disparus et exploités (NCMEC), qui n'a pas d'équivalent européen. "En conséquence, les signalements d'abus dans l'UE sont envoyés aux Etats-Unis, puis renvoyés aux services répressifs de l'UE", écrit la direction générale européenne de la migration et des affaires intérieures.

L'enjeu est de taille. En 2023, le NCMEC a reçu environ 36 millions de signalements pour des soupçons de contenus pédocriminels (+12% sur un an), qui concernaient plus de 105 millions de contenus.

2 Que prévoit le texte ?

L'objectif du projet européen est donc de faire de cette démarche volontaire et disparate de signalement une obligation unifiée dans toute l'UE, et pour tous les "fournisseurs de services de communication". L'analyse serait effectuée avant même l'envoi (et donc le chiffrement) des messages, par un système intégré à l'application.

Mais le Parlement européen s'est déjà opposé à ce texte. Il a adopté en novembre 2023 sa position officielle, réclamant notamment de limiter le scan à des "ordres de détection" autorisés par les autorités judiciaires, concernant des individus ou des groupes précis, pour lesquels il existe "des soupçons raisonnables". Les eurodéputés ont aussi appelé à exclure les plateformes chiffrées de ces réquisitions, et à laisser le choix aux plateformes des techniques de détection, tout en réalisant des audits publics indépendants.

La présidence danoise du Conseil de l'UE a présenté en juillet un texte de "compromis" (PDF). Celui-ci autorise l'émission d'ordres de détection pour les services classés à "haut niveau de risque" de transmission de contenus pédocriminels, pour lesquels "un risque significatif persiste après la mise en œuvre de mesures d'atténuation".

Ces ordres de détection seraient pris "en dernier recours et sur autorisation d'une autorité judiciaire ou administrative indépendante, à la suite d'une évaluation objective et au cas par cas", soutient la présidence danoise du Conseil de l'UE. Chaque réquisition devrait être "limitée à une partie (...) du service, telle que des types spécifiques de canaux" ou des individus, groupes ou "types" d'utilisateurs, "dans la mesure du possible". La réquisition imposerait de scanner "uniquement les contenus visuels et les adresses URL", excluant les échanges audios et de textes.

Le scan sur les messageries chiffrées se ferait au niveau de l'utilisateur avant l'envoi des messages, "avec son consentement". Le CSAR prévoit également la création d'"un centre de l'UE chargé de prévenir et de combattre les abus sexuels sur enfants", inspiré du modèle américain. Entre autres missions, il "créera, tiendra à jour et exploitera des bases de données d'indicateurs d'abus sexuels sur enfants en ligne, que les fournisseurs seront tenus d'utiliser".

3 Qui soutient ce projet et pourquoi ?

Le projet est soutenu par de nombreuses organisations de protection de l'enfance à travers l'UE, comme celles réunies dans la campagne ChildSafetyON. "L'urgence est claire : sans ce règlement, Internet restera un terrain fertile pour les prédateurs et les plateformes pourront continuer à se défausser de leur rôle", avertissent les organisations membres dans une note du 3 octobre. Il y est écrit que l'"adoption rapide [du règlement] est indispensable pour protéger les enfants, rétablir la confiance numérique et affirmer que l'Europe ne tolère aucun compromis face aux violences sexuelles".

"Protéger les enfants en ligne n’est pas un choix politique parmi d’autres. C’est un impératif moral, juridique et sociétal."

La coalition d'associations ChildSafetyON

dans une note

Auprès de franceinfo, la Fondation pour l'enfance (qui fait partie de la campagne ChildSafetyON) conteste les communications alarmantes sur le CSAR et affirme qu'"il ne s'agit pas d'une surveillance généralisée, mais d'une détection ciblée, limitée et proportionnée". "Le CSAR vise à encadrer les technologies, avec des garanties légales strictes : les obligations de détection seraient prononcées par la justice ou une autorité administrative indépendante, pour une durée limitée et seulement pour la détection de contenus pédocriminels", liste entre autres l'association.

4 Quels sont les arguments des opposants à ce projet ?

"Le but est louable et fait consensus, mais ce sont les moyens qui posent problème", résume pour franceinfo Thaima Samman, avocate spécialiste de la réglementation du numérique en France et dans l'UE. Les différentes versions du projet ont rencontré l'opposition de nombreuses entreprises de la tech, d'ONG internationales comme la Electronic Frontier Foundation ou European Digital Rights (PDF), ou encore de spécialistes et de citoyens rassemblés dans des pétitions.

Tous pointent un risque de surveillance généralisée en Europe. "Le but affiché est évidemment louable, mais c'est comme si La Poste disait que pour lutter contre la pédocriminalité, elle allait ouvrir le courrier de tous les Français", explique pour franceinfo Alexandre Archambault, avocat spécialisé en droit du numérique.

Certaines formulations du projet de règlement laissent planer le doute. Par exemple, la limitation des ordres de détection "dans la mesure du possible", qui autorise le ciblage de "types d'utilisateurs" non définis, laisse la porte ouverte à des ordres de détection à grande échelle. Les pays de l'UE où l'indépendance des autorités judiciaires et administratives est contestée pourraient également détourner ce pouvoir pour cibler les oppositions ou des minorités.

Intégrer dans les plateformes un logiciel qui scanne les messages avant qu'ils ne soient chiffrés revient de fait à affaiblir le chiffrement, alertent également les critiques du texte. "Les pirates informatiques et les Etats hostiles n'auront qu'à dérober un accès au système de scan" pour espionner leurs cibles, envisage dans un communiqué (PDF) la fondation Signal, qui édite la messagerie chiffrée du même nom.

"Il est impossible de créer une porte dérobée qui ne laisse entrer que les 'gentils'."

La messagerie Signal

dans un communiqué

Un débat similaire avait amené le secteur de la tech à élever la voix contre Bruno Retailleau, qui, en mars, alors qu'il était ministre de l'Intérieur, souhaitait obliger les plateformes à lever leur chiffrement à la demande des services de renseignement.

5 Quel est l'avenir de ce texte ?

Les critiques du texte scrutent avec attention les prises de positions des Etats membres. La dernière en date, celle de la ministre de la Justice allemande, leur donne de l'espoir : "L'Allemagne ne donnera pas son accord à de telles propositions au niveau européen", a affirmé Stefanie Hubig, pour qui "le contrôle injustifié des conversations en ligne doit être tabou dans un Etat de droit".

Mais rien n'est joué : un vote du Conseil de l'Union européenne est toujours prévu le 13 ou le 14 octobre sur la réglementation autour de la lutte contre la pédocriminalité, selon un agenda préparatoire (PDF) publié en juin. Et si un accord est trouvé au sein du Conseil, c'est ensuite une phase de trilogue avec la Commission et le Parlement européen qui s'ouvrira pour des mois, voire des années. "Les discussions avec le Parlement européen pourraient être très compliquées, note pour franceinfo Thaima Samman. Nous sommes encore loin d'une adoption finale".