-
CSAR / Chat Control / CSAM
Thu 12 Oct 2023 06:29:13 PM CEST - permalink -Règlement européen « responding to Child Sexual Abuse Material (CSAM) » en cours de discussion. Suite de la dérogation à ePrivacy de 2021.
Fait partie de la stratégie de l'UE « pour un meilleur Internet pour les enfants » (ça fait penser au Online Safety Bill du Royaume-Uni qui traite aussi suicide, automutilation, etc.).
-
Faire surveiller par les hébergeurs et les opérateurs / fournisseurs, les publications, les magasins d'applis, et les messageries privées (côté client, donc avant chiffrement) afin d'identifier le pédoporn (plus largement les violences sexuelles sur mineur). LQDN considère que les chats dans les jeux vidéo sont concernés. Contrairement au DSA, pas d'exemption en dessous d'un seuil (CA, nombre d'utilisateurs, etc.) ;
-
Plusieurs étapes obligatoires :
- Un opérateur / fournisseur ou hébergeur doit évaluer le risque d'utilisation de son service pour du CSAM. Indices : âge des utilisateurs (vérif' ou, à mon avis, analyse en douce des propos), ce qui, avec les lois interdisant les réseaux sociaux aux jeunes (loi 2023-566 instaurant une majorité numérique et luttant contre la haine en ligne, est déjà en route ; comparer son service à un autre ; possibilité, pour des adultes, de discuter avec des mineurs ; etc. ;
- Atténuation du risque identifié : équipe de modération adéquate, coopération avec les signalements, contrôle parental (car les FAI sont aussi concernés par le CSAR), etc. ;
- Si le risque est important, une injonction ciblée, judiciaire ou administrative, de surveillance généralisée du CSAM peut être émise à l'encontre d'un service. Temporaire (12 à 24 mois si vrai pédoporn ou nudité ou…) mais renouvelable sans limite. Les critères sont flous (comparaison avec des services similaires, par ex.), d'où une crainte de surveillance généralisée (la compréhension française de l'injonction prônée par le CJUE en matière de rétention de données de connexion est une injonction générale, appliquée à tous les FAI, par ex.). La détection porte sur des contenus connus (liste d'empreintes fournies par les autorités instituées par ce règlement, entraînement des outils maison sur du CSAM déjà identifié hors données biométriques ‒ visage, voix ‒, etc.) ou inconnus ainsi que sur les propos qui amorcent les abus. Détection côté client, sur les terminaux, donc le chiffrement de bout en bout est contourné ;
- Un opérateur / fournisseur ou hébergeur doit évaluer le risque d'utilisation de son service pour du CSAM. Indices : âge des utilisateurs (vérif' ou, à mon avis, analyse en douce des propos), ce qui, avec les lois interdisant les réseaux sociaux aux jeunes (loi 2023-566 instaurant une majorité numérique et luttant contre la haine en ligne, est déjà en route ; comparer son service à un autre ; possibilité, pour des adultes, de discuter avec des mineurs ; etc. ;
- Un « Centre de l'UE » sera le coordinateur des autorités nationales (comme l'EDPB ou le BEREC). Il fera des préconisations sur les techniques et les outils utilisables par les fournisseurs / opérateurs et les hébergeurs (hahaha, le bon vieux temps de HADOPI et de la sécurisation des accès à Internet avec un outil magique qui n'a jamais existé ni, de fait, été labellisé :') ). Il collectera les signalements des fournisseurs de services, les qualifiera et s'il y a lieu, les transmettra à Europol ;
- Demande, judiciaire ou administrative, de retrait d'un contenu publié ou son blocage par les FAI, sous 24 h ;
- Comme avec le DSA, le lambda (ou le fournisseur) devra pouvoir signaler un contenu, contester une décision (signalement au Centre de l'UE, blocage, retrait, etc.). Extra-territorialité, représentant légal en UE, etc. ;
- Sanctions similaires à celles du DSA (6 % CA mondial), autorités nationales, plaintes des victimes sous forme d'un semblant de guichet unique sauce RGPD. Les victimes peuvent demander où elles apparaissent et si un contenu litigieux a été retiré (je trouve ça insuffisant mais pertinent). Partage entre les autorités ;
- Critiques : solutionnisme technologique plutôt que prévention / éducation. Faux positifs (sexto et autres photos dénudées genre vacs, etc.). Les vrais pédocriminels utilisent d'autres modes opératoires (archives chiffrées, darknet, etc.). La CJUE a retoqué la conservation généralisée des données de connexion hors menace réelle, actuelle ou prévisible sur la sécurité nationale, donc une analyse des contenus pour identifier des comportements qui ne sont pas tous des infractions (sexto entre mineurs par ex.)… (Je pense que ça va passer, en jouant sur l'émotion, les chtits nenfants tout ça c'est triste.)
Récemment, Apple s'est fait mousser en annonçant renoncer à détecter les contenus pédoporn sur iCloud. Comme le rappelle LQDN : « Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux. ». On constate cela dans les articles de Wired et d'Ars Technica.
Sources :- Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (1re partie) et Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (2de partie) ;
- La Commission européenne veut surveiller l'intégralité du web, des mails et des messageries chiffrées ;
- Pédocriminalité : des juristes de l'UE taclent le projet de surveillance des messageries chiffrées ;
- Règlement CSAR : la surveillance de nos communications se joue maintenant à Bruxelles.
- http://shaarli.guiguishow.info/?rWZV4w
-