Règlement européen « responding to Child Sexual Abuse Material (CSAM) » en cours de discussion. Suite de la dérogation à ePrivacy de 2021.
Fait partie de la stratégie de l'UE « pour un meilleur Internet pour les enfants » (ça fait penser au Online Safety Act du Royaume-Uni, j'vais y revenir).
-
Faire surveiller par les hébergeurs et les opérateurs / fournisseurs, les publications, les magasins d'applis, et les messageries privées (côté client, donc avant chiffrement) afin d'identifier le pédoporn (plus largement les violences sexuelles sur mineur). LQDN considère que les chats dans les jeux vidéo sont concernés. Contrairement au DSA, pas d'exemption en dessous d'un seuil (CA, nombre d'utilisateurs, etc.) ;
-
Plusieurs étapes obligatoires :
- Un opérateur / fournisseur ou hébergeur doit évaluer le risque d'utilisation de son service pour du CSAM. Indices : âge des utilisateurs (vérif' ou, à mon avis, analyse en douce des propos), ce qui, avec les lois interdisant les réseaux sociaux aux jeunes (loi 2023-566 instaurant une majorité numérique et luttant contre la haine en ligne, est déjà en route ; comparer son service à un autre ; possibilité, pour des adultes, de discuter avec des mineurs ; etc. ;
- Atténuation du risque identifié : équipe de modération adéquate, coopération avec les signalements, contrôle parental (car les FAI sont aussi concernés par le CSAR), etc. ;
- Si le risque est important, une injonction ciblée, judiciaire ou administrative, de surveillance généralisée du CSAM peut être émise à l'encontre d'un service. Temporaire (12 à 24 mois si vrai pédoporn ou nudité ou…) mais renouvelable sans limite. Les critères sont flous (comparaison avec des services similaires, par ex.), d'où une crainte de surveillance généralisée (la compréhension française de l'injonction prônée par le CJUE en matière de rétention de données de connexion est une injonction générale, appliquée à tous les FAI, par ex.). La détection porte sur des contenus connus (liste d'empreintes fournies par les autorités instituées par ce règlement, entraînement des outils maison sur du CSAM déjà identifié hors données biométriques ‒ visage, voix ‒, etc.) ou inconnus ainsi que sur les propos qui amorcent les abus. Détection côté client, sur les terminaux, donc le chiffrement de bout en bout est contourné ;
- Un « Centre de l'UE » sera le coordinateur des autorités nationales (comme l'EDPB ou le BEREC). Il fera des préconisations sur les techniques et les outils utilisables par les fournisseurs / opérateurs et les hébergeurs (hahaha, le bon vieux temps de HADOPI et de la sécurisation des accès à Internet avec un outil magique qui n'a jamais existé ni, de fait, été labellisé :') ). Il collectera les signalements des fournisseurs de services, les qualifiera et s'il y a lieu, les transmettra à Europol ;
- Demande, judiciaire ou administrative, de retrait d'un contenu publié ou son blocage par les FAI, sous 24 h ;
- Comme avec le DSA, le lambda (ou le fournisseur) devra pouvoir signaler un contenu, contester une décision (signalement au Centre de l'UE, blocage, retrait, etc.). Extra-territorialité, représentant légal en UE, etc. ;
- Sanctions similaires à celles du DSA (6 % CA mondial), autorités nationales, plaintes des victimes sous forme d'un semblant de guichet unique sauce RGPD. Les victimes peuvent demander où elles apparaissent et si un contenu litigieux a été retiré (je trouve ça insuffisant mais pertinent). Partage entre les autorités ;
- Critiques : solutionnisme technologique plutôt que prévention / éducation. Faux positifs (sexto et autres photos dénudées genre vacs, etc.). Les vrais pédocriminels utilisent d'autres modes opératoires (archives chiffrées, darknet, etc.). La CJUE a retoqué la conservation généralisée des données de connexion hors menace réelle, actuelle ou prévisible sur la sécurité nationale, donc une analyse des contenus pour identifier des comportements qui ne sont pas tous des infractions (sexto entre mineurs par ex.)… (Je pense que ça va passer, en jouant sur l'émotion, les chtits nenfants tout ça c'est triste.)
Récemment, Apple s'est fait mousser en annonçant renoncer à détecter les contenus pédoporn sur iCloud. Comme le rappelle LQDN : « Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux. ». On constate cela dans les articles de Wired et d'Ars Technica.
Sources :
ÉDIT DU 21/12/2023 :
Fin novembre 2023, les différents groupes politiques du parlement se sont mis d'accord sur une position commune refusant les injonctions généralisées de surveillance d'un acteur. Une surveillance ciblée, sur injonction judiciaire, d'individus et de groupes (genre tout un canal de discussion) sur lesquels pèserait une suspicion resterait possible. Restera à voir les détails quand la nouvelle monture du texte sera publiée genre comment cela sera-t-il fait si chiffrement de bout en bout ? La vérification de l'âge demeure (nouveautés : pas de conservation des "justificatifs" et trucs du même genre, vérification proportionnée pouet-pouet, etc.)
Suite ? Gérer le dissensus avec le Conseil (co-législateur UE). Rien n'est encore joué.
Concernant le Online Safety Act anglais : il concerne l'automutilation, les menaces, le harcèlement, les fausses infos (kézako ? Tout gouvernement, collectif ou individu en diffuse en permanence…), la pub pour des escroqueries (tout le marketing n'est-il pas une escroquerie ?), l'accès au porn par les mineurs et donc l'impossible question de la vérification de l'âge. Il a un côté DSA : il concerne aussi les adultes, il vise les grands acteurs numériques, il exige d'eux des évaluations de la menace, il prévoit de lourdes sanctions, etc. Comme le règlement CSAR, il prévoit l'analyse des messages interpersonnels mais le gouvernement a promis qu'il n'obligera pas les acteurs à compromettre le chiffrement ni à utiliser des techniques qui n'existent pas (encore heureux), et, c'est bien connu, quand un gouvernement promet, on est rassuré. :))))
FIN DE L'ÉDIT DU 21/12/2023.