Discussion :

[Ryu2000]

on me dis que j'exagères, que la France n'est pas la Chine

C'est un projet de l'UE, ce n'est pas qu'un projet de la France.

L'excuse utilisée c'est la pornographie infantile, mais ils auraient pu utiliser n'importe quoi d'autres:

La lutte contre la pédophilie c'est le meilleur argument.
Pour la plupart des gens c'est le pire crime.

Ça fait oublier à plein de gens la dangerosité de ce projet.

L’Europe impuissante face aux disparitions d’enfants migrants non accompagnés

“18 292 enfants migrants non accompagnés ont été portés disparus en Europe entre janvier 2018 et décembre 2020, l’équivalent de 17 enfants par jour”, révèle The Guardian. L’enquête, dont les résultats ont été publiés mercredi 21 avril, a été menée par le collectif de journalistes européens Lost in Europe, dont fait partie le quotidien britannique.

Dans le tas il y en a pas mal qui ont du finir dans des réseaux pédophile.
Ça se vend cher un enfant.

[Patrick Ruiz]

La Finlande votera contre la directive de l’UE sur la surveillance de masse et l'interdiction du chiffrement
L’UE veut scanner toutes les communications privées pour lutter contre la pédopornographie

La Commission de l’UE propose d'obliger les fournisseurs de services de courrier électronique, de chat et de messagerie à rechercher automatiquement des contenus suspects dans tous les chats, messages et courriels privés, de manière générale et sans distinction. La proposition implique de bannir le chiffrement que des plateformes comme WhatsApp et autres Signal proposent. L'objectif : lutter contre les abus sexuels des enfants en ligne. Le résultat : Une surveillance de masse par le biais d'une surveillance en temps réel entièrement automatisée des messageries et des chats et la fin de la confidentialité de la correspondance numérique. La Finlande a pris position sur le sujet et fait savoir sa désapprobation à une proposition qui ouvre la voie à une surveillance généralisée.

« Le Comité constitutionnel considère que la proposition de règlement sur l'ordonnance d'identification ne devrait pas être adoptée sous sa forme actuelle, mais que le gouvernement devrait travailler activement à la poursuite de la préparation afin d'amender et de préciser la proposition pour répondre aux exigences des droits fondamentaux et des droits de l'homme. Le Comité constitutionnel déclare, entre autres, que l'ingérence dans la protection du secret des communications confidentielles doit être aussi ciblée et limitée que possible. Le Comité attire également l'attention sur le fait que le règlement proposé se concentrerait sur le contenu des communications et laisserait dans le flou les critères minimaux pour l'utilisation de la technologie, en particulier dans le cadre du mandat d'identification. Il existe également une grande incertitude juridique quant à la question de savoir si la technologie utilisée aux fins du mandat d'identification pourrait être ciblée de manière à ce que le traitement du trafic de communications dans le contexte de différents services soit suffisamment ciblé, comme l'exige la jurisprudence interprétant la Constitution et la Charte des droits fondamentaux de l'Union européenne », souligne le Comité constitutionnel de la Finlande.

« Le Grand Comité attire également l'attention sur le fait que l'obligation prévue par le règlement de vérifier l'identité de tous les utilisateurs du réseau afin de contrôler les limites d'âge mettrait en péril la position des dissidents, des militants des droits de l'homme, des lanceurs d'alerte et des minorités persécutées, entre autres, qui, dans de nombreux cas, ont besoin d'un accès anonyme au réseau pour des raisons de sécurité. Le Grand Comité souligne que des solutions techniques alternatives à la surveillance des limites d'âge devraient donc être développées », ajoute-t-il.

Le Comité constitutionnel de Finlande formule donc une espèce de « non prudent » à la proposition de l’UE à laquelle il propose d’ailleurs un ensemble d’amendements :

« il est particulièrement important, dans la suite des négociations, de veiller à ce que les dispositions relatives à l'identification ne conduisent pas, même dans les faits, à un affaiblissement général ou à un démantèlement du chiffrement ou d'autres mesures de sécurité similaires, ou à une limitation de leur utilisation, et donc à une détérioration du niveau de sécurité et de cybersécurité des communications et des services liés à la communication. Si la proposition devait aboutir à une obligation de déchiffrement des communications, elle aurait également des implications profondes et fondamentales pour la protection de la confidentialité des communications confidentielles et l'exercice d'autres droits fondamentaux en ligne. De l'avis du Comité constitutionnel, le déchiffrement indirect pourrait également conduire à une situation problématique en ce qui concerne la liberté d'expression garantie par l'article 12 de la Constitution. La Commission constitutionnelle estime que, pour des raisons constitutionnelles, la poursuite de l'élaboration du projet de règlement devrait donc garantir que le règlement proposé ne conduise pas à un affaiblissement général de la réglementation de la sécurité de l'information dans le réseau d'information. »

Les avis divergent sur la question et la France apparaît dans certaines listes de pays pour l’affaiblissement du chiffrement aux fins de lutter contre la pédopornographie.

De façon plus détaillée, les conséquences de l’entrée en vigueur de ce projet de loi sont :

• toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
• si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
• les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la "sollicitation d'enfants" signalent souvent à tort les conversations intimes ;
• des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
• lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;
• ce serait la porte ouverte pour les services de renseignement et les pirates sur les conversations et courriels.

Sources : Fi

Et vous ?

Scanner toutes les conversations privées pour lutter contre la pédopornographie : pour ou contre ? De quel bord êtes-vous ?

Voir aussi :

Le bitcoin vaut moins que le coût d'extraction, selon JPMorgan, le coût de revient moyen pondéré d'un bitcoin étant estimé à environ 4060 $
La cryptomonnaie de Facebook, une opportunité de 19 milliards de dollars de revenus, et une nouvelle affaire autre que la publicité, selon Barclays
La majorité du marché de bitcoin est une tromperie, 95 % du volume des échanges de cette monnaie étant truqué, selon une nouvelle étude
Cryptomonnaie : le crash du marché laisse des entreprises en faillite dans son sillage, des développeurs étant privés de financement supplémentaire
L'État de New York approuve deux cryptomonnaies liées au dollar : deux nouveaux stablecoins à la suite du TrueUSD aux États-Unis

[Jules34]

Décidément l'Europe me désespère de plus en plus.

[TJ1985]

Plus l'Europe s'impose, plus elle devient répressive. Nous ne sommes plus dans un système de libre co-optation entre égaux, mais dans une sorte d'agrégat vaguement féodal ou le bien et le mal sont décidés par un aréopage restreint d'élites auto proclamées, élues sur des bases populistes.
La pédophilie, comme toute forme d'abus manifeste, est une horreur. Mais ne serait-il pas mieux de combattre cette déviance par l'éducation et la formation plutôt qu'à coups de lois liberticides pour l'écrasante majorité de la population non concernée ?
Car ne nous faisons pas d'illusion, empêcher un pédophile de s'exprimer sur l'internet ne l'empêchera pas de rester pédophile, et donc le maintiendra tout aussi dangereux. En même temps, l'accès à la totalité de la vie privée par des autorités par nature enclines à en faire usage nous conduit tout droit au système chinois.
A quand les bons points de comportement ? Nous avons déjà le permis à point, souvenons-nous en !

[Marc27000]

Les décisions de l'Union Européenne me surprendront toujours, nous n'avons pas l'impression d'être écouté !

[BugFactory]

Je l'ai déjà dit et je le dirais encore : quand on veut museler l'opinion on ressort les pédonazis-terroristes.

Il n'y a pas un mois, une journaliste, Ariane Lavrilleux, était mise en garde à vue pour tenter de lui faire divulguer ses sources, après qu'elle ait mis en lumière les dérives de la coopération antiterroristes entre la France et l'Egypte.
Source : https://www.lemonde.fr/idees/article...0729_3232.html

On est ici dans la même dérive. Tout d’abord on prend des mesures liberticides au nom de la sécurité des enfants, après tout qui ne voudrait pas protéger les enfants ? Ensuite on l'étend à tout et n'importe quoi, puisqu'après tout ça existe déjà. Et au final ça sert à protéger le pouvoir en place.

[totozor]

Les décisions de l'Union Européenne me surprendront toujours, nous n'avons pas l'impression d'être écouté !

Ils ne nous écoutent pas aujourd'hui pour mieux nous écouter demain à l'insu de notre plein gré

[Bruno]

Les États membres de l'UE ne parviennent toujours pas à se mettre d'accord sur le chiffrement de bout en bout,
les opinions divergent quant à la protection des droits et la surveillance de masse

Le projet de règlement relatif aux abus sexuels commis sur des enfants est controversé car il exigerait des fournisseurs de services en ligne qu’ils analysent proactivement leurs services - y compris les communications interpersonnelles privées des utilisateurs - à la recherche de matériel pédopornographique (CSAM) et de pédopornographie. Les documents divulgués révèlent un désaccord entre les États membres de l’UE sur le champ d’application du règlement et sur la meilleure façon de protéger la sécurité des enfants tout en respectant les droits des 447 millions d’habitants de l’UE, enfants et adultes confondus. L’exigence de détection proactive rend probablement le règlement CSA illégal dans sa forme actuelle.

C’est ce qu’affirment non moins que le propre service juridique du Conseil (dont l’analyse d’avril aboutissant à cette conclusion a également fait l’objet d’une fuite), ainsi que l’autorité de contrôle de la protection des données de l’UE, qui a condamné le projet actuel l’année dernière. D’une part, la législation européenne en vigueur interdit d’imposer aux plateformes en ligne une obligation générale de surveillance du contenu ; d’autre part, la Charte des droits fondamentaux de l’UE limite la manière dont les droits des individus peuvent être restreints par l’État.

La sollicitation d’enfants à des fins sexuelles, ou pédopiégeage, est « une pratique où un adulte se "lie d’amitié" avec un enfant (de manière générale en ligne, mais le pédopiégeage hors ligne existe également) dans le but de commettre des abus sexuels à son encontre ». L'adulte cherche à se rapprocher d'un enfant et à instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l'intention de perpétrer des abus sexuels.

En mi-2022, une proposition de la Commission européenne obligeait les entreprises technologiques à analyser les messages privés à la recherche de matériel d'abus sexuel d'enfants (CSAM) et de preuves de pédopiégeage, même lorsque ces messages sont censés être protégés par un chiffrement de bout en bout.

Les services en ligne qui reçoivent des « ordres de détection » en vertu de la législation en cours de l'Union européenne auraient « des obligations concernant la détection, le signalement, la suppression et le blocage du matériel d'abus sexuel d'enfants connus et nouveaux, ainsi que la sollicitation d'enfants, quelle que soit la technologie utilisée dans les échanges en ligne », indique la proposition. Le plan appelle le chiffrement de bout en bout un outil de sécurité important, mais ordonne essentiellement aux entreprises de casser ce chiffrement de bout en bout par tous les moyens technologiques nécessaires :

« Afin de garantir l'efficacité de ces mesures, de permettre des solutions sur mesure, de rester technologiquement neutres et d'éviter le contournement des obligations de détection, ces mesures devraient être prises quelles que soient les technologies utilisées par les prestataires concernés dans le cadre de la fourniture de leurs services. Par conséquent, le présent règlement laisse au fournisseur concerné le choix des technologies à exploiter pour se conformer efficacement aux ordres de détection et ne devrait pas être compris comme incitant ou décourageant l'utilisation d'une technologie donnée, à condition que les technologies et les mesures d'accompagnement répondent aux exigences de présent règlement.

« Cela inclut l'utilisation de la technologie de chiffrement de bout en bout, qui est un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris celles des enfants. Lors de l'exécution de l'ordre de détection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s'assurer que les technologies qu'ils emploient ne peuvent pas être utilisées par eux ou leurs employés à des fins autres que le respect du présent règlement, ni par des tiers, et pour éviter ainsi de porter atteinte à la sécurité et la confidentialité des communications des utilisateurs ».

Rendre obligatoire la surveillance sans soupçon de toutes les communications en ligne, et en particulier des communications privées, pourrait être considéré comme une violation du droit à la vie privée et à la protection des données personnelles.

Règlement CSA

• Le nom complet du dossier législatif est « Règlement du Parlement européen et du Conseil établissant des règles pour prévenir et combattre les abus sexuels concernant des enfants » et sa référence est 2022/0155(COD) ;
• il est souvent appelé "règlement CSA", "CSAR" ou "proposition CSAM". Ses détracteurs l'ont également baptisé "Chat Control" ;
• il s'agit d'une lex specialis par rapport à la Loi sur les services numériques de l'UE, ce qui signifie qu'il s'appuie sur certaines parties de la Loi sur les services numériques (celles qui concernent la lutte contre le matériel pédopornographique en ligne) et qu'il les particularise ;
• la base juridique du règlement est l'article 114 du traité sur le fonctionnement de l'Union européenne (TFUE), qui prévoit le fonctionnement du marché intérieur de l'UE.

Dans l’éternel débat sur le chiffrement, une fuite de documents de mai 2023 révèle les réponses de 20 États membres de l’UE à une enquête du Conseil auprès du groupe de travail sur l’application de la loi (LEWP), et plus particulièrement de son sous-groupe « police ». Il représent le point de vue des forces de l’ordre.
Les autorités chargées de l’application de la loi défendent systématiquement leurs propres intérêts : prévenir, détecter, enquêter et poursuivre les auteurs d’infractions.

Elles ont tendance à laisser d’autres intérêts à d’autres parties prenantes (par exemple, les droits de l’homme, l’économie, le renseignement et la sécurité nationale, les relations internationales). Il incombe aux décideurs politiques, c’est-à-dire à ceux qui rédigent le règlement de la CSA, de rechercher et d’intégrer tous ces autres intérêts dans le produit final. Bien que les décideurs politiques aient tendance à accorder beaucoup d’importance aux points de vue des services répressifs, il ne faut pas s’attendre à ce que les réponses au LEWP dictent à elles seules la manière dont le règlement CSA sera finalement rédigé.

Réponses anti-chiffrement et pro-pouvoirs de police

L’Espagne a récemment déclaré que le chiffrement de bout en bout devrait être totalement interdit par la loi. Cette position est extrême et rare pour un gouvernement démocratique en 2023. Les autorités chargées de l’application de la loi et d’autres représentants du gouvernement soulignent généralement l’importance du chiffrement de bout en bout avant de proposer des moyens de l’affaiblir ou de le compromettre.

Les arguments typiques des services répressifs contre le chiffrement sont également repris par l’Espagne : les services répressifs doivent pouvoir continuer à faire leur travail, il est « impératif » qu’ils aient accès aux données (pour lesquelles ils disent également qu’il devrait y avoir des obligations de conservation des données) et « la capacité de les analyser », « quelle que soit l’importance du volume ». En d’autres termes, ils veulent pouvoir tout surveiller, et plus il y en a, mieux c’est.

Chypre, la Slovénie, la Lituanie, la Croatie et la Hongrie ont adopté une position similaire : l’accès des forces de l’ordre au contenu du End-to-end encryption (E2EE) ou chiffrement de bout en bout devrait être inscrit dans le règlement CSA (et donc les ordres de détection vers les services E2EE devraient être inclus dans le champ d’application), parce que l’E2EE est utilisé pour masquer les délits de maltraitance d’enfants. Chypre et la Slovénie font au moins un geste dans le sens de la protection de la vie privée, tandis que la Lituanie pense que tout le monde devrait faire confiance à la police.

La Croatie est sceptique quant à l’existence d’alternatives efficaces pour la détection des CSAM dans les environnements E2EE, et la Hongrie veut imposer l’accès des forces de l’ordre aux données. Chypre a déclaré que « bien entendu, une telle réglementation devrait être équilibrée avec la nécessité de garantir le droit à la vie privée, en tenant compte de la jurisprudence de la Cour européenne de justice ».

La Slovénie a exprimé une opinion similaire en disant que « pour la détection dans un environnement crypté, nous devons utiliser ou développer une technologie qui interfère le moins possible avec le droit à la vie privée de ceux qui ne commettent pas d’abus sexuels ». Toutefois, elle craint que ce développement ne soit entravé si le règlement CSA contient des dispositions interdisant l’affaiblissement de l’E2EE et ne l’approuve donc pas.

La Lituanie n’est pas du même avis en ce qui concerne le respect de la vie privée. Elle se plaint que les régulateurs européens de la protection des données sont trop absolutistes en ce qui concerne le droit à la vie privée et qu’ils ne parviennent pas à trouver un juste équilibre entre le respect de la vie privée et l’application de la loi.
Des réponses équivoques : « Le cryptage est important, mais... ».

Belgique et Pologne : des positions contradictoires sur l’E2EE et la réglementation

La Belgique et la Pologne affirment comprendre l'importance d'un chiffrement fort, mais selon Center for Internet and Society (CIS) , « leurs réponses indiquent qu'elles ne comprennent pas vraiment comment fonctionne le chiffrement de bout en bout. »

La réponse de la Pologne est similaire à celle de la Belgique. Elle se dit favorable à une formulation réglementaire « visant à éviter l'affaiblissement » de l'E2EE et souligne l'importance de l'E2EE pour la sécurité des communications. « Les deux pays disent qu'ils veulent une chose, puis demandent son contraire. Vouloir que les services E2EE puissent supprimer l'E2EE sur décision de justice est tout à fait incompatible avec le fait de dire que l'on est favorable à un langage réglementaire excluant l'affaiblissement de l'E2EE », poursuit le Center for Internet and Society.

Selon le CIS, la technologie souhaitée par la Belgique et la Pologne n'existe tout simplement pas. Et ce n'est pas faute d'avoir essayé : « les experts en sécurité informatique ont essayé pendant des décennies de l'inventer, parce que les gouvernements ont continué pendant des décennies à l'exiger, et pendant des décennies ces tentatives ont échoué. Après un quart de siècle d'échec dans l'invention de la technologie magique et mythique du chiffrement sécurisé qui ne permet l'accès qu'aux bons et non aux méchants, il est peut-être temps pour les gouvernements d'accepter que c'est impossible. »

Danemark et Roumanie : des positions opposées sur l’exclusion des services E2EE du champ d’application du règlement CSA

Plusieurs pays de l’Union européenne ont répondu qu’ils étaient favorables à une formulation réglementaire excluant l’affaiblissement de l’E2EE en raison de son importance pour la vie privée et la cybersécurité. Cependant, pour être efficace, le règlement CSA ne devrait pas exclure le matériel de l’E2EE des ordonnances de détection, étant donné que les services de l’E2EE sont connus pour être utilisés dans le cadre de la GPAE et du grooming.

Le Danemark est favorable à une formulation réglementaire précisant que le règlement n’empêche pas les fournisseurs d’utiliser l’E2EE dans leurs services. Cependant, le Danemark n’est pas favorable à l’exclusion des services E2EE du champ d’application du règlement, car cela « compromettrait la capacité de la proposition à atteindre son objectif », étant donné que « les MSTC se propagent souvent par le biais de plates-formes qui utilisent l’E2EE », selon l’expérience de la police nationale.

La Roumanie explique que les services E2EE devraient être inclus dans le champ d’application du règlement CSA. Parfois, un ordre de détection fonctionnera, parfois non, en fonction des circonstances et des particularités de la technologie de chiffrement. Si le chiffrement est fort, une ordonnance de détection ne fonctionnera pas ; mais parfois le chiffrement est faible et peut être cassé, et dans ce cas, les autorités devraient avoir les outils juridiques pour essayer d’accéder au matériel décrypté. Cette explication fonde la position politique de la Roumanie sur des réalités techniques et non sur un désir brutal de maximiser les pouvoirs de la police.

La Slovaquie estime que « l’utilisation du chiffrement de bout en bout (ou de toute autre forme de chiffrement) par un fournisseur de services ne peut en soi justifier le non-respect » des obligations du règlement CSA, et elle souhaite vraiment que toute formulation réglementaire concernant l’E2EE le précise, afin d’éviter de « créer un vide juridique susceptible de créer une sphère de sécurité pour le CSAM ou le grooming ».

L’Irlande approuve le principe selon lequel les services E2EE ne devraient pas être interdits ou affaiblis, mais s’opposerait à l’inclusion de toute formulation qui pourrait avoir pour effet de restreindre l’efficacité du règlement. L’article mentionne également que l’Irlande devrait appliquer fermement la législation européenne en matière de protection de la vie privée, en particulier à l’encontre des grandes entreprises technologiques américaines telles que Meta. L’E2EE est un très bon moyen de protéger la vie privée des utilisateurs.

Les Pays-Bas et la Bulgarie sont tous deux favorables à la protection de l’E2EE. La Bulgarie déclare qu’elle n’est pas favorable à l’affaiblissement de l’E2EE, car il est essentiel pour garantir des communications sécurisées. La réponse des Pays-Bas souligne à plusieurs reprises leur politique nationale : « ne pas rendre le chiffrement de bout en bout impossible”. Le Parlement néerlandais a adopté une résolution en juillet 2022 “demandant spécifiquement au gouvernement néerlandais de ne pas accepter les propositions qui rendent le chiffrement de bout en bout impossible ».

Le gouvernement américain, de concert avec les gouvernements du Royaume-Uni et de l'Australie ont tenté de saper le chiffrement de bout en bout, la seule méthode qui existe actuellement pour protéger de façon fiable l'information dans le monde, avait écrit Edward Snowden, l’informaticien américain et lanceur d’alerte, dans un article d’opinion publié sur le site Web du journal d’information britannique the Gardian. Selon l’ancien employé de la CIA et de la NSA, si ces gouvernements réussissent à saper le chiffrement, notre infrastructure publique et notre vie privée seront définitivement mises en danger.

En effet, le chiffrement est une méthode de protection de l'information, le principal moyen d'assurer la sécurité des communications numériques, au lieu qu’elles soient protégées par les plateformes Internet. Lorsqu’un trafic Internet est chiffré de bout en bout, il ne peut être lu que par l’expéditeur et le destinataire qui disposent d’une clé de déchiffrement. Dans le cas contraire, « tout gouvernement, entreprise ou criminel qui s'en aperçoit peut - et, en fait, le fait - en voler une copie, enregistrant secrètement vos informations pour toujours », a écrit Snowden.

Dans le reste du monde, l'Inde est la première démocratie à interdire massivement les applications de messagerie chiffrée. Le gouvernement indien fait partie de ceux qui voient d'un mauvais œil le chiffrement, estimant qu'il ne fait que permettre aux criminels d'éviter la détection et de menacer la sécurité de la nation et du public. Pour certains analystes, bien que le gouvernement indien ait tort, cela ne l'a pas empêché d'essayer d'imposer des portes dérobées ou d'interdire purement et simplement les communications chiffrées.

En mai de cette année, le gouvernement indien a interdit 14 applications de messagerie chiffrées ou peer-to-peer, dont certaines open source, pour des raisons de sécurité nationale. Il affirme que ces applications étaient utilisées par des « terroristes » dans la région du Jammu-et-Cachemire, un territoire disputé entre l’Inde et le Pakistan. Parmi les applications interdites figurent Element, Wickrme, Mediafire, Briar, BChat, Nandbox, Conion, IMO et Zangi.

La communauté du logiciel libre en Inde a critiqué cette décision, estimant qu’elle témoignait d’un manque de compréhension du fonctionnement de ces applications et qu’elle n’empêcherait pas les groupes violents d’utiliser d’autres moyens de communication. Elle a également souligné l’importance de ces applications pour la communication pendant les catastrophes et dans les lieux de travail.

Source : Center for Internet and Society, Edri

Et vous ?

Êtes-vous pour ou contre le chiffrement de bout en bout ?

Quel est votre avis sur le désaccord au sein de l'UE à ce sujet ?

Quelle solution préconisez-vous ?

Voir aussi :

Edward Snowden : « Sans le chiffrement, nous perdrons toute confidentialité. C'est notre nouveau champ de bataille », cependant, les gouvernements continuent de s'y opposer au nom de la sécurit

L'Inde est la première démocratie à interdire massivement les applications de messagerie chiffrée, en raison de leur utilisation par des « terroristes »

L'UE déclare la guerre au chiffrement de bout en bout et exige l'accès aux messages privés sur n'importe quelle plateforme, au nom de la protection des enfants

[Ryu2000]

nous n'avons pas l'impression d'être écouté !

C'est normal ce n'est pas un système démocratique.
Et de toute façon il y a 27 nations qui n'ont rien à voir.
La France pèse que dalle et le peuple Français pèse encore moins car on ne lui demande jamais son avis.

À la limite il est possible de voter aux élections union européenne, mais c'est peut-être l'élection avec le plus fort taux d'absentions.

[walfrat]

On ne pèse peut être pas autant qu'on en aurait envie, mais dire que la France pèse rien dans l'Union européenne... c'est se moquer du monde.

Il y a au moins 20 autres pays qui pèse moins, largement moins que la France dans l'UE.

[Ryu2000]

Il y a au moins 20 autres pays qui pèse moins

Ça dépend du type de vote.
Quand c'est à l'unanimité, il peut y avoir 1 tout petit pays qui dit "non" et les 26 autres qui disent "oui" à la fin, c'est le petit qui gagne.

Et il y a plein de choses que fait Ursula Von Der Leyen sans demander l'avis à aucun pays...

[nycolas]

Et comment ça se passerait pour ceux qui hébergent leurs propres serveurs de messagerie ? Beaucoup de sites web gèrent leur propre serveur de messagerie, mais aussi beaucoup de sociétés ou professionnels hébergent leurs serveurs de mails (c'est notre cas). Ce serait déjà compliqué à faire en se limitant aux Gmails et autres grands fournisseurs de mails, mais s'il faut gérer tous les serveurs de messagerie, il doit y en avoir des milliers, voire des millions...!

[Bruno]

Un mathématicien avertit que la NSA pourrait affaiblir le chiffrement de nouvelle génération,
en s'impliquant dans le développement de nouvelles normes de chiffrement pour les ordinateurs quantiques

Un éminent expert en cryptographie, Daniel Bernstein, de l’université de l’Illinois à Chicago, affirme que l’Institut national américain des normes et de la technologie (NIST) dissimule délibérément le niveau d’implication de l’Agence nationale de sécurité (NSA) des États-Unis dans le développement de nouvelles normes de chiffrement pour les « ordinateurs quantiques ». Il estime également que le NIST a commis des erreurs - accidentelles ou délibérées - dans les calculs décrivant la sécurité des nouvelles normes.

Si le NIST nie ces allégations. Bernstein déclare que « Le NIST ne suit pas les procédures conçues pour empêcher la NSA d’affaiblir la PQC ». Il ajoute que « Les personnes qui choisissent les normes cryptographiques devraient suivre de manière transparente et vérifiable des règles publiques claires, de sorte que nous n’ayons pas à nous inquiéter de leurs motivations. Le NIST a promis la transparence et a ensuite affirmé qu’il avait montré tout son travail, mais cette affirmation n’est tout simplement pas vraie ».

Pour les données communiquées sur un réseau, le chiffrement moderne brouille les données à l'aide d'une valeur secrète ou d'une clé connue uniquement par le destinataire et l'expéditeur. Pour les données stockées, la valeur secrète n'est généralement connue que du propriétaire des données. Il existe différents types de chiffrement et les meilleurs systèmes équilibrent la sécurité et l'efficacité.

La NSA recommande une transition vers des algorithmes cryptographiques résistants aux quanta

Le chiffrement de bout en bout est une méthode de communication sécurisée qui empêche les tiers d’accéder aux données transférées d’un point de terminaison à un autre. Cette méthode de chiffrement est considérée comme la plus sûre, car seuls l’expéditeur et le destinataire peuvent lire le message. Toutefois, les États membres de l’UE ne parviennent toujours pas à se mettre d’accord sur le chiffrement de bout en bout, car les opinions divergent quant à la protection des droits et la surveillance de masse.

Le NIST recommande la normalisation de quatre algorithmes cryptographiques pour protéger les données contre les ordinateurs quantiques. Les algorithmes cryptographiques de la Suite B sont actuellement utilisés par la NSA pour protéger les systèmes de sécurité. Cependant, la NSA a annoncé en 2015 son intention de passer à des algorithmes cryptographiques résistants aux quanta, en prévision au moment où les ordinateurs quantiques permettront d’accéder aux données chiffrées par les algorithmes actuels, tels que l’Advanced Encryption Standard (AES) et le RSA.

L’objectif ultime est de fournir une sécurité efficace contre un éventuel ordinateur quantique. « Nous travaillons avec des partenaires du gouvernement américain, des fournisseurs et des organismes de normalisation afin de garantir l’existence d’un plan clair pour l’obtention d’une nouvelle suite d’algorithmes développée de manière ouverte et transparente, qui constituera la base de notre prochaine suite d’algorithmes cryptographiques », déclare l’organisation.

Jusqu’à ce que cette nouvelle suite soit développée et que des produits soient disponibles mettant en œuvre la suite résistante au quantique, la NSA s’appuiera sur les algorithmes actuels. Pour les partenaires et les fournisseurs qui n’ont pas encore effectué la transition vers les algorithmes à courbe elliptique de la Suite B, l’Agence nationale de la sécurité recommande de ne pas engager de dépenses importantes à ce stade, mais plutôt de se préparer à la transition vers ces nouveaux algorithmes.

La NSA pourrait affaiblir le chiffrement de nouvelle génération

D’après les experts de la détection des menaces chez Vectra, le chiffrement des fichiers cloud partagés est la plus grande menace de rançongiciels. Les pirates peuvent obtenir une économie d’échelle plus rapide et plus dommageable en chiffrant les fichiers auxquels accèdent de nombreuses applications métier sur le réseau plutôt que de chiffrer des fichiers sur des périphériques individuels.

Chris Morales, responsable de l’analyse de la sécurité chez Vectra, déclare que « les retombées des attaques de rançongiciel contre les fournisseurs de services cloud sont bien plus dévastatrices lorsque les systèmes d’entreprise de tous les clients hébergés dans le cloud sont chiffrés ». Le gouvernement indien estime que le chiffrement ne fait que permettre aux criminels d’éviter la détection et de menacer la sécurité nationale et publique. Pour certains analystes, bien que le gouvernement indien ait tort, cela ne l’a pas empêché d’essayer d’imposer des portes dérobées ou d’interdire purement et simplement les communications chiffrées.

Fujitsu a révélé en début d’année qu’une nouvelle étude réalisée sur son simulateur quantique de 39 qubits suggère qu’il restera difficile pour les ordinateurs quantiques de craquer la cryptographie RSA dans les années à venir. Daniel Bernstein estime que le NIST a commis des erreurs - accidentelles ou délibérées - dans les calculs décrivant la sécurité des nouvelles normes. En déclarant que le NIST dissimule délibérément le niveau d'implication de la NSA des États-Unis dans le développement de nouvelles normes de chiffrement pour les « ordinateurs quantiques ».

Les équations mathématiques utilisées pour protéger les données seraient impossibles à résoudre

De l’avis de certains observateurs, bien que les gouvernements et les services de détection et de répression n’aiment pas que d’autres parties puissent chiffrer leur trafic et ne pas être surveillées, tous les efforts pour intégrer une vulnérabilité mathématique dans les normes de chiffrement signifient simplement qu’ils introduisent une porte dérobée à laquelle d’autres parties peuvent accéder.

« Les personnes qui choisissent les normes cryptographiques devraient suivre de manière transparente et vérifiable des règles publiques claires, de sorte que nous n'ayons pas à nous inquiéter de leurs motivations. Le NIST a promis la transparence et a ensuite affirmé qu'il avait montré tout son travail, mais cette affirmation n'est tout simplement pas vraie », déclare Bernstein.

Selon Bernstein, les équations mathématiques utilisées pour protéger les données sont pratiquement impossibles à résoudre aujourd'hui, même pour les plus grands superordinateurs. Mais lorsque les ordinateurs quantiques seront suffisamment fiables et puissants, ils pourront les résoudre en quelques instants.

Le sujet de la cryptographie est complexe et nécessite une expertise approfondie pour être compris dans son intégralité. Cependant, les allégations de Daniel Bernstein sont préoccupantes et soulèvent des questions sur la fiabilité des normes cryptographiques du NIST. Il est important que les normes cryptographiques soient transparentes et vérifiables, afin que les utilisateurs puissent avoir confiance dans leur sécurité.

Les erreurs délibérées ou accidentelles dans les calculs de sécurité peuvent avoir des conséquences désastreuses pour les utilisateurs. Il est donc crucial que les normes cryptographiques soient rigoureusement testées et vérifiées avant d’être mises en place. En fin de compte, il est important que les utilisateurs soient conscients des risques potentiels liés à l’utilisation de la cryptographie et qu’ils prennent des mesures pour protéger leurs données.

Source : Daniel Bernstein, Internet society

Et vous ?

Comment les normes cryptographiques sont-elles testées et vérifiées avant d’être mises en place ?

Quels sont les risques potentiels liés à l’utilisation de la cryptographie ?

Quels sont les avantages et les inconvénients des différents types de chiffrement ?

Voir aussi :

Les ordinateurs quantiques ne menacent pas encore le chiffrement, selon Fujitsu, alors que pour certains spécialistes, les véritables ordinateurs quantiques n'existeraient pas encore

Les États membres de l'UE ne parviennent toujours pas à se mettre d'accord sur le chiffrement de bout en bout, les opinions divergent quant à la protection des droits et la surveillance de masse

La plus grande menace de rançongiciels serait le chiffrement des fichiers cloud partagés, selon les chercheurs de Vectra

[Bruno]

La loi sur la sécurité des enfants en ligne (Kids Online Safety Act) serait préjudiciable à la liberté et à la sécurité des enfants,
selon David Colborne, chroniqueur et responsable informatique

La loi sur la sécurité des enfants en ligne (Kids Online Safety Act) est critiquée par David Colborne, chroniqueur et responsable informatique pour The Nevada Independent, dans un billet de blog du 22 octobre. Il soutient que cette loi, qui contrôle l’âge et le contenu des internautes, viole la vie privée et la liberté d’expression des enfants. Il rappelle que cette loi ne les aide pas à faire face aux vrais périls du web, comme le harcèlement, la haine, la violence ou la publicité. Il estime que cette loi est sans doute anticonstitutionnelle, car elle crée une censure excessive et aveugle.

Les enfants passent plus de temps en ligne que jamais. Et ils y accèdent plus tôt. Dans le monde, un enfant se connecte pour la première fois toutes les demi-secondes. Grandir en ligne offre des possibilités illimitées. Grâce aux ordinateurs, aux smartphones, aux consoles de jeux et aux télévisions, les enfants apprennent, imaginent et développent leurs réseaux sociaux. Utilisé à bon escient et accessible à tous, l'Internet a le potentiel d'élargir les horizons et de stimuler la créativité dans le monde entier. Mais ces possibilités s'accompagnent de risques importants.

La cyberintimidation et d'autres formes de violence entre pairs peuvent affecter les jeunes chaque fois qu'ils se connectent à des médias sociaux ou à des plateformes de messagerie instantanée. Lorsqu'ils naviguent sur l'internet, les enfants peuvent être exposés à des discours haineux et à des contenus violents, y compris des messages incitant à l'automutilation et même au suicide. 80 % des enfants de 25 pays déclarent se sentir en danger d'abus sexuel ou d'exploitation en ligne.

Les enfants peuvent également être mis en danger lorsque des entreprises technologiques violent leur vie privée pour collecter des données à des fins de marketing. Le marketing ciblé sur les enfants par l'intermédiaire d'applications - et le temps d'écran excessif qui en résulte souvent - peut compromettre le développement sain de l'enfant.

Internet, les enfants et la loi : entre protection et censure

En 1993, un caricaturiste a dit avec humour que, sur Internet, personne ne sait que vous êtes un chien. De même, personne ne sait si vous avez réellement plus de 18 ans, et cela n’a pas vraiment changé au cours des 30 dernières années. Bien qu’il existe des lois fédérales limitant la manière dont l’internet interagit avec les enfants - le Children’s Online Privacy Protection Act, par exemple, a été introduit en 1998 par le sénateur Richard Bryan pour restreindre la manière dont les sites web peuvent faire du marketing auprès des jeunes de moins de 13 ans - elles ne nécessitent pas beaucoup de moyens techniques pour leur mise en œuvre.

Si un visiteur de site web clique sur « Oui » ou tape une date suffisamment éloignée dans le passé lorsqu’on lui demande s’il a plus d’un certain âge, c’est généralement suffisant d’un point de vue juridique. Cependant, de nombreux parents aimeraient qu’Internet fasse mieux pour protéger leurs enfants. Les législateurs de l’Utah et de la Louisiane ont récemment adopté des lois strictes sur la vérification de l’âge pour la pornographie. Cela a conduit à la création ou à l’adoption de lois similaires dans d’autres États.

En outre, à partir de l’année prochaine, les mineurs de l’Utah devront obtenir le consentement de leurs parents avant de créer des comptes de médias sociaux - et les plateformes de médias sociaux devront à leur tour donner un accès complet au compte d’un mineur à ses parents consentants. Voyant que les législateurs des États ont réussi à améliorer leur fortune politique en pensant aux enfants, les législateurs du Congrès s’y mettent à leur tour. La loi fédérale COPPA (Children's Online Privacy Protection Act) par exemple vise à protéger les enfants de moins de 13 ans lorsqu'ils sont en ligne. Elle vise à empêcher quiconque d'obtenir des informations personnelles sur un enfant sans que les parents en soient informés et aient donné leur accord au préalable.

Les états mettent sur pied des lois ou des procédures en vue de protéger les enfants

Au fur et à mesure que les enfants adoptent de nouvelles plateformes numériques, ils peuvent eux aussi produire des images sexuellement explicites. Et bien que ces images puissent être destinées à une relation adaptée à l'âge de l'enfant, elles peuvent se retrouver largement partagées sans le consentement de l'enfant. Parfois, des adultes de confiance sollicitent les enfants pour qu'ils partagent des images. Pour l'enfant victime, cela peut se traduire par un isolement social, des problèmes de santé mentale, une toxicomanie, une automutilation ou un suicide, ainsi qu'une probabilité accrue de présenter des comportements abusifs à l'âge adulte.

En début d’année, la secrétaire d'État britannique à la culture a déclaré qu'elle n'excluait pas de modifier le projet de loi sur la sécurité en ligne afin de permettre aux régulateurs de poursuivre les patrons de médias sociaux qui n'auraient pas protégé la sécurité des enfants. Le projet de loi sur la sécurité en ligne vise à réprimer toute une série de contenus en ligne qui, selon les ministres, causent un préjudice grave. Michele Donelan a déclaré qu'elle était ouverte aux changements demandés par des dizaines de députés conservateurs, et qu'elle adopterait une « approche raisonnable » de leurs idées.

En septembre, le Parlement britannique a adopté une loi visant à renforcer la sécurité en ligne, notamment pour les enfants, en imposant aux plateformes numériques de supprimer rapidement les contenus illégaux ou nuisibles. La loi sur la sécurité en ligne (Online Safety Bill) sera appliquée par l’Ofcom, le régulateur des télécommunications, qui pourra infliger des amendes pouvant atteindre 10 % du chiffre d’affaires annuel ou 21 millions d’euros, selon le montant le plus élevé, aux entreprises qui ne respectent pas leurs obligations. Dans certains cas, les dirigeants des plateformes pourront même être poursuivis pénalement.

En Australie, la commissaire à la cybersécurité, Julie Inman Grant, a proposé une « feuille de route » sur la sécurité en ligne. Elle décrit un moyen d'empêcher les mineurs d'accéder à des contenus pour adultes en s'assurant que les sites hôtes ont vérifié l'âge des utilisateurs. Le système de vérification de l'âge en ligne, nécessitant l'utilisation d'une pièce d'identité serait « invasive et risquée », selon des groupes de défense de la vie privée.

Comment la loi KOSA menace la vie privée et les droits LGBTQ+ sur le web

Diverses options de vérification de l'âge ont été proposées au cours de l'élaboration de la feuille de route, notamment le recours à des sociétés tierces, la vérification de l'âge sur des sites individuels à l'aide de documents d'identité ou de contrôles de cartes de crédit, et le recours à des fournisseurs de services internet ou à des opérateurs de téléphonie mobile pour vérifier l'âge des utilisateurs.

Les groupes de défense des droits numériques affirment que presque toutes les approches de la vérification de l'âge comporteront un certain niveau de risque pour la vie privée et la sécurité. « Après les brèches d'Optus et de Medibank, des millions de personnes sont maintenant très conscientes des dangers de la collecte et du stockage de grandes quantités d'informations personnelles », a déclaré Samantha Floreani, responsable de programme à Digital Rights Watch.

La COPPA exige que les sites web expliquent leur politique de confidentialité et obtiennent le consentement des parents avant de collecter ou d'utiliser les informations personnelles d'un enfant, telles que son nom, son adresse, son numéro de téléphone ou son numéro de sécurité sociale. La loi interdit également à un site de demander à un enfant de fournir plus d'informations personnelles que nécessaire pour jouer à un jeu ou participer à un concours.

Un récent rapport révèle qu'Europol tente de convaincre les législateurs européens de mettre en place une forme de surveillance de masse des Européens dans le cadre de la lutte contre les abus sexuels sur les enfants en ligne. Selon le rapport, Europol a demandé un accès illimité aux données qui seraient obtenues dans le cadre d'un nouveau système d'analyse proposé pour détecter le matériel d'abus sexuels d'enfants (CSAM) sur les applications de messagerie privée. Cela suggère que pour Europol, les droits et la vie privée des Européens devraient être mis de côté jusqu'à ce que les forces de l'ordre européennes parviennent à mettre un terme aux échanges de CSAM en ligne.

La loi KOSA, qui veut protéger les enfants en ligne, a été relancée en mai 2023 après un premier échec en février 2022. Le projet de loi a reçu un large appui des deux partis, avec 43 cosponsors, dont 21 démocrates au Sénat. Le président Biden a aussi appuyé la loi en disant : « Adoptez-la. Adoptez-la. Adoptez-la. » Mais le projet de loi inquiète les militants des droits LGBTQ+, qui pensent qu’il peut servir à censurer les contenus LGBTQ+ sur le web. Cette crainte se confirme, car plusieurs partisans de la loi ont dit clairement qu’ils veulent viser ce genre de contenus.

La loi KOSA a pour but de restreindre l’accès des mineurs aux réseaux sociaux, de filtrer les contenus qu’ils regardent et de renforcer la protection de la vie privée et le contrôle parental sur les plateformes sociales. Mais le projet de loi semble inspiré par les anti-LGBTQ+, qui veulent limiter les droits des personnes transgenres aux États-Unis cette année. Si la loi KOSA a des aspects positifs - comme encourager les réseaux sociaux à diminuer l’usage excessif chez les mineurs et à protéger leur vie privée - certains points sont prêts à être utilisés contre les contenus transgenres.

Facebook, YouTube, Google : des visions contrastées sur la vérification de l’âge en ligne

En 2021, Facebook a annoncé la suspension de ses plans de lancement d'Instagram Kids, une version de son application de partage de photos destinée aux enfants de moins de 13 ans, après que des législateurs et d'autres personnes ont exprimé des inquiétudes quant aux effets de la plateforme de partage de photos sur la santé mentale des jeunes.

Adam Mosseri, le responsable d'Instagram, application appartenant à Facebook, avait déclaré que le service de réseaux sociaux mettait en pause ses travaux afin de pouvoir écouter les préoccupations et faire davantage pour démontrer la valeur de la version pour enfants, qui devait être dépourvue de publicité et permettre aux parents de surveiller l'activité des enfants. Adam aurait nié que la décision de « mettre en pause » le travail de développement sur Instagram Kids était un aveu que le concept était une mauvaise idée. Il a également ajouté que c'était toujours la « bonne chose à faire » de construire une application autonome qui offre aux parents plus de contrôle et de supervision.

YouTube a publié ce mois ses propres règles de protection des enfants, expliquant comment la plateforme met en œuvre certaines des orientations du cadre stratégique de Google. Dans un billet de blogue, Neal Mohan, directeur de YouTube, a déclaré que la plateforme ne diffusait pas de publicités personnalisées aux enfants et qu'elle offrait aux parents un ensemble de contrôles familiaux. Google travaille en permanence à la mise en place de protections de pointe, qu'il s'agisse d'élargir les options offertes aux parents dans le cadre du programme Family Link sur YouTube ou de définir des paramètres par défaut favorisant le bien-être numérique.

Google s'oppose à l'interdiction de l'accès des enfants et des adolescents aux médias sociaux. L'entreprise a publié récemment un ensemble de propositions visant à garantir la sécurité des enfants et des adolescents en ligne et exhorte les législateurs américains à réexaminer les mesures problématiques telles que la technologie de vérification de l'âge. Le cadre législatif proposé par Google s'oppose à certaines des dispositions prévues par le Kids Online Safety Act (KOSA), un projet de loi du Sénat américain visant à protéger les enfants des contenus dangereux en ligne. La législation KOSA est fortement controversée, car elle est susceptible d'accroître la surveillance en ligne.

Dans un billet de blogue, Google a dévoilé son « cadre législatif pour la protection des enfants et des adolescents en ligne ». Ce cadre intervient alors que de plus en plus de législateurs, comme la sénatrice Elizabeth Warren (D-MA), se rangent derrière la législation KOSA. Kent Walker, président des affaires mondiales de Google et d'Alphabet, a déclaré que ce cadre énonçait certains principes pour les lois visant à améliorer l'expérience en ligne et à assurer la sécurité des enfants et des adolescents lorsqu'ils utilisent Internet. Il a également exprimé brièvement les préoccupations de Google à l'égard de certaines dispositions de la loi KOSA.

La vérification de l’âge en ligne : une mission impossible ?

Pourr les gouvernement du monde, il sera toujours plus difficile de vérifier l'âge d'une personne sur Internet que de lui délivrer une carte avant qu'elle n'achète des cigarettes ou de la bière. Pour démontrer la difficulté à implémenter l'utilisation d'une pièce d'identité comme moyen de vérification, David Colborne présente deux scénarios :

• imaginons un instant qu'un mineur tente d'acheter une bière dans un magasin de spiritueux. Le vendeur lui demande une pièce d'identité. Le mineur la fournit, mais démontre qu'il n'a pas l'âge requis pour acheter la bière. Ou bien le mineur présente une pièce d'identité manifestement fausse. Le vendeur l'expulse du magasin. Cela semble assez simple ;
• le même scénario sur Internet : imaginons qu'une personne tente d'acheter une bière dans un magasin de spiritueux. Le vendeur lui demande sa carte d'identité. Le client la fournit, puis disparaît discrètement et est remplacé par quelqu'un d'autre. Le vendeur ne peut pas voir le client, mais la pièce d'identité indique que l'acheteur est en âge de boire et le vendeur vend donc la bière.

Le second scénario simule l'utilisation, par exemple, d'un service de streaming sur une télévision intelligente connectée à Internet. Si un parent déverrouille la télévision et sort de la pièce, la télévision n'a aucun moyen de savoir qu'un mineur a maintenant le contrôle de la télécommande.

Selon Colborne, il est techniquement possible de corriger cette faille, de la même manière qu'il est techniquement possible de construire une bombe nucléaire suffisamment puissante pour détruire l'avion qui la largue avant qu'il ne réussisse à s'envoler après l'explosion. « Nous pourrions, par exemple, simuler numériquement le fait d'être assis devant un vendeur avant d'acheter quelque chose en demandant aux utilisateurs qui accèdent à des sites web dont l'accès est limité par l'âge d'allumer leur appareil photo pendant qu'ils sont sur le site en question », indique-t-il.

KOSA : une loi controversée sur la sécurité des enfants en ligne

La protection des enfants en ligne fait l’objet de divergences sur le contenu à réguler. Un républicain favorable à la loi KOSA a déclaré qu’il s’en servirait pour interdire les informations sur les soins aux personnes transgenres, en contradiction avec l’American Psychological Association. La loi KOSA confie aux procureurs généraux des États le pouvoir de la faire appliquer, mais certains sont influencés par des groupes conservateurs qui veulent supprimer les contenus qu’ils estiment immoraux.

Plusieurs organisations contestent cette loi, car elles redoutent qu’elle ne limite la liberté d’expression en ligne. C’est pourquoi, peu importe ce que prévoit la Kids Online Safety Act, beaucoup d’opposants à la loi, comme l’Electronic Frontier Foundation, l’American Civil Liberties Union et le Center for Democracy and Technology, craignent que KOSA ne soit utilisé comme une nouvelle arme par des procureurs trop empressés pour bannir de l’internet les discours politiquement gênants.

Selon David Colborne, les internautes ont le droit fondamental de communiquer anonymement entre eux. Or, les systèmes de vérification de l’âge contrôlent aussi l’identité des utilisateurs, ce qui porte atteinte à ce droit fondamental.

Source : Blog post by David Colborne, U.S. Department of Justice, Unicef

Et vous ?

Partagez-vous l'avis de David Colborne qui estime que la loi sur la sécurité des enfants en ligne viole la vie privée et la liberté d’expression des enfants ? Êtes-vous pour ou contre de telles lois ?

Êtes-vous pour ou contre le fait de laisser les enfants accéder à tout type de contenu en ligne sans vérification de l’âge ?

Comment peut-on concilier la protection des enfants en ligne et le respect de leur autonomie ?

Voir aussi :

Facebook suspend son projet de lancer Instagram Kids, cette décision fait suite aux préoccupations concernant les effets sur la santé mentale des moins de 13 ans

Des dizaines d'organisations s'opposent au projet sur la sécurité en ligne des enfants. Selon eux, il ne contribuerait pas réellement à faire d'Internet un meilleur endroit pour les enfants

Le Parlement britannique adopte Online Safety Bill, son projet de loi sur la sécurité en ligne. La « clause espion » visant à scanner les téléphones à la recherche de CSAM n'est pas supprimée

[Jade Emy]

Victoire de la vie privée : Le contrôle du Chat a été reporté pour la deuxième fois ! Voici pourquoi les plans de balayage CSAM de l'UE doivent échouer, d'après Tutanota.

Le Conseil des États membres de l'UE a reporté le vote final sur le règlement relatif aux abus sexuels commis sur des enfants (Child Sexual Abuse Regulation - CSAR), qui était prévu pour le 19 octobre, il s'agit du deuxième report déjà. Les pays de l'UE ne parviennent tout simplement pas à se mettre d'accord sur ce projet très controversé qui, même si les États membres de l'UE parviennent finalement à un accord, doit également être examiné par le Parlement européen. C'est un signe important que le règlement, également appelé "contrôle du Chat" et l'une des lois européennes les plus critiquées, risque d'échouer.

La lutte pour le contrôle du Chat se poursuit entre les États membres de l'UE, un petit groupe de pays, à savoir l'Allemagne, l'Autriche, les Pays-Bas, la Pologne, la Suède, l'Estonie et la Slovénie, s'opposant à la version actuelle du règlement CSA de l'UE. Les hommes politiques allemands ont déjà déclaré qu'il n'y avait pas de poursuites à tout prix, une déclaration claire contre les plans de l'UE pour l'analyse côté client qui saperait le cryptage.

Cette déclaration intervient à un moment très important, puisque le Royaume-Uni vient d'adopter le projet de loi sur la sécurité en ligne, surnommé le "livre de jeu des dictateurs". S'il est désormais théoriquement possible pour le Royaume-Uni de porter atteinte au cryptage, l'UE a encore la possibilité d'adopter une approche plus favorable à la protection de la vie privée lorsqu'il s'agit de protéger le web.

L'Allemagne s'oppose au contrôle du Chat

L'Allemagne, soutenue par l'Autriche, a demandé le report du vote, comme lors de la session précédente. Le travail ne serait pas terminé, mais les mesures contenues dans le texte actuel sont disproportionnées et illégales et doivent être modifiées.

Au début de l'année, les experts juridiques du service scientifique du Parlement européen ont conclu dans une étude sur la légalité du contrôle des chats :

"en mettant en balance les droits fondamentaux affectés par les mesures de la proposition du CSA, il peut être établi que la proposition du CSA violerait les articles 7 et 8 de la Charte des droits fondamentaux à l'égard des utilisateurs".

Selon les services juridiques de l'UE, les parties de la proposition CSA relatives au contrôle du chat par le biais de l'analyse côté client sont disproportionnées et contraires aux droits fondamentaux. Le règlement CSA de l'UE est illégal au regard du droit communautaire.

Le Conseil est divisé

En outre, la Pologne, les Pays-Bas et la Suède souhaitaient modifier le texte de la loi. Neuf autres États ont demandé que la position commune soit adoptée rapidement. Leur argument : lors des négociations en trilogue avec la Commission et le Parlement européen, les États devront de toute façon faire de nouveaux compromis.

Mais depuis le début des débats il y a 18 mois, les obligations de surveillance telles que l'analyse côté client, le contrôle des conversations et les aspects liés au cryptage - points clés du projet de loi - sont particulièrement controversées parmi les États membres de l'UE.

La Suède estime que "l'intégrité et la sécurité juridique de la proposition posent problème". La Pologne a qualifié l'ensemble de "très compliqué", affirmant que le règlement CSA n'a pas encore "réussi à trouver le bon équilibre entre la protection des enfants et la protection des données".

La Pologne a demandé que seuls les Chats des "personnes faisant l'objet de soupçons concrets" soient scannés, et non ceux de citoyens innocents.

Plusieurs États critiquent d'autres dispositions qu'ils jugent disproportionnées. Les Pays-Bas et l'Allemagne veulent exempter la téléphonie audio, tandis que la Suède veut exempter les communications sur les réseaux mobiles. La Suède et les Pays-Bas veulent limiter le balayage aux contenus abusifs connus et exempter les contenus inconnus et le grooming.

Cela montre à quel point les États membres de l'UE sont encore divisés et à quel point le contrôle du Chat est controversé, puisqu'il s'agit de l'une des lois de l'UE les plus critiquées de tous les temps.

Déclarations contradictoires de la Commission européenne

La Commission européenne rejette les arguments des opposants et affirme qu'il est possible de protéger et d'analyser les chats en même temps, sans toutefois fournir d'indications sur la manière de procéder.

Dans le même temps, une autre formulation du projet de loi indique clairement que le contrôle des chats est un outil de surveillance : Les services de communication non publics doivent être exemptés, par exemple s'ils sont "utilisés à des fins de sécurité nationale". Il s'agit de protéger les "informations confidentielles, y compris les informations classifiées". Les États ne veulent pas contrôler les chats pour leurs propres communications afin d'éviter la surveillance.

Décision reportée

Alors que la Commission européenne fait pression sur les États pour qu'ils prennent une décision finale, il est devenu évident qu'il n'y a pas de majorité qualifiée pour la proposition actuelle. Par conséquent, le vote sur la RAEP a été reporté au sein du Conseil.

Ce n'est pas une surprise, car aucune autre loi européenne n'a été autant critiquée que la CSAR (projet de la présidence espagnole).

Critique du contrôle des Chats

1. Le contrôle des Chats peut être illégal
   
   Le problème central de la RAEP est le suivant : le fait de scanner en masse et sans raison les communications de personnes non suspectes est disproportionné et contraire aux droits fondamentaux.
   
   En mai de l'année dernière, la Commission européenne a proposé d'imposer à tous les services de chat, de messagerie et de courrier électronique, même s'ils offrent un cryptage de bout en bout, l'obligation d'analyser les messages à la recherche de matériel illégal d'abus sexuel d'enfants (CSAM). Mais depuis leur publication, les mesures proposées sont critiquées dans toute l'Europe car elles pourraient conduire de facto à une "surveillance permanente de toutes les communications interpersonnelles".
   
   La Charte des droits fondamentaux de l'Union européenne garantit le droit au respect de la vie privée à toutes les personnes vivant dans l'Union européenne. Par conséquent, les conseillers juridiques de l'UE ont conclu que les propositions européennes de contrôle des chats, qui exigeraient des entreprises technologiques qu'elles analysent les messages privés et cryptés à la recherche de matériel pédopornographique, étaient contraires au droit communautaire.
   
   La loi européenne controversée permettra aux gouvernements de délivrer des "ordres de détection" aux entreprises technologiques, les obligeant à analyser les messages privés et les courriels à la recherche d'"indicateurs de maltraitance d'enfants". Cette mesure, qui pourrait porter atteinte aux communications cryptées, est critiquée par les experts en sécurité et les défenseurs de la vie privée, qui estiment qu'il s'agit d'une surveillance de masse générale et indiscriminée. En outre, il ne faut pas oublier que la Cour constitutionnelle fédérale allemande a même déclaré que la conservation des données était illégale en Allemagne parce qu'elle était "disproportionnée".
   
   Il est fort probable que le règlement de la CSA, s'il devient une loi, soit également déclaré illégal par la Cour de justice de l'Union européenne (CJUE). L'obligation faite à des sociétés telles que WhatsApp, Signal et d'autres d'analyser chaque message - même lorsqu'il est crypté - afin d'y déceler des informations relatives à des abus commis sur des enfants porte atteinte au droit à la vie privée, ce qui est contraire à la Charte des droits fondamentaux de l'Union européenne.
   
   Alors que les entreprises technologiques se sont opposées en vain à des propositions britanniques similaires dans le projet de loi sur la sécurité en ligne qui vient d'être adopté, notamment à l'obligation controversée de rechercher des contenus pédopornographiques dès lors qu'il existe une "technologie réalisable", il semble peu probable qu'une mesure similaire soit adoptée dans l'UE, compte tenu de la forte résistance, même parmi les États membres de l'UE, mais plus encore parmi les députés européens.
   
   
2. Le lobbying des entreprises d'IA
   
   En septembre 2023, une nouvelle étude a été publiée, qui jette un éclairage très différent sur le contrôle du chat - et sur les véritables bénéficiaires d'une surveillance de tous les Européens 24 heures sur 24 et 7 jours sur 7 sur Internet.
   
   Outre Ashton Kutcher et son organisation Thorn, une longue liste d'organisations, d'entreprises d'IA et d'organismes chargés de l'application de la loi font pression en faveur du contrôle des Chats à Bruxelles. L'étude révèle par exemple que la WeProtect Global Alliance est une institution affiliée à un gouvernement et étroitement liée à l'ex-diplomate Douglas Griffiths et à sa fondation Oak. Cette dernière a investi plus de 24 millions de dollars américains dans le lobbying pour le contrôle du chat depuis 2019, par exemple via le réseau Ecpat, l'organisation Brave et l'agence de relations publiques Purpose.
   
   La recherche "confirme nos pires craintes", a déclaré Diego Naranjo, responsable des politiques à l'organisation de défense des droits civils European Digital Rights (EDRi). "La loi européenne sur la technologie la plus critiquée de ces dix dernières années est le fruit du lobbying des entreprises privées et des forces de l'ordre." La commissaire européenne Ylva Johansson a ignoré "la science et la société civile" et a proposé une loi visant à "légaliser la surveillance de masse et à briser le cryptage", a-t-il déclaré. "La protection de l'enfance est utilisée abusivement pour ouvrir la porte à une infrastructure de surveillance de masse sans aucune raison", se plaint Konstantin Macher de l'association de protection des données Digitalcourage.
   
   
3. L'Allemagne contre la proposition
   
   L'Allemagne est le principal opposant au projet actuel de RAEP, et ce à juste titre. L'Allemagne a l'habitude de défendre le droit à la vie privée, notamment en raison de son histoire de surveillance de masse sous les systèmes répressifs allemands de la République démocratique allemande (RDA) et pendant la Seconde Guerre mondiale.
   
   Aujourd'hui, les hommes politiques allemands disent : "Il n'y a pas de poursuites à n'importe quel prix". Signification : Le droit à la vie privée est un droit de l'homme important, auquel nous ne devons pas renoncer.
   
   
4. La loi européenne la plus critiquée de tous les temps
   
   Selon l'organisation à but non lucratif EDRi, "un nombre sans précédent de parties prenantes se sont inquiétées du fait que, malgré leurs objectifs importants, les mesures proposées dans le projet de règlement de l'UE sur les abus sexuels envers les enfants sont fondamentalement incompatibles avec les droits de l'homme".
   
   L'EDRi a publié un recueil impressionnant de 69 voix opposées émanant d'hommes politiques européens, d'États membres de l'UE, d'entreprises technologiques et même d'experts en protection de l'enfance, qui expliquent pourquoi le contrôle du chat doit échouer.
   
   Il a également publié une lettre ouverte signée par plus de 80 ONG, qui s'ajoute à la voix de près de 500 scientifiques expliquant pourquoi nous devons nous battre pour la protection de la vie privée en Europe.

Peu importe la manière dont les politiciens tentent de convaincre le public : L'analyse de nos messages privés à la recherche d'informations sur les abus sexuels commis sur des enfants relève de la surveillance de masse. Nous ne devons jamais l'autoriser.

Tutanota n'accepte pas le contrôle des Chats

Chez Tutanota, nous sommes des combattants de la liberté :Nous sommes à l'avant-garde de la révolution de la protection de la vie privée en offrant à chacun dans le monde un compte de courrier électronique privé.

Si le règlement CSA devait aller plus loin dans sa forme actuelle, nous serions prêts à défendre le droit à la vie privée devant les tribunaux, comme nous l'avons déjà fait en Allemagne.

Nous plaçons votre vie privée et votre sécurité au premier plan, notre code pour le cryptage automatique de bout en bout de Tutanota est accessible au public en tant que source ouverte. Nous ne porterons jamais atteinte à notre promesse de respect de la vie privée ou à notre système de cryptage.

Notre position reste ferme : nous ferons tout ce qui est nécessaire pour garantir votre droit à la vie privée.

Source : Tutanota

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

CSAM : le service de messagerie Tutanota expose « les mensonges de la Commission européenne » pour justifier la surveillance de masse, « la surveillance ne sauvera pas les enfants »

Contrairement au UK, l'Allemagne s'oppose aux projets de l'UE visant à affaiblir le chiffrement grâce à une analyse côté appareil, au nom de la lutte contre les abus sexuels d'enfants en ligne

Les États membres de l'UE ne parviennent toujours pas à se mettre d'accord sur le chiffrement de bout en bout, les opinions divergent quant à la protection des droits et la surveillance de masse

[Stéphane le calme]

La Commission européenne fait une campagne publicitaire controversée pour son projet de loi CSAM,
visant à scanner les messages privés à la recherche de contenu pédopornographique

La Commission européenne a lancé une proposition de loi visant à lutter contre le matériel pédopornographique en ligne, mais qui soulève de graves problèmes de respect de la vie privée. Pour tenter de convaincre l'opinion publique de la soutenir, elle a lancé une campagne vidéo. Danny Mekić, un chercheur néerlandais, a dénoncé la campagne comme une tentative de manipulation et d’intimidation de la part de la Commission. Il a publié ses découvertes sur son blog et a contacté plusieurs médias et politiciens pour attirer l’attention sur cette affaire.

La proposition de la Commission européenne pourrait obliger les entreprises technologiques à analyser les messages privés à la recherche de matériel d'abus sexuel d'enfants (CSAM pour Child Sexual Abuse Material) et de preuves de pédopiégeage, même lorsque ces messages sont censés être protégés par un chiffrement de bout en bout.

D'après le projet de régulation, les messageries devraient, d'ici à l'an prochain, mettre en place des outils pour détecter l'échange d'images pédopornographiques. Il est question de se servir d'outils basés sur l'intelligence artificielle pour analyser ces contenus, dans le but de détecter une image suspecte ou une conversation problématique. En cas de suspicion, une alerte serait envoyée à une agence européenne dédiée, à des fins d'analyses complémentaires.

La Commission affirme que cette mesure est nécessaire pour protéger les enfants des prédateurs sexuels et pour aider les autorités à poursuivre les criminels. Cependant, de nombreux experts, activistes et organisations de défense des droits de l’homme s’opposent à cette proposition, estimant qu’elle constitue une atteinte disproportionnée à la vie privée et à la sécurité des communications en ligne

La pilule a du mal à passer

Lors d'un séminaire public organisé ce 23 octobre, de nombreux experts ont toutefois pointé du doigt l'impossibilité de recourir à de telles analyses sans mettre à mal la vie privée des internautes européens.

Helen Charles, représentante des affaires publiques de Whatsapp, a exprimé ses « inquiétudes concernant l'implémentation » d'une telle solution à l'occasion de ce séminaire : « Nous pensons que toute demande d'analyse des contenus dans une messagerie chiffrée pourrait nuire aux droits fondamentaux » a-t-elle indiqué, tout en plaidant pour l'utilisation d'autres techniques, comme le signalement d'utilisateurs mais aussi le suivi du trafic des internautes pour détecter des comportements suspects.

Le même jour, le Contrôleur européen de la protection des données (CEPD), une institution indépendante de l’Union européenne, a rendu son avis sur le CSAM :

Il est techniquement impossible de mettre en œuvre une analyse de contenu connu ou nouveau et une détection de toilettage par un fournisseur de services sans affaiblir le chiffrement de bout en bout et porter atteinte à la vie privée des utilisateurs. C’est la conclusion sans équivoque de centaines d’éminents scientifiques et chercheurs dans le domaine. En outre, de nombreux experts s’accordent sur le fait que les solutions technologiques de détection les plus récentes ne sont pas suffisamment fiables et sont également vulnérables aux cyberattaques.

La proposition CSAM n’offre pas non plus de solutions sur la manière d’atténuer le risque émergent du « CSAM synthétique », c’est-à-dire des images, des vidéos et du texte/voix générés par ordinateur, y compris à l’aide d’applications d’IA générative accessibles au public.

En dehors de l'atteinte inédite à la vie privée, le projet de régulation de l'Union européenne se heurte à d'autres critiques, portant cette fois sur son efficacité. Avec, pour de nombreux spécialistes, le risque d'erreurs d'interprétation de l'intelligence artificielle, et donc de faux positifs.

Rappelons que, dans son étude d'impact, la Commission européenne assure pouvoir atteindre un taux de précision de 99,9%. Toutefois, cette statistique ne vaut que pour l'analyse d'une image qui serait déjà présente dans une base de données et caractérisée comme image pédopornographique. Un procédé qui consiste, de façon plutôt basique, à comparer automatiquement deux clichés entre eux.

Danny Mekić, un chercheur néerlandais, a déclaré à ce sujet :

L’intelligence artificielle ne peut pas détecter avec précision les activités criminelles, mais elle signalera à tort des millions de citoyens innocents comme suspects. Pendant ce temps, les criminels contournent facilement ce système en supprimant ces applications de leur téléphone ou en disparaissant sur le dark web. Même si la proposition de la commissaire européenne aux Affaires intérieures, Ylva Johansson, est inefficace, elle signifie néanmoins la fin des conversations numériques privées pour tous. Pour des raisons évidentes, cela est incompatible avec le droit à la vie privée, à la liberté de communication et à la présomption d'innocence.

Vient alors la campagne publicitaire

En septembre, la Commission a lancé une campagne publicitaire sur X, anciennement Twitter, visant à promouvoir sa proposition et à influencer l’opinion publique. La campagne présentait des vidéos mettant en scène de jeunes filles et des hommes sur un fond sombre, accompagnées d’une musique inquiétante. Les vidéos affichaient des statistiques issues d’un sondage sur la pédopornographie et la vie privée en ligne, réalisé par la Commission.

Les résultats du sondage suggéraient qu’une majorité de citoyens européens soutiendraient le scanneur de tous leurs messages numériques. Cependant, ces résultats semblaient biaisés et entachés d’erreurs. Le sondage aurait induit en erreur les participants, selon des lecteurs de Twitter/X qui ont ajouté du contexte à la vidéo dans des versions en d'autres langues :

Cette annonce est trompeuse. La proposition permet à l'UE de scanner tous les messages et images présents sur les téléphones de tous. L'enquête cache ce fait et parle de « messages EN LIGNE, e-mails, chat et réseaux sociaux ». « La majorité des citoyens soutiennent la proposition » est donc incorrect.

⚠️Les prédateurs se cachent derrière les écrans et les enfants souffrent en silence

⏳Il est temps de mettre fin aux abus sexuels sur les enfants

🇫🇷 La majorité des citoyens est favorable à ce que propose l’UE #EUvsChildSexualAbuse

Et vous? Pour en savoir plus, cliquez ici↓

— EU Home Affairs (@EUHomeAffairs) September 15, 2023

C'est également ce que pense Danny Mekić. Lorsqu'il est tombé sur la campagne, il a pensé que les vidéos étaient inhabituelles pour une organisation gouvernementale et a décidé d'approfondir. Les résultats de l'enquête présentés dans les vidéos suggèrent qu'une majorité de citoyens de l'UE seraient favorables à la numérisation de toutes leurs communications numériques. Après une inspection plus approfondie, il a découvert que ces conclusions semblaient biaisées et erronées. Les résultats de l'enquête ont été obtenus en trompant les participants, affirme-t-il, ce qui a pu induire en erreur les destinataires des annonces ; la conclusion selon laquelle les citoyens de l’UE étaient satisfaits d’une plus grande surveillance n’a pas pu être tirée de l’enquête, et les résultats se sont heurtés à ceux des sondages indépendants.

Danny Mekić affirme que les questions posées étaient ambiguës, trompeuses ou orientées.

Par exemple, une question demandait aux participants s’ils étaient d’accord avec l’affirmation suivante : « Je pense qu’il est important que les fournisseurs de services en ligne prennent des mesures pour empêcher que du matériel pédopornographique ne soit partagé sur leurs plateformes ». Cette question ne mentionnait pas le fait que ces mesures impliqueraient de scanner des messages privés des utilisateurs.

Mekić a également constaté que la campagne publicitaire ciblait des destinataires spécifiques, en fonction de leurs croyances religieuses et de leur orientation politique, ce qui pourrait constituer une violation des lois européennes sur la protection des données et des conditions d’utilisation de X. Il a remarqué que les annonces étaient diffusées uniquement dans les sept pays qui n’avaient pas soutenu le projet de loi au Conseil.

Voici un extrait de son billet :

Fait inquiétant, le lendemain, le 15 septembre, le commissaire européen a lancé une campagne publicitaire payante pour dire qu'il ne voulait pas voter pour la proposition actuelle le 14 septembre. La campagne, qui a été vue plus de quatre millions de fois, utilise des images choquantes de jeunes filles aux côtés d'hommes à l'allure sinistre, une musique menaçante et commet une forme de chantage émotionnel en suggérant que les opposants au projet de loi ne voudraient pas protéger les enfants. Tout aussi trompeuse est l'affirmation de la Commission selon laquelle le projet de loi serait soutenu par la majorité des Européens, sur la base d'une enquête qui mettait uniquement en évidence les avantages mais pas les inconvénients de la législation proposée. Les enquêtes menées par les agences de recherche YouGov et Novus, qui ont souligné les inconvénients, n'ont montré pratiquement aucun soutien à la proposition parmi la population européenne.

Pour plier l’opinion publique européenne à sa volonté, la Commission européenne est allée encore plus loin. Le rapport de transparence de « spanexit » ou de Victor Orbán, Nigel Farage ou du parti politique allemand AfD). Pour des raisons peu claires, les personnes intéressées par le christianisme (les personnes intéressées par le terme « chrétien ») ont également été exclues. Après avoir exclu les groupes politiques et religieux critiques, l'algorithme de X a été configuré pour trouver des personnes dans la population restante intéressées par le message publicitaire, ce qui a donné naissance à une chambre d'écho non critique. Ce micro-ciblage basé sur des convictions politiques et religieuses est contraire à la politique publicitaire de X, à la loi sur les services numériques - que la Commission elle-même doit contrôler - et au règlement général sur la protection des données.

Si le soutien à un projet de loi est insuffisant, la seule réponse démocratique correcte est de le retirer ou, comme l'a suggéré l'Allemagne, d'ajuster la proposition afin qu'elle puisse compter sur un soutien suffisant. Dans ce cas, cela signifie ne pas introduire le « téléécran » anticonstitutionnel, qui semble tout droit sorti du livre d'Orwell. Au lieu de cela, la Commission a tenté d'influencer l'opinion des citoyens des États membres hésitants avec des tactiques qui rappellent étrangement les campagnes de désinformation menées lors des élections américaines et du Brexit, telles que le recours à des publicités manipulatrices, des statistiques trompeuses et un micro-ciblage fondé sur la foi. philosophie de la vie.

En mettant de côté les valeurs européennes dans sa quête pour faire adopter un texte législatif controversé, la Commission ne rend pas seulement un mauvais service aux citoyens qu'elle représente, elle met également en danger les fondements démocratiques de l'Union elle-même. Par conséquent, la Commission européenne devrait mettre les campagnes publicitaires hors ligne et les maintenir hors ligne et s'abstenir de toute tentative future de manipuler l'opinion publique européenne avec de telles campagnes de désinformation au moyen de publicités ciblées sur les réseaux sociaux.

La Commission assure que son objectif était d'informer le public sur un sujet important et sensible

La Commission a réagi en affirmant que sa campagne était conforme aux règles et aux normes éthiques. Elle a déclaré que son objectif était d’informer le public sur un sujet important et sensible, et non pas d’influencer le processus législatif. Elle a également défendu la qualité et la fiabilité du sondage qu’elle avait commandé.

La campagne publicitaire de la Commission a suscité de vives critiques de la part de divers acteurs, tels que des organisations de la société civile, des experts en sécurité, des défenseurs des droits numériques et des responsables politiques. Certains ont qualifié la campagne de « propagande », de « désinformation » ou de « guerre contre le chiffrement ». D’autres ont appelé à une enquête indépendante sur les pratiques et les motivations de la Commission.

La controverse autour de la campagne publicitaire a mis en lumière les enjeux et les dilemmes liés à la proposition de loi sur le scanneur des messages privés. D’une part, il s’agit de protéger les enfants des abus sexuels et de lutter contre un crime odieux. D’autre part, il s’agit de préserver la vie privée et la sécurité des communications en ligne, qui sont essentielles pour la démocratie, les droits de l’homme et l’innovation.

La question est de savoir si un scanneur des messages privés est une solution efficace et proportionnée pour atteindre le premier objectif, sans compromettre le second. Mais le secteur technologique est unanime : pas question d'affaiblir le chiffrement.

La proposition de loi sur un scanneur des messages privés est actuellement en cours de négociation entre le Conseil, le Parlement et la Commission européens. Il n’est pas certain qu’un accord soit trouvé avant la fin de l’année 2023.

Sources : billet Danny Mekić, Contrôleur européen de la protection des données, séminaire sur le CSAM, commission européenne

Et vous ?

Que pensez-vous du scanneur des messages privés comme moyen de lutter contre la pédopornographie en ligne ? Est-ce une solution efficace et proportionnée, ou une atteinte inacceptable à la vie privée et à la sécurité des communications en ligne ?
Quels sont les risques et les bénéfices potentiels du scanneur des messages privés pour les utilisateurs, les plateformes numériques et les autorités ? Comment ces risques et ces bénéfices peuvent-ils être évalués et pondérés ?
Quelles sont les alternatives possibles au scanneur des messages privés pour prévenir et combattre la pédopornographie en ligne ? Quels sont leurs avantages et leurs inconvénients par rapport au scanneur des messages privés ?
Quelle est votre opinion sur la campagne publicitaire de la Commission européenne sur le scanneur des messages privés ? La trouvez-vous informative, persuasive, manipulatrice ou intimidante ? Pourquoi ?

[Bruno]

Le plan européen de surveillance CSAM est un point de basculement pour les droits démocratiques,
avertissent les experts

Une proposition controversée de surveillance du matériel d’abus sexuel d’enfants (CSAM), actuellement examinée par les législateurs européens, constituerait à la fois une mauvaise réponse à un problème de société sensible et multiforme et une menace directe pour les valeurs démocratiques d’une société libre et ouverte. Plus de 20 intervenants ont exprimé leur opposition à une proposition législative de l’Union européenne qui obligerait les services de messagerie à analyser le contenu des communications des utilisateurs à la recherche de CSAM connus et inconnus, et à essayer de détecter le grooming en temps réel.

Les critiques soutiennent que cette approche va à l’encontre des libertés fondamentales qui sont au cœur des sociétés démocratiques. Jusqu’à présent, la Commission européenne s’est vigoureusement opposée à ce type de critiques, arguant que la proposition constitue une réponse proportionnée et ciblée à un problème croissant. Elle a même été repérée récemment en train d’utiliser des publicités microciblées pour promouvoir le plan, se tournant apparemment vers le ciblage secret pour attaquer les critiques en suggérant qu’ils ne soutiennent pas la protection de l’enfance (malgré l’existence d’une autre proposition législative européenne en cours qui cherche à restreindre l’utilisation du microciblage politique… ). Le débat controversé est toujours d’actualité et il appartient désormais aux colégislateurs de l’UE, au Parlement européen et aux États membres, par l’intermédiaire du Conseil, de trouver une voie à suivre.

Le Contrôleur européen de la protection des données (CEPD) lui-même, Wojciech Wiewiórowski, a suggéré que l'UE pourrait se trouver à un point de non-retour si les législateurs allaient de l'avant et adoptaient une loi qui rendrait obligatoire la surveillance systémique et massive des messageries privées. Dans ses remarques préliminaires, il a suggéré que la proposition de la Commission pourrait avoir des conséquences qui vont « bien au-delà de ce qui concerne la protection des enfants ».

« On entend souvent dire dans le débat que cette proposition ne concerne que la protection des enfants. J'aimerais que ce soit le cas, mais ce n'est pas le cas », a-t-il poursuivi, affirmant que la proposition de la Commission remet en question les « fondements » de ce que signifie la vie privée dans une société démocratique, et soulignant que la vie privée, une fois ébranlée, conduit à « un changement radical dont il pourrait être impossible de revenir », comme il l'a dit.

Sans amendements, la proposition « changerait fondamentalement l'Internet et la communication numérique tels que nous les connaissons », a également averti Wiewiórowski à la fin de l'événement, en invoquant son expérience personnelle d'enfant vivant sous la surveillance et les restrictions de la liberté d'expression imposées par le régime communiste en Pologne. Et, très certainement, c'est une comparaison gênante pour l'exécutif de l'UE que d'être invité à contempler de la bouche de l'un de ses propres conseillers experts.

La proposition législative controversée de la Commission européenne suscite des inquiétudes

Le CEPD, une institution européenne qui conseille la Commission sur la protection des données et de la vie privée, n'est pas non plus un critique nouvellement converti de la proposition de la Commission. En effet, le contrôleur et le Conseil européen de la protection des données ont publié un avis commun il y a un an, dans lequel ils avertissaient que le projet législatif soulevait « de sérieuses préoccupations en matière de protection des données et de la vie privée », notamment en ce qui concerne le chiffrement. Mais cette expression commune d'inquiétude au sein de l'UE n'a pas réussi, jusqu'à présent, à persuader Johansson ou la Commission de revoir leur soutien inconditionnel à la surveillance de masse des communications privées des citoyens.

Les participants au séminaire ont appris que Johansson avait été invitée à participer à l'événement, mais qu'elle avait décliné l'invitation. Aucun autre représentant de la Commission n'a accepté de participer. La Commission a présenté son projet de législation CSAM en mai 2022. Depuis lors, l'opposition s'est développée au sujet de l'impact sur les droits de l'homme, à mesure que les implications de la proposition devenaient plus claires. Alors que les inquiétudes - et même les soupçons - concernant les forces motrices derrière la proposition ont augmenté, non aidées par un manque perçu d'engagement de la part de la Commission avec les organisations de la société civile et d'autres personnes exprimant des doutes sincères. Le débat émotionnel s'est aussi parfois prêté à une polarisation inutile.

Dès le départ, la légalité de la proposition a été clairement remise en question. La législation européenne exige que toute ingérence dans les droits fondamentaux tels que la vie privée et la liberté d'expression soit nécessaire et proportionnée. L'imposition d'une obligation générale de surveillance des contenus sur les plateformes en ligne est interdite. Comment cela s'accorde-t-il avec une loi qui pourrait mettre sous surveillance les messages de centaines de millions d'Européens, à dessein ? Lors du séminaire, Frederik Borgesius, professeur à iHub, Université Radboud, aux Pays-Bas, a donné son point de vue sur la légalité de la proposition de la Commission, estimant qu'il ne s'agit pas d'une manière proportionnée d'interférer avec les droits fondamentaux.

Il s'est référé à la jurisprudence relative à la conservation des données dans le cadre de la lutte contre le terrorisme - la comparaison la plus pertinente - qui a vu la plus haute juridiction de l'Union européenne rejeter à plusieurs reprises le stockage général et indiscriminé des métadonnées des Européens. (Ce qui n'a pas empêché les États membres de continuer à enfreindre la loi).

Les outils basés sur l’IA pour la protection des enfants en ligne ne sont pas encore prêts à être déployés à grande échelle

Claudia Peersman, associée principale de recherche au sein du groupe de recherche sur la cybersécurité de l'université de Bristol, avait une évaluation pertinente à proposer concernant les travaux auxquels elle a participé au Centre Rephrain. Ce groupe d'experts universitaires a récemment évalué de manière indépendante cinq projets de démonstration de faisabilité, développés au Royaume-Uni avec le soutien du gouvernement, pour analyser le contenu du End-to-end encryption (E2EE) ou chiffrement de bout en bout à la recherche de CSAM sans compromettre la vie privée des personnes, comme le prétend le ministère de l'intérieur.

Le problème, c'est qu'aucun des projets n'a été à la hauteur. « Aucun de ces outils n'a été en mesure de répondre aux critères [de notre évaluation]. Je pense que c'est la partie la plus importante de notre conclusion. Cela ne signifie pas que nous ne soutenons pas le développement d'outils basés sur l'IA pour la protection des enfants en ligne en général. Nous pensons simplement que ces outils ne sont pas prêts à être déployés à grande échelle sur des messages privés dans des environnements chiffrés de bout en bout », a-t-elle déclaré lors du séminaire.

Les délégués ont également été avertis que l'analyse côté client - la technologie qui, selon les experts, sera imposée par la législation européenne aux plateformes E2EE telles que WhatsApp si elles reçoivent une ordonnance de détection du CSAM - est beaucoup trop récente et immature pour être appliquée à la hâte à l'ensemble des utilisateurs.

« En tant que chercheurs en informatique, nous commençons à peine à étudier cette technologie », a déclaré Matthew Green, professeur de cryptographie à l'université Johns Hopkins de Baltimore. « Je tiens à souligner à quel point l'idée de l'analyse côté client est totalement nouvelle : les tout premiers articles de recherche en informatique sur le sujet ont été publiés en 2021 et, à peine deux ans plus tard, nous discutons déjà de lois qui l'imposent.

« Le problème de la construction de systèmes dans lesquels les algorithmes [de balayage de contenu] sont confidentiels et ne peuvent pas être exploités est un sujet sur lequel nous commençons à peine à nous pencher. Et jusqu'à présent, beaucoup de nos résultats techniques sont négatifs - négatifs dans le sens où nous continuons à trouver des moyens de casser ces systèmes », a-t-il également déclaré lors du séminaire. « Les casser signifie que nous finirons par violer la confidentialité de nombreux utilisateurs. Nous provoquerons des faux positifs. Nous injecterons de mauvaises données dans le système.

« Et, dans certains cas, il est possible que les victimes d'abus soient à nouveau traumatisées si les systèmes sont mal conçus... Je ne suis qu'un informaticien. Je ne suis qu'un informaticien, pas un législateur ni un avocat. Je demande à cette communauté de nous donner du temps, s'il vous plaît. Pour faire les recherches nécessaires, pour déterminer si et comment faire les choses en toute sécurité avant de commencer à déployer ces systèmes et de les rendre obligatoires par la loi. »

La proposition de l’UE sur la surveillance des communications privées pourrait affecter les droits des enfants

Plusieurs intervenants ont également critiqué le fait que les législateurs ignorent les opinions (et les droits) des enfants eux-mêmes. Plusieurs d'entre eux ont accusé la Commission de ne pas avoir consulté les enfants au sujet d'une proposition ayant de graves implications pour les droits de l'enfant, ainsi que pour la vie privée et les droits fondamentaux de tous ceux qui utilisent des outils de communication numérique.

« Nous devrions impliquer les enfants, a déclaré Gerkens. Nous parlons ici d'eux. Nous jugeons ce qu'ils font en ligne. Nous avons une opinion morale à ce sujet. Mais nous ne leur parlons pas. C'est d'eux que nous parlons. Nous ne les avons pas impliqués dans cette législation. Je pense que nous devrions le faire. Sabine Witting, professeur adjoint à l'université de Leiden, a également mis en garde contre une série d'impacts « négatifs » sur les droits des enfants, affirmant que la proposition de l'UE affecterait le droit des enfants à la vie privée, à la protection des données personnelles, à la liberté d'expression et à l'accès à l'information.

« Dans ce contexte, je voudrais vraiment souligner que, du point de vue des droits de l'enfant, la vie privée et la protection ne sont pas contradictoires. En fait, le Comité des droits de l'enfant des Nations unies, dans son Observation générale n° 25, a clairement indiqué que la protection de la vie privée est en fait vitale pour la sécurité des enfants. La vie privée n'est donc pas un obstacle à la sécurité des enfants, comme on l'entend souvent. Il s'agit en fait d'une condition préalable importante à la sécurité », a-t-elle déclaré.

Witting a également fait passer un message fort sur les préjudices que pourraient subir les adolescents dont les messages privés entre eux sont scannés et pris dans le filet d'un CSAM. « L'enquête à elle seule peut déjà être très, très préjudiciable pour les adolescents concernés, en particulier lorsqu'il s'agit d'adolescents issus de communautés marginalisées. Par exemple, les enfants LGBTQ+ », a-t-elle averti. « En effet, ce type d'enquête peut conduire à de fausses révélations, à une marginalisation accrue et, dans le pire des cas, à des persécutions politiques ou autres, de sorte que le fait que des enfants et des adolescents fassent l'objet d'une enquête criminelle est déjà préjudiciable en soi.

« Malheureusement, la proposition ne sera pas en mesure d'empêcher cela. Ainsi, tout ce processus d'analyse des communications privées des adolescents, de la nature la plus intime, l'examen ultérieur par le secteur privé, par le gouvernement, l'implication potentielle des forces de l'ordre, tout cela constitue vraiment une violation significative du droit des enfants à la vie privée. » Witting a indiqué qu'elle avait soulevé cette question auprès de la Commission, mais qu'elle n'avait reçu aucune réponse. « Je pense qu'il n'y a pas de réponse simple, a-t-elle ajouté. Je pense qu'il n'y a pas de réponse simple », a-t-elle ajouté, « parce que la nature même du sujet fait que ce type de cas ne pourra pas être éliminé au cours de la procédure ».

Iverna McGowan, directrice du bureau européen du Center for Democracy and Technology, a critiqué de manière plus générale l'idée que l'UE adopte une loi qui sanctionne les perquisitions sans mandat dans les « mondes numériques » de tout un chacun. « Les ordonnances de détection équivalent essentiellement à des perquisitions sans mandat dans nos mondes numériques », a-t-elle déclaré.

« Bien entendu, nous ne nous attendrions jamais à ce que les forces de l'ordre pénètrent chez nous, ou dans notre cadre privé, sans mandat ni soupçon raisonnable, pour fouiller tout ce qui nous appartient, et nous ne pourrions pas non plus permettre que cela se produise dans l'espace en ligne. Nous ne pouvons donc pas non plus permettre que cela se produise dans l'espace en ligne, car cela sonnerait le glas de l'État de droit et du droit pénal tels que nous les connaissons dans le contexte numérique ».

Les législateurs doivent travailler à élaborer une proposition qui protège les droits fondamentaux

Le plan européen de surveillance CSAM soulève des préoccupations quant à la protection des droits fondamentaux tels que la vie privée et la liberté d’expression. La proposition de la Commission européenne sur la surveillance de masse des communications privées a été critiquée par plusieurs intervenants pour son impact potentiel sur les droits des enfants, ainsi que pour la vie privée et les droits fondamentaux de tous ceux qui utilisent des outils de communication numérique. De plus, l’imposition d’une obligation générale de surveillance des contenus sur les plateformes en ligne est interdite par la législation européenne, ce qui remet en question la légalité de la proposition. Les ordonnances de détection équivalent essentiellement à des perquisitions sans mandat dans nos mondes numériques, ce qui soulève des inquiétudes quant à l’État de droit et au droit pénal tels que nous les connaissons dans le contexte numérique.

Il est important que les législateurs prennent en compte les préoccupations exprimées par les parties prenantes et travaillent à élaborer une proposition qui protège les droits fondamentaux tout en permettant aux forces de l’ordre de lutter contre les abus sexuels sur les enfants. Les intervenants ont proposé plusieurs réflexions sur la manière de sauver quelque chose de la proposition de la Commission, notamment en suggérant une réécriture fondamentale des dispositions relatives à l’ordre de détection et en invoquant une autorité judiciaire indépendante pour approuver les recherches et vérifier les objectifs et la base sur lesquels des individus ou des groupes de personnes sont suspectés.

En fin de compte, il est crucial que toute proposition législative relative à la surveillance soit examinée avec soin pour garantir qu’elle respecte les droits fondamentaux et qu’elle ne porte pas atteinte à l’État de droit et au droit pénal tels que nous les connaissons dans le contexte numérique.

Source : European Data Protection Board, European Parliament, Documents obtained by journalists

Et vous ?

À votre avis, la proposition de la Commission européenne sur la surveillance de masse des communications privées est-elle conforme aux droits fondamentaux tels que la vie privée et la liberté d’expression ?

Pensez-vous que la proposition législative controversée de la Commission européenne sur la surveillance des communications privées soulève des questions sur les droits fondamentaux ?

La proposition de l’UE sur la surveillance des communications privées pourrait-elle affecter les droits des enfants à la vie privée, à la protection des données personnelles, à la liberté d’expression et à l’accès à l’information ?

Voir aussi :

Les États membres de l'UE ne parviennent toujours pas à se mettre d'accord sur le chiffrement de bout en bout, les opinions divergent quant à la protection des droits et la surveillance de masse

La Commission européenne fait une campagne publicitaire controversée pour son projet de loi CSAM, visant à scanner les messages privés à la recherche de contenu pédopornographique

[Stéphane le calme]

Le roi Charles III donne la sanction royale au projet de loi britannique controversé sur la sécurité en ligne,
Online Safety Bill devient désormais loi

Après avoir été adoptée par le Parlement en fin septembre, le projet de loi sur la sécurité en ligne (Online Safety Bill) a reçu la sanction royale aujourd'hui (jeudi 26 octobre), devenant donc ainsi une loi. Cette dernière, très controversée, sera appliquée par l’Ofcom, le régulateur des télécommunications, qui pourra infliger des amendes pouvant atteindre 10% du chiffre d’affaires annuel ou 18 millions de livres (21 millions d’euros), selon le montant le plus élevé, aux entreprises qui ne respectent pas leurs obligations. Dans certains cas, les dirigeants des plateformes pourront même être poursuivis pénalement.

Le projet de loi britannique sur la sécurité en ligne, un projet de loi de grande envergure visant à faire du pays « l’endroit le plus sûr au monde pour se connecter en ligne », a reçu aujourd’hui la sanction royale et est devenu une loi. Le projet de loi a mis des années à être élaboré et tente d'introduire de nouvelles obligations sur la manière dont les entreprises technologiques doivent concevoir, exploiter et modérer leurs plateformes. Les préjudices spécifiques que le projet de loi vise à résoudre comprennent l'accès des mineurs à la pornographie en ligne, les « trolls anonymes », les publicités frauduleuses, le partage non consensuel de deepfakes intimes et la diffusion de matériels d'abus sexuels sur des enfants et de contenus liés au terrorisme.

Les nouvelles lois adoptent une approche de tolérance zéro pour protéger les enfants contre les dangers en ligne, tout en donnant aux adultes davantage de choix quant à ce qu'ils voient en ligne. Cela fait suite à un examen rigoureux et à un débat approfondi au sein de la Chambre des communes et de la Chambre des Lords.

La loi impose aux entreprises technologiques la responsabilité légale de prévenir et de supprimer rapidement les contenus illégaux, comme le terrorisme et la vengeance pornographique. Ils devront également empêcher les enfants de voir du matériel qui leur est préjudiciable, comme du harcèlement, du contenu encourageant l'automutilation et les troubles de l'alimentation, ainsi que de la pornographie.

S’ils ne respectent pas les règles, ils s’exposeront à des amendes importantes pouvant atteindre des milliards de livres sterling, et s’ils ne prennent pas les mesures requises par l’Ofcom pour protéger les enfants, leurs patrons pourraient même être condamnés à la prison.

Bien que ce soit désormais une loi, les plateformes en ligne ne seront pas tenues de se conformer immédiatement à toutes leurs obligations en vertu du projet de loi, désormais connu sous le nom de loi sur la sécurité en ligne. Le régulateur britannique des télécommunications Ofcom, chargé de faire respecter les règles, prévoit de publier ses codes de bonnes pratiques en trois phases. La première couvre la manière dont les plateformes devront réagir aux contenus illégaux tels que le terrorisme et les abus sexuels sur des enfants, et une consultation avec des propositions sur la manière de gérer ces obligations doit être publiée le 9 novembre.

Pendant ce temps, les phases deux et trois couvrent les obligations des plateformes en matière de sécurité des enfants et de prévention de l’accès des mineurs à la pornographie, ainsi que la production de rapports de transparence, la prévention des publicités frauduleuses et l’offre « d'outils d’autonomisation » pour donner aux utilisateurs plus de contrôle sur le contenu qui leur est présenté. Une première consultation portant sur les sites pornographiques est prévue en décembre, tandis que des consultations supplémentaires sur d'autres obligations liées à la sécurité des enfants suivront au printemps prochain. L'Ofcom dit qu'il prévoit de publier d'ici la fin de l'année prochaine une liste de « services catégorisés », c'est-à-dire des plateformes de grande taille ou à haut risque qui seront soumises à des obligations telles que la production de rapports de transparence.

« Les protections les plus solides de la loi sur la sécurité en ligne concernent les enfants. Les sociétés de médias sociaux seront tenues responsables de l’ampleur effroyable des abus sexuels sur enfants qui se produisent sur leurs plateformes et nos enfants seront plus en sécurité », a déclaré la ministre britannique de l’Intérieur, Suella Braverman. « Nous sommes déterminés à combattre le fléau de l’exploitation sexuelle des enfants partout où il se produit, et cette loi constitue un grand pas en avant. »

La « clause espion »

Le projet de loi sur la sécurité en ligne contenait une disposition controversée, surnommée la « clause espion » par certains organismes de défense des droits numérique, qui aurait obligé les plateformes utilisant le chiffrement de bout en bout à mettre en place des mécanismes permettant d’identifier et de signaler les CSAM. Le chiffrement de bout en bout garantit que seuls l’expéditeur et le destinataire d’un message peuvent en voir le contenu ; même le fournisseur du service ne peut pas accéder aux données non chiffrées.

Le gouvernement britannique n’avait pas précisé la technologie que les plateformes devraient utiliser pour identifier les CSAM envoyés sur les services chiffrés, mais la solution la plus souvent citée était quelque chose appelé le scan côté client. Il s’agirait d’examiner le contenu du message avant qu’il ne soit envoyé - c’est-à-dire sur l’appareil de l’utilisateur - et de le comparer à une base de données de CSAM hébergée sur un serveur ailleurs. Selon Alan Woodward, professeur invité en cybersécurité à l’Université de Surrey, cela reviendrait à « un logiciel espion approuvé par le gouvernement qui scanne vos images et éventuellement vos [textes] ».

Les entreprises technologiques se sont farouchement opposées à une telle disposition, menaçant de quitter le pays si elle venait à être adoptée. Plusieurs associations de défense des droits numériques se sont joint au chœur, accentuant la pression sur le gouvernement.

Ce dernier a fini par céder en septembre.

Tout d'abord, il a reconnu que la technologie nécessaire pour scanner de manière sécurisée les messages chiffrés envoyés sur Signal et WhatsApp n’existe pas encore. Il a donc décidé de ne pas imposer aux entreprises technologiques d’utiliser une technologie non éprouvée, et indiqué qu’il n’utiliserait essentiellement pas les pouvoirs prévus par le projet de loi. Toutefois, les clauses controversées restent dans la législation, qui fait désormais office de loi.

« Elles [les clauses] n'ont pas disparu, mais c'est un pas dans la bonne direction », a noté Woodward.

James Baker, directeur de campagne de l'Open Rights Group, une organisation à but non lucratif qui a fait campagne contre l'adoption de la loi, affirme que l'existence continue des pouvoirs prévus par la loi signifie qu'une surveillance par piratage du chiffrement pourrait encore être introduite à l'avenir. « Il vaudrait mieux que ces pouvoirs soient complètement supprimés du projet de loi », ajoute-t-il.

Mais certains sont moins positifs quant à cette apparente volte-face. « Rien n'a changé », déclare Matthew Hodgson, PDG d'Element, basé au Royaume-Uni, qui fournit des messages chiffrés de bout en bout aux militaires et aux gouvernements. « Seul ce qui est réellement écrit dans le projet de loi compte. Le scan [du côté de l'appareil] est fondamentalement incompatible avec les applications de messagerie chiffrées de bout en bout. Le scan contourne le chiffrement à des fins d'analyse, exposant ainsi vos messages aux attaquants. Ainsi, la formulation "jusqu’à ce que cela soit techniquement réalisable" signifie que la porte est ouverte pour le scan [du côté de l'appareil] dans le futur plutôt qu'aujourd'hui. Ce n’est pas un changement, c’est un coup de pied dans l’avenir. »

Meredith Whittaker, présidente de Signal, reconnaît « qu'il ne suffit pas » que la loi ne soit tout simplement pas appliquée de manière agressive. « Mais c’est [un changement] majeur. Nous pouvons reconnaître une victoire sans prétendre qu’il s’agit de la victoire finale », dit-elle.

Une limitation massive de l'âge d'accès à internet ?

En outre, certains craignent que le projet de loi n'entraîne une limitation massive de l'âge de l'Internet au Royaume-Uni, les services Web cherchant à réduire leur responsabilité en obligeant les utilisateurs à confirmer qu'ils sont suffisamment âgés pour consulter du contenu qui pourrait être jugé inapproprié pour les mineurs.

Le fondateur de Wikipédia, Jimmy Wales, fait partie de ceux qui s’inquiètent du fait que le projet de loi est un instrument de censure d’État. Il a critiqué l’approche du gouvernement comme étant triplement mauvaise : « mauvaise pour les droits de l’homme », « mauvaise pour la sécurité sur Internet » et « mauvaise loi ». Il a promis que l’encyclopédie en ligne « ne limiterait pas l’âge ni ne censurerait sélectivement les articles en aucune circonstance ».

Trouver un juste équilibre entre les revendications des défenseurs de la sécurité des enfants en faveur d’un Internet totalement sécurisé et les préoccupations des groupes de défense des droits de l’homme et du numérique, qui souhaitent que la législation ne piétine pas les libertés démocratiques durement acquises, sera désormais le problème de l’Ofcom.

L'Ofcom assure que ses nouveaux pouvoirs ne font pas de lui un censeur de contenu

Dans un communiqué, la directrice générale de l’Ofcom, Melanie Dawes, s’est opposée à l’idée selon laquelle la loi ferait du régulateur des télécommunications un censeur. « Nos nouveaux pouvoirs ne visent pas à supprimer du contenu », a déclaré Dawes. « Notre travail consiste à nous attaquer aux causes profondes des préjudices. Nous établirons de nouvelles normes en ligne, en veillant à ce que les sites et les applications soient dès leur conception plus sûrs. Il est important de noter que nous prendrons également pleinement en compte les droits des personnes à la vie privée et à la liberté d’expression ».

La loi a été saluée par les défenseurs de la sécurité des enfants. « L'inscription d'une loi sur la sécurité en ligne dans le texte législatif est un moment décisif et signifiera que les enfants du Royaume-Uni seront fondamentalement plus en sécurité dans leur vie quotidienne », a déclaré Peter Wanless, directeur général de la Société nationale pour la prévention de la cruauté envers les enfants. « Les entreprises technologiques seront légalement tenues de protéger les enfants contre les abus sexuels et les préjudices évitables. »

Sources : gouvernement britannique, Ofcom

Et vous ?

Pensez-vous que le projet de loi sur la sécurité en ligne du Royaume-Uni est une avancée ou une menace pour la protection des utilisateurs d’internet ?
Quels sont les avantages et les inconvénients du chiffrement de bout en bout pour la sécurité et la confidentialité des communications en ligne ?
Comment concilier la liberté d’expression et la lutte contre les contenus illégaux et nuisibles sur internet ?
Quel est le rôle et la responsabilité des plateformes numériques, des gouvernements, des régulateurs, des entreprises et des utilisateurs dans la création d’un environnement en ligne sûr, respectueux et démocratique ?
Quelles sont les meilleures pratiques ou les alternatives possibles au projet de loi sur la sécurité en ligne du Royaume-Uni ?

[Matthieu Vergne]

D'un côté, on donne accès à toutes nos communications, sans exception. De l'autre, on promet de protéger "peut-être" mieux qu'on le fait aujourd'hui un crime certes important mais très spécifique. Ca n'est tout simplement pas proportionnel : ouvrir toutes les vannes pour une simple probabilité de faire mieux pour 1 chose, ça n'a pas de sens. Alors qu'une fois les communications intégralement disponibles, il devient tellement facile d'en abuser.

[Jade Emy]

NOYB dépose une plainte contre la Commission européenne concernant une campagne publicitaire ciblée sur le Contrôle des chats

NOYB a déposé une plainte contre la Direction générale de la migration et des affaires intérieures de la Commission européenne. Selon la plainte, la Commission aurait utilisé une campagne publicitaire micro-ciblée illégale sur Twitter (X) pour promouvoir son règlement très critiqué sur le Contrôle des chats.

NOYB est une organisation de protection de la vie privée, similaire à La Quadrature du Net et Digitalcourage. La devise est Ma vie privée est None Of Your Business. Le fondateur est Max Schrems.
Actions entreprises. NOYB travaille sur différentes actions en justice contre des entreprises technologiques qui auraient violé le Règlement général sur la protection des données.

Le règlement visant à prévenir et à combattre les abus sexuels commis sur des enfants (règlement sur les abus sexuels commis sur des enfants, ou Child Sexual Abuse Regulation - CSAR) est un règlement de l'Union européenne proposé par la commissaire européenne aux affaires intérieures, Ylva Johansson, le 11 mai 2022. L'objectif déclaré de la législation est de prévenir les abus sexuels sur les enfants en ligne par la mise en œuvre d'un certain nombre de mesures, y compris la mise en place d'un cadre qui ferait de la détection et du signalement de matériel d'abus sexuel sur les enfants (CSAM) par les plateformes numériques une obligation légale au sein de l'Union européenne.

Les groupes opposés à cette proposition soulignent souvent qu'elle imposerait un contrôle obligatoire du chat pour toutes les communications numériques privées, et se réfèrent donc couramment à la législation proposée sous le nom de "Chat Control ou Contrôle de chat". Les organisations de la société civile et les activistes ont fait valoir que la proposition n'était pas compatible avec les droits fondamentaux, portant atteinte au droit à la vie privée. En outre, la proposition a été critiquée comme étant techniquement irréalisable. En Irlande, seuls 20,3 % des rapports reçus par les forces de police irlandaises se sont révélés être du matériel d'exploitation réel. Plus précisément, sur un total de 4192 rapports reçus, 471, soit plus de 10 %, étaient des faux positifs.

NOYB a déposé une plainte contre la Commission européenne

NOYB, un projet pour la protection de la vie privée et parmi les groupes opposés au Contrôle de chat, a partagé son point de vue dans un article. Voici ce qu'elle écrit :

NOYB a déposé une plainte contre la Direction générale de la migration et des affaires intérieures de la Commission européenne. En septembre 2023, la Commission a utilisé un micro-ciblage illégal sur Twitter (X) pour promouvoir son règlement très critiqué sur le contrôle des chats. Il semble que la Commission cherchait désespérément à obtenir le soutien du public, qui pourrait être utilisé pour faire pression sur les gouvernements nationaux afin qu'ils acceptent la proposition législative controversée. Cette démarche a sapé les procédures démocratiques établies entre les institutions de l'UE et a violé le RGPD de l'UE.

Une réaction brutale et un manque de soutien. La proposition de règlement européen sur le contrôle des chats est sans doute l'une des réglementations européennes les plus controversées depuis longtemps. On craint qu'elle ne compromette toutes les communications en ligne chiffrées et n'ouvre la voie à une surveillance de masse. Elle a suscité de vives réactions de la part de l'industrie, de la société civile, du monde universitaire, des États membres et des services juridiques des institutions européennes. Malgré les critiques, les négociations se poursuivent à Bruxelles, la Commission européenne faisant pression pour une adoption rapide.

Micro-ciblage basé sur des données sensibles. Une partie de cette tentative apparemment agressive de promouvoir le contrôle du chat a consisté en une campagne de publicité ciblée sur X (anciennement Twitter) pour changer l'opinion publique. Bien que la publicité en ligne ne soit pas illégale en soi, la Commission européenne a ciblé les utilisateurs en fonction de leurs opinions politiques et de leurs croyances religieuses. Plus précisément, les publicités n'ont été diffusées qu'aux personnes qui n'étaient pas intéressées par des mots clés tels que #Qatargate, brexit, Marine Le Pen, Alternative für Deutschland, Vox, Christian, Christian-phobia ou Giorgia Meloni. La Commission européenne s'est déjà inquiétée de l'utilisation de données personnelles à des fins de micro-ciblage et a qualifié cette pratique de "menace sérieuse pour un processus électoral équitable et démocratique".

Sondages d'opinion trompeurs. Le plaignant néerlandais a été confronté à un message X affirmant que 95 % des Néerlandais auraient déclaré que la détection des abus d'enfants en ligne était plus importante ou aussi importante que leur droit à la vie privée en ligne. Selon les médias, ces statistiques sont trompeuses. Elles se fondent uniquement sur des sondages d'opinion réalisés par la Commission européenne, qui n'a pas mentionné aux participants les effets négatifs d'un mécanisme de contrôle des chats.

Une plainte contre la Commission européenne. La campagne publicitaire de la Commission, qui a même été signalée comme trompeuse sur X, a également violé la législation européenne en matière de protection des données. Bien que les opinions politiques et les croyances religieuses soient spécifiquement protégées par le RGPD de l'UE, ces mêmes catégories de données ont été utilisées pour la campagne publicitaire. NOYB a maintenant déposé une plainte contre la Commission européenne auprès du Contrôleur européen de la protection des données (CEPD) et évalue actuellement la possibilité de déposer une plainte contre X pour avoir permis l'utilisation illégale de données sensibles à des fins de micro-ciblage politique.

Felix Mikolasch, avocat spécialiste de la protection des données chez NOYB : "La Commission européenne n'a aucune base légale pour traiter des données sensibles à des fins de publicité ciblée sur X. Personne n'est au-dessus de la loi, et la Commission européenne ne fait pas exception."

Même X interdit une telle utilisation des données personnelles. La plateforme de médias sociaux X indique dans ses lignes directrices en matière de publicité que l'affiliation politique et les croyances religieuses ne doivent pas être utilisées à des fins de ciblage publicitaire. La campagne de la Commission européenne a néanmoins été diffusée à au moins plusieurs centaines de milliers d'utilisateurs néerlandais de X. Le message en question est toujours disponible.

Maartje de Graaf, avocate spécialisée dans la protection des données chez NOYB : "Il est ahurissant que la Commission européenne ne respecte pas la loi qu'elle a contribué à institutionnaliser il y a seulement quelques années. De plus, le X prétend interdire l'utilisation de données sensibles à des fins de ciblage publicitaire, mais ne fait rien pour faire respecter cette interdiction."

Une menace pour la démocratie. Il semble que la Commission européenne ait tenté d'influencer l'opinion publique dans des pays tels que les Pays-Bas afin d'affaiblir la position du gouvernement national au sein du Conseil de l'UE. Un tel comportement - en particulier en combinaison avec le micro-ciblage illégal - constitue une menace sérieuse pour le processus législatif de l'UE et contredit complètement l'intention de la Commission de rendre la publicité politique plus transparente. NOYB demande au CEPD d'enquêter pleinement sur cette affaire conformément au RGPD de l'UE. Compte tenu de la gravité des violations et du grand nombre de personnes affectées, NOYB suggère également que le CEPD impose une amende.

Source : NOYB

Et vous ?

Pensez-vous que cette plainte de NOYB est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Abus sexuels d'enfants en ligne : "des mesures efficaces, pas de surveillance de masse". La Commission européenne des libertés civiles a adopté sa position sur de nouvelles mesures

Le plan européen de surveillance CSAM est un point de basculement pour les droits démocratiques, avertissent les experts

Comment les applications mobiles partagent illégalement vos données personnelles, par le NOYB - Centre européen pour les droits numériques