La présidence suédoise fait circuler une version révisée du règlement sur la pédopornographie
Un nouveau texte de compromis de la présidence suédoise du Conseil de l’UE sur la proposition législative visant à lutter contre le matériel relatif aux abus sexuels sur enfants en ligne apporte des modifications significatives à l’ensemble du texte.
Un nouveau texte de compromis de la présidence suédoise du Conseil de l’UE sur la proposition législative visant à lutter contre le matériel relatif aux abus sexuels sur enfants en ligne (CSAM) apporte des modifications significatives à l’ensemble du texte, y compris le champ d’application, la certification et le nouveau Centre de l’UE chargé de prévenir les abus sexuels sur enfants.
Le nouveau texte, daté du 8 juin et divulgué par Politico, devrait être discuté par le groupe de travail « Application de la loi », un organe technique du Conseil de l’UE, mardi (13 juin).
Champ d’application
Comme l’a rapporté EURACTIV, tout en mentionnant les communications audio, les versions précédentes du texte ne précisaient pas si cela incluait les appels téléphoniques.
Le nouveau texte de compromis précise que les services de communications interpersonnelles qui consistent en des communications audio en temps réel devraient être exclus des injonctions de détection, tandis que les communications audio en temps non réel telles que les messages vocaux restent dans le champ d’application.
Selon le texte, le règlement ne s’applique pas aux services utilisés pour la sécurité nationale, le maintien de l’ordre public ou à des fins militaires. Les systèmes de communication utilisés pour les communications internes d’une organisation sont également exclus.
La définition des services de communications interpersonnelles non fondés sur la numérotation a également été supprimée du texte, tandis que les services fondés sur la numérotation ont été réintégrés dans le champ d’application du règlement.
Nouvelle certification
Les services d’hébergement et les services de communication interpersonnelle tels que les applications de messagerie instantanée devront évaluer le risque de diffusion de contenu pédopornographique sur leur plateforme, les autorités nationales disposant de trois mois pour évaluer si un risque subsiste.
Si les autorités estiment que l’évaluation des risques a été effectuée correctement et qu’aucune mesure d’atténuation supplémentaire ne doit être prise, elles devront autoriser l’affichage d’une certification conçue par le Centre de l’UE, qui doit encore être mis en place.
Le Centre de l’UE doit également tenir un registre public des services certifiés, dans lequel figurent la date et la portée exacte de la certification. Les autorités compétentes peuvent réévaluer et retirer l’autorisation de certification si nécessaire.
Centre de l’UE
Le projet de loi vise à créer un nouveau Centre de l’UE chargé de prévenir et de combattre les abus sexuels sur enfants. De nouvelles responsabilités ont été ajoutées au rôle du centre, telles que la promotion de la prévention des abus sexuels sur les enfants en établissant une base de données avec toutes les initiatives pertinentes au niveau de l’UE et au niveau national.
En outre, les États membres qui assureront la présidence tournante du Conseil de l’UE au moment de la création du centre peuvent désigner « un haut fonctionnaire pour assurer l’intérim du directeur exécutif et exercer les fonctions assignées à ce dernier ».
À l’issue de cette période d’intérim, le conseil d’administration du centre nommera le directeur exécutif, un comptable et un délégué à la protection des données.
Le conseil d’administration s’est vu confier des responsabilités plus importantes en ce qui concerne la mise en place des structures internes de l’organisme, la planification générale, l’adoption du budget et le contrôle de l’exécution des tâches.
Le Centre comprendra un comité technologique en tant que groupe consultatif. Les pays de l’UE doivent nommer deux experts indépendants pour le comité, tandis que la Commission européenne et le pôle d’innovation d’Europol doivent nommer un expert technique.
Tenue de registres
Le projet de loi permet aux autorités judiciaires d’émettre des injonctions de détection obligeant les fournisseurs de services à mettre en œuvre des outils automatisés pour détecter les contenus illégaux présumés.
Le texte de compromis introduit une obligation pour les fournisseurs de services d’hébergement et les fournisseurs de services de communication interpersonnelle d’enregistrer des informations détaillées sur l’exécution des injonctions de détection, notamment en termes de durée et de personnes impliquées.
Le document précise que ces informations ne peuvent être utilisées que pour vérifier « la licéité du traitement », l’autocontrôle, l’intégrité et la sécurité des données, ainsi que dans le cadre de « procédures pénales ou disciplinaires ».
Injonctions de retrait et déréférencement
Le projet de règlement envisage une architecture de mise en œuvre pour les cas transfrontaliers dans laquelle une autorité nationale de coordination fournit un point de contact unique pour les ordonnances d’autres pays qui visent un fournisseur de services basé dans sa juridiction.
En particulier, pour les injonctions de retrait de contenus illicites, l’autorité destinataire doit justifier dans un délai de trois jours si elles ne sont pas exécutées en raison de conflits de lois, tels qu’une incompatibilité constitutionnelle grave.
Les moteurs de recherche en ligne ont été ajoutés au champ d’application du règlement en relation avec les injonctions de retrait et la pratique consistant à retirer des résultats de recherche les sites web hébergeant des contenus illicites. Dans le même temps, les moteurs de recherche doivent être en mesure de rétablir le site web retiré de la liste au cas où l’injonction de retrait s’avérerait erronée.
Droits fondamentaux
Le texte du Conseil répond aux préoccupations en matière de droits fondamentaux soulevées par le dossier, à savoir qu’il affecterait de manière disproportionnée la vie privée des personnes et qu’il irait à l’encontre du principe du chiffrement de bout en bout.
En ce sens, le texte souligne que les pays de l’UE ou les autorités nationales ne peuvent pas demander une surveillance générale ni exiger d’un fournisseur de services d’hébergement qu’il « procède à une évaluation indépendante en recherchant activement les faits ou les circonstances à l’origine du contenu illicite ».
De même, le compromis prévoit que le règlement ne peut être utilisé pour « interdire, rendre impossible, affaiblir, contourner ou compromettre de toute autre manière » les mesures de cybersécurité telles que le chiffrement de bout en bout ou d’autres technologies de chiffrement, et qu’il ne peut pas « créer d’obligation de déchiffrer les données ».
Le texte précise qu’il importe peu que les données soient traitées sur l’appareil ou en transit, ou qu’elles soient stockées par le fournisseur de services. Le chiffrement ne peut toujours pas être violé parce qu’il « pourrait potentiellement être utilisé de manière abusive par des tiers malveillants », indique le document.
[Édité par Anne-Sophie Gayet]
