Pédopornographie en ligne : l’UE se rapproche d’un consensus sur le règlement

L’agence centralisée proposée pour soutenir la détection et le retrait de contenus pédopornographiques (CSAM) évaluera aussi la manière de préserver techniquement la vie privée tout en détectant ce type de contenus dans les communications textuelles incluses dans le champ d’application de la loi, selon les termes de la dernière version du projet de règlement.

Le projet, daté du 14 juin, donne des exemples de contenus visuels inclus dans ce que les autorités peuvent analyser pour détecter les contenus pédopornographiques, comme l’a précédemment rapporté Euractiv.

La proposition a été envoyée par la présidence belge du Conseil de l’UE au Comité des représentants permanents (COREPER), qui comprend les 27 ambassadeurs. Cela signifierait que le dossier, bloqué dans le processus législatif depuis des mois, pourrait enfin être bouclé.

D’après Euractiv, lors de la réunion du Conseil « Justice et Affaires intérieures » de la semaine dernière, la présidence belge a répondu aux préoccupations des délégations sur le projet de règlement.

Les Belges visent un accord avec le COREPER, et la commissaire aux Affaires intérieures Ylva Johansson espère que les négociations interinstitutionnelles, les fameux trilogues, débutent après l’été.

La version précédente excluait les communications audio du champ d’application, mais incluait les contenus visuels.

En revanche, la dernière version exclut les communications textuelles et précise que les injonctions de détection ne s’appliquent qu’aux contenus visuels, qu’il s’agisse d’images, de vidéos, de GIFs ou de stickers. Toutefois, le document précise que la sollicitation d’enfants doit être identifiée par le biais de composants visuels dans la mesure du possible.

L’objectif de la réglementation est de créer un système de détection et de signalement de la pédopornographie en ligne.

Cependant, elle a été critiquée, car elle permettrait aux autorités judiciaires de demander l’analyse de messages privés sur des plateformes de messagerie telles que WhatsApp ou Gmail, actuellement protégés par le chiffrement de bout en bout.

Rôle du Centre de l’UE en matière de protection de la vie privée

Le dernier projet transfère la responsabilité concernant le chiffrement de bout en bout (End-to-end encryption, E2EE) au Centre de l’UE et à la Commission européenne. Le règlement ne devrait pas affaiblir les mesures de cybersécurité, y compris L’E2EE.

Cette technologie de chiffrement garantit que seuls l’expéditeur et le destinataire peuvent lire un message, qui reste donc confidentiel, même pour le fournisseur de la plateforme, comme WhatsApp ou Signal.

Pour maintenir l’E2EE, les technologies de détection de contenus pédopornographiques dans les services qui s’en servent doivent être certifiées et testées par le Centre de l’UE, et approuvées par la Commission européenne avant que celle-ci ne valide « les technologies qui peuvent être utilisées pour exécuter les ordres de détection ».

Le Centre de l’UE est également censé aider les fournisseurs de plateformes à évaluer les coûts de l’analyse des données anonymes pour détecter les contenus pédopornographiques. Pour ce faire, ils doivent mettre en œuvre des mécanismes de contrôle parental, traiter les signalements de contenus pédopornographiques potentiels et produire des données statistiques pour l’évaluation.

Les fournisseurs peuvent demander une assistance technique au Centre de l’UE concernant les mesures de vérification de l’âge qui préservent la vie privée, notamment pour une prise en charge des coûts. De plus, la Commission peut publier des actes délégués sur le partage des coûts.

Ordres de suppression et de blocage

Le nouveau texte exige des fournisseurs de moteurs de recherche en ligne qu’ils retirent de la liste les sites web affichant des contenus pédopornographiques.

Les autorités compétentes d’un État membre peuvent prendre des mesures de suppression et de blocage à l’encontre des fournisseurs de services en ligne. Ces entreprises doivent ensuite informer les utilisateurs des raisons de la suppression, afin qu’ils puissent exercer leur droit de recours.

Les prestataires doivent informer rapidement les autorités émettrices de toute incapacité à se conformer, rendre compte des mesures prises pour bloquer l’accès aux contenus pédopornographiques et mettre régulièrement à jour leur efficacité.

Évaluation des risques

L’autorité de coordination classe les services par niveau de risque et peut demander l’assistance du Centre de l’UE, sur la base des rapports que les prestataires soumettent à l’autorité.

Les services peuvent donc être à risque élevé, moyen ou faible, ce qui garantit des évaluations qualitatives et comparables.

Selon le texte, les évaluations des risques doivent être mises à jour au moins une fois tous les trois ans pour les services à faible risque, tous les deux ans pour ceux à risque moyen et chaque année pour ceux à risque élevé.

La Commission peut établir des actes supplémentaires pour définir la méthodologie et les critères de catégorisation des risques.

Les autorités de coordination, qui supervisent la mise en œuvre du règlement dans chaque pays, peuvent exiger des mises à jour de la part des autres États membres et des prestataires de services à faible ou moyen risque. Les évaluations doivent mettre en évidence les risques liés à des éléments de service ou à des groupes d’utilisateurs spécifiques, afin de limiter efficacement les contenus pédopornographiques.

Les fournisseurs de services d’hébergement ou de communication interpersonnelle doivent réduire les risques identifiés de contenus pédopornographiques, en se concentrant sur des éléments ou des utilisateurs spécifiques.

Ils doivent également fournir aux utilisateurs des outils accessibles pour signaler ce type de contenu et partager des informations sur les lignes d’assistance téléphonique. La collecte de données statistiques doit évaluer les risques, en veillant à ce qu’aucune donnée personnelle ne soit incluse.

[Édité par Anna Martino]