Un avis juridique du Conseil de l’UE porte un coup à la loi contre le matériel pédopornographique

Le service juridique du Conseil de l’UE a critiqué la proposition de l’UE visant à lutter contre le matériel relatif à des abus sexuels sur enfants (Child Sexual Abuse Material, CSAM), pointant en particulier l’ambiguïté des ordonnances de détection et leur impact possible sur le droit à la vie privée.

Le projet de loi sur le matériel pédopornographique fait l’objet de controverses depuis qu’il a été proposé par la Commission européenne l’année dernière. Il donne aux autorités judiciaires le pouvoir d’émettre des ordonnances de détection adressées aux fournisseurs de services de communication qu’elles considèrent comme présentant un risque important d’être utilisés pour diffuser ce type de contenu illégal.

Après avoir reçu une ordonnance de détection, des services tels que Gmail ou WhatsApp seraient contraints de mettre en œuvre des outils qui analysent automatiquement les courriels ou les messages privés afin de détecter les contenus suspects.

Cet instrument a été accusé de porter atteinte de manière disproportionnée à la vie privée, car chaque personne utilisant le service pourrait être affectée. Ces préoccupations ont été reprises par le Contrôleur européen de la protection des données dans une étude commandée par le Parlement européen.

Le service juridique du Conseil de l’UE, qui est extrêmement influent dans le processus législatif de l’UE, vient à présent ajouter des éléments contre cette proposition déjà critiquée. C’est ce qu’il ressort d’extraits de l’avis juridique consultés par EURACTIV.

Ordres de détection

Dans le texte de la Commission, les ordonnances de détection peuvent être émises par un organe judiciaire national ou un organe administratif indépendant pour détecter du matériel connu, du nouveau matériel et du pédopiégeage, qui est la sollicitation d’enfants à des fins sexuelles.

Bien que l’intention déclarée soit de rendre la proposition technologiquement neutre — c’est-à-dire qu’elle n’impose pas de contraintes ou de prescriptions sur les choix de technologie ou d’équipement — l’avis juridique note que « le contenu de toutes les communications doit être accessible et scanné, et ce à l’aide d’outils automatisés disponibles ».

Sur le papier, le projet de loi doit également être aussi peu intrusif que possible en termes d’impact sur les droits des utilisateurs à la vie privée et à la protection des données.

Cependant, l’avis note que lorsque toutes les communications doivent être analysées « à l’aide d’une opération automatisée », cela interfère « avec le droit à la protection des données, indépendamment de la façon dont ces données sont utilisées par la suite ».

L’avis juridique préconise que l’application des ordonnances n’excède pas les 24 mois pour la diffusion de matériel pédopornographique connus ou nouveaux et 12 mois pour la sollicitation d’enfants.

Des ordonnances de détections trop ambiguës

Selon le document juridique, les ordonnances de détection ne sont pas « suffisamment claires, précises et complètes ».

Par exemple, la signification d’une technologie « efficace » n’est pas précisée. Cette définition relève en définitive des fournisseurs de services, ce qui soulève « de sérieux doutes quant à la prévisibilité de l’impact de ces mesures sur les droits fondamentaux en jeu ».

L’étendue de l’interférence serait déterminée par ceux qui choisissent les technologies utilisées pour mettre en œuvre « l’ordre de détection au cas par cas », tels que le Centre de l’UE chargé de prévenir et de combattre les abus sexuels sur enfants, les autorités nationales, les juges et les fournisseurs de services.

« L’étendue du pouvoir discrétionnaire pourrait donner lieu à un très large éventail d’interprétations et de préoccupations différentes en ce qui concerne le respect des droits fondamentaux », peut-on lire dans l’avis juridique, qui appelle à des limitations plus claires et détaillées.

Violation des droits fondamentaux

Outre le fait que les ordres de détection ne sont pas suffisamment clairs, le « filtrage des communications interpersonnelles » porte également atteinte au « droit fondamental au respect de la vie privée », car il donne accès aux communications interpersonnelles, telles que les messages, les courriels, les conversations audio, les images ou tout autre type d’informations personnelles échangées.

Ce filtrage peut également avoir un effet dissuasif sur la liberté d’expression, selon l’avis. De plus, les données sont traitées, ce qui « affecte le droit à la protection des données à caractère personnel ».

En outre, l’avis juridique souligne que presque tout le monde utilise des services de communication interpersonnelle, y compris les personnes qui visionnent et partagent du matériel pédopornographique. Cependant, la détection de ce type de contenu par le biais d’un filtrage général affaiblirait, voire contournerait, les mesures de cybersécurité, notamment en ce qui concerne le cryptage de bout en bout.

De plus, pour détecter ce type de contenu, sous forme de texte ou de fichiers audio, « une évaluation/vérification de l’âge généralisée à tous les utilisateurs du service concerné » serait nécessaire, car « sans établir l’âge précis de tous les utilisateurs, il ne serait pas possible de savoir que la sollicitation présumée s’adresse à un enfant », explique le texte.

Il existe trois moyens d’y parvenir : le profilage de masse des utilisateurs, l’analyse biométrique du visage et/ou de la voix de l’utilisateur, ou un système d’identification/certification numérique. Chacune de ces méthodes ajouterait « un autre niveau d’interférence avec les droits et libertés des utilisateurs ».

La question de la proportionnalité

Le service juridique du Conseil a également fait référence à la jurisprudence de la Cour de justice de l’UE (CJUE), qui s’est prononcée contre la conservation généralisée des données relatives aux adresses IP dans le cadre de la lutte contre la criminalité.

Le traitement automatique des données relatives au trafic et à la localisation « ne peut satisfaire à l’exigence de proportionnalité que dans les situations où un État membre est confronté à une menace grave pour la sécurité nationale ».

Les abus sexuels sur les enfants, même s’il s’agit d’un crime « particulièrement grave », ne sont pas considérés comme une « menace pour la sécurité nationale », précise l’avis juridique.

[Édité par Anne-Sophie Gayet]