La dernière mouture de la proposition de l’UE sur le contrôle des conversations (Chat Control) sera présentée le 12 septembre, mais selon Bart Preneel, professeur de cryptographie et de sécurité informatique (KU Leuven), l’initiative danoise passe une fois de plus à côté de l’essentiel. ‘De petites améliorations, comme des notifications plus rapides, ne suffisent pas à atténuer les risques structurels pour la vie privée.’
La proposition danoise de Chat Control de juillet dernier semble plus modérée à première vue: les messages texte et audio ne seraient provisoirement plus scannés, mais uniquement les images et les URL, entraînant ainsi la suppression de l’appellation ‘Chat Control’. Mais selon Preneel, co-initiateur de la nouvelle lettre ouverte, il s’agit avant tout d’un compromis temporaire: ‘Dans le document juridique, il est stipulé que le texte et l’audio peuvent être ajoutés ultérieurement. C’est donc plutôt une stratégie visant à apaiser les critiques généralisées, et non à brider véritablement la technologie.’
La proposition exige également des fournisseurs qu’ils prennent toutes les mesures techniques raisonnables pour prévenir les abus, notamment la vérification et l’évaluation obligatoires de l’âge. ‘Cette obligation peut paraître proportionnée, mais elle rend en fait les systèmes plus complexes et vulnérables. De plus, elle compromet l’anonymat des utilisateurs et ouvre la voie à la censure ou aux abus. En outre, ces mesures peuvent être facilement contournées via un VPN ou le compte d’un parent.’
Services à haut risque, détection par l’IA et analyse sur l’appareil même
Par ailleurs, la proposition danoise introduit la classification ‘services à haut risque’. Ce n’est que dans ces cas que les ordonnances de détection seraient obligatoires. Preneel qualifie cet ajout d’écran de fumée: ‘Cette catégorie inclut les principaux services de chat cryptés comme WhatsApp, Messenger et Signal, précisément les applis par lesquelles la plupart des citoyens européens communiquent.’
L’un des éléments cruciaux de la proposition de loi européenne reste le recours à l’analyse sur les appareils mêmes: des contrôles avant cryptage. ‘On peut lire: nous respectons votre cryptage, mais entre-temps, un algorithme analyse votre appareil. C’est comme si les autorités prétendaient ne pas lire votre courrier, mais installait une caméra dans chaque pièce de votre maison. Le cryptage perd ainsi son essence.’
Le retour d’un élément supprimé du compromis belge de juin 2024 ne manque pas d’étonner: l’utilisation de l’IA pour détecter les ‘nouvelles’ images (CSAM), à savoir du contenu non encore inclus dans les banques de données existantes en matière d’abus sexuels sur mineurs. Il peut s’agir d’une photo purement innocente de votre fils ou de votre fille à la piscine pour votre partenaire, ou d’images d’une éruption cutanée chez votre enfant envoyées à votre médecin. ‘L’IA est incapable de replacer correctement ces images dans leur contexte, et nous doutons fortement qu’elle y parvienne un jour. Si cette solution était néanmoins mise en œuvre, les forces de police risqueraient d’être submergées de faux négatifs, et des milliers d’utilisateurs innocents pourraient soudainement être qualifiés de suspects sur le plan pédopornographique.’
Petits points positifs, gros points noirs
Malgré toutes les critiques, Preneel reconnaît que la proposition comprend également des améliorations procédurales. C’est ainsi que les utilisateurs sont à présent à même de notifier plus facilement les images suspectées d’être illégales, et que les fournisseurs sont tenus de réagir plus rapidement à ces notifications. ‘Ce sont des avancées utiles. Elles garantissent que les problèmes sont traités dès leur apparition et ne sont pas transférés vers d’autres canaux de communication ou produits.’ Mais cela ne nécessite pas encore une surveillance numérique de masse, selon l’expert en cryptographie: ‘Aujourd’hui, il s’agit de maltraitance infantile, demain de terrorisme, et après-demain de dissidences politiques dans des démocraties et des dictatures douteuses.’
En octobre 2023, le Parlement européen avait approuvé une version considérablement allégée de la proposition actuelle. ‘Ce texte n’incluait pas l’analyse obligatoire des communications cryptées de bout en bout, et l’IA et les nouvelles images n’étaient pas prises en compte’, rappelle le professeur. ‘Pour moi et nombre de mes collègues, toute nouvelle initiative devrait pour le moins en revenir à cette version.’
Pourtant, selon le cryptographe, le problème fondamental reste entier: on ne résoudra pas la pédopornographie en scannant toutes les communications européennes. ‘Ces images existent, parce qu’il y a des abus. Pour y mettre fin, il faut se concentrer sur l’éducation, la prévention, les centres de notifications sensibles aux traumatismes, et le soutien aux victimes. Ce sont des mesures que l’UNICEF et d’autres organisations préconisent depuis des années.’
Au bout de trois ans de débat et de quatre lettres ouvertes, Preneel reste combatif: ‘Un virage à droite se fait clairement sentir au Parlement européen, mais mes collègues et moi continuons de tirer la sonnette d’alarme pour protéger les droits fondamentaux européens. Nous espérons que les états membres qui se sont précédemment abstenus, dont la Belgique, voteront contre la proposition le 12 septembre.’
Lisez ici la lettre ouverte de 467 scientifiques de 33 pays.