L’UE à un pas de rétablir les règles de scan des messages privés
(cyberinsider.com)- Le Parlement européen a approuvé une procédure d’urgence liée à l’expiration de Chat Control 1.0, ce qui soumettra au vote, le 9 juillet, la possibilité d’autoriser les plateformes en ligne à scanner volontairement les communications privées
- Cette procédure ne rétablit pas immédiatement la loi, mais elle permet d’accélérer l’examen d’une proposition pratiquement identique au cadre juridique provisoire arrivé à expiration en avril, en contournant l’étape habituelle en commission
- L’ancien Regulation (EU) 2021/1232 permettait, via une exception à l’ePrivacy Directive, le scan volontaire pour détecter les CSAM dans des services comme Gmail, Messenger, Snapchat ou iCloud Mail
- Lors du vote principal du 9 juillet, les opposants devront réunir 361 voix, soit la majorité absolue de l’ensemble des députés européens, pour rejeter ou modifier la proposition ; en cas d’échec, le texte du Council pourrait avancer sans garanties supplémentaires
- L’UE poursuit simultanément deux voies : le rétablissement temporaire du régime expiré de scan volontaire et la réglementation permanente Chat Control 2.0, en discussion depuis 2022
Approbation de la procédure d’urgence et vote principal du 9 juillet
- Le Parlement européen a approuvé une procédure d’urgence afin d’accélérer l’examen d’un texte susceptible de rétablir les règles expirées de « Chat Control 1.0 »
- L’enjeu du vote du 9 juillet est de savoir si les plateformes en ligne pourront de nouveau scanner volontairement les communications privées des utilisateurs pour rechercher des contenus d’abus sexuels sur mineurs (CSAM)
- Le vote de procédure a été adopté par 331 voix contre 304
- Ce seul vote ne rétablit pas la loi, mais il permet de contourner l’étape habituelle en commission et d’examiner plus rapidement une proposition qui ferait, de fait, revivre le cadre juridique provisoire arrivé à expiration en avril
Base juridique de Chat Control 1.0 et services concernés
- Le règlement provisoire en question est le Regulation (EU) 2021/1232, qui créait une exception à l’ePrivacy Directive afin de permettre aux fournisseurs de scanner volontairement les communications privées pour détecter des CSAM
- Les services concernés étaient principalement Gmail, Facebook Messenger, Instagram Messenger, Skype, Snapchat, iCloud Mail et Xbox messaging
- Les services chiffrés de bout en bout n’étaient généralement pas affectés, sauf lorsqu’un fournisseur choisissait de mettre en œuvre un scan côté client
- En mars, le Parlement européen a refusé de prolonger l’exception temporaire et, après l’échec des négociations avec le Council, le règlement a expiré le 4 avril 2026
- Après cette expiration, la base juridique sur laquelle plusieurs plateformes s’appuyaient pour pratiquer le scan volontaire dans le champ de l’ePrivacy Directive a disparu
Relance par le Council et conditions d’adoption
- Le European Union Council a relancé la mesure sous la forme d’un nouveau règlement contenant des dispositions pratiquement identiques
- Patrick Breyer, ancien eurodéputé du Pirate Party, y voit une tentative sans précédent de ressusciter un texte que le Parlement avait déjà rejeté
- Selon la chronologie de Breyer, le Council a approuvé sa position de négociation le 2 juillet, et le Parlement doit examiner la proposition cette semaine en procédure accélérée
- Le vote du 9 juillet sera contraignant : pour rejeter ou modifier la proposition, les opposants devront réunir 361 voix, soit la majorité absolue de l’ensemble des députés européens
- Si ce seuil n’est pas atteint, le texte du Council devrait avancer sans que le Parlement n’impose de garanties supplémentaires
Chat Control 2.0 et une réglementation permanente distincte
- Cette proposition de rétablissement est distincte du règlement permanent Child Sexual Abuse Regulation, dit Chat Control 2.0, en négociation depuis 2022
- La coexistence de ces deux dossiers législatifs complexifie les discussions
- l’un concerne le rétablissement de la mesure temporaire expirée
- l’autre vise à établir un cadre permanent pour la détection et le signalement des CSAM
- Chat Control 2.0 reste dans l’impasse malgré cinq cycles de négociations en trilogue entre le Parlement, le Council et la European Commission
- Le principal point de désaccord porte sur la possibilité d’autoriser ou d’obliger les fournisseurs à scanner les communications privées de manière large et sans soupçon préalable
- Le scan au sein des services chiffrés de bout en bout demeure un enjeu particulièrement central
Droits fondamentaux, autorisation judiciaire et craintes de scan de masse
- La position de négociation du Parlement européen limite le scan aux utilisateurs ou groupes faisant l’objet de soupçons concrets d’abus sexuels sur mineurs, et exige une autorisation judiciaire
- Le Council a continué de soutenir des obligations plus larges d’atténuation des risques et des mesures de détection volontaire ; ses détracteurs estiment qu’une telle approche pourrait toujours encourager le scan de masse
- Le Legal Service du Council aurait averti en juin que le scan général « volontaire » pourrait aussi entrer en conflit avec l’EU Charter of Fundamental Rights Article 7 en l’absence de soupçon raisonnable et d’autorisation judiciaire préalable
- L’UE mène actuellement deux voies en parallèle
- le rétablissement temporaire du régime expiré de scan volontaire
- la négociation d’une loi permanente plus large et controversée, susceptible de modifier la manière dont les plateformes en ligne détectent les CSAM dans toute l’UE
- Le vote du Parlement du 9 juillet déterminera si le cadre provisoire fait son retour pendant que se poursuivent les négociations sur la réglementation permanente plus large
1 commentaires
Avis sur Hacker News
L’Internet Watch Foundation, financée par presque toutes les Big Tech, pousse à l’étape suivante le scan côté client. Bien sûr, le prétexte est de le faire pour les enfants.
https://www.iwf.org.uk/policy-work/preventing-the-upload-of-...
Payer un peu et obtenir un bon titre dans la presse, ou refuser, être connu comme « l’entreprise qui ne soutient pas la lutte contre les méchants », puis écrire 10 000 mots que personne ne lira pour expliquer qu’en réalité c’est une position de principe. Je déteste ça, mais la première option est clairement rationnelle.
Mais en traitant cette préoccupation comme 100 % de mauvaise foi, on pousse même les gens ordinaires vers l’idée qu’il faut mettre en place ce type de contrôle. C’est un problème politique, donc il faut le résoudre par la politique.
Chat Control 1.0 n’est qu’une règle qui autorise des organisations comme Meta à scanner les messages si elles le souhaitent. Autrement dit, les messages Facebook ne sont pas privés vis-à-vis de Facebook, ce qui est à peu près ce que l’on savait et attendait déjà.
Ce qui est inquiétant, c’est Chat Control 2.0, car il rend le scan obligatoire et interdit le chiffrement de bout en bout. Il n’aurait pas fallu donner la même marque aux deux.
Quand le changement ne porte que sur un mot, de « peuvent » à « doivent », il devient plus facile de le faire adopter.
C’est une semaine difficile pour les Européens. Après les voitures qui enregistrent votre visage pendant que vous conduisez, voilà maintenant les apps qui espionnent vos communications.
Bien sûr qu’ils le feront. Ils feront bouillir la grenouille lentement jusqu’à obtenir la soupe de grenouille qu’ils veulent. À chaque fois que l’eau devient un peu trop chaude, c’est-à-dire quand la colère du public monte, ils baissent brièvement la température.
Toutes les grandes régions du monde ont ce problème. J’aimerais parler de pente glissante, mais j’ai déjà dévalé la pente et je me suis fracassé la tête. Blague à part, ce genre d’atteinte à la vie privée continuera jusqu’à ce qu’une loi, peut-être même une constitution fondamentale, soit adoptée pour empêcher même de tenter de telles lois ou règles.
Le problème n’est pas l’absence de droits constitutionnels, mais le fait que le contrôle de constitutionnalité intervient après coup. Quelqu’un fait adopter une loi, elle est appliquée pendant des années, les dommages s’accumulent, et ce n’est qu’une fois l’affaire arrivée devant les tribunaux qu’elle est invalidée.
Si vous êtes citoyen de l’UE, vous pouvez contacter vos représentants ici : https://fightchatcontrol.eu/
Même en cas de défaite, c’est un projet de loi Terminator. Il reviendra sans cesse jusqu’à gagner.
Avec autant d’apps de chat open source, je me demande ce qui empêcherait simplement de modifier le client pour échanger une clé avec l’autre personne par un canal séparé, puis chiffrer toutes les communications avec cette clé.
Je comprends que cela ne passe pas à l’échelle pour de grands groupes, mais les partisans de ce genre de saleté y ont forcément pensé, non ? Ou bien l’objectif est-il d’aller jusqu’à des PC totalement verrouillés, comme Android ou iOS, où rien de non approuvé ne peut s’exécuter ?
Les gens pourraient toujours le faire, mais ils pourraient être punis s’ils se font prendre.
Cela concerne la version 1.0, et en soi cela semble acceptable. En gros, cela accorde aux fournisseurs une exception légale au regard du droit à la vie privée pour scanner les communications qui ne sont pas chiffrées de bout en bout afin d’y chercher du CSAM.
Des services comme Gmail ou iCloud Mail scannent déjà probablement les pièces jointes pour détecter les malwares et les e-mails pour repérer les tentatives de phishing ; ils pourront désormais aussi scanner les contenus pédopornographiques. CC 2.0 est une tout autre bête.
Je me demande comment le droit américain traite cette partie. Je pensais que les fournisseurs étaient déjà obligés de lutter contre la diffusion de CSAM ; cela ne concerne-t-il que les publications publiques ?
Quand cela entre-t-il en vigueur ? J’ai vu tellement de titres comme celui-ci que j’ai toujours l’impression que ça va commencer bientôt, mais je n’ai jamais vu de conclusion.
C’est déjà entré en vigueur, et les États membres de l’UE l’utilisent probablement encore aujourd’hui malgré son illégalité. Bien sûr, pour protéger les enfants.