La Commission épinglée par la Médiatrice de l’UE pour son refus de fournir la liste des experts derrière le règlement sur la pédopornographie

Le refus de la Commission européenne de fournir la liste des experts avec lesquels elle a collaboré pour rédiger le règlement visant à détecter et supprimer les contenus pédopornographiques en ligne (CSAM) constitue un cas de mauvaise administration, selon la Médiatrice européenne.

En décembre dernier, le Conseil irlandais des libertés civiles (CILC) a déposé une plainte auprès de la Médiatrice européenne contre la Commission européenne après que cette dernière a refusé de fournir la liste des experts externes ayant participé à l’élaboration du règlement visant à prévenir et combattre les abus sexuels sur enfants en ligne.

La Médiatrice européenne (actuellement Emily O’Reilly) enquête sur les plaintes déposées contre les institutions et organes de l’UE pour mauvaise administration. Elle est ainsi en charge de promouvoir une bonne administration au niveau de l’Union.

La Médiatrice a conclu que « le fait que la Commission n’a pas considéré la liste d’experts comme relevant du champ d’application de la demande d’accès public du plaignant constitue un cas de mauvaise administration ».

La Médiatrice de l’UE a également reproché à l’exécutif européen de ne pas avoir respecté les délais de traitement des demandes d’accès aux documents, des retards qui sont devenus quelque peu systématiques.

La Commission a expliqué à l’équipe d’enquête de la Médiatrice lors d’une réunion que les demandes du CILC « semblaient être des demandes de justification d’une décision politique plutôt que des demandes d’accès du public à un ensemble spécifique de documents ».

La demande concernait l’accès à la liste d’experts que la Commission a consultés et qui ont également participé à des réunions avec le Forum de l’UE sur l’Internet, qui ont eu lieu en 2020, selon une analyse d’impact daté du 11 mai 2022.

La liste d’experts était d’intérêt public, car des experts indépendants ont déclaré à plusieurs reprises qu’il serait impossible de détecter le CSAM dans les communications privées sans violer le chiffrement des données.

La Commission a cependant suggéré le contraire dans ses textes précédents, ce qui a suscité une controverse depuis la présentation du dossier l’année dernière.

Au cours des réunions, « des universitaires, des experts et des entreprises ont été invités à partager leurs points de vue sur la question ainsi que tout document pouvant être utile à la discussion ». Sur la base de ces discussions et des contributions orales et écrites, un « document final » a été produit, a déclaré la Commission.

Selon un rapport sur la réunion entre la Commission et la Médiatrice, ce document « est le seul qui ait été produit en relation avec ces réunions de travail ».

La liste fantôme

Bien qu’une liste de participants existe, elle n’a pas été divulguée « pour des raisons de protection des données et de sécurité publique, étant donné la nature des questions discutées », aurait justifié la Commission, selon la Médiatrice européenne.

Outre les raisons de sécurité, les participants étaient également préoccupés par leur image publique, a déclaré la Commission à la Médiatrice européenne, ajoutant que « la divulgation pourrait être exploitée par des acteurs malveillants pour contourner les mécanismes de détection et les efforts de modération des entreprises ».

De plus, « le fait de révéler certaines stratégies et tactiques des entreprises, ou certaines approches techniques spécifiques, comporte également le risque d’informer les délinquants sur les moyens d’éviter d’être détectés ».

Il n’en reste pas moins que la Commission a d’abord nié l’existence de cette liste.

Kris Shrishak, membre du CILC, a confié à Euractiv que la Commission lui avait d’abord répondu qu’une telle liste n’existait pas. Cependant, plus tard, il a été informé par la Médiatrice européenne que ce n’était pas correct puisque celle-ci avait trouvé une liste d’experts.

La Commission avait déclaré qu’il y avait eu des échanges de courriels au sujet des réunions, qui ne contenaient que les liens vers les réunions en ligne.

« Suite à la réunion avec l’équipe d’enquête de la Médiatrice, la Commission a essayé de récupérer ces emails », mais puisqu’ils avaient plus de deux ans à l’époque, « ils avaient déjà été supprimés conformément à la politique de conservation [des échanges] de la Commission » et n’ont pas été « conservés dans le dossier ».

Euractiv a contacté la Commission européenne pour un commentaire, mais n’a pas obtenu de réponse au moment de la publication de cet article.

Des références qui disparaissent

M. Shrishak a également remarqué qu’un document mentionné dans la proposition sur les CSAM (annexe IX, note de bas de page 569) concernant le travail de Microsoft sur le chiffrement homomorphe — qui permet d’effectuer des traitements sur des données chiffrées sans que celles-ci soient exposées en clair — a été supprimé par la suite.

La Commission a déclaré à la Médiatrice européenne qu’elle ne détenait pas « nécessairement une copie des documents mentionnés dans les notes de bas de page du document final », mais qu’elle avait consulté ces documents en ligne sans en télécharger une copie.

« Le document, pour lequel le plaignant a demandé un lien fonctionnel, n’est plus accessible à la Commission », a déclaré le bureau de la Médiatrice sur son site Internet.

Proposition controversée

Ce n’est pas la première fois que la Commission européenne est critiquée pour la façon dont elle tente de faire avancer le règlement sur les CSAM.

Fin septembre, le Balkan Insight révélait des liens étroits entre la Commission européenne et des organisations de protection de l’enfance dans le cadre du projet de législation, puisqu’au moins un fonctionnaire de la Commission siège au conseil d’administration de l’une de ces organisations.

Ensuite, en octobre, la Commission aurait utilisé des techniques de micro-ciblage pour promouvoir la proposition dans les pays qui n’ont pas soutenu le texte au sein du Conseil de l’UE, ce qui a déclenché une enquête sur les craintes de violation des règles de l’UE en matière de protection des données et de la vie privée.

M. Shrishak a déclaré qu’il attendait « une nouvelle réponse, au minimum ». Il espère que la Commission fournira une liste d’experts, mais il s’attend également à ce qu’elle refuse de le faire en invoquant des problèmes de protection des données, « ce qui ne devrait pas être [le cas], car la liste devrait être publique », a-t-il réitéré.

[Édité par Anne-Sophie Gayet]