Pédopornographie en ligne : nouveau compromis sur l’analyse des risques, la détection et le signalement des abus

Un nouveau texte de compromis rédigé par la présidence belge du Conseil de l’UE et consulté par Euractiv décrit les détails clés de l’évaluation des risques qui formera la base d’un projet de loi visant à détecter, signaler et supprimer les contenus pédopornographiques en ligne.

Le compromis fait suite à la dernière approche de la présidence belge sur le projet de loi sur la détection et la suppression des contenus pédopornographiques en ligne (child sexual abuse material, CSAM), qui met l’accent sur les tâches dédiées aux autorités de coordination, telles que la catégorisation des risques ou les injonctions de détection.

Le nouveau document, daté du 27 mars, a été envoyé au groupe de travail « Application de la loi » du Conseil, chargé de traiter les questions relatives aux activités législatives, ainsi qu’à l’activité policière transfrontalière.

L’autorité de coordination est un organisme désigné dans chaque État membre de l’UE, chargé de recevoir les évaluations de risques, de mettre en œuvre des mesures pour les atténuer ainsi que de coordonner les efforts de détection, de signalement et de suppression des contenus pédopornographiques.

Sur la base des suggestions des États membres et des réunions du groupe de travail « Application de la loi », la présidence belge a rédigé un nouveau texte de compromis, qui détaille les critères possibles et les méthodologies de catégorisation à utiliser dans la partie pratique de la législation.

Ordres de détection

Le nouveau texte propose d’exclure du règlement les services électroniques non publics, notamment ceux qui relèvent de la sécurité nationale. Selon le projet, ces services présentent un risque moindre en matière de contenus pédopornographiques et de protection des données.

La proposition permet aux autorités de coordination d’ajuster les mesures de risque pour les fournisseurs sans entraver leurs pouvoirs d’investigation, éventuellement par le biais d’amendes. Les fournisseurs peuvent informer de manière transparente les utilisateurs de leur conformité.

Dans la dernière version de la législation, les ordres de détection, émis par l’autorité de coordination, excluent les appels via les services de communication publics.

Catégorisation et analyse des risques

Une méthodologie a été proposée pour évaluer le risque associé aux services ou à leurs composants, en classant les services en trois niveaux de risque, et en tenant compte d’analyses des risques et des mesures d’atténuation de ceux-ci.

Les analyses de risques doivent être mises à jour régulièrement, les services à faible risque étant réexaminés tous les trois ans, les services à risque moyen tous les deux ans et les services à risque élevé seront réexaminés chaque année. Les autorités peuvent même imposer des réévaluations tous les six mois.

Ces analyses doivent identifier les risques spécifiques des services en ligne afin de permettre des mesures d’atténuation ciblées. Les fournisseurs de services peuvent afficher un signe de « risque réduit » s’ils y sont autorisés, mais il doit être clair pour les utilisateurs que cela ne signifie pas un risque nul. Une disposition antérieure sur l’étiquetage a été supprimée du règlement.

Si un ordre de détection est annulé, les fournisseurs de services doivent rétablir l’accès rapidement.

Le nouveau document propose également une approche pour catégoriser les risques associés aux services en ligne : la première catégorie est basée sur le type de service offert ; la deuxième consiste à évaluer l’architecture de base de ces services ; la troisième catégorie concerne l’évaluation de l’efficacité des politiques et des dispositifs de sécurité mis en œuvre par les fournisseurs de services ; la quatrième consiste à analyser les tendances et les modèles statistiques des utilisateurs ; la cinquième se concentre sur l’évaluation des politiques de sécurité du service.

Signalement

Une procédure de signalement accélérée est proposée pour les cas indiquant un danger imminent, donnant la priorité aux informations essentielles et à une action rapide de la part du Centre européen de prévention et de répression des abus sexuels commis contre des enfants.

Les prestataires peuvent signaler des situations urgentes utiles aux enquêtes mais ne nécessitant pas d’action immédiate. Les dispositions relatives au « signalement d’urgence » ont été supprimées du dernier texte.

Ce signalement vise les récidivistes, et les fournisseurs doivent divulguer les réponses aux injonctions et fournir des informations sur base du volontariat.

Les autorités compétentes désignées par les États membres peuvent demander des mesures d’éloignement, de blocage ou de radiation. Des mesures d’éloignement transfrontalières peuvent également être prises, mais uniquement si l’autorité de coordination le juge nécessaire, et peuvent être suspendues après notification.

Les autorités judiciaires nationales peuvent émettre des injonctions de déréférencement à l’encontre des moteurs de recherche, en informant les utilisateurs concernés des mesures de réparation.

Centre européen et Europol

Le texte propose une collaboration entre Europol, l’agence de coopération policière de l’UE, et le Centre européen, ce dernier gérant une base de données de contenus pédopornographiques alors qu’Europol intègre ces rapports à des fins d’enquête.

Le Centre donnera accès à sa base de données en cas de besoin et mettra en place un « comité des victimes » chargé de fournir assistance et conseils.

Le texte prévoit une période de transition au cours de laquelle certaines dispositions ne s’appliqueront pas jusqu’à ce que les mesures soient pleinement mises en œuvre.

Protection des données

Le document précise qu’il n’interdit pas le chiffrement de bout en bout (E2EE), une méthode de communication sécurisée qui empêche des tiers d’accéder aux données échangées entre les utilisateurs.

Les fournisseurs sont autorisés à proposer des services utilisant le E2EE, et le projet de loi ne peut pas les obliger à donner accès aux données chiffrées. Les fournisseurs doivent analyser et atténuer les risques potentiels de cybersécurité découlant des technologies utilisées pour exécuter les ordres de détection. La présidence belge suggère que ce soit la Commission qui approuve ces technologies.

Les mesures de vérification de l’âge doivent donner la priorité à la vie privée et aux intérêts de l’enfant, sans profilage de l’utilisateur ni identification biométrique. Le texte met également l’accent sur la nécessité de protection des données dès la conception, notamment en protégeant les données des enfants et en promouvant un espace en ligne sécurisé, tout en veillant à ce que les procédures soient non discriminatoires et accessibles.

Mesures d’atténuation

Le dernier texte propose d’ajuster les fonctionnalités des plateformes en ligne comme mesure d’atténuation. Il s’agit notamment de mettre en place des outils de signalement faciles, des fonctionnalités adaptées à l’âge des utilisateurs et des paramètres de confidentialité.

Les plateformes peuvent informer les utilisateurs des abus potentiels, les orienter vers des services d’assistance et collecter des données statistiques pour l’évaluer les risques.

Si un fournisseur ne remplit pas les exigences relatives aux services à risque élevé ou moyen, l’autorité de coordination ordonne les actions nécessaires, telles que la mise à jour des analyses des risques ou la mise en œuvre de nouvelles mesures.