Respect de la vie privée : la déclaration d’Europol contre le chiffrement de bout en bout suscite des inquiétudes

Dans une récente déclaration commune, Europol et les chefs de police européens ont insisté sur la nécessité d’agir contre le chiffrement de bout en bout, invoquant le risque d’entrave à la justice et relançant l’éternel débat sur la manière de concilier la protection de la vie privée et la lutte contre la criminalité.

Fin avril, Europol a publié une déclaration commune avec les chefs de police européens appelant l’industrie et les gouvernements à prendre des mesures contre le déploiement du chiffrement de bout en bout, affirmant que cette technologie empêchera les forces de l’ordre d’obtenir et d’utiliser des preuves contre les criminels.

Cette technologie garantit la confidentialité des communications entre l’expéditeur et le destinataire, empêche les tiers (y compris la plateforme ou le fournisseur) d’accéder aux données transférées.

Dans la déclaration, les chefs de police européens soulignent l’importance de la coopération entre les forces de l’ordre et les entreprises technologiques pour préserver la sécurité publique, en particulier dans la lutte contre des crimes tels que le terrorisme et les abus sexuels commis contre des enfants.

Ils craignent que l’adoption de cette technologie n’entrave leur capacité à accéder à des données cruciales et à identifier les activités illégales, et plaident en faveur d’une approche équilibrée qui donne la priorité à la cybersécurité.

Leur déclaration appelle également les gouvernements démocratiques à mettre en place des cadres fournissant les informations nécessaires à la sécurité publique.

Lutte contre la pédopornographie en ligne

Le chiffrement de bout en bout est également au cœur des débats sur un projet de loi de l’UE visant à lutter les contenus pédopornographiques en ligne. Certains partagent le point de vue d’Europol, alors que d’autres considèrent cette technologie comme une mesure de protection de la confidentialité des données.

« L’un des principes directeurs du règlement est la neutralité technologique. Ainsi, le règlement n’interdit ni ne privilégie aucun outil ou technologie spécifique permettant aux fournisseurs de remplir leurs obligations au titre du règlement, tant que ces technologies et outils respectent certaines garanties », a déclaré Javier Zarzalejos, le rapporteur du Parlement européen pour le dossier CSAM (matériel pédopornographique en ligne), à Euractiv en septembre dernier.

Susie Hargreaves, PDG de la fondation britannique Internet Watch, qui fournit un service de signalement des contenus pédopornographique potentiellement criminels, soutient que « les criminels ne devraient pas disposer d’un endroit sûr pour abuser sexuellement des enfants et les recherches montrent que les entreprises peuvent prévenir la propagation de tels abus sur les enfants dans les environnements chiffrés de bout en bout, sans compromettre la vie privée ».

Elle a rappelé qu’« en août 2021, Apple, l’une des plus grandes entreprises technologiques au monde, a affirmé qu’il était possible de détecter les contenus pédopornographiques tout en préservant la vie privée ».

Les grands méchants

Malgré la véracité de ces propos, Apple a annoncé sa décision de supprimer l’outil de numérisation de photos à la fin de l’année 2022. Puis, en septembre dernier, le géant américain a évoqué des problèmes de protection de la vie privée pour arrêter de détecter les contenus pédopornographiques.

À l’époque, Erik Neuenschwander, directeur de la confidentialité des utilisateurs et de la sécurité des enfants chez Apple, avait exprimé dans une lettre, publiée par Wired, que la recherche d’un certain type de contenu « ouvre la porte à une surveillance de masse et pourrait susciter le désir de rechercher d’autres systèmes de messagerie cryptée parmi les types de contenu, tels que les images, les vidéos, le texte ou l’audio, et les catégories de contenu ».

Chloé Berthélémy, conseillère politique senior chez European Digital Rights (EDRi), une organisation à but non lucratif qui défend les droits numériques, a expliqué à Euractiv qu’il était « impossible de garantir que les portes dérobées du chiffrement de bout en bout seront exploitées uniquement par des autorités légitimes, pour des raisons légitimes », faisant écho au commentaire de M. Neuenschwander de l’année précédente.

Carmela Troncoso, ingénieure en télécommunications et chercheuse spécialisée dans les questions de vie privée, a déploré le manque d’outils permettant de « supprimer le chiffrement de bout en bout uniquement pour les grands méchants ».

« Saper le chiffrement de bout en bout, c’est mettre toute la société en danger, y compris ceux qui prétendent avoir le plus besoin de protection. Si le déploiement de cette technologie est empêché, les criminels déplaceront leurs propres plateformes et développeront leurs propres protections, comme ils le font déjà. Seul le grand public sera laissé à l’observation, avec les mauvaises conséquences que cela implique », a-t-elle expliqué.

Dans un article paru en décembre dans The Economist, Will Cathcart, directeur de WhatsApp, a également souligné les avantages de la protection des données de la technologie, puisque Meta, le propriétaire de WhatsApp, est l’une des dernières entreprises à avoir introduit le chiffrement de bout en bout.

Si WhatsApp utilisait déjà cette technologie, elle n’a été introduite que bien plus tard sur Facebook Messenger et Instagram.

Pourtant, dans un post datant de 2018, Gail Kent, responsable de la politique publique mondiale en matière de sécurité chez Meta, avait mis en avant les avantages de cette technologie tout en reconnaissant les difficultés qu’elle implique pour les forces de l’ordre.

Elle a souligné le caractère peu pratique des portes dérobées et a plaidé pour une collaboration avec les gouvernements dans les limites légales, concluant par un appel à l’éducation des utilisateurs sur les qualités et les limites du chiffrement.

La controverse

Emily Slifer, directrice de la politique de Thorn, une ONG qui utilise la technologie pour lutter contre les abus sexuels commis contre des enfants, a souligné dans une interview avec Euractiv que la vie privée des utilisateurs et la sécurité des enfants ne devaient pas être opposées. Grâce à des outils tels que Safer, un logiciel de détection de contenus ainsi qu’un cadre adéquat avec des solides garanties, il est possible d’assurer les deux.

Ces outils, a-t-elle ajouté, « sont utilisés de manière fiable depuis des années » et sont « constamment améliorés ».

La détection de ce type de contenu est en fait déjà en cours, sur une base volontaire.

En janvier, les gouvernements européens ont présenté un document illustrant la mise en œuvre du règlement temporaire visant à prévenir la pédopornographie, et détaillant la manière dont le projet de loi est déjà utilisé pour repérer les contenus suspects.

Les cas, provenant de diverses sources, dont Europol et les fournisseurs de services en ligne, témoignent des efforts fructueux de détection et de poursuite dans les États membres de l’UE, grâce à la coopération avec des organisations internationales telles que le National Center for Missing & Exploited Children (NCMEC).

Le règlement provisoire était censé être une solution temporaire en vue de l’adoption d’une loi permanente pour lutter contre les contenus pédopornographiques.

Après plusieurs retards dans l’adoption de la législation permanente, la Commission, le Parlement et le Comité des représentants permanents (COREPER) ont chacun proposé des prolongations différentes pour les règles provisoires.

Finalement, en avril, le Parlement européen a soutenu la prolongation d’une exception aux règlements de l’UE sur la vie privée jusqu’au 3 avril 2026.

[Édité par Anna Martino]