Il y a un peu plus d’un an, la Commission européenne proposait l’un des pires textes jamais pensés sur le numérique : le règlement CSAR, également appelé « Chat control ». Affichant l’objectif de lutter contre les abus sexuels sur les enfants, cette proposition vise en réalité à créer un outil inédit de surveillance des communications. Dès le dépôt de ce projet de règlement, partout en Europe, associations et expert·es se sont insurgé·es contre cette initiative car elle reviendrait à mettre fin au chiffrement des communications. Aujourd’hui, bien que les critiques sont aujourd’hui plus nombreuses encore, les discussions avancent rapidement à Bruxelles, laissant présager une adoption très prochaine du texte. Afin de comprendre ses enjeux et aider à renforcer la mobilisation, nous revenons sur le contenu de ce règlement qui pourrait signer la fin de toute confidentialité des échanges en ligne.

La genèse du projet

Le 11 mai 2022, la Commission européenne lâchait une bombe dans le monde du numérique en publiant sa proposition de règlement « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants ». Dénommé « Chat control » ou « CSAR » (pour « Child sexual abuse regulation »), ce texte vise à obliger les fournisseurs de contenus en ligne à détecter des contenus d’abus sexuels de mineurs en analysant les conversations de leurs utilisateur·ices.

Cette initiative s’inspire d’outils mis en œuvre depuis plusieurs années par les grandes entreprises du web. Meta, par exemple, analyse de façon proactive l’ensemble des messages échangés sur Facebook Messenger ainsi que les données non chiffrées de Whatsapp (photos de profil ou groupe, descriptions, …) en vue de détecter des images connues d’exploitation d’enfants. En 2021, Apple annonçait mettre en place un outil d’analyse des données de ses clients hébergées sur iCloud afin de les comparer à une base de données de contenus signalés comme liés à de la pédopornographie, tout comme Microsoft qui a développé l’outil de comparaison PhotoDNA.

Dès 2020, la Commission avait commencé à laisser présager son appétence pour ce type d’outils dans sa « stratégie de lutte contre les abus sexuels commis contre les enfants » qui a débouché en 2021 sur l’adoption d’un règlement sur le sujet. Celui-ci autorisait, de façon temporaire pendant trois ans, les services de communication électronique à faire de l’analyse de contenus en vue de détecter ceux liés à ce type d’abus. Si cette possibilité était facultative et devait reposer sur leurs conditions générales, une telle inscription formelle dans la loi légitimait néanmoins les initiatives et techniques de surveillance des grandes plateformes, renforçant par là même leur pouvoir hégémonique, sans qu’aucune évaluation de la pertinence de ces méthodes ne soit par ailleurs réalisée.

Cette autorisation prend fin en 2024 et c’est pour cette raison que le CSAR a été proposé. Mais contrairement au règlement temporaire qui ne faisait que l’autoriser, ce projet de règlement impose de façon obligatoire la détection de ces contenus pédopornographiques sous certaines conditions, mettant donc fin à toute forme de confidentialité. Depuis le début des discussions il y a un an et demi, le réseau européen EDRi, dont La Quadrature du Net fait partie, a fourni un travail d’analyse considérable sur ce texte, que vous pouvez retrouver dans leur « position paper » ou, de façon plus condensée, dans leur brochure (en anglais). Nous vous résumons ici les principaux enjeux autour de ce règlement.

Le contenu du règlement

Le règlement CSAR vise à s’appliquer à un nombre très important d’acteurs. Entrent ainsi dans le champ d’application tous les « fournisseurs de services de communications interpersonnelles », c’est-à-dire les messageries en ligne telles que Signal, Whatsapp ou Telegram, les fournisseurs de mail, les applications de rencontre mais également les messageries qui ne sont qu’une fonction accessoire à d’autres services, comme dans les jeux par exemple. Rentrent également dans le champ d’application les « fournisseurs de services d’hébergement » tels que NextCloud, iCloud, DropBox ou les hébergeurs associatifs des CHATONS, les boutiques d’applications ainsi que les réseaux sociaux.

Ces fournisseurs seraient contraints à mettre en œuvre une surveillance considérable de leurs utilisateur·ices. D’une part, les articles 3 et 4 prévoient qu’ils obéissent à une obligation d’évaluer et réduire au maximum les risques de partage de contenus pédopornographiques sur les services concernés. Cela impliquerait de fournir, via une étude d’impact, des éléments sur le fonctionnement et l’usage de leur outil afin de théoriquement anticiper les risques pour identifier les mesures d’atténuation correspondantes. Les fournisseurs devraient ainsi être en capacité de donner des informations sur quel type d’utilisateur·rice (personne majeure, mineure..) utilisent leur service et quel type de contenu (vidéo, texte..) y sont échangés. Cette obligation est pourtant incompatible avec un des principes de base de respect de la vie privée sur lesquels repose le fonctionnement de nombreux services : l’absence de collecte de ce type de données personnelles. Ces prestataires seraient alors dans une position intenable car, pour se conformer à cette nouvelle réglementation, ils devront changer de modèle et commencer à recueillir des informations qu’aujourd’hui ils ne possèdent pas. Le règlement CSAR reviendrait pour eux à abandonner leur promesse de confidentialité, garantie notamment par le recours au chiffrement et l’anonymisation de données.

En outre, l’article 6 du CSAR préconise que les fournisseurs aient recours à des solutions de vérification d’âge pour remplir cet objectif de réduction des risques. Or, non seulement aucun outil viable et respectueux de la vie privée n’existe réellement à ce jour mais, surtout, le recours à ce genre de solution pose de sérieux problèmes quant à la protection de l’anonymat en ligne, comme nous le rappelions récemment dans notre analyse de la loi française SREN. Au final, le texte pousse pour privilégier la mise en place de mesures coercitives et remet frontalement en cause le droit à la vie privée.

D’autre part, ces acteurs auront l’obligation de répondre à toute « injonction de détection » émise par un juge ou une autorité administrative. Ainsi, les articles 7 à 11 prévoient que, s’il existe « un risque important que le service soit utilisé à des fins d’abus sexuels sur enfants en ligne », les fournisseurs pourront se voir obligés d’installer au cœur même de leur application ou infrastructure des outils leur permettant de scanner les données qui y transitent, afin d’y détecter de potentiels contenus liés aux abus sexuels d’enfants.

Plus précisément les fournisseurs devront repérer trois types de données :

• Des contenus « connus » c’est-à-dire des images ou des vidéos déjà répertoriées par les autorités comme liées à de la pédopornographie ou des abus sexuels d’enfants.
• Des contenus « inconnus » c’est-à-dire des photos ou vidéos susceptibles de constituer de la pédopornographie, mais qui n’auraient pas été identifiées comme telles. Pour trouver ces contenus, les services devront utiliser des outils fondés sur de l’intelligence artificielle qui identifieront des corrélations entre les contenus partagés et des indicateurs prédéfinis (par exemple de la peau nue).
• Des activités consistant à solliciter des enfants (appelé « pédopiégeage »). Il s’agit de détecter des comportements « types » de personnes qui rentrent en contact avec des enfants, à nouveau à partir de modèles statistiques et probabilistes fondés sur de l’intelligence artificielle.

Concrètement, il s’agira de mettre en œuvre une technique de « client side scanning » (littéralement « analyse côté client »), c’est-à-dire analyser directement sur les appareils des utilisateur·ices les données qui y transitent. Lorsqu’un internaute enverra un message ou postera une publication via un des services concernés par une injonction, ce contenu sera analysé avant envoi. Plus précisément, ce sont des « hash », c’est-à-dire des empreintes numériques liées aux images, qui seront examinées. Ce hash sera alors comparé à une base de données déjà constituée de contenus relatifs à des abus sexuels d’enfants. Si le hash correspond avec une photo de la base, une alerte est déclenchée. Dans le cas contraire, cela signifie que le contenu doit être qualifié d’« inconnu » et un outil d’analyse supplémentaire vérifiera alors s’il existe des corrélations ou similitudes avec des contenus d’abus sexuels pour déclencher une alerte le cas échéant.

Le cheval de Troie de la Commission : vers la fin du chiffrement

En affichant l’objectif de protéger les enfants, l’Union européenne tente en réalité d’introduire une capacité de contrôle gigantesque de l’ensemble des vies numériques, concrétisant le rêve de surveillance de tout gouvernement. Ce texte a fait l’objet de tant de réactions qu’EDRi se demande si le CSAR ne serait pas la loi européenne la plus critiquée de tous les temps. Les critiques contre ce texte viennent des institutions européennes elles-mêmes, mais aussi d’organisations de défense des enfants en passant par les acteurs de la tech, ainsi que de scientifiques et chercheur·es où 465 d’entre eux ont signé une lettre contre cette proposition. Et à raison.

Sur le plan technique, il faut comprendre que les injonctions de détections obligent les fournisseurs à analyser toutes les communications de l’ensemble des utilisateur·ices des services concernés. Et puisque les messages sont alors analysés avant d’être envoyés à leurs destinataires, cela supprime non seulement toute confidentialité mais cela rendra également inutile toute technique de chiffrement appliquée ultérieurement, c’est-à-dire une fois que le message à quitté l’appareil de l’utilisateur·ice. L’objectif premier du chiffrement est d’empêcher un tiers de lire le message. Le CSAR vise pourtant précisément à permettre une telle lecture tierce. De même, la recherche de photo ou vidéo « inconnue » est totalement inacceptable. En pratique, le risque de « faux positifs » est énorme et cela signifie que pourraient faire l’objet d’une alerte des contenus tout à fait légitimes tels le corps d’adulte d’apparence trop juvénile, une photo d’enfant envoyée dans un cadre familial ou encore des ados échangeant de façon consentante.

Enfin, appliqué au cas particulier de la détection de contenus pédopornographiques, envisager la constitution et l’utilisation d’une telle base de données ne prend pas en compte la réalité des humains devant la manipuler, l’alimenter, et qui seront confrontés à des contenus difficiles quotidiennement. Sans parler du fait que les images des enfants victimes seront conservées pour « améliorer » l’efficacité de ces outils.

Non seulement le CSAR crée des obligations disproportionnées et implique des techniques extrêmement intrusives, mais surtout ces mesures sont loin d’être pertinentes pour atteindre l’objectif crucial de protection des enfants et de lutte contre les abus sexuels. En effet, aucune étude sérieuse n’a été fournie sur l’adéquation, la fiabilité ou la pertinence de telles mesures extrêmement intrusives. Au contraire, il a été révélé par l’association allemande Gesellschaft für Freiheitsrechte que la Commission fondait sa proposition sur les seules allégations de l’industrie, particulièrement la fondation Thorn et Meta, pour justifier ce projet de règlement. Des institutions policières et judiciaires, comme en Allemagne par exemple, ont elles aussi exprimé leurs réserves sur l’utilité de ces dispositifs pour leurs enquêtes dès lors que cela ne répond pas aux problématiques qu’ils rencontrent au quotidien.

Par ailleurs, depuis le début de la campagne contre ce texte, beaucoup de ressources ont été produites pour démontrer que la protection des enfants contre les abus passait principalement par des politiques de prévention ou d’éducation et que toute éventuelle réponse pénale devait être encadrée par des mesures ciblées et fondées sur des preuves tangibles. Comment a-t-on pu alors en arriver là ?

La tentation autoritaire des États

Cette proposition législative est une solution largement conçue par l’industrie, et ensuite généralisée par les élites politiques qui illustrent ainsi une nouvelle fois leur absurde propension au « solutionnisme technologique » et au renforcement de la surveillance numérique. Pour rendre acceptable ces mesures de surveillance, elles affichent un objectif qui fait l’unanimité. Mais tout le monde sait que la stratégie consiste avant tout à affaiblir le niveau de sécurité et de confidentialité des communications numériques. Depuis les crypto-wars des années 1990, un certain nombre d’États affirment que les technologies protégeant la vie privée, et principalement le chiffrement des communications, sont un obstacle aux enquêtes policières. De fait, ces technologies sont conçues pour cela, puisque c’est à cette condition qu’elle garantissent à toutes et tous la possibilité de contrôler nos modes d’expression et de communication. L’une des plus importantes conséquences des révélations du lanceur d’alerte de la NSA Edward Snowden, il y a dix ans, fut justement une démocratisation de la pratique du chiffrement et, à l’époque, l’établissement d’un relatif consensus en faveur du droit au chiffrement au plan institutionnel. Mais police et gouvernements sont gênés, et l’on assiste depuis plusieurs années au retour de positionnements autoritaires de dirigeants prenant tour à tour l’excuse du terrorisme, de la criminalité organisée et de la pédopornographie pour obtenir sa remise en cause.

En France, aussi bien Bernard Cazeneuve qu’Emmanuel Macron ont déjà affirmé leur volonté de contrôler les messageries chiffrées, rêvant ainsi de percer l’intimité des millions de personnes qui les utilisent. Au cours d’une audition devant le Sénat le 5 avril dernier, Gérald Darmanin a expressément demandé pouvoir casser le chiffrement des militant·es écologistes et de « l’ultragauche », qui auraient une « culture du clandestin ». Aussi avons-nous récemment exposé comment, dans l’affaire dite du « 8 décembre », les services de renseignement et de police ont construit une narration similaire autour de l’utilisation d’outils respectueux de la vie privée par les personnes inculpées (Signal, Tor, Tails…), afin de dessiner le portrait de personnes criminelles ayant des choses à cacher ou la volonté de fuir la police. Au niveau européen, des fuites ont révélé l’intention de plusieurs États de réduire le niveau de sécurité du chiffrement de bout-en-bout, tels que l’Espagne qui veut tout simplement y mettre fin.

Le règlement CSAR s’inscrit dans cette continuité et constitue une opportunité parfaite pour les États membres pour enfin concevoir et généraliser un outil de surveillance des échanges de la population et ainsi mettre fin aux obstacles posés par les services trop protecteurs de la vie privée. Mais passer ce cap, c’est supprimer toute confidentialité des communications qui passeraient par des infrastructures numériques. L’intégrité et la sécurité de ces dernières ne pourraient alors plus jamais être garanties dès lors que cette « porte dérobée » existe. C’est créer des occasions, aussi bien pour les États que les acteurs malveillants, de détourner et d’abuser de cette capacité d’entrer dans les téléphones et ordinateurs de la population. Enfin, c’est ouvrir une brèche, un espace à surveiller qui n’existait pas auparavant, et qui sera nécessairement étendu dans le futur par de nouvelles législations pour repérer d’autres types de contenus.

Ce risque est dénoncé par des services tels que Signal, Proton ou Matrix, qui proposent des communications chiffrées de bout-en-bout et sécurisées — et promettent donc une confidentialité presque intégrale. Cette proposition viendrait casser leur promesse en les obligeant à analyser les contenus et à créer une vulnérabilité dans leurs technologies. Ce risque a également été récemment dénoncé par Apple : pour justifier la fin de l’analyse des contenus hébergés sur iCloud, l’entreprise expliquait que la technologie utilisée est trop dangereuse en termes de sécurité et de respect de la vie privée¹Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_21184_2_1').tooltip({ tip: '#footnote_plugin_tooltip_text_21184_2_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.

En Grande-Bretagne, où est actuellement discuté un projet de loi similaire, le Online Safety Bill, Signal et Whatsapp ont menacé de supprimer leur service du pays si ce texte venait à passer. Face à cette fronde, les Britanniques ont très récemment annoncé suspendre la mise en œuvre de cette mesure au regard de l’infaisabilité à ce stade de protéger le chiffrement de bout-en-bout. Cependant, la mesure est toujours dans la loi et pourrait donc être applicable un jour. À Londres comme à Bruxelles, la bataille est loin d’être finie.

Refuser et agir

Il est donc urgent d’agir pour arrêter cette nouvelle initiative qui créerait un grave précédent et donnerait aux États une légitimité pour pousser toujours plus loin l’intrusion dans les communications. Mais les discussions avancent vite à Bruxelles. D’un coté, le Conseil, organe regroupant les gouvernements des États membres, doit publier sa position sur ce texte d’ici fin septembre. Celle-ci s’annonce très mauvaise, poussée par plusieurs États – France en tête. Certains États comme l’Allemagne ou l’Autriche auraient néanmoins exprimé des réserves quand à l’incompatibilité de cette dernière version par rapport à leur propre position officielle. Une lettre ouverte a été signée le 13 septembre par plus de 80 organisations, dont La Quadrature, pour que les États membres n’adoptent pas le CSAR dans sa version actuelle.

De l’autre coté, le Parlement européen devra également adopter sa version du texte, d’abord en commission en octobre puis en novembre en séance plénière. Si beaucoup d’eurodéputé·es s’opposent au texte, cela ne suffira sans doute pas à bloquer son adoption. Pour agir, nous vous invitons à rejoindre la campagne « Stop Scanning me » menée par une coalition d’organisations et à partager le plus possible les informations sur la mobilisation en cours²Aussi, vous pouvez regarder cette conférence faite au dernier Chaos Communication Camp sur le combat contre Chat control (en anglais).<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_21184_2_2').tooltip({ tip: '#footnote_plugin_tooltip_text_21184_2_2', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });. Vous pouvez également appeler des parlementaires européens pour les inviter à rejeter ce texte.

Et si vous le pouvez n’hésitez pas à faire un don à La Quadrature ou à EDRi qui agit à Bruxelles. Merci !

<script type="text/javascript"> function footnote_expand_reference_container_21184_2() { jQuery('#footnote_references_container_21184_2').show(); jQuery('#footnote_reference_container_collapse_button_21184_2').text('−'); } function footnote_collapse_reference_container_21184_2() { jQuery('#footnote_references_container_21184_2').hide(); jQuery('#footnote_reference_container_collapse_button_21184_2').text('+'); } function footnote_expand_collapse_reference_container_21184_2() { if (jQuery('#footnote_references_container_21184_2').is(':hidden')) { footnote_expand_reference_container_21184_2(); } else { footnote_collapse_reference_container_21184_2(); } } function footnote_moveToReference_21184_2(p_str_TargetID) { footnote_expand_reference_container_21184_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } } function footnote_moveToAnchor_21184_2(p_str_TargetID) { footnote_expand_reference_container_21184_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } }

Aujourd’hui, nous sommes heureux de vous annoncer l’organisation par le collectif Technopolice Marseille de la deuxième édition du Festival Technopolice qui aura lieu du 28 septembre au 1er octobre 2023 à Marseille, avec le soutien de La Quadrature du Net.

Dans un contexte de répression des mouvements populaires, le recours aux technologies de surveillance de l’espace public se normalise sous prétexte de sécurité, tandis que la violence policière continue de s’accroître en France. En vue des Jeux Olympiques 2024, une loi légalisant la vidéosurveillance algorithmique (VSA) a été adoptée malgré de nombreuses oppositions (voir notamment ici et ici), faisant de la France le premier pays de l’Union Européenne à légaliser la surveillance biométrique de l’espace public.

Il y a 4 ans, La Quadrature du Net, association de défense des libertés numériques, lançait l’initiative Technopolice avec le soutien d’une vingtaine d’associations, pour recenser et contrer les nouvelles technologies de surveillance policières dans nos villes. Le collectif Technopolice Marseille commençait alors à s’organiser localement avec des conférences, expositions artistiques, cartographies de caméras et actions de rue contre le dispositif de surveillance de la ville. En 2022, nous organisions la première édition du festival Technopolice à Marseille et y lancions notre plainte collective contre la vidéosurveillance, le fichage de masse et la reconnaissance faciale de l’État. Pour cette deuxième édition, nous souhaitons dénoncer le rôle de ces technologies, qui donnent davantage de pouvoir à une police toujours plus répressive,

Face à la mise en place de la surveillance totale de l’espace public, il est urgent de résister et d’agir pour nos futurs désirables. À travers des films, des débats et des ateliers, en entrée libre, cette 2ème édition du festival vous invite à une réflexion collective.

Retrouvez le programme du festival sur technopolice.fr/festival-2023.

Au Garage cette semaine, on a publié un gros article sur la loi SREN (on en reparlera la semaine prochaine) et on vous propose pour les quinze jours qui viennent un agenda rempli de rendez-vous :
– trois rencontres avec Félix Tréguer, membre fondateur de l’association, qui présentera son livre Contre-histoire d’Internet dans des librairies de Marseille, Nice et Paris,
– deux soirées de soutien aux inculpé·es du « 8 décembre » à Nantes et à Pantin ainsi qu’un évènement organisé à Paris par La Quadrature et d’autres collectifs pour revenir sur cette affaire et débattre de la manière dont le chiffrement a été criminalisé par les services de renseignement et la justice,
– une rencontre à Lyon pour parler également du « 8 décembre » et du secret des communications,
– une rencontre à Bruxelles pour parler de la surveillance et de la défense du chiffrement avec nos partenaires européens,
– la deuxième édition du Festival Technopolice à Marseille, avec films et débats,
– et un apéro public dans nos locaux parisiens le vendredi 29 septembre : on vous attend pour parler de tout ça !

Alex, Bastien, Marne, Mathieu, Myriam, Noémie et Nono

Agenda du 15 septembre au 6 octobre 2023

• 15 septembre : rencontre avec Félix Tréguer à 19h à la librairie Les Parleuses à Nice (18 rue Defly, 5 pl. du Général Georges Marshall) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
• 16 septembre : La Quadrature du Net sera à Lyon dans le cadre du Festival « Techxploitation, pour un usage critique des technologies » — pour une discussion sur la criminilasiation du chiffrement et la confidentialité des échanges. Plus d’infos sur le festival : https://amicale.online/du-14-09-au-17-09-techxploitation-pour-un-usage-critique-des-technologies-2
• 17 septembre : soirée de soutien aux inculpé·es du « 8 décembre » à La Cocotte à Nantes (Île de Versailles) à partir de 19h30, toutes les informations ici : https://contre-attaque.net/2023/09/11/qui-terrorise-qui-soiree-de-soutien-a-nantes-dimanche-17-septembre/.
• 23 septembre : soirée de soutien aux inculpé·es du « 8 décembre » à La Trotteuse à Pantin (61 rue Charles Nodier) — discussion à 16h avec L’Envolée et La Quadrature du Net, puis grand concert à partir de 18h jusqu’à minuit : https://www.agendamilitant.org/Concert-de-soutien-aux-inculpee-es-du-8-12.html.
• 25 septembre : discussion « Affaire du « 8 décembre » : antiterrorisme et criminalisation du chiffrement » à la Bourse du travail à Paris (29 boulevard du Temple, 75003) — à partir de 19h avec La Quadrature du Net, le SNJ, Nothing to Hide et les avocats des inculpé·es.



• 26 septembre : La Quadrature participera à une discussion sur le chiffrement et la surveillance organisée par EDRi à partir de 16h30 à Bruxelles (lieu à préciser) : https://edri.org/take-action/events/save-the-date-join-edri-to-talk-encryption-surveillance-and-privacy/.
• du 28 septembre au 1er octobre : deuxième édition du Festival Technopolice à Marseille ! Films, ateliers et débats, toutes les infos ici : https://technopolice.fr/festival-2023/.
• 28 septembre : rencontre avec Félix Tréguer à 18h à la librairie L’Hydre aux milles tête à Marseille (96 rue Saint-Savournin, 13001) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
• 29 septembre : apéro mensuel au Garage (115 rue de Ménilmontant, 75020 Paris) à partir de 19h : apportez un petit truc à manger ou à boire si vous pouvez et venez discuter avec nous !
• 6 octobre : rencontre avec Félix Tréguer à 19h à la librairie Le Monte-en-l’air à Paris (2 rue de la Mare, 75020) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.

Le projet de loi visant à sécuriser et réguler l’espace numérique (aussi appelé « SREN » ou « Espace numérique ») est actuellement en discussion à l’Assemblée nationale, après avoir été voté en juillet dernier au Sénat. Ce texte, présenté comme une simple adaptation d’une série de règlements européens, change en réalité la manière de concevoir la régulation des plateformes en ligne. En voulant instaurer une censure autoritaire et extra-judiciaire, en voulant mettre fin à l’anonymat en ligne et en répétant les erreurs déjà commises avec la loi Avia, le gouvernement fait une nouvelle fois fausse route. Ce projet de loi étant très dense, commençons par une présentation générale des éléments importants du texte (nous reviendrons plus tard en détails sur certains points avec des articles dédiés).

L’accès au porno, prétexte pour mettre fin à l’anonymat

Les articles 1^er et 2 du projet de loi renforcent l’obligation pour les sites pornographiques de vérifier l’âge de leurs utilisateurs. Pour rappel, depuis une proposition de loi issue de la majorité présidentielle en 2020, les sites proposant du contenu pornographique doivent vérifier l’âge des internautes, une simple case à cocher auto-déclarative ne suffisant pas. En cas de non-respect, une peine de censure peut être prononcée par un juge. Nous dénoncions à l’époque un tel principe d’obliger les personnes à justifier de leur âge, qui passe nécessairement par une mise à mal de l’anonymat en ligne.

Mais en réalité, cette loi de 2020 n’a pas vraiment changé les choses : les sites pornographiques continuent d’afficher un bouton pour que l’internaute déclare sur l’honneur avoir plus de 18 ans, et très peu de censures ont été prononcées par la justice. Pour la simple raison que personne, ni les plateformes, ni le gouvernement, ni la CNIL ne savent comment effectuer cette vérification de l’âge d’une manière qui soit simple techniquement et respectueuse de la vie privée des personnes. Le laboratoire de prospective de la CNIL, le LINC, suggère une solution passant par un tiers de confiance, c’est-à-dire une autorité chargée de délivrer à l’internaute un certificat (un jeton, ou « token ») confirmant qu’il est bien majeur, sans que ce tiers ne connaisse le service réclamant ce certificat. Mais, d’une part, cette solution implique que le tiers de confiance pourra facilement déduire que, quand une personne lui demandera une « preuve de majorité », l’objectif sera de consulter un site pornographique. D’autre part, ce mécanisme du tiers de confiance impose l’utilisation d’une identité numérique d’État, aujourd’hui théoriquement facultative, qui deviendra alors encore plus obligatoire de fait.

Malgré ces obstacles pratiques et en dépit de l’absence de solution viable décidée conjointement par les institutions et les experts techniques, le gouvernement persiste. Mécontent d’une justice qui, à son goût, ne censure pas assez les sites pornographiques, il propose tout simplement de la contourner : le projet de loi SREN passe d’une censure judiciaire des sites ne vérifiant pas l’âge de leurs internautes à une censure administrative, c’est-à-dire extra-judiciaire. Ce n’est donc qu’une fois la censure décidée qu’un juge vérifiera sa légalité. L’Arcom, autorité née de la fusion entre la Hadopi et le CSA, sera chargée de prononcer la censure d’un site pornographique qui ne vérifierait pas l’âge des internautes. Cet entêtement à vouloir fliquer les internautes est d’autant plus surprenant que même la Grande-Bretagne, pourtant pionnière dans la censure des sites pornographiques et source d’inspiration du gouvernement, a abandonné en 2019 un dispositif similaire, faute de solution technique satisfaisante. Très récemment encore, l’Australie a abandonné un tel mécanisme de vérification d’âge et le Texas a été obligé de suspendre une loi similaire parce que la justice américaine a considéré cette loi contraire à la liberté d’expression.

Le retour de la censure obligatoire en 24 heures

L’article 3 du projet de loi renforce les obligations de retrait des contenus à caractère pédopornographique pesant sur les hébergeurs de sites internet. Aujourd’hui, la loi impose que ces derniers doivent retirer ces contenus en 24 heures sur demande de la police, mais il n’y a pas de sanction spécifique en cas d’absence de retrait (seule la responsabilité des hébergeurs pourra être retenue, mais elle s’apprécie en fonction des capacités des plateformes, de la gravité du contenu, de la difficulté à contrôler la légalité de la demande, etc.). La nouveauté du projet de loi réside dans le fait que l’absence de retrait une fois passé le délai de 24 heures constitue automatiquement un délit, sans que ne soient examinées les potentielles raisons ou explications de cette absence d’action. Dès lors, la menace d’une répression systématique accentue le joug de l’État sur ces hébergeurs et renforce le principe de la censure administrative qui est déjà, en soi, un danger pour la liberté d’expression en ligne (voir par exemple ce que nous disions il y a 13 ans à propos de la LOPPSI).

Mais surtout, il est très probable que, par crainte d’une sanction, les hébergeurs préfèrent retirer trop de contenus, quitte à se tromper. C’est exactement ce que voulait la loi Avia qui imposait des délais fixes pour retirer des contenus haineux ou à caractère terroriste. Nous dénoncions alors le risque de surcensure que ce mécanisme impliquait, tout comme le Conseil constitutionnel lorsqu’il a déclaré cette loi contraire à la Constitution.

Malgré cela, le gouvernement ne cache pas vraiment ses intentions de censure généralisée. Dans l’étude d’impact du projet de loi, il explique que l’objectif de l’article 3 est d’« aligner » les régimes de censure administrative sur celui du terrorisme. En effet, après la censure de la loi Avia, la France s’est empressée de pousser un règlement européen qui oblige aujourd’hui les hébergeurs à retirer les contenus à caractère terroristes sous peine de lourdes sanctions pénales, par un mécanisme similaire à feue la loi Avia. Par cet article 3 qui introduit des sanctions similaires pour les contenus pédopornographiques, le gouvernement organise donc le retour masqué de la loi Avia.

Le bannissement des réseaux sociaux, un coup d’épée dans l’eau

Pour lutter contre le harcèlement en ligne, le gouvernement n’envisage pas de donner les moyens humains et financiers à la justice pour faire son travail. À l’inverse, l’article 5 du projet de loi préfère miser sur un réflexe disciplinaire, en créant une peine complémentaire d’interdiction de réseaux sociaux pour les personnes qui seraient condamnées pour harcèlement : sur décision de justice, les plateformes en ligne devront suspendre les comptes détenus par les personnes condamnées et les empêcher de se créer un nouveau compte. Mais comment s’assurer qu’une personne condamnée ne se recrée pas un compte ? Le projet de loi est parfaitement silencieux sur ce point. On peut en revanche légitimement craindre que cette nouveauté ouvre la voie à la généralisation du contrôle d’identité en ligne, afin de s’assurer que l’internaute voulant se créer un compte ne sera pas sur la liste des personnes interdites de réseaux sociaux.

Cette peine d’interdiction des réseaux sociaux et la généralisation de la vérification d’identité qu’elle risque d’induire s’inscrivent dans la même ligne que la récente loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne, adoptée il y a quelques mois. Issue d’une proposition de loi du groupe Horizons, elle instaure une interdiction pour les mineur·es de moins de 13 ans de se créer un compte en ligne, impose à celles et ceux entre 13 et 15 ans d’obtenir l’accord de leurs parents, et permet aux parents d’adolescent·es ayant entre 15 et 18 ans de suspendre leurs comptes jusqu’à leur majorité. Or, ces règles ne peuvent être respectées qu’en vérifiant l’identité de toute personne voulant s’inscrire sur un réseau social.

Cette « majorité numérique » semble non seulement impossible à mettre en œuvre sans atteinte excessive au droit à l’anonymat en ligne, mais également contraire au droit de l’Union européenne. Cette situation inconfortable a poussé le législateur à soumettre, à la toute fin du processus législatif, l’entrée en vigueur de ce texte à une décision de la Commission européenne sur la conformité au droit de l’UE de ce mécanisme.

Pour autant, cela ne rebute toujours pas le gouvernement, qui continue avec le projet de loi SREN et son idée de bannissement des réseaux sociaux. Le Sénat est même allé plus loin : le rapporteur du texte à la chambre haute, Loïc Hervé, a introduit de nouvelles dispositions pour que ce bannissement des réseaux sociaux puisse être prononcé par un juge d’application des peines, voire par un procureur de la République via une composition pénale¹Procédure pénale où procureur et personne mise en cause s’accordent sur une peine puis la font valider par un tribunal.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_21120_2_1').tooltip({ tip: '#footnote_plugin_tooltip_text_21120_2_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.

La censure administrative par le navigateur

Autre surprise du texte : le gouvernement propose une nouvelle manière de faire de la censure administrative, en passant par un blocage des contenus au niveau des navigateurs web. Sous couvert de proposer un filtre « anti-arnaques », l’article 6 du projet de loi impose non seulement aux fournisseurs d’accès à Internet (FAI) et aux fournisseurs de systèmes de résolution de noms de domaine (c’est-à-dire les fournisseurs de DNS alternatifs autres que ceux des FAI) de censurer certaines ressources en ligne que la police aurait identifiées comme étant des « arnaques », mais oblige également les navigateurs web à procéder à une telle censure.

Autrement dit, si demain la police repère un site de phishing, elle pourra imposer à l’éditeur de votre navigateur préféré de procéder à son blocage pur et simple. Et peu importe s’il s’avère que la demande est erronée ou abusive. Peu importe aussi si cela ouvre grand la porte à des censures d’un autre genre, politiques par exemple. Bien évidemment, la fondation Mozilla, qui édite le navigateur Firefox, est vent debout contre cette obligation. Nous vous invitons d’ailleurs à signer leur pétition et à la faire circuler largement.

Et peut-être d’autres mesures autoritaires à venir

Ces quelques articles de ce projet de loi sont déjà très inquiétants, au regard de la mise à mal de l’anonymat en ligne, de l’atteinte à la liberté d’expression et de la négation du droit à la vie privée qu’ils instaurent. Mais ce projet de loi risque encore de s’aggraver au cours des discussions.

En juillet dernier, la réponse du gouvernement et de ses soutiens a été de pointer les réseaux sociaux comme responsables des révoltes en France, pour mieux passer sous silence le malaise social grandissant. À cette occasion, le député Renaissance Paul Midy, rapporteur général de ce projet de loi SREN, avait déjà annoncé qu’il était favorable à l’obligation de justifier de son identité civile avant de pouvoir s’inscrire sur une plateforme en ligne, emboîtant ainsi le pas d’Emmanuel Macron. Cette marotte de la droite française pourrait bien se concrétiser avec ce texte. Suite aux violences estivales, un « groupe de travail » interparlementaire s’est déjà réuni trois fois cet été pour réfléchir à une « évolution législative » de l’encadrement des réseaux sociaux. Seraient pour l’instant envisagées des restrictions temporaires de la géolocalisation ou l’obligation pour les plateformes de conserver les messages éphémères qui y sont échangés.

De plus, tout le monde au gouvernement veut maintenant son petit bout de censure. En réponse à la polémique née autour d’un site de rencontres pour jeunes enfants et adolescents devenu le terrain de chasse de pédophiles, la secrétaire d’État en charge de l’Enfance Charlotte Caubel s’imagine déjà censurer ce type de site. Mais comme la loi instaurant une majorité numérique, qui obligerait à vérifier l’identité de toute personne, n’est pas encore en vigueur, elle pourrait bien profiter de ce projet de loi SREN pour pousser ses idées de censure.

Une grande absente : l’obligation d’interopérabilité des réseaux sociaux

Finalement, il n’est pas surprenant que l’idée d’une interopérabilité obligatoire des réseaux sociaux ne figure pas dans ce projet de loi : il s’agit d’une manière radicalement différente de celle du gouvernement de réguler les contenus en ligne. L’obligation d’interopérabilité des réseaux sociaux consiste à imposer aux grandes plateformes d’ouvrir leurs communautés à d’autres réseaux sociaux. Concrètement, avec une telle obligation, les utilisateur·rices de Mastodon seraient capables de discuter avec leurs contacts restés sur Facebook. Autrement dit : les internautes pourraient partir d’un réseau social dangereux (car il marchanderait la vie privée de ses utilisateur·rices et/ou mettrait en avant des contenus problématiques) sans se couper de leurs ami·es qui y resteraient.

L’obligation d’interopérabilité des réseaux sociaux remettrait largement en question le modèle économique des géants actuels. Celui-ci repose en effet sur le non-respect structurel du droit des données personnelles et la mise en avant algorithmique de contenus haineux. En faisant réagir, ces réseaux sociaux commerciaux gardent les internautes plus longtemps sur la plateforme, augmentant ainsi les revenus publicitaires. En permettant aux internautes de partir d’un Twitter aux mains d’un milliardaire aux choix erratiques et qui met en avant l’extrême-droite ou d’un Meta régulièrement condamné pour ne pas respecter le droit des données personnelles, l’obligation d’interopérabilité de ces plateformes les pousseraient à s’adapter face à la concurrence plus éthique des réseaux sociaux décentralisés. Sans passer par une censure verticale des contenus problématiques en ligne, l’interopérabilité des réseaux sociaux, si elle est obligatoire, permettrait qu’ils ne soient plus mis en avant, et donc de réduire leur impact sur les sociétés.

Ce projet de loi, en ne s’intéressant pas à la question de l’interopérabilité, passe d’autant plus à côté du vrai sujet que les géants du numérique, eux, commencent à s’intéresser à cette question. Cet été, Meta a lancé son concurrent à Twitter, Threads, et a annoncé que son service serait interopérable, notamment avec le reste du fédivers. L’absence d’autorité capable de réguler les ardeurs des géants comme Meta crée alors un danger immédiat pour le fédivers (voir notre explication). Il est aujourd’hui crucial d’empêcher un aussi grand acteur que Meta de prendre ce qui l’intéresse dans l’écosystème des réseaux sociaux interopérables sans donner en retour. Alors que le Digital Markets Act, règlement européen voulant réguler les plateformes, avait un temps envisagé d’instaurer une telle obligation d’interopérabilité des réseaux sociaux, la France était parvenue en bout de course législative à supprimer une telle obligation. On ne peut que déplorer cette stratégie d’ignorer la question de l’interopérabilité des réseaux sociaux.

S’il fallait résumer le projet de loi SREN, nous pourrions le présenter comme l’exemple parfait de ce qu’il ne faut pas faire. Réguler par la censure, l’autoritarisme et les atteintes massives aux droits fondamentaux n’est pas la bonne solution. Il existe pourtant d’autres manières de faire, notamment en passant par l’obligation d’interopérabilité des réseaux sociaux. Nous reviendrons plus en détails sur certaines des dispositions que nous venons de présenter. En attendant, vous pouvez nous aider à continuer de défendre un Internet respectueux des personnes en nous faisant un don.

<script type="text/javascript"> function footnote_expand_reference_container_21120_2() { jQuery('#footnote_references_container_21120_2').show(); jQuery('#footnote_reference_container_collapse_button_21120_2').text('−'); } function footnote_collapse_reference_container_21120_2() { jQuery('#footnote_references_container_21120_2').hide(); jQuery('#footnote_reference_container_collapse_button_21120_2').text('+'); } function footnote_expand_collapse_reference_container_21120_2() { if (jQuery('#footnote_references_container_21120_2').is(':hidden')) { footnote_expand_reference_container_21120_2(); } else { footnote_collapse_reference_container_21120_2(); } } function footnote_moveToReference_21120_2(p_str_TargetID) { footnote_expand_reference_container_21120_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } } function footnote_moveToAnchor_21120_2(p_str_TargetID) { footnote_expand_reference_container_21120_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } }

La VSA marseillaise fait de la résistance

Voilà trois ans déjà que nous agissons contre l’installation à Marseille de caméras de surveillance « augmentées », dont les images sont analysées en direct par des algorithmes de reconnaissance des comportements. Le recours que nous avions déposé devant le tribunal administratif de Marseille a été rejeté le 2 juin dernier, pour un défaut de procédure : le tribunal a donc avalisé la stratégie de la mairie, constante malgré un changement de majorité en 2020, qui prétendait avoir « suspendu » le déploiement de ces caméras, sans pour autant s’empêcher d’utiliser celles qui étaient déjà installées… Puisque les caméras algorithmiques sont « suspendues », alors le recours n’avait plus lieu d’être, a tranché le tribunal sans chercher plus loin.

Ce faisant, le tribunal a évité de se pencher sur le fond de la question, alors que la CNIL et le Conseil d’État ont clairement énoncé l’illégalité de la vidéosurveillance algorithmique (VSA). Nous avons donc fait appel devant la cour administrative d’appel de Marseille.

Lire l’article entier : https://www.laquadrature.net/2023/08/30/la-justice-refuse-de-sanctionner-la-videosurveillance-algorithmique-marseillaise/

Le député Philippe Latombe en porte-à-faux entre la CNIL et l’AN2V

Le mardi 5 septembre nous avons publié sur TwiX et sur notre compte Mastodon une lettre adressée à Marie-Laure Denis, présidente de la CNIL, pour attirer son attention sur les liens très étroits qu’entretient Philippe Latombe, député (Modem) et tout nouveau membre de la CNIL, avec l’industrie de la vidéosurveillance et son principal lobby, l’AN2V.

Nous avons récemment documenté cette connivence entre le député et les tenants économiques de la surveillance généralisée. Au moment où la CNIL devait se prononcer sur les expériences de vidéosurveillance automatisée dans le cadre des JO de Paris 2024 (les décrets d’application de la « loi JO » étaient alors en préparation), le député-membre de la CNIL n’a pas hésité à inviter un parterre conquis à intégrer l’intelligence artificielle « sur tous les domaines qui pourront être utilisés », s’engageant de son coté à tout faire pour « élargir l’utilisation des drones malgré la réserve du Conseil constitutionnel ». Le mélange des genres est total : tout à la fois député, lobbyiste et commissaire, chacun de ses avatars servant les deux autres, M. Latombe se place de lui-même en flagrante position de conflit d’intérêts.

Il ne se gêne d’ailleurs pas pour expliquer devant l’AN2V comment manœuvrer la CNIL, dont il est bien placé pour connaître les logiques internes, et suggérer dans quel sens il faudrait modifier le collège des membres pour l’orienter vers une vision moins soucieuse du droit et plus sensible aux attentes du monde économique. À nos yeux, cette confusion des rôles n’est pas seulement choquante, elle est contraire à toutes les dispositions qui régissent la conduite déontologique de la CNIL pour assurer l’indépendance d’esprit de ses membres. Nous les rappelons donc dans notre courrier, pour soumettre l’ensemble de la situation à sa présidente, garante de l’indépendance et de la crédibilité de la Commission.

La Quadrature dans les médias

Philippe Latombe et la CNIL

• Vidéosurveillance : mis en cause par La Quadrature du Net, le député Philippe Latombe se défend de tout conflit d’intérêts — https://www.usine-digitale.fr/article/videosurveillance-mis-en-cause-par-la-quadrature-du-net-le-depute-philippe-latombe-se-defend-de-tout-conflit-d-interets.N2167592 [L’Usine Digitale]
• Vidéosurveillance : la Quadrature du Net met en cause le commissaire Latombe — https://www.zdnet.fr/actualites/videosurveillance-la-quadrature-du-net-met-en-cause-le-commissaire-latombe-39961172.htm [ZDNet]

VSA et JO

• Caméras intelligentes pendant les JO de Paris : « Les personnes vont être utilisées comme des cobayes », déplore la Quadrature du Net — https://www.01net.com/actualites/cameras-dopees-aux-algorithmes-pendant-les-jo-de-paris-vers-un-recours-systematique.html [01Net]
• France’s Surveillance Plans For 2024 Olympics Raise Privacy Concerns — https://www.forbes.com/sites/federicoguerrini/2023/09/06/frances-surveillance-plans-for-2024-olympics-raise-privacy-concerns/?sh=1170adf09541 [Forbes]

Divers

• Digital Services Act : « On traite les symptômes sans mettre en cause le fonctionnement des grandes plateformes » — https://www.humanite.fr/social-et-economie/digital-service-act/digital-services-act-on-traite-les-symptomes-sans-mettre-en-cause-le-fonctionnement-des-grandes-plateformes [L’Humanité]
• Un projet de loi pour renforcer la censure du web : « Une perspective inquiétante pour la liberté d’expression » — https://basta.media/Un-projet-de-loi-pour-renforcer-la-censure-du-web-Une-perspective-inquietante-pour-la-liberte-d-expression [Basta!]
• Enfants et écrans : « La clé est une utilisation plus vertueuse, plus rationnelle des outils numériques » — https://leclaireur.fnac.com/article/340290-enfants-et-ecrans-la-cle-est-une-utilisation-plus-vertueuse-plus-rationnelle-des-outils-numeriques/ [L’Éclaireur FNAC]

Agenda

• 14 septembre : La Quadrature donne à 19h une conférence à la Bibliothèque publique d’information (BPI) du Centre Pompidou : « Tout savoir sur la surveillance biométrique ». Plus d’infos : https://agenda.bpi.fr/evenement/tout-savoir-sur-la-surveillance-biometrique/.
• 14 septembre : causerie mensuelle Technopolice Marseille. C’est à 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
• 16 septembre : La Quadrature du Net sera à Lyon pour le Festival Techxploitation – pour un usage critique des technologies – pour une discussion sur les menaces sur le chiffrement et la confidentialité des échanges. Plus d’infos sur le Festival : https://amicale.online/du-14-09-au-17-09-techxploitation-pour-un-usage-critique-des-technologies/.
• du 28 septembre au 1er octobre : Festival Technopolice Marseille, 2e édition. Toutes les infos ici : https://technopolice.fr/festival-2023/.
• 29 septembre : apéro mensuel au Garage (115 rue de Ménilmontant 75020 Paris) à partir de 19h : apportez un petit truc à manger ou à boire si vous pouvez et venez discuter avec nous !