WhatsApp, Signal, Messages... Pourquoi vos conversations en ligne pourraient être moins protégées à l'avenir

Comment trouver un équilibre entre la lutte contre la pédocriminalité en ligne et la préservation du droit fondamental à la vie privée ? La question sera bientôt posée par la Commission européenne aux députés européens à travers le projet de règlement CSAR ("Child sexuel abuse regulation"), une initiative communautaire contre les abus sexuels sur les mineurs en ligne très décriée par les plateformes technologiques car il pourrait remettre en cause la confidentialité des messageries chiffrées.

Présenté en mai 2022 par l'organe exécutif de l'Union européenne, ce texte aussi appelé "Chat Control" comprend plusieurs dispositions pour lutter contre la diffusion d'images et de vidéos pédopornographiques et les sollicitations de mineurs à des fins sexuelles. La mesure la plus controversée vise à obliger les plateformes - à savoir les messageries en ligne, les fournisseurs de mail, les applications de rencontre et les fournisseurs de cloud - à scanner de manière préventive les communications de leurs utilisateurs afin de détecter et de signaler les contenus d'abus sexuels sur des enfants. 

Le projet est loin de faire l'unanimité. Les autorités européennes de protection des données, les défenseurs de la vie privée, des éditeurs de messageries chiffrées et certains pays de l'Union européenne, dont l'Allemagne, dénoncent un risque pour les libertés publiques et craignent la création de brèche dans les technologies qui protègent la confidentialité des messageries chiffrées, comme WhatsApp, Signal, iMessage ou Proton. 
Mise à jour du 20 juin : le vote sur "Chat control" prévu le 20 juin au Conseil européen a finalement été reporté sine die. Après un débat des ministres de l'Intérieur mi-juin, les ambassadeurs des Vingt-Sept ont constaté jeudi lors d'une réunion à Bruxelles une absence persistante de consensus. "Il est apparu que la majorité qualifiée requise ne serait tout simplement pas atteinte", selon une source diplomatique belge, dont le pays assure jusqu'à fin juin la présidence du Conseil de l'UE.
Le point a été retiré de l'ordre du jour et la Hongrie, qui occupera à partir du 1er juillet la présidence tournante de l'UE, sera chargée de reprendre les travaux afin d'arriver à une position commune des Etats membres sur le texte, avant d'entamer des pourparlers avec le Parlement européen pour le finaliser.

Actuellement, la détection de ces contenus illicites s'appuie sur la coopération volontaire des plateformes. Mais cette approche relève d'un cadre juridique temporaire qui arrive à expiration en avril 2026. Elle est aussi jugée insuffisante par les associations de protection de l'enfance qui poussent l'Union européenne à mettre en place une obligation légale de détection automatique pour faire face à la prolifération d'images et vidéos d'abus sexuels sur mineurs. 

Le projet de règlement prévoit qu'à l'avenir, dans le cas où il existe un risque important qu'un service soit utilisé pour diffuser des contenus pédophiles, une autorité judiciaire ou administrative indépendante pourrait émettre un ordre de détection. La plateforme visée aurait alors l'obligation d'analyser automatiquement le contenu des communications de ce service. Les messages illicites seraient ensuite signalés à un nouveau Centre européen de prévention et de lutte contre les abus sexuels sur les enfants, chargé de les vérifier et les transmettre aux autorités de police et à Europol.

Un risque d'affaiblissement de la protection des conversations privées

Cibles du projet de règlement, des éditeurs de messageries chiffrées sont montés au créneau ces derniers mois pour expliquer que leur position deviendrait intenable : pour se conformer à la nouvelle règlementation et transmettre des informations qu'ils ne possèdent pas aujourd'hui du fait de leur recours au chiffrement de bout en bout, ils devraient abandonner leur promesse de confidentialité. 

Le chiffrement de bout en bout est un pilier essentiel dans la protection de la vie privée en ligne. Cette technologie garantit que seuls les participants à une discussion peuvent lire le contenu de leurs discussions et que les messages envoyés restent confidentiels, même pour les fournisseurs des messageries et les services de police. 

Pour répondre à l'obligation de détecter automatiquement des contenus illicites, les plateformes seraient contraintes d'instaurer des portes dérobées dans ces protocoles. Avec le risque de voir ces brèches exploitées à l'avenir par des gouvernements ou des autorités de police pour d'autres motifs, comme la lutte contre le terrorisme, les délits de droit commun ou les problématiques de droit d'auteur. Les communications privées, les secrets d'affaires et les informations gouvernementales pourraient également être exposés à des risques plus élevés de cyberattaques, souligne par ailleurs le Parti pirate, une organisation politique française engagée dans la défense des droits et libertés sur Internet.

Les associations de défense des libertés numériques estiment que cette mesure est contraire au respect du droit fondamental à la vie privée des citoyens européens. Début 2023, le député européen du Parti pirate et rapporteur fictif du texte Patrick Breyer relevait dans une tribune que l'adoption du règlement conduirait "à l'abolition du secret des télécommunications protégé par l'article 7 de la Charte européenne des droits fondamentaux" et constituait "une ingérence grave dans la protection des données accordée par l'article 8 de la Charte", dans la mesure où l'ordre de détection "ne nécessiterait l'approbation d'aucun juge". En mai 2023, des juristes du Conseil européen pointaient le risque de voir le texte retoqué par la Cour de justice de l'Union européenne dans un document publié par le quotidien britannique Guardian. 

L'application Signal menace de quitter l'Europe

Les plateformes opposées au projet de règlement ne forment pas un front commun face à Bruxelles. Les entreprises qui ont construit leur image autour de la défense de la vie privée sont naturellement les plus véhémentes. Pionnière dans la démocratisation du chiffrement des communications, l'application Signal a déjà indiqué que si la réglementation était adoptée sous sa forme actuelle, elle retirerait son application du marché européen, plutôt que d'affaiblir ses garanties pour le respect de la vie privée. Sa présidente, Meredith Whittaker, considère que cette mesure dissimule en réalité une volonté de l'Union européenne de mettre en place "une forme de surveillance de masse sans précédent". 

L'application de messagerie chiffrée Threema fait planer le même écueil à ses 6 millions d'usagers européens. "Il est clair qu'il n'y aura jamais de version de Threema qui espionne ses utilisateurs de quelque manière que ce soit. Threema a été créée pour fournir un moyen de communication hautement sécurisé, totalement privé et anonyme. Dès qu’il ne sera plus possible d’offrir un tel service dans l’Union européenne, nous serons obligés d’en assumer les conséquences", assure l'entreprise suisse. Le service de messagerie Proton promet de son côté une contestation judiciaire si le texte est adopté sous sa forme actuelle.

Meta et Apple, fournisseurs des applications de messagerie chiffrées les plus populaires au monde avec WhatsApp et Messages, brillent pour l'instant par leur discrétion sur le sujet. Déjà engagés dans plusieurs procédures avec l'Union européenne dans le cadre du DSA, du DMA et de l'IA Act, les deux groupes ne se sont pas dressés publiquement face au nouveau projet de règlement européen, laissant au CCIA, le lobby européen des nouvelles technologies qui représente les entreprises du secteur, le soin de le faire.

En revanche, le patron de WhatsApp, Will Cathcart, a fait savoir au Monde en novembre 2023 qu'il était opposé à tout texte de loi qui le contraindrait à affaiblir ou contourner le chiffrement protégeant les messages des 2 milliards d'utilisateurs de son application. "Avoir du chiffrement mais scanner tout de même les contenus, cela revient à lire les messages de tout le monde ou à écouter tous leurs appels", a-t-il souligné. Une position réaffirmé le 18 juin sur le réseau social X : "Scanner les messages des gens tel que le propose l'UE casse le chiffrement. C'est de la surveillance et c'est une voie dangereuse", a-t-il affirmé.

Les deux géants technologiques font partie des premiers acteurs à avoir contribué à la détection volontaire des contenus d'abus sexuels sur mineurs sur leurs plateformes. Depuis plusieurs années, Meta analyse de façon proactive les messages échangés sur Messenger, non protégés par le chiffrement de bout en bout par défaut, et les données non chiffrées de WhatsApp, comme les photos des groupes de discussion et des utilisateurs pour détecter des images d'exploitation d'enfants. De son côté, Apple a mis en place en 2021 son propre outil d'analyse des données de ses utilisateurs sur iCloud pour les comparer à une base de contenus pédopornographiques signalés, avant de faire marche arrière face à la levée de bouclier suscitée par l'initiative. 

En France, l'association de défense des libertés publiques La Quadrature du Net a pris position contre le projet de règlement dans lequel elle voit un "cheval de Troie de la Commission" pour affaiblir le chiffrement. "En affichant l’objectif de protéger les enfants, l’Union européenne tente en réalité d’introduire une capacité de contrôle gigantesque de l’ensemble des vies numériques, concrétisant le rêve de surveillance de tout gouvernement", estime l'association.

Pas d'envoi d'images, de vidéos et de liens en cas de refus du scan des messages

En réponse aux inquiétudes soulevées, la Belgique, qui préside le Conseil de l'Union européenne jusqu'au 30 juin, a proposé en mai un texte de compromis qui exclut les communications chiffrées de bout en bout des obligations de détection, mais prévoit la possibilité de scanner un contenu au moment où il est téléchargé par l'utilisateur, avant qu'il ne soit partagé via une messagerie chiffrée. "Cette proposition a le mérite de ne pas briser le protocole de chiffrement à proprement parler, mais elle va à l'encontre de son esprit qui est de garantir la confidentialité des communications de bout en bout", explique Romain Digneaux, spécialiste des affaires publiques de la messagerie Proton. 

Dans la version actuelle du texte, les utilisateurs européens pourraient aussi refuser le scan de leurs messages, à condition de consentir à utiliser leurs applications de messagerie dans un mode restreint, sans pouvoir envoyer d'images, de vidéos ni de liens. Une disposition qualifiée de "chantage" par les opposants au texte. Les réticences visent également les possibles erreurs des systèmes d'intelligence artificielle utilisés pour détecter les contenus pédocriminels, avec le risque de voir des utilisateurs signalés aux autorités comme des agresseurs d'enfants par erreur pour des photos de famille ou des images médicales.

Le projet de règlement est actuellement en discussion à Bruxelles où les représentants des États membres doivent adopter une position officielle ce mercredi 19 juin. Il entrera ensuite en négociation au Parlement, qui s'est déjà prononcé contre des mesures qui seraient susceptibles d'affaiblir le chiffrement. Pressée de soutenir le projet par plusieurs associations de protection de l'enfance début juin, la France a exprimé un soutien conditionnel au texte à ce stade, insistant sur la nécessité de renforcer la proportionnalité du dispositif de détection pour ne pas compromettre le chiffrement. Sa position pourrait être déterminante.

D'après un rapport de la Commission européenne publié en décembre, Messenger et Instagram ont détecté près de 7 millions de contenus relatifs à des abus sexuels sur des enfants en Europe et X (Twitter) a fermé plus de 2 millions de comptes d'utilisateurs pour ce motif. Bruxelles estime que ces détections en ligne permettent d'identifier des milliers d'enfants victimes de ces situations et de mener à des condamnations de leurs auteurs. Outre-Atlantique, le Centre américain pour les enfants disparus et exploités, NCMEC a dénombré plus de 100 millions de photos et vidéos concernant des abus sexuels sur des enfants signalés en 2023, soit une hausse de près de 20% par rapport à l'année précédente.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info