Les négociateurs du Parlement européen sur le projet de règlement sur le retrait des contenus pédopornographiques en ligne ont appelé, jeudi 26 octobre, le Conseil de l’UE à avancer à son tour sur ce dossier, après être parvenus, le 24 octobre, à un accord politique. Ils lui ont rappelé l'urgence d'adopter cet instrument alors qu'expirera en 2024 une dérogation à la directive 'e-privacy' donnant la possibilité aux plateformes de détecter ces contenus de manière volontaire.
Le rapporteur espagnol du PPE, Javier Zarzalejos, s’est félicité du front uni du PE sur un sujet pourtant très controversé, en ce qu’il prévoit, dans sa version initiale, des obligations aux plateformes et fournisseurs de services de scanner les communications privées pour détecter ce matériel.
« Nous avons fait de notre mieux pour produire un rapport et un cadre juridique efficace, juridiquement solide et applicable. Et à mon avis, il y a un équilibre positif entre la protection des enfants, la sphère numérique et le respect des droits fondamentaux », a commenté le rapporteur.
« Il n'y aura pas de balayage massif ou de surveillance générale du web. Il n'y a pas de balayage aveugle des communications privées ni de portes dérobées pour affaiblir le cryptage », a-t-il expliqué.
En vertu de l’accord politique trouvé, qui sera confirmé en commission des Libertés civiles du PE le 13 novembre, une différence majeure intervient déjà sur les ordres de détection, qui ne seront décidés par une autorité judiciaire qu’en dernier recours.
L'ordre de détection devra « être ciblé et spécifié et limité à une partie ou à un élément identifiable du service, tel qu'un canal de communication spécifique, ou à des utilisateurs individuels ou à un groupe spécifique d'utilisateurs, soit en tant que tels, soit en tant qu'abonnés à un canal de communication spécifique, à l'égard desquels il existe des éléments objectifs et des motifs raisonnables de soupçonner qu'ils révèlent un lien, même indirect ou lointain, avec du matériel pédopornographique en ligne ».
Et le contenu des communications interpersonnelles auxquelles le chiffrement de bout en bout est appliqué ne sera pas soumis à ces mesures.
L’accord prévoit encore que tous les fournisseurs devront évaluer le risque d'utilisation abusive du service pour la diffusion de matériel pédopornographique ou pour la sollicitation d'enfants, et mettre en place des mesures pour atténuer ces risques et, le cas échéant, afin de détecter, de signaler et de supprimer ces abus.
Ces mesures d'atténuation devront être raisonnables, proportionnées, ciblées et efficaces, adaptées à leurs services spécifiques et aux risques identifiés.
Ces mesures peuvent consister à tester et adapter les systèmes de modération de contenu ou les fonctionnalités du service comme la rapidité, la qualité et l'efficacité du traitement des notifications et des signalements d'abus pédosexuels en ligne avec, le cas échéant, le retrait rapide du matériel pédopornographique. Il s’agit aussi d’adapter la conception, les caractéristiques et les fonctions par défaut.
Des mesures d'atténuation spécifiques seront obligatoires pour les services ciblant directement les enfants, notamment : - limiter la possibilité pour les utilisateurs, par défaut, d'établir des contacts non sollicités avec d'autres utilisateurs directement, en particulier par le biais de messages privés, en demandant une confirmation de l'utilisateur avant d'autoriser un inconnu à communiquer ; - fournir des outils de contrôle parental significatifs et proportionnés, adaptés à l'âge de l'utilisateur, qui permettent aux parents ou tuteurs d'exercer un contrôle tout en respectant les droits fondamentaux de l'enfant.
« Nous avons également prévu des exceptions à l'obligation de procéder à une évaluation des risques pour les fournisseurs qui ne sont pas exposés de manière substantielle aux abus pédosexuels en ligne et établi une procédure simplifiée pour les PME », a ajouté l’Espagnol.
Ce n'est que si les fournisseurs ne se conforment pas aux obligations énoncées dans le règlement que des mesures d'atténuation spécifiques seront obligatoires.
Autre différence avec le texte initial de la Commission : en dernier recours, une autorité judiciaire - et seulement une autorité judiciaire - pourra émettre une ordonnance de détection, ce qui signifie que le fournisseur devra déployer certaines technologies pour détecter le matériel connu et nouveau d'abus sexuel d'enfants.
Les rapporteurs ont aussi décidé d’exclure le grooming (sollicitations sexuelles) du champ d'application du règlement.
Il y aura cependant une clause de révision : dans un délai de trois ans à compter de l'entrée en vigueur du règlement, la Commission soumettra un rapport et, le cas échéant, une nouvelle proposition législative au Parlement européen et au Conseil sur la nécessité et la faisabilité d'inclure la sollicitation d'enfants dans le champ d'application des ordonnances de détection.
L'ordre de détection sera donc ciblé sur des utilisateurs individuels spécifiques et des groupes d’utilisateurs qui sont jugés raisonnablement suspects d'être liés à du matériel pédopornographique. L'ordre de détection sera limité dans le temps et les fournisseurs décideront des technologies qu'ils utiliseront pour se conformer aux obligations de détection.
Le rôle du Centre de l'UE a aussi été renforcé et rebaptisé ‘Centre européen pour la protection de l'enfance’, qui deviendra le canal de signalement pour l'ensemble de l'Union européenne. Il recevra, filtrera, évaluera et transmettra les rapports des systèmes aux autorités nationales compétentes et à Europol.
Le centre de l'UE aura la possibilité d'effectuer des recherches sur les fournisseurs de services d'hébergement pour les contenus accessibles au public. Le rôle du contrôleur européen de la protection des données et des autorités nationales de protection des données a été clarifié et un poste de responsable des droits fondamentaux a été créé au sein du Centre européen. (Solenn Paulic)