La Présidence belge du Conseil de l’UE va tenter, vendredi 1er mars, de relancer les travaux sur le règlement relatif au retrait du matériel pédopornographique en ligne (CSAM) avec une nouvelle approche sur le contenu de ce règlement proposé en mai 2022 et bloqué en partie en raison de ses dispositions sur les ordres de détection imposés aux services de messagerie privés, a rapporté le média allemand Netzpolitik mardi 27 février.
Le PE avait adopté sa position fin octobre (EUROPE 13280/11). Si un accord reste possible au Conseil de l'UE sous Présidence belge, les trilogues ne pourront, eux, pas aboutir sous cette mandature.
Dans sa note de travail soumise au groupe de travail du Conseil de l’UE 'Application de la loi', la Présidence propose notamment de cibler davantage les ordres de détection et de protéger les services utilisant le chiffrement de bout en bout dans les ordres de détection.
Elle propose de débattre : - de la catégorisation des risques des services en vue d'injonctions de détection plus ciblées ; - de la protection de la cybersécurité et des données cryptées, tout en maintenant les services utilisant le cryptage de bout en bout dans le champ d'application des injonctions de détection.
Il s’agira ensuite, après cette discussion, « d'évaluer les conséquences sur d'autres parties de la proposition, y compris le fonctionnement et les tâches du centre de l'UE envisagé » et de revenir avec un nouveau concept à intégrer dans le texte, explique Netzpolitik.
S’agissant des ordres de détection plus ciblés, la note propose de classer les (parties de) services des fournisseurs de services d'hébergement et de services de communications interpersonnelles en fonction de leur niveau de risque sur la base de paramètres objectifs et non discriminatoires. En fonction de leur classement, les (parties de) services seraient ensuite soumis à des mesures obligatoires ou recommandées d'atténuation des risques et, en dernier recours, à des injonctions de détection.
La Présidence suggère d’élaborer une méthodologie pour catégoriser les risques et les parties de services plus à risques. La catégorisation des risques devrait se fonder sur un ensemble de paramètres objectifs (liés au type de service, à l'architecture de base du service, aux politiques du fournisseur, aux fonctionnalités de sécurité dès la conception et aux tendances des utilisateurs), explique Netzpolitik.
À l'issue de ce processus de catégorisation des risques, les systèmes ou parties de systèmes sont classés comme présentant un 'risque élevé', un 'risque moyen', un 'risque faible' ou un 'risque négligeable'.
La catégorisation des prestataires de services pourrait être réévaluée plus ou moins fréquemment en fonction de leur catégorie.
Sur les ordonnances d'atténuation et de détection des risques, en fonction de la catégorie de risque du service (ou d'une partie du service), le prestataire peut être soumis par l'autorité de coordination à la mise en œuvre de mesures obligatoires d'atténuation des risques adaptées aux risques identifiés dans l'évaluation des risques.
Si la mise en œuvre de ces mesures n'est pas jugée suffisante, l'autorité de coordination peut demander une injonction de détection. « Afin de rendre l'émission d'ordonnances de détection plus ciblée et adaptée à la situation du prestataire de services spécifique, la Présidence propose d'établir deux types différents d'ordonnances de détection, alignés sur les catégories de risque identifiées ci-dessus », lit-on dans la note.
Les services classés dans la catégorie 'risque élevé' pourraient être soumis à des mesures obligatoires d'atténuation des risques et à une injonction de détection standard. Les services classés dans la catégorie 'risque moyen' pourraient être soumis à des mesures obligatoires d'atténuation des risques et à une injonction de détection limitée. Les services classés dans la catégorie 'risque faible' pourraient recevoir une liste de mesures d'atténuation recommandées. Les services classés dans la catégorie 'risque négligeable' ne recevraient pas de liste de mesures d'atténuation recommandées (mais devraient prendre des mesures d'atténuation volontaires sur la base de leur évaluation des risques).
Sur le chiffrement de bout en bout, la note propose « d'inclure les services utilisant cette technologie dans le champ d'application des ordonnances de détection standard émises pour les services à haut risque, à condition qu'une ordonnance de détection ne crée aucune obligation qui exigerait d'un fournisseur qu'il crée un accès à des données cryptées de bout en bout et que les technologies utilisées pour la détection soient examinées en ce qui concerne leur efficacité, leur impact sur les droits fondamentaux et les risques pour la cybersécurité ».
Pour le député Patrick Breyer (Verts/ALE, allemand), qui a relayé cette nouvelle note, « le fait que la prétendue nouvelle proposition de la ministre belge de l'Intérieur soit présentée comme 'plus ciblée' est un mensonge éhonté. En réalité, il s'agit de continuer à rendre obligatoire le contrôle de masse des conversations privées de personnes totalement insoupçonnées ».
Lien vers la note : https://aeur.eu/f/b1w (Solenn Paulic)