Les États membres se sont penchés, mercredi 3 avril en groupe de travail, sur une dernière proposition de compromis de la Présidence belge du Conseil de l’UE sur le règlement relatif au retrait du matériel pédopornographique en ligne.
Il s’agissait du premier document de compromis complet après la présentation en début d’année par la Présidence d’une nouvelle approche basée sur une catégorisation des risques (EUROPE 13360/20), justifiant ensuite l’envoi aux plateformes d’injonctions de détection de ce matériel dans les communications privées. Le texte était aussi destiné à compléter et préciser un premier compromis intermédiaire publié le 13 mars.
Mercredi, les États membres n’avaient toutefois pas encore pu dégager de tendance claire indiquant qu’un accord serait proche, a rapporté une source, étant donné que les positions de ces mêmes États membres étaient restées globalement inchangées, avec des pays comme l’Allemagne et l’Autriche, notamment, se montrant toujours sceptiques quant à ces ordres de détection, mais aussi aux possibles conséquences sur le chiffrement des communications privées, qui reste un point sensible.
Par ailleurs, selon cette source, l’Allemagne aurait continué à plaider pour une scission de ce règlement, comme elle l’avait fait en fin d’année 2023. La question d’introduire ou non les contenus déjà connus ou les nouveaux contenus et celle d’inclure le pédopiégeage dans le règlement ne seraient pas non plus encore réglées.
La Présidence présentera un nouveau texte le 15 avril en groupe de travail. Alors que le texte du 13 mars avait expliqué les grandes lignes de la catégorisation des risques, destinée à atténuer les craintes d’une surveillance généralisée des communications privées, le texte daté du 27 mars a apporté des détails sur la méthodologie, a ajouté cette source.
Le 13 mars, la Présidence suggérait de développer une méthodologie pour déterminer le risque de services spécifiques ou de parties ou composants de ces services plus à risque. « L'idée serait d'établir trois catégories dans lesquelles les services (parties ou composants) pourraient être classés comme étant à haut risque, à risque moyen ou à faible risque. Cette classification serait définie objectivement selon une procédure spécifique et sur la base d'un ensemble de paramètres objectifs (liés, par exemple, au type de service, à l'architecture de base du service, aux politiques du fournisseur, aux fonctionnalités de sécurité par la conception et aux tendances des utilisateurs) ».
Ce processus donne des outils aux fournisseurs de services pour évaluer eux-mêmes les risques sur leurs services, un risque plus élevé signifiant un niveau plus élevé de garanties et un plus grand nombre d'obligations pour les fournisseurs.
Le nouveau texte proposait, entre autres, un calendrier des mises à jour des analyses des risques adaptées au degré de risque (au moins une fois par an pour les services à haut risque).
Pour les pays sceptiques dès le départ, réserver les ordres de détection aux seuls services à haut risque pourrait ne pas atténuer le spectre de la surveillance généralisée, car les services concernés pourraient être les plateformes grand public et massivement utilisées, ce qui reviendrait à affecter un grand nombre de personnes. (Solenn Paulic)