Comme prévu, les ministres de l’Intérieur des Vingt-sept n’ont pas pu donner, jeudi 12 décembre, leur feu vert au dernier compromis de la Présidence hongroise du Conseil de l’UE relatif au règlement sur le retrait du matériel pédopornographique en ligne (‘CSAM’).
Alors que neuf pays (l'Allemagne, les Pays-Bas, le Luxembourg, l'Autriche, la Pologne, la Slovénie, la République tchèque, l'Estonie et la Finlande) avaient constitué le 6 décembre une minorité de blocage sur ce dossier (EUROPE 13540/8), les ministres de ces pays ont réitéré leur blocage lors d’une session publique, exprimant tous un malaise en raison des technologies retenues pour procéder à des détections de matériel pédopornographique dans les communications privées et annonçant leur abstention.
Ces pays ont tous dit redouter un risque non encore exclu de surveillance généralisée des communications privées et ont également dit douter de la technique de ‘l’analyse côté client’, qui permettrait de respecter le chiffrement, mais aurait des implications sur la cybersécurité.
La ministre allemande de l’Intérieur, Nancy Faeser, s’est dite résolue à combattre ces crimes « abjects » et a apprécié que le texte sur la table crée notamment plus de droits pour les victimes, avec des réparations. « Mais ce n’est pas une bonne solution de filtrer des millions de communications privées juste pour une personne soupçonnée », selon elle. La ministre a ainsi appelé ses collègues à continuer à rechercher une solution acceptable, se plaçant sur la même ligne que l’Autriche, qui, par la voix du ministre Gerhard Karner, avait aussi soulevé des difficultés d’ordre constitutionnel.
La Slovénie a pointé une interférence trop grande dans le droit à la vie privée et aux communications privées. Il faut une solution qui permette au texte de passer l’épreuve de la Cour de justice de l’UE, a estimé le pays.
Le ministre luxembourgeois, Leon Gloden, a estimé qu'il n’est pas non plus possible d’accepter la solution sur la table alors que le service juridique du Conseil de l’UE a établi un risque de surveillance généralisée et indifférenciée des communications. L’exigence de proportionnalité n’est pas respectée, a-t-il ajouté, demandant à ses partenaires de travailler sur un texte « viable ». La technologie de l’analyse côté client, qui permet de protéger le chiffrement, est aussi critiquée pour ses implications sur la cybersécurité, a-t-il observé.
Si l’Estonie a dit vouloir travailler sur un texte qui « protège véritablement les enfants et la vie privée », la Pologne, par la voix du ministre Tomasz Siemoniak, a dit ne pas avoir la « garantie à 100% » que les risques de ‘scanning’ généralisé des communications sont actuellement écartés.
Le ministre hongrois de l’Intérieur, Sándor Pintér, a reconnu qu’il fallait encore travailler pour parvenir à un accord.
Conclusions sur l'accès policier aux données. Par ailleurs, le 12 décembre, le Conseil de l’UE a invité, dans des conclusions, les institutions, organes et agences de l'UE ainsi que les États membres à tenir compte des enseignements du Groupe de haut niveau sur un accès effectif et légal aux données pour les autorités judiciaires et répressives.
Le Conseil « invite la Commission, les États membres et toutes les parties prenantes intéressées, y compris le coordinateur de l'UE pour la lutte contre le terrorisme et les agences JAI compétentes, à soutenir, par le biais d'un discours de communication commun, l'explication des besoins des services répressifs opérant dans des cadres juridiques pour protéger la société, à encourager les prestataires de services à coopérer avec les autorités publiques et à contribuer de manière constructive au discours public ».
Le Conseil invite aussi la Commission à présenter, d'ici le deuxième trimestre 2025, une feuille de route pour la mise en œuvre des mesures pertinentes, y compris la législation, si elle est jugée nécessaire à la suite d'une analyse d'impact approfondie et complète, afin de garantir l'accès légal et effectif, pour les services répressifs, aux données, qui doivent être traitées de toute urgence tout en excluant toute interférence avec la sécurité nationale.
Le Conseil comprend que cette feuille de route est un document complet basé sur les travaux du groupe et ses recommandations, contenant pour chaque mesure un calendrier précis.
Le groupe de haut niveau demande entre autres à la Commission de publier en 2025 « une recommandation sur l'accès en temps réel aux données », qui « clarifie la notion d'interception légale pour les fournisseurs de services de communications électroniques et détaille les différentes exigences qui peuvent s'appliquer à l'interception légale des données de contenu et de non-contenu disponibles, dans le plein respect de la cybersécurité, de la protection des données et de la vie privée, sans compromettre le cryptage ».
Liens vers les conclusions et le rapport de haut niveau : https://aeur.eu/f/erz ; https://aeur.eu/f/ern (Solenn Paulic)