La Présidence danoise du Conseil de l’UE devrait solliciter, le 26 novembre, le feu vert des États membres sur un mandat de négociation avec le PE relatif au règlement sur le retrait des contenus pédopornographiques en ligne (‘CSAM’).
Alors qu'elle envisageait au départ de demander ce mandat dès ce 19 novembre, quelques réserves parlementaires restantes auraient fait glisser le calendrier d'une semaine, ont expliqué des sources.
La Présidence devrait néanmoins, selon toute vraisemblance, s'avancer vers un dénouement positif après trois ans de controverses sur ce dossier, en particulier après le retrait dans les derniers compromis de toute référence à des injonctions obligatoires de détection des contenus pédocriminels, imposées aux plateformes web et fournisseurs de services, notamment dans les communications privées via des services comme WhatsApp.
La Présidence avait en effet décidé, fin octobre, d’abandonner ce caractère obligatoire et avait reçu le 6 novembre un soutien pour présenter un ultime texte délesté de ces obligations de détection (EUROPE 13746/12).
Ce mandat de négociation - partiel, car le lieu du futur siège de l’Agence de l’UE chargée de gérer le traitement de ces contenus ‘CSAM’ n'est pas encore connu - devait être approuvé sans discussion, selon un agenda provisoire du Conseil.
Plusieurs États membres de poids - comme l’Allemagne, jusqu’ici opposée - auraient aussi entretemps indiqué une position désormais favorable au texte sur la table.
Pour les partisans du texte initial de la Commission et des injonctions de détection obligatoires, cette solution serait décevante, mais resterait un moindre mal pour éviter un vide juridique.
En avril prochain, expirera en effet le régime actuel dérogatoire de 'détection volontaire', qui autorise aujourd’hui les géants du web à détecter ces contenus sur base facultative. Les négociations avec le PE devant encore avoir lieu, une prolongation de ce régime dérogatoire pourrait donc encore être nécessaire le temps que le nouveau règlement entre en vigueur.
Dans son dernier texte, daté du 13 novembre et publié par Netzpolitik, la Présidence danoise précise en tout cas dans les dispositions générales que « la cybersécurité et le chiffrement sont protégés de manière exhaustive ».
Concernant les obligations d'évaluation et d'atténuation des risques, une évaluation et une catégorisation des risques renforcées sont mises en place pour les services afin de déterminer le risque associé à des services spécifiques sur la base d'un ensemble de critères objectifs (liés au type et à l'architecture de base du service, aux politiques du fournisseur, aux fonctionnalités de sécurité intégrées et à une analyse des tendances des utilisateurs).
À l'issue de cette catégorisation des risques, les systèmes ou leurs composants seront classés comme présentant un 'risque élevé', un 'risque moyen' ou un 'risque faible'. Et certains fournisseurs de services à haut risque auront l'obligation de prendre des mesures pour développer les technologies appropriées afin d'atténuer le risque d'abus sexuels sur mineurs identifiés sur leurs services.
Une clause de réexamen est ajoutée, imposant à la Commission l'obligation d'évaluer, trois ans après l'entrée en vigueur du règlement, la nécessité et la faisabilité d'intégrer ultérieurement des obligations de détection, notamment par une évaluation factuelle de la fiabilité et de la précision des technologies disponibles pertinentes.
Lien vers le projet de mandat : https://aeur.eu/f/jhr (Solenn Paulic)