Les fournisseurs de services Internet et les sociétés de communication pourraient encourir des amendes pouvant aller jusqu'à 6% de leur chiffre d'affaires s'ils ne respectent pas les ordonnances judiciaires pour les exiger de communiquer électroniquement les communications et les médias sociaux pour identifier la maltraitance des enfants possibles.
Un projet de règlement qui doit être publié par la Commission européenne aujourd'hui obligera les entreprises technologiques à déployer des algorithmes pour identifier les images de maltraitance des enfants et les tentatives de toilettage sur les communications et les services de médias sociaux.
Les propositions ont soulevé des préoccupations de groupes de la société civile, certains députés et technologues qu'ils affaibliront les services de chiffrement de bout.
Patrick Breyer, l'urgence député et le militant des droits civiques, a décrit le règlement proposé comme un pas vers la surveillance de l'État de style chinois.«Avec ses plans pour briser le cryptage sécurisé, la Commission de l'UE met la sécurité globale de nos communications privées et de nos réseaux publics, des secrets commerciaux et des secrets d'État à risque de plaire à des désirs de surveillance à court terme», a-t-il déclaré.
L'action volontaire a échoué
Un projet divulgué du règlement, qui devrait être publié aujourd'hui par le commissaire aux affaires intérieures Ylva Johansson, soutient que bien que certaines entreprises technologiques utilisent la technologie pour détecter, signaler et supprimer la maltraitance des enfants en ligne, les mesures volontaires n'ont pas réussi à éradiquer le problème.
«Les mesures prises par les prestataires varient considérablement - avec la grande majorité des rapports provenant d'une poignée de prestataires - et un nombre important ne prennent aucune mesure», indique le document.
Le projet de réglementation introduit des ordonnances de détection ciblées qui nécessiteront légalement les sociétés de communications et de médias sociaux pour introduire une «technologie de détection automatisée» pour identifier la maltraitance des enfants, ou risquer de fortes amendes.
Dans le cadre des propositions, les sociétés de communications et de médias sociaux peuvent être commandées pour installer la technologie pour comparer des photographies sur leurs services avec des bases de données d'images de maltraitance d'enfants connus.
Ils peuvent également être tenus de déployer des algorithmes qui peuvent identifier les images de maltraitance d'enfants invisibles et détecter les tentatives de toilettage possibles en scannant le contenu des communications personnelles.
Le projet de réglementation divulgué reconnaît que la numérisation des e-mails ou des SMS pour détecter le toilettage est hautement intrusif.
Mais il indique que les technologies de détection pour le toilettage ont atteint un «degré élevé de précision», Microsoft réclamant des taux de réussite de 88%.«La technologie utilisée ne« comprend pas »le contenu des communications, mais recherche plutôt des modèles connus et pré-identifiés qui indiquent le toilettage potentiel», dit-il.
Tous les messages ou images qui semblent indiquer la maltraitance des enfants seront signalés pour un examen manuel, selon la proposition.
Surveillance de l'agence
La fuite révèle des plans de la Commission européenne pour créer une agence, le centre de l'UE sur les abus sexuels sur les enfants (EUCSA), pour superviser la politique d'ici 2029.
L'EUCSA aura des liens étroits avec l'agence de police européenne, Europol, qui fournira à l'agence des RH, des TI, des services de cybersécurité et un accès aux experts.
L'EUCSA jouera également un rôle clé dans le développement de technologies pour détecter le matériel d'abus sexuel des enfants (CSAM), qui sera disponible gratuitement aux entreprises technologiques.
Son rôle sera d'évaluer les rapports d'abus des sociétés Internet et des services de communication générés par des algorithmes pour évaluer si elles méritent une enquête plus approfondie.
Ceux qui le feront seront adoptés à Europol et aux autorités chargées de l'application des lois dans les États membres pour prendre des mesures.
Verification de l'AGE
Le projet de réglementation oblige les prestataires de services à effectuer une évaluation des risques et à introduire la technologie et les mesures opérationnelles pour réduire les risques de maltraitance en ligne des enfants.
Selon des documents divulgués, cela comprend l'introduction des technologies de vérification de l'âge et d'évaluation de l'âge pour identifier les enfants utilisant des services en ligne.
Les magasins d'applications, qui figurent sur les téléphones mobiles Android et Apple et les ordinateurs de bureau, seront nécessaires pour vérifier les applications qui pourraient être utilisées pour le toilettage et pour restreindre leur accès aux enfants.
Ordres de détection
Les tribunaux pourront servir des ordonnances de détection sur les entreprises technologiques, ce qui les obligera à introduire une technologie de détection d'abus et d'autres garanties lorsqu'il existe un risque important d'utiliser un service utilisé pour abus.
Les fournisseurs ne seront pas tenus d'utiliser une technologie spécifique, mais auront le droit d'installer et d'exploiter les technologies de détection mises à disposition gratuitement par l'EUCSA.
Les États membres de l'UE auront de nouveaux pouvoirs pour effectuer des inspections sur place des entreprises technologiques pour s'assurer qu'elles se conforment au règlement prévu.Les employés d'entreprises technologiques peuvent également être tenus de divulguer tout échec.
Les tribunaux seront en mesure de restreindre temporairement l'accès des utilisateurs à tous les services qui ne se conforment pas au règlement.
Menace pour le cryptage de bout en bout
L'accès au groupe de campagne a maintenant écrit à YLVA Johansson cette semaine exhortant la Commission européenne à ne pas utiliser le règlement proposé pour saper le cryptage de bout en bout (E2EE).
La lettre suit une préoccupation généralisée que le projet de réglementation pourrait renforcer efficacement la numérisation côté client (CCS), une technologie qui scanne automatiquement le contenu des messages pour le contenu illégal avant d'être cryptés.
«En contournant E2EE, la numérisation côté client permet aux tiers de discerner le contenu de tout message texte ou fichier multimédia.Cela sape les droits à la vie privée, à la protection des données, à la sécurité et à la liberté d'expression, et viole les droits de l'homme », a indiqué la lettre.
Il contreviendrait également au Conseil 2020 de la résolution de l'Union européenne sur le chiffrement, qui a constaté que le cryptage joue un rôle clé dans la protection des individus, de l'industrie et du gouvernement en assurant la vie privée, la confidentialité et l'intégrité des communications et des données personnelles.
La recherche a montré que le balayage côté client entraîne des faux positifs, distinguant à tort les communications de personnes innocentes pour examen par les forces de l'ordre, a-t-il déclaré.
Rejo Zenger, conseiller politique du groupe de lobbying néerlandais Bits for Freedom, a écrit dans un article de blog que les règlements proposés exigeaient la surveillance de masse des communications et étaient incompatibles avec le droit de l'UE.
«L'application que les fournisseurs de services de communication examinent en permanence les épaules de leurs utilisateurs est simplement une« obligation de surveillance générale ».Qui est contraire aux règles européennes et, tôt ou tard, les juges européens déclareront une telle loi invalide », a-t-il déclaré.
Mesures coercitives
Les droits numériques européens (EDRI) ont déclaré que les règles proposées «établissant des règles pour prévenir et combattre les abus sexuels sur les enfants» inciteront les prestataires de services à prendre les mesures les plus intrusives possibles pour éviter de graves sanctions légales.
Ella Jakubowska, conseillère politique à Edri, a déclaré que les propositions de la Commission conduiraient inévitablement à l'introduction des technologies de numérisation côté client, ce qui rendrait les téléphones mobiles vulnérables aux attaques des acteurs malveillants - ou pourrait les inciter à abandonner le cryptage entièrement.
Une fois que le CSS est largement utilisé, les gouvernements répressifs peuvent mettre les prestataires de services sous pression pour élargir les algorithmes CSS pour identifier les dissidents politiques, les organisateurs de protestation, les dénonciateurs, les journalistes et les défenseurs des droits civiques.
"La Commission européenne ouvre la porte à une vaste gamme de tactiques de surveillance autoritaire", a-t-elle déclaré.«Aujourd'hui, les entreprises analyseront nos messages privés pour le contenu CSAM.Mais une fois que ces méthodes sont disponibles, qu'est-ce qui empêche les gouvernements forçant les entreprises à rechercher des preuves de dissidence ou d'opposition politique demain? »
Computer Weekly a rapporté en octobre 2021 que 14 des principaux informaticiens du monde avaient averti que les plans d'Apple d'introduire la numérisation côté client pour détecter la maltraitance des enfants sur ses produits étaient un échec complet, citant plusieurs façons dont les États, les acteurs malveillants ou les abuseurs cibléspourrait renverser la technologie pour nuire aux autres ou à la société.
«CSS ne garantit pas la prévention efficace du crime ni empêche la surveillance.L'effet est l'opposé...CSS, par sa nature, crée des risques de sécurité et de confidentialité sérieux pour toute la société », ont-ils déclaré dans un article scientifique publié par Columbia University.
Apple a depuis reporté ses plans.
