Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words
Une nouvelle approche de la présidence belge du Conseil de l’UE concernant le projet de loi visant à détecter et supprimer les matériels d’abus sexuels sur des enfants en ligne met l’accent sur les rôles de l’autorité de coordination, tels que la catégorisation des risques ou les ordonnances de détection.
L’autorité coordonnée est un organisme désigné dans chaque pays de l’UE chargé de recevoir des évaluations des risques, de mettre en œuvre des mesures d’atténuation et de coordonner les efforts pour détecter, signaler et supprimer les matériels d’abus sexuels sur enfants en ligne (CSAM).
Le règlement vise à créer une solution permanente pour détecter et signaler les CSAM en ligne. Ce projet a suscité des critiques car, dans sa forme originale, il permettrait aux autorités judiciaires de demander aux plateformes de communication comme WhatsApp ou Gmail d’analyser les messages privés des utilisateurs pour détecter les contenus suspects.
La nouvelle approche de la présidence, datée du 13 mars et consultée par Euractiv, mentionne un autre document, présenté lors de la réunion du Law Enforcement Working Party (LEWP) du 1er mars 2024. Le LEWP est responsable des tâches liées à la législation et aux questions opérationnelles liées à la police transfrontalière.
La nouvelle approche était à l’ordre du jour d’une réunion du LEWP mardi 19 mars.
L’approche consiste en des ordres de détection plus ciblés pour améliorer l’évaluation et la catégorisation des risques et protéger la cybersécurité et les données cryptées, tout en englobant toujours les services utilisant le cryptage de bout en bout dans le cadre des ordres de détection.
Le cryptage de bout en bout (E2EE) est une méthode de communication sécurisée qui empêche des tiers, y compris l’application de messagerie utilisée, d’accéder aux données envoyées d’un utilisateur à un autre.
E2EE a été une partie très débattue du dossier, autour de la question de savoir si la compromission est nécessaire pour détecter CSAM. Certains préconisent cette approche, tandis que d’autres plaident en faveur de méthodes qui préservent le cryptage et soulignent l’importance de la confidentialité des données.
Dans le document, l’évaluation des risques comprend la catégorisation des risques, les mesures d’atténuation et les ordres de détection, qui seraient émis pour donner le feu vert à la détection du CSAM sur les plateformes. Le dernier texte les met en lumière.
Catégorisation des risques
La présidence propose une méthodologie pour évaluer le risque associé aux services ou à leurs composants, en catégorisant les services en trois niveaux de risque : élevé, moyen et faible.
Ces catégories sont déterminées en tenant compte de facteurs tels que la nature du service, son architecture de base, les politiques des fournisseurs, les caractéristiques de sécurité et les comportements des utilisateurs, dans le but d’aider les fournisseurs de services à évaluer les risques de CSAM dans leurs services.
La catégorie fournit également des critères permettant à l’autorité de coordination de déterminer les mesures visant à atténuer ces risques.
Les prestataires de services seront tenus de faciliter le processus de catégorisation des risques par l’autorité de coordination, à l’aide d’un modèle, après avoir déterminé le risque de CSAM sur leurs services.
Ils doivent communiquer les résultats de l’évaluation des risques, les mesures d’atténuation et l’auto-évaluation à l’autorité de coordination. qui vérifie la catégorisation, demande plus d’informations si nécessaire et confirme ou attribue une catégorie différente en fonction de son évaluation.
Les prestataires peuvent signaler s’ils ont identifié un risque dans leur service nécessitant un ordre de détection, mais cela n’en déclenche pas automatiquement un. Seule l’Autorité de coordination peut décider s’il convient de demander à une autorité judiciaire ou administrative indépendante de rendre une ordonnance.
En fonction du niveau de risque, les prestataires seront soumis à différents niveaux de garanties et d’obligations. Tous les fournisseurs doivent mettre en œuvre des mesures d’atténuation et, en fonction de la catégorie de service, des mesures supplémentaires adaptées, spécifiques aux caractéristiques du service, s’appliquent également.
Selon la catégorie, le service ou son composant fera l’objet d’une recatégorisation après un certain délai. Le règlement pourrait fixer des durées maximales pour chaque catégorie : 12 mois pour un risque élevé, 24 mois pour un risque moyen et 36 mois pour un risque faible.
Les durées maximales offrent aux autorités de coordination la possibilité de fixer des durées spécifiques, qui peuvent être partagées avec les prestataires de services lors de l’émission de la catégorisation. L’Autorité peut initier une reclassification à tout moment, ce qui pourrait entraîner des mesures d’atténuation obligatoires si le service est reclassé comme à risque élevé ou moyen.
Pour les services à risque élevé et moyen, des mesures d’atténuation supplémentaires sont obligatoires. L’Autorité de Coordination expliquera pourquoi ces mesures sont nécessaires lors de la délivrance de la décision de catégorisation. Le non-respect entraînera des sanctions.
Pour les services à faible risque, des mesures d’atténuation supplémentaires sont recommandées pour aider le prestataire à identifier les améliorations potentielles du service. Le non-respect n’entraîne aucune pénalité.
Ordres de détection
La présidence suggère de limiter les ordonnances de détection aux services à haut risque en dernier recours. L’Autorité de coordination peut personnaliser l’ordre en fonction de risques spécifiques, en donnant la priorité à la méthode la moins intrusive.
Selon une annexe, pour les services à haut risque, les ordres de détection incluent les services utilisant E2EE, alors que ce n’est pas le cas pour ceux à risque moyen et faible.
Les critères de personnalisation seront vérifiés par les autorités compétentes émettant l’ordonnance sur demande de l’Autorité de coordination.
Cette demande englobe la durée de l’ordre de détection, les technologies utilisées, l’impact sur la protection des communications interpersonnelles, les limitations potentielles de la portée et d’autres garanties.
Le document introduit le terme « utilisateur d’intérêt », faisant référence à un expéditeur ou un destinataire potentiel de CSAM ou de tentatives de toilettage. Le toilettage désigne des pratiques manipulatrices visant à exploiter et à maltraiter les personnes.
Dans ce cas, la détection s’effectue automatiquement sans que personne, y compris le fournisseur, n’en soit informé jusqu’à ce qu’un certain nombre d’incidents dans les comptes des utilisateurs suggèrent d’éventuelles tentatives de partage ou de toilettage CSAM.
Lorsqu’un fournisseur reçoit un ordre de détection de CSAM et/ou de toilettage, il met en place des mécanismes pour détecter un éventuel « intérêt » en recherchant des connexions avec du CSAM et/ou du toilettage connu ou nouveau.
Un utilisateur adulte est signalé comme utilisateur d’intérêt après un nombre spécifique d’appels détectés automatiquement, en fonction du type de CSAM en ligne et des taux de précision : une fois pour le CSAM connu et deux fois pour le nouveau CSAM ou le toilettage.
Pour les enfants utilisateurs, lorsqu’un hit potentiel est détecté, l’enfant est immédiatement alerté à l’insu du prestataire. L’enfant peut alors se présenter au prestataire, qui ne le saura qu’après le signalement de l’enfant.
Les fournisseurs ne prennent conscience d’éventuels abus que lorsqu’un utilisateur est identifié comme utilisateur d’intérêt. Seuls ces utilisateurs sont signalés au Centre de l’UE, un nouveau pôle central d’expertise pour aider à lutter contre le CSAM. Selon le document, cela réduit le taux d’erreurs de détection de nouveaux CSAM et de toilettage.
Prochaines étapes
L’approche suggère qu’il faut se concentrer sur la compréhension et la gestion des risques potentiels associés aux technologies familières.
Par conséquent, les délégations sont invitées à faire part de leurs préoccupations techniques concernant les technologies de détection, permettant l’inclusion de garanties supplémentaires. En outre, il est également nécessaire de définir le rôle du Centre de l’UE en matière de vérification technologique et de collaboration avec d’autres agences de cybersécurité de l’UE.
[Edited by Zoran Radosavljevic]