L'équation impossible entre vie privée et protection de l'enfance
Il m'est souvent difficile d'observer l'évolution des régulations dans la tech sans y trouver une certaine ironie, mais la situation actuelle en Europe dépasse tout ce que nous avons pu voir ces dernières années. Nous assistons en ce moment même à l'effondrement d'une architecture légale qui tente désespérément de concilier deux impératifs absolus, protéger les enfants de l'exploitation en ligne et préserver le droit fondamental à la vie privée.
Deux événements ont parfaitement mis en valeur cette impasse en début de mois. D'abord, le parlement européen a laissé expirer sa dérogation ePrivacy, supprimant ainsi la base légale qui permettait à des plateformes comme Meta, Google et Microsoft de scanner volontairement les messages privés à la recherche de matériel pédopornographique. Douze jours plus tard, la commission européenne présentait fièrement une nouvelle application de vérification d'âge censée protéger les enfants tout en respectant leur vie privée. Résultat, des chercheurs en sécurité l'ont piratée en moins de deux minutes.
Le cœur du problème se trouve au milieu de cette loi expirée et de cette application défaillante. L'Europe veut protéger ses enfants, mais chaque outil qu'elle imagine se heurte violemment à l'architecture de protection de la vie privée qu'elle a passé une dizaine d'années à construire. C'est un système réglementaire en guerre contre lui-même.
Le vide juridique et le débat du "Chat Control"
La dérogation ePrivacy de 2021 n'était qu'un pansement temporaire. La commission espérait que son règlement sur les abus sexuels commis contre des enfants (le fameux "Chat Control") prendrait le relais en obligeant les plateformes à détecter et signaler ces contenus. Mais la réalité politique est bien plus compliquée. Les négociations en trilogue entre le parlement, le conseil et la commission s'éternisent depuis 2022.
Conséquence directe de cette expiration, le centre national pour les enfants disparus et exploités aux États-Unis a prévenu que les signalements en provenance d'Europe allaient chuter. Meta a d'ailleurs confirmé la suspension de ses scans volontaires dans l'UE.
D'un côté, le parlement estime, à juste titre d'un point de vue légal, que cette dérogation violait le droit fondamental à la confidentialité des correspondances. De l'autre, les associations de protection de l'enfance accusent les eurodéputés de légaliser l'aveuglement des plateformes face aux contenus illégaux hébergés sur leurs serveurs. Le parlement a donc rejeté l'analyse des messages chiffrés de bout en bout, tandis que le conseil, poussé par les forces de l'ordre, réclame des pouvoirs de surveillance. Nous sommes en face d'un fossé idéologique fondamental.
Le mur infranchissable du chiffrement
La justice européenne a déjà choisi son camp. En février dernier, la cour européenne des droits de l'homme a statué dans l'affaire "Podchasov c. Russie" qu'affaiblir le chiffrement de bout en bout constitue une violation de l'article 8 de la convention européenne des droits de l'homme. La logique est implacable et s'applique directement au projet européen. Si une plateforme ne peut scanner des messages sans affaiblir le chiffrement, et que cela viole les droits fondamentaux, alors le règlement ne peut tout simplement pas exister sous sa forme actuelle.
Les entreprises technologiques n'hésitent plus à brandir la menace de l'exil. Meredith Whittaker, présidente de Signal, a été catégorique sur le fait que son organisation quitterait l'UE plutôt que de compromettre son protocole.
Le conseil européen de la protection des données (l'EDPB) a lui-même prévenu que scanner les contenus directement sur les appareils des utilisateurs avant leur chiffrement restait une forme de surveillance de masse, car cela implique d'analyser chaque message pour identifier les contenus illégaux. Techniquement, il y a une différence entre scanner avant ou après le chiffrement. Juridiquement, c'est exactement la même violation si chaque citoyen est surveillé par un automate.
Le paradoxe technologique et la collision légale
Pendant que Bruxelles piétine, les États membres agissent en ordre dispersé, créant un patchwork législatif intenable. La France interdit l'accès aux réseaux sociaux aux moins de 15 ans sans accord parental, l'Espagne place la barre à 16 ans, l'Autriche à 14 ans, tandis que la Grèce et la Norvège préparent leurs propres interdictions. Tous exigent une vérification d'âge, mais aucun n'a de mécanisme commun pour la faire respecter.
L'application de la commission, avec son système de "preuve à divulgation nulle", était censée prouver qu'il était possible de vérifier un âge sans collecter de données personnelles. Son effondrement en deux minutes chrono a prouvé de manière tragique l'inverse. L'ingénierie ne peut pas toujours résoudre les paradoxes philosophiques.
C'est là que réside la collision légale absolue que je trouve si intéressante. Le RGPD exige que les données des enfants soient protégées de manière drastique et instaure le principe de minimisation des données. Le Digital Services Act (le DSA) oblige les plateformes à protéger les enfants contre les contenus nuisibles. Le règlement sur les abus sexuels exige de trouver les contenus illégaux.
C'est un véritable serpent qui se mord la queue. Pour protéger un enfant, la plateforme doit savoir qu'il est un enfant. Pour savoir qu'il est un enfant, elle doit collecter et analyser ses données personnelles. Or, collecter ces dernières pour vérifier son âge viole le principe même de minimisation du RGPD.
L'impossible compromis de juillet
Les négociateurs ont fixé le mois de juillet comme date limite pour trouver un accord politique. Les rumeurs bruxelloises évoquent un compromis affaibli qui se limiterait aux plateformes non chiffrées et utiliserait des bases de données d'empreintes numériques, tout en exonérant les messageries sécurisées de tout balayage de contenu.
Les forces de l'ordre s'insurgent déjà, expliquant que les messageries chiffrées sont justement le canal principal de diffusion de ces abus. Les défenseurs de la vie privée, eux, craignent la fameuse pente glissante. Une fois l'infrastructure de surveillance en place, elle sera étendue inévitablement à d'autres délits.
À mon avis, l'Europe n'a pas résolu cette tension parce qu'elle n'est probablement pas soluble par la seule voie réglementaire. Les outils nécessaires pour protéger les enfants exigent des facultés de surveillance que la loi européenne existe précisément pour interdire. Le texte final, s'il voit le jour après quatre ans de tractations, risque de ne satisfaire personne, tout simplement parce que la sécurité des enfants et la vie privée de tous exigent des choses radicalement opposées de la part de la même infrastructure technologique.