Aujourd’hui, Mailfence et d’autres entreprises soucieuses de la protection de la vie privée publient leur lettre ouverte concernant la proposition de règlement sur les abus sexuels commis sur des enfants (CSA).
Vous trouverez ci-dessous la lettre commune initiée par Tuta, que Mailfence et d’autres entreprises soucieuses de la protection de la vie privée ont cosignée.
Lettre ouverte aux États membres de l’UE sur la proposition de Règlement CSA
« Chers Ministres de l’Intérieur, de la Justice et de l’Économie des États membres de l’UE,
Nous, petites et moyennes entreprises et organisations basées en Europe, vous écrivons pour vous faire part de notre forte préoccupation au sujet de la proposition de Règlement sur les abus sexuels sur enfants (CSA). Collectivement, nous vous appelons à veiller à ce que la position de votre pays sur ce dossier soit aussi proche que possible de celle du Parlement européen. Assurer la sécurité des enfants en ligne est l’une des tâches les plus importantes pour des entreprises comme les nôtres et pour cette raison, nous trouvons le Règlement proposé par la Commission européenne extrêmement préoccupant.
S’il était mis en œuvre en l’état, il aurait un impact négatif considérable sur la vie privée et la sécurité des enfants en ligne. De plus, il aurait des conséquences potentiellement dramatiques sur le niveau de cybersécurité au sein de l’Union Européenne, tout en créant de fortes charges administratives*.
Le Parlement Européen a récemment adopté sa position sur le dossier, reconnaissant que les technologies utilisées pour scanner les contenus ne sont pas compatibles avec l’objectif de garantir des communications confidentielles et sécurisées. Les changements cruciaux qui sont proposés reflètent les avis du Contrôleur européen de la protection des données (CEPD), des services juridiques du Conseil ainsi que d’innombrables experts en cryptographie et cybersécurité**.
Il reflète également l’opinion de 63 à 69 % des entreprises, autorités publiques, ONG et citoyens consultés par la Commission européenne dans son analyse d’impact***.
En tant que petites et moyennes entreprises et organisations du secteur technologique, nous partageons leurs préoccupations car nous savons que la recherche de contenus spécifiques – tels que des textes, des photos et des vidéos – dans une communication chiffrée de bout en bout nécessiterait la mise en œuvre d’une porte dérobée, ou d’une technologie similaire appelée « client- side scanning ». Même si un tel mécanisme était créé dans le but de lutter contre la criminalité en ligne, il serait également rapidement utilisé par les criminels eux-mêmes, exposant ainsi les citoyens et les entreprises à des risques accrus en ligne.
La protection des données, avantage concurrentiel européen
Nos entreprises ont créé des produits et des services conformes au cadre robuste de la protection des données de l’UE, qui sert toujours d’exemple et d’inspiration dans le monde entier. Le RGPD a permis la création en Europe d’entreprises technologiques éthiques et axées sur la confidentialité des données, qui autrement n’auraient jamais été en mesure de rivaliser avec les GAFAM. Cela a donné aux entreprises européennes un fort avantage concurrentiel dans ce domaine au niveau international et a permis aux consommateurs d’enfin pouvoir trouver des alternatives aux services américains et chinois.
Nos utilisateurs, tant au sein de l’UE qu’au-delà de ses frontières, font confiance à notre engagement à protéger leurs données, et cette confiance est un moteur clé de notre compétitivité.
La courbe d’apprentissage pour s’adapter à la charge administrative nécessaire induite par le RGPD était longue mais en valait la peine. Cependant, le Règlement CSA pourrait menacer cet avantage unique dont nous bénéficions et ajouterait également une nouvelle charge administrative qui, nous le craignons, pourrait submerger à la fois nos entreprises et les organismes chargés de l’application dudit Règlement. Compte tenu du volume de communications et de contenus transitant par nos services, même un taux d’erreur insignifiant des technologies appliquées à la recherche de matériel abusif entraînerait l’examen manuel de millions de faux positifs chaque jour.
Le Règlement CSA risque d’éroder la confiance et la sécurité en ligne
Dans un monde où les violations de la confidentialité des données personnelles et où les scandales liés à la vie privée sont de plus en plus fréquents, la réputation de l’UE en matière de protection rigoureuse des données constitue un argument de vente unique pour les entreprises opérant à l’intérieur de ses frontières. Cela garantit à nos clients que leurs informations sont traitées avec le plus grand soin et la plus grande intégrité.
Cette confiance, une fois érodée, est difficile à reconstruire, et toute mesure qui la compromet, comme l’analyse obligatoire ou la vérification obligatoire de l’âge, peut potentiellement nuire aux entreprises, grandes et petites.
En outre, l’UE a récemment adopté le règlement 2023/2841, qui oblige les institutions et organes de l’UE à envisager l’utilisation du chiffrement de bout en bout parmi leurs mesures de gestion des risques de cybersécurité. De nombreuses propositions européennes en matière de cybersécurité sont également actuellement sur la table, telles que le « Cyber Resilience Act » et le « Cybersecurity Act ». Soutenir une approche opposée pour le Règlement CSA ne ferait que saper le cadre légal ayant trait à la cybersécurité dans l’UE, créant un nouvel ensemble de mesures contradictoires, incohérentes et inefficaces que les entreprises ne seraient pas en mesure d’appliquer sans mettre en danger les citoyens et les entreprises.
La proposition du Parlement Européen va dans la bonne direction
C’est pourquoi nous félicitons le Parlement Européen pour l’adoption d’une position ferme promouvant la défense du droit des citoyens européens à la vie privée et à des communications sécurisées. L’engagement du Parlement Européen vis-à-vis de ces principes témoigne non seulement de son attachement aux droits de l’Homme, mais constitue aussi une lueur d’espoir pour les entreprises comme les nôtres qui accordent la priorité à la protection et à la sécurité des données.
La position du Parlement inclut des alternatives au scan des contenus qui ont un impact minimal sur la cybersécurité et la protection des données et qui, selon les experts, seraient plus efficaces qu’un scan obligatoire et indiscriminé de tous les contenus.
De tels changements de paradigme permettraient de dépasser la fausse dichotomie entre vie privée et sécurité, tout en faisant en sorte que ce texte respecte le principe de proportionnalité. Même s’ils ne sont pas parfaits à nos yeux, les changements apportés au texte par le Parlement européen constituent un bon compromis pour maintenir la sécurité et la confidentialité en ligne tout en assurant la sécurité des enfants sur internet, établissant un juste équilibre entre ces priorités.
En tant que représentants de la communauté des petites et moyennes entreprises européennes, nous encourageons les États membres de l’UE à continuer de défendre les valeurs de confidentialité, de cybersécurité et de protection des données. Ces principes non seulement s’alignent sur l’engagement de l’UE en faveur des droits de l’Homme, mais servent également de fondement à un environnement commercial prospère et compétitif. Défendons et renforçons ces principes, en veillant à ce que l’UE reste un défenseur de la vie privée sur le marché mondial.
Pour ces raisons, nous vous appelons à :
- Veiller à ce que la position des Etats Membres soit alignée aussi étroitement que possible sur
celle du Parlement Européen. Cela permettra une adoption plus rapide du Règlement tout
en s’appuyant sur le travail important effectué au Parlement Européen. - Maintenir le niveau élevé des droits fondamentaux – et en particulier de la protection des
données – dont jouissent les citoyens de l’Union Européenne. - Ne pas imposer aux entreprises comme les nôtres de procéder à une surveillance massive
de la correspondance privée pour le compte des forces de l’ordre. - Garantir un niveau élevé de cybersécurité dans l’UE en apportant les garanties nécessaires à
la protection du chiffrement de bout en bout dans le texte. Le « client-side scanning » et les
portes dérobées en particulier ne devraient pas être imposées. - Préserver la confidentialité des communications.
- Réduire au minimum les charges administratives imposées dans la proposition en la rendant
plus efficace en abandonnant le scan généralisé des communications, et en proposant des
alternatives en ligne avec celles proposées par le Parlement Européen.
Signataires
Blacknight Solutions (Irlande)
E Foundation (France)
Element (Royaume-Uni)
Logilab (France)
Mail.de GmbH (Allemagne)
Mailfence (Belgique)
Matrix Foundation (Royaume-Uni)
Murena (France)
Nextcloud (Allemagne)
Olvid (France)
Open-Xchange (Allemagne)
Proton (Suisse)
Renvis (Grèce)
Surfshark (Lituanie)
TelemetryDeck (Allemagne)
Threema (Suisse)
Tresorit (Suisse)
Tuta (Alllemagne)
Associations professionnelles et soutiens internationaux :
ACT | The App Association
Cyberstorm
Defend Democracy
Encryption Europe
Gate 15
ISOC-CAT
Myntex
Privacy & Access Council of Canada
Quilibrium
SecureCrypt
Studio Legale Fabiano
*Un résumé détaillé de la proposition, rédigé par l’ONG EDRi , est disponible ici
**Pour plus d’informations, vous pouvez lire leur déclaration de juillet 2023
***Voir notamment page 134 de l’analyse d’impact