Monsieur le président, chers collègues, après les propos de Ludovic Haye, je voudrais tout d'abord souligner que ce texte marque une prise de conscience bienvenue de l'Union européenne sur la nécessité de mettre fin aux pires dérives constatées dans les communications électroniques, à savoir les abus sexuels sur les enfants. Je vais donc vous présenter le contenu de la proposition de règlement à laquelle nous proposons au Sénat de réagir tant qu'elle est en négociation.
La réforme impose de nouvelles obligations de détection et de retrait des contenus illégaux aux fournisseurs de services en ligne. Ces derniers feront l'objet d'une obligation d'évaluation régulière des risques d'utilisation de leurs services à des fins d'abus sexuels sur les enfants et, si un risque se confirme, à une obligation d'atténuation de ce risque par des mesures telles que le renforcement de la modération des contenus. En cas de risque de « pédopiégeage » (c'est-à-dire, de sollicitation d'un enfant par un adulte à des fins sexuelles), des mesures spécifiques de vérification permettant l'identification des enfants utilisateurs doivent être prises. Enfin, les fournisseurs seront tenus de faire rapport aux autorités de contrôle compétentes de l'État membre concerné.
La proposition introduit, en outre, pour les fournisseurs, des obligations de détection, de signalement et de retrait des contenus relatifs à des abus sexuels sur enfants en ligne ; et, si le fournisseur ne se met pas en conformité avec lesdites obligations, les autorités compétentes de l'État membre concerné se voient reconnaître le pouvoir de demander aux fournisseurs d'accès à internet le blocage des sites contrevenants pour une durée maximale d'un an.
Un point important est à souligner : tous les contenus publics sur Internet mais également toutes les communications interpersonnelles privées, dont les communications audio, seraient visées par ces injonctions. Il s'agit d'un changement majeur par rapport à l'état actuel du droit. À titre d'exemple, la plateforme PHAROS n'agit que sur l'Internet public.
La Commission européenne a souhaité prendre plusieurs précautions pour encadrer la procédure de détection : en effet, cette dernière n'est autorisée que sur injonction demandée par une « autorité de coordination pour les questions relatives aux abus sexuels sur enfants », qui dispose de pouvoirs d'enquête et de coercition auprès des fournisseurs. Et elle est ensuite émise par une juridiction ou par une autorité administrative indépendante, pour une période d'application maximale de 24 mois (12 mois concernant la sollicitation d'enfants).
Avant de demander une injonction de détection, l'autorité de coordination doit procéder aux enquêtes nécessaires et établir une analyse d'impact (en cas de première demande). Elle doit aussi permettre au fournisseur visé ainsi qu'au « centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur enfants » qui serait créé, de formuler leurs observations. Le fournisseur présente alors un plan de mise en oeuvre de l'injonction, et si cette dernière concerne des contenus de « pédopiégeage », l'autorité nationale en charge de la protection des données à caractère personnel doit aussi rendre un avis. Le schéma qui vous a été distribué résume cette procédure qui vise à offrir des garanties aux fournisseurs et aux utilisateurs des services, mais qui, il faut le dire, est complexe et pose la question de ses délais de mise en oeuvre.
Dans le schéma retenu, le retrait de contenus et le blocage de l'accès à un service internet sont, comme l'obligation de détection, déclenchés par une injonction, obéissant aux mêmes modalités, moyennant une « évaluation diligente ». Le fournisseur saisi d'une telle injonction doit l'exécuter « dès que possible », et au plus tard dans les 24 heures suivant sa réception.
La faiblesse des mesures proposées en faveur des victimes d'abus peut sembler étonnante en première lecture : la proposition de règlement se contente en effet de rappeler le droit des victimes d'abus sexuels à être informées, à leur demande, sur les contenus relatifs à des abus sexuels en ligne qui les concernent et qui auraient fait l'objet d'un signalement, ainsi que leur droit d'être assistées dans leurs demandes de retrait de tels contenus par les fournisseurs et par le nouveau centre de l'Union européenne qui serait créé. Mais la raison en est simple : les droits des victimes relèvent de la directive 2011/92/UE et sa révision devrait intervenir d'ici la fin de l'année.
La proposition de règlement institue enfin un « centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur enfants », qui serait un organisme de l'Union européenne doté de la personnalité juridique. Il serait conduit à la fois par un conseil d'administration, au sein duquel siégeraient représentants des États membres, de la Commission européenne et du Parlement européen, par un conseil exécutif et par un directeur exécutif. On peut se demander si une telle organisation interne n'est pas trop pesante.
Ce centre aurait pour principales missions : la réception des signalements de contenus pédopornographiques transmis par les fournisseurs et leur « filtrage », avant classement sans suite ou envoi aux services répressifs compétents pour mener les investigations à leur sujet ; une compétence consultative sur les injonctions de détection ; la création de bases de données, la mise au point d'une liste de technologies pour détecter ou retirer des contenus et leur mise à disposition des fournisseurs et des autorités compétentes.
La Commission européenne affirme que l'existence d'un centre indépendant serait nécessaire, en particulier au regard de la proportionnalité des mesures qu'il devrait prendre pour le traitement des signalements. Remarquons cependant que ce centre lui serait plutôt subordonné : en effet, il reviendrait à la Commission de proposer une liste de candidats pour le choix du directeur exécutif, d'évaluer l'action de ce directeur et de proposer sa révocation, si nécessaire.
De même, à l'égard d'Europol, son indépendance serait aussi très limitée. Le centre siégerait en effet dans la proximité immédiate d'Europol, à La Haye et partagerait ses fonctions administratives avec l'agence de coopération policière, « y compris les fonctions liées à la gestion du personnel, aux technologies de l'information et à l'exécution du budget». Ce qui est logique puisqu'on lui confierait des missions qui font en partie « doublon » avec celles de l'agence.
Vous l'avez compris, l'utilité de ce centre ne nous apparaît pas évidente. Nous vous proposons donc de le supprimer et de renforcer plutôt Europol, déjà en pointe dans la lutte contre la pédocriminalité et la pédopornographie.
En complément, je voudrais vous dire quelques mots de l'avancée des négociations du texte au sein du Conseil de l'Union européenne. La réforme, présentée en mai 2022, a connu de lentes avancées sous présidence tchèque avec, en particulier, une réelle opposition de l'Allemagne à certaines de ces dispositions, par exemple sur les recherches de contenus indifférenciés.
La présidence suédoise du Conseil, en phase avec nos propres réflexions, s'interroge sur la pertinence et le calibrage de certaines mesures. Elle souhaite en conséquence que les États membres précisent leurs positions sur quatre points clefs de la réforme avant de proposer un compromis. Ces quatre points sont : la détection volontaire, la préservation du chiffrement de bout en bout (selon cette technologie qui garantit la confidentialité des échanges, lorsqu'un message est envoyé à un destinataire, celui-ci est chiffré et seul le destinataire peut le décrypter, à l'aide d'une clé), la détection dans les communications interpersonnelles, et la détection dans les communications audio.