Intervention de Catherine Morin-Desailly

Monsieur le président, chers collègues, en préambule je souhaiterais dire, comme mes collègues l'ont affirmé, que le principe de cette réforme doit être soutenu, tant le phénomène des abus sexuels sur les enfants sur Internet est un véritable fléau. Les chiffres et les témoignages étant tout à fait renversants, témoins des horreurs absolues qui se déroulent, à défaut d'un monde suffisamment sécurisé et responsable. Vous le savez, la régulation des acteurs du numérique me préoccupe depuis longtemps, des débats de la loi « infox » en 2018 jusqu'à la résolution n°70 (2021-2022) du Sénat du 14 janvier 2022 sur la législation sur les services numériques (Digital services act ou « DSA ») pour laquelle nous avions proposé avec ma collègue Florence Blatrix Contat un certain nombre de mesures pour protéger les enfants.

Il est primordial de responsabiliser les fournisseurs par des obligations d'évaluation et d'atténuation des risques ainsi que par des obligations de détection et de retrait des contenus pédopornographiques.

Toutefois, nous devons aussi constater que le dispositif proposé n'est pas exempt de critiques et qu'il conviendrait, selon nous, de l'amender.

Tout d'abord, nous pensons qu'il faut éviter la remise en cause de la confidentialité des communications interpersonnelles et tout risque de surveillance généralisée des communications.

Il faut constater que la proposition de règlement concerne tant les contenus publics (à l'exemple de ceux présents et librement accessibles sur les réseaux sociaux) que les contenus de communications interpersonnelles, tels que les courriels, les boucles de messageries privées et la téléphonie en ligne. Comme l'a rappelé André Reichardt, les contenus audio seraient aussi explicitement concernés. L'application d'injonctions de détection ne pourrait donc se faire que par dérogation à la directive de 2002 sur la confidentialité des communications précitée, qui garantit la confidentialité des communications interpersonnelles et, partant, au droit à la vie privée, telle que protégée par l'article 7 de la Charte européenne des droits fondamentaux.

Car, de facto, la proposition de règlement introduirait une dérogation généralisée à ce principe de confidentialité des communications.

Ce qui serait paradoxal, à l'heure où la Cour de justice de l'Union européenne (CJUE) ainsi que la Cour européenne des droits de l'Homme (CEDH) développent une approche restrictive des exceptions à ce principe.

En outre, techniquement, les recherches de contenus envisagés seraient impossibles sur des ensembles de contenus faisant l'objet de chiffrements de bout en bout. En pratique, pour se conformer au présent règlement, les fournisseurs de services de communication interpersonnelle cryptés devraient renoncer, partiellement ou en partie, au chiffrement des contenus, ce qui pourrait impliquer des risques pour la confidentialité des communications et la sécurité.

Plus préoccupant encore, la proposition de règlement est susceptible d'instaurer une surveillance généralisée des communications. Aujourd'hui, cette surveillance concerne les abus sexuels sur les enfants. Mais demain, la tentation pourrait être grande de l'autoriser pour d'autres motifs si l'on n'y prend garde, par exemple la détection des discours de haine avec toutes les dérives qu'une telle intrusion est susceptible d'entraîner au plan des libertés publiques.

En ce qui concerne les contenus publics, la possibilité d'émettre des injonctions de détection des contenus pédopornographiques est une atteinte manifeste à l'interdiction de surveillance généralisée des contenus, réaffirmée récemment dans le Digital Services Act. Ce risque nous a été rappelé par les représentants de la Commission nationale informatique et libertés (CNIL) lors de leur audition, au cours de laquelle ils ont précisé que la proposition rendait possible une analyse généralisée et systématique du contenu de quasiment tout type de communication électronique.

Bien sûr, les exceptions à ce principe existent mais elles sont très limitées (recherche de contenus sous droits d'auteur), et elles demeurent pour l'instant limitées à la recherche de contenus déjà connus. Cette recherche de contenus déjà identifiés avec la technique du « hachage » (empreinte numérique attribuée à une image ou à une vidéo, permettant de les retrouver facilement) ne paraît pas soulever de difficulté.

En revanche, la recherche de nouveaux contenus via des logiciels d'intelligence artificielle paraît plus discutable, en particulier au regard des faibles performances des logiciels d'intelligence artificielle (IA) aujourd'hui disponibles. Selon un chiffre cité par la Commission européenne elle-même, les technologies d'IA actuellement disponibles sur le marché génèreraient environ 12 % de faux positifs pour la détection de nouveaux contenus. Ainsi, un nombre considérable de contenus parfaitement légaux pourraient être portés à la connaissance des autorités de contrôle, au risque d'affecter la liberté d'expression, y compris dans l'espace public.

En outre, en ce qui concerne le « pédopiégeage », la CNIL a précisé que l'analyse et la qualification des conversations incriminées ne pourraient reposer que sur un recoupement de leur contenu avec des données à caractère personnel (fournies directement par l'utilisateur ou déduites des contenus qu'il aura consultés ou du profil de ses « amis » sur les réseaux sociaux). Or, les garanties apportées par la proposition pour éviter de déclencher une injonction de détection et limiter l'utilisation des données à caractère personnel, une fois cette injonction émise, paraissent insuffisantes au regard du risque de « chalutage généralisé » des données par les fournisseurs que pourrait entraîner une telle réglementation. La proposition de règlement se borne en effet à indiquer que les technologies utilisées doivent être « conformes à l'état de la technique dans le secteur et [...] les moins intrusives. » À l'évidence, le dispositif envisagé ne respecterait pas le principe de proportionnalité.

Cette nature très intrusive de la procédure de détection explique que la phase d'autorisation soit si longue et se déroule sur plusieurs semaines voire plusieurs mois. Mais en conséquence, ces injonctions ne constitueraient pas un gage d'efficacité accrue de la lutte contre les abus sexuels sur les enfants. C'est pourquoi nous vous proposons la suppression des dispositions de la proposition de règlement autorisant, sur émission d'une injonction de détection, la recherche indifférenciée de contenus pédopornographiques et de « pédopiégeage » dans les services de communications interpersonnelles : nous devons prévenir ce risque d'une surveillance de masse des communications.

Ce faisant, loin d'affaiblir cette proposition de règlement, une telle inflexion la sécuriserait juridiquement, en lui évitant la censure du juge européen. C'est le sens des discussions qui se déroulent à l'heure actuelle au Conseil, sous présidence suédoise.

En complément, nous souhaitons aussi affirmer un rôle de contrôle plus important du Comité européen de la protection des données (EDPB) et des autorités nationales de protection des données dans l'établissement de lignes directrices relatives aux injonctions de détection et de la liste des technologies mises à disposition des fournisseurs. Nous soutenons, pour ces technologies, le principe de protection des données dès la conception et par défaut.

Bien entendu, nous voulons également renforcer les outils à la disposition des autorités compétentes et « donner toutes ses chances » à la présente réglementation en s'inspirant des succès de la loi française. Il nous semble cohérent d'une part, d'intégrer les moteurs de recherche et annuaires dans le champ d'application du règlement, afin de prévoir aussi des injonctions de déréférencement de contenus illégaux. Nous souhaitons aussi considérer la plateforme PHAROS, dont l'efficacité est unanimement saluée, comme l'une des « autorités nationales compétentes » habilitée à mettre en oeuvre la présente réglementation, afin de préserver le rôle central de cette plateforme dans la lutte contre les contenus de pédopornographie en ligne. Elle pourrait également émettre des injonctions de retrait.

Dans la droite ligne de nos demandes formulées lors de l'examen du DSA, nous souhaitons accentuer encore la responsabilisation des acteurs du numérique. Leur rôle déterminant dans la prolifération des contenus préjudiciables aux mineurs a été souligné. Dans vos propos introductifs, monsieur le président, vous avez notamment cité Twitter et l'inaccessibilité de son algorithme. On peut d'ailleurs déplorer une nouvelle fois que la proposition réaffirme le régime de responsabilité limitée des hébergeurs, qui ne bénéficient toujours pas de statut.

Nous devons aussi nous interroger sur l'opportunité de confier, une fois de plus, le contrôle de l'espace public en ligne aux acteurs privés du numérique, en particulier aux GAFAM. En effet, ces derniers visent avant toute chose des objectifs de rentabilité. Sur ce point, je voudrais ici rappeler les propos de Frances Haugen, la lanceuse d'alerte sur le fonctionnement de Facebook, ici même au Sénat, qui avait affirmé que les plateformes privilégieront toujours la rentabilité à la sécurité des enfants. Il est ainsi crucial que les autorités compétentes soient en mesure de faire pression sur eux, par une règlementation contraignante, et par la possibilité de mettre en évidence leurs lacunes dans la lutte contre les contenus pédopornographiques.

Pour ce faire, nous demandons que les autorités de régulation soient elles-mêmes en mesure de pouvoir auditer ces services, ou puissent confier de tels audits à des chercheurs qualifiés et indépendants, ainsi que le Sénat le demandait déjà dans sa résolution n° 70 sur le DSA. Ces autorités de régulation devraient également pouvoir rendre publics, si nécessaire, les éventuels manquements des fournisseurs à leurs obligations, dans une logique de « name and shame », afin que ce risque pour leur réputation les incite à respecter très scrupuleusement le présent règlement.

Enfin, en lien avec les travaux récents de diverses instances du Sénat et avec la proposition de résolution, cosignée par tous les présidents de groupes, qui sera débattue par le Sénat en séance publique, le 1er mars prochain, nous vous proposons de renforcer le volet préventif pour protéger les enfants dans l'espace numérique.

Nous souhaitons ainsi rappeler l'importance du développement des méthodes alternatives de protection des enfants en ligne, reposant à la fois, sur un renforcement des mesures d'éducation aux usages du numérique, sur l'activation par défaut, sur les appareils, des dispositifs de contrôle parental, et sur des procédures simples de vérification en ligne de l'âge des utilisateurs de certains sites.

Il nous semble aussi pertinent d'obliger les très grandes plateformes à mettre en oeuvre sur les services, à leurs frais, des campagnes de communication visant à rappeler à leurs utilisateurs la réglementation applicable en matière de contenus pédopornographiques. Il pourrait y avoir des panneaux de recommandation circulant sur Youtube et d'autres plateformes, comme cela est fait par l'ARCOM.

Enfin, nous estimons nécessaire de prévoir un droit à l'oubli renforcé pour les mineurs, concernant les contenus les concernant diffusés sur les très grandes plateformes, comme la résolution n° 70 précitée le proposait déjà.

Ce sont, mes chers collègues, tous ces objectifs que défend la proposition de résolution européenne que nous vous soumettons.