La surveillance volontaire des communications par les fournisseurs reste une menace, affirment les défenseurs de la vie privée.
Les défenseurs de la protection des données ont averti que toute célébration de l’annonce de l’abandon par l’Union européenne (UE) de son projet de briser le cryptage de bout en bout dans les applications de messagerie mobile pourrait être de courte durée. Selon un expert, cette annonce devrait être un « signal d’alarme » pour les organisations opérant en Europe.
Il existe une menace de longue date pour le cryptage de bout en bout en Europe, alors que les entreprises technologiques se battent avec les législateurs contre la tentative du Conseil de l’UE de limiter les messages partagés par les agresseurs sexuels d’enfants grâce à l’analyse des communications. Dans l’espoir d’apaiser les craintes des entreprises, le Conseil a publié le 26 novembre une déclaration indiquant que toute surveillance des communications sera effectuée par les fournisseurs sur une base volontaire. Il a également annoncé une approche modifiée des analyses automatisées, baptisée Chat Control par les défenseurs de la vie privée, comme une nouvelle façon de lutter contre la maltraitance des enfants en ligne.
Cependant, Patrick Breyer, militant pour la protection de la vie privée et ancien député européen, a souligné que « l’aspect entreprise a souvent été négligé dans ce débat ».
Même si on a beaucoup parlé de la protection des individus, Breyer a déclaré que, pour les RSSI et les entreprises, les propositions de l’UE devraient être un signal d’alarme. Il a souligné qu’il pourrait y avoir un risque réel de fuite de données sensibles. « La technologie a des taux d’erreur élevés. Pour une entreprise, un « faux positif » pourrait signifier que des documents internes confidentiels, du code ou des plans stratégiques sont signalés et envoyés à des autorités externes ou à des forces de police à l’insu de l’entreprise.» dit-il.
Breyer critique depuis longtemps les propositions de l’UE et estime que le passage à une surveillance volontaire des communications ne constitue pas une protection suffisante.
« Les gros titres sont trompeurs : Chat Control n’est pas mort, il est juste en train d’être privatisé», » a écrit Breyer sur son site Internet. « Ce que le Conseil a approuvé aujourd’hui est un cheval de Troie. En cimentant l’analyse de masse « volontaire », ils légitiment la surveillance de masse sans mandat et sujette aux erreurs de millions d’Européens par des entreprises américaines, tout en tuant simultanément l’anonymat en ligne par la porte dérobée de la vérification de l’âge.»
La position de Breyer est soutenue par un autre groupe de protection de la vie privée numérique, European Digital Rights (EDRi). Il a publié une déclaration sur LinkedIn indiquant que les droits numériques pourraient toujours être menacés. « Nous voulons être absolument certains que les législateurs ne laissent pas de failles qui pourraient entraîner des préjudices », a-t-il déclaré. « Par exemple, le texte du Conseil aurait été meilleur s’il rejetait expressément l’utilisation d’outils d’analyse côté client, car une grande marge d’appréciation est encore laissée aux autorités nationales. »
En particulier, EDRi a attiré l’attention sur la possibilité d’un contrôle volontaire. « Cela signifie que les grandes entreprises technologiques peuvent décider d’analyser vos messages personnels, sans soupçonner que vous faites quelque chose de mal, et d’appliquer des outils d’IA prédictifs sujets aux erreurs pour rechercher des preuves d’abus. Ce type d’analyse se produit déjà, avec très peu de transparence et de surveillance, et sans base juridique appropriée », a déclaré l’organisation.
Et pour les entreprises qui cherchent à protéger leurs données intellectuelles et à maintenir des communications sécurisées, la menace est bien réelle, a déclaré Breyer. « En bref : si cette proposition est adoptée, aucune entreprise européenne ne pourra plus garantir la confidentialité de ses communications. »
