Le Parlement britannique a adopté mardi une loi visant à renforcer la sécurité en ligne, notamment pour les enfants, en imposant aux plateformes numériques de supprimer rapidement les contenus illégaux ou nuisibles. La loi sur la sécurité en ligne (Online Safety Bill) sera appliquée par l’Ofcom, le régulateur des télécommunications, qui pourra infliger des amendes pouvant atteindre 10% du chiffre d’affaires annuel ou 18 millions de livres (21 millions d’euros), selon le montant le plus élevé, aux entreprises qui ne respectent pas leurs obligations. Dans certains cas, les dirigeants des plateformes pourront même être poursuivis pénalement.Une législation britannique controversée qui introduit un nouveau régime de règles de modération de contenu pour les plateformes et services en ligne, établissant l'organisme de surveillance des communications Ofcom comme principal régulateur de l'Internet, a été adoptée par le Parlement britannique hier, rapprochant le projet de la Sanction royale (l'acte par lequel le monarque ou son représentant promulgue un projet de loi adopté par la ou les chambres du Parlement et qui lui donne force de loi) dans les jours à venir.
S'exprimant lors des dernières étapes du projet de loi à la Chambre des Lords, Lord Parkinson de Whitley Bay a réitéré que l'intention du gouvernement en matière de législation est de « faire du Royaume-Uni l'endroit le plus sûr au monde pour se connecter en ligne, en particulier pour les enfants ». Après des votes affirmatifs alors que ses pairs examinaient certains amendements de dernière étape, il a ajouté que l'attention se déplace désormais « très rapidement vers l'Ofcom… qui est prête à mettre en œuvre cela – et à le faire rapidement ».
La législation autorise l'Ofcom à imposer des amendes allant jusqu'à 10 % (ou jusqu'à 18 millions de livres sterling, selon le montant le plus élevé) du chiffre d'affaires annuel en cas de violation du régime.
Évolution du projet de loi
Le projet de loi sur la sécurité en ligne (baptisé Harms au départ) a mis des années à être élaboré alors que les décideurs politiques britanniques se demandaient comment répondre à une série de problèmes de sécurité en ligne. En 2019, ces efforts se sont manifestés sous la forme d'un livre blanc axé sur les règles de lutte contre les contenus illégaux (tels que le terrorisme et les contenus CSAM), mais également sur l'ambition de lutter contre un large éventail d'activités en ligne qui pourraient être considérées comme nuisibles, telles que les contenus violents et l'incitation à la violence; l'encouragement au suicide; la désinformation; le harcèlement sur internet; et le matériel pour adultes auquel les enfants ont accès. Cet effort s’est ensuite transformé en un projet de loi qui a finalement été publié en mai 2021.
La législation proposée a continué à prendre de l'ampleur à mesure qu'un ensemble de devoirs et d'exigences supplémentaires ont été ajoutés en réponse à un large éventail de problèmes de sécurité parvenus aux oreilles des décideurs politiques, qu'ils soient liés au trolling, aux publicités frauduleuses, à la pornographie deepfake ou (plus récemment) à la cruauté envers les animaux. Les changements au sein du parti conservateur au pouvoir depuis 2019 ont également vu une succession de différents ministres de haut rang diriger la législation, notamment Oliver Dowden et Nadine Dorries – qui, dans le cas de Dorries, ont poussé avec enthousiasme à accélérer l'application des pouvoirs de responsabilité pénale pour les PDG des entreprises technologiques.
Dernièrement, la secrétaire d'État à l'origine du projet de loi a été Michelle Donelan. Elle a présidé à une certaine réduction de sa portée à la fin de l’année dernière – en supprimant les dispositions qui se concentraient sur les contenus légaux mais préjudiciables suite à des inquiétudes concernant l’impact sur la liberté d’expression. Même si les groupes de parole et de défense des droits civiques restent préoccupés.
La « clause espion »
Le projet de loi sur la sécurité en ligne contenait une disposition controversée, surnommée la « clause espion » par certains organismes de défense des droits numérique, qui aurait obligé les plateformes utilisant le chiffrement de bout en bout à mettre en place des mécanismes permettant d’identifier et de signaler les CSAM. Le chiffrement de bout en bout garantit que seuls l’expéditeur et le destinataire d’un message peuvent en voir le contenu ; même le fournisseur du service ne peut pas accéder aux données non chiffrées.
Le gouvernement britannique n’avait pas précisé la technologie que les plateformes devraient utiliser pour identifier les CSAM envoyés sur les services chiffrés, mais la solution la plus souvent citée était quelque chose appelé le scan côté client. Il s’agirait d’examiner le contenu du message avant qu’il ne soit envoyé - c’est-à-dire sur l’appareil de l’utilisateur - et de le comparer à une base de données de CSAM hébergée sur un serveur ailleurs. Selon Alan Woodward, professeur invité en cybersécurité à l’Université de Surrey, cela reviendrait à « un logiciel espion approuvé par le gouvernement qui scanne vos images et éventuellement vos [textes] ».
Mais les entreprises technologiques se sont farouchement opposées à une telle disposition, menaçant de quitter le pays si elle venait à être adoptée. Plusieurs associations de défense des droits numériques se sont joint au chœur, accentuant la pression sur le gouvernement.
Ce dernier a fini par céder plus tôt ce mois-ci.
Tout d'abord, il a reconnu que la technologie nécessaire pour scanner de manière sécurisée les messages chiffrés envoyés sur Signal et WhatsApp n’existe pas encore. Il a donc décidé de ne pas imposer aux entreprises technologiques d’utiliser une technologie non éprouvée, et indiqué qu’il n’utiliserait essentiellement pas les pouvoirs prévus par le projet de loi. Toutefois, les clauses controversées restent dans la législation, qui a été adoptée mardi.
« Elles [les clauses] n'ont pas disparu, mais c'est un pas dans la bonne direction », a noté Woodward.
James Baker, directeur de campagne de l'Open Rights Group, une organisation à but non lucratif qui a fait campagne contre l'adoption de la loi, affirme que l'existence continue des pouvoirs prévus par la loi signifie qu'une surveillance par piratage du chiffrement pourrait encore être introduite à l'avenir. « Il vaudrait mieux que ces pouvoirs soient complètement supprimés du projet de loi », ajoute-t-il.
Mais certains sont moins positifs quant à cette apparente volte-face. « Rien n'a changé », déclare Matthew Hodgson, PDG d'Element, basé au Royaume-Uni, qui fournit des messages chiffrés de bout en bout aux militaires et aux gouvernements. « Seul ce qui est réellement écrit dans le projet de loi compte. Le scan [du côté de l'appareil] est fondamentalement incompatible avec les applications de messagerie chiffrées de bout en bout. Le scan contourne le chiffrement à des fins d'analyse, exposant ainsi vos messages aux attaquants. Ainsi, la formulation "jusqu’à ce que cela soit techniquement réalisable" signifie que la porte est ouverte pour le scan [du côté de l'appareil] dans le futur plutôt qu'aujourd'hui. Ce n’est pas un changement, c’est un coup de pied dans l’avenir. »
Meredith Whittaker, présidente de Signal, reconnaît « qu'il ne suffit pas » que la loi ne soit tout simplement pas appliquée de manière agressive. « Mais c’est [un changement] majeur. Nous pouvons reconnaître une victoire sans prétendre qu’il s’agit de la victoire finale », dit-elle.
Une limitation massive de l'âge d'accès à internet ?
En outre, certains craignent que le projet de loi n'entraîne une limitation massive de l'âge de l'Internet au Royaume-Uni, les services Web cherchant à réduire leur responsabilité en obligeant les utilisateurs à confirmer qu'ils sont suffisamment âgés pour consulter du contenu qui pourrait être jugé inapproprié pour les mineurs.
Le fondateur de Wikipédia, Jimmy Wales, fait partie de ceux qui s’inquiètent du fait que le projet de loi est un instrument de censure d’État. Il a critiqué l’approche du gouvernement comme étant triplement mauvaise : « mauvaise pour les droits de l’homme », « mauvaise pour la sécurité sur Internet » et « mauvaise loi ». Il a promis que l’encyclopédie en ligne « ne limiterait pas l’âge ni ne censurerait sélectivement les articles en aucune circonstance ».
Trouver un juste équilibre entre les revendications des défenseurs de la sécurité des enfants en faveur d’un Internet totalement sécurisé et les préoccupations des groupes de défense des droits de l’homme et du numérique, qui souhaitent que la législation ne piétine pas les libertés démocratiques durement acquises, sera désormais le problème de l’Ofcom.
La réaction de l'Ofcom
Dans une brève déclaration, le nouveau shérif du contenu Web du Royaume-Uni n’a donné aucune allusion aux défis complexes qui attendent les internautes britanniques, se contentant de saluer l’adoption du projet de loi par le Parlement et de déclarer qu’il était prêt à mettre en œuvre les nouvelles règles.
« Aujourd'hui, c'est une étape majeure dans la mission visant à créer une vie en ligne plus sûre pour les enfants et les adultes au Royaume-Uni. Tout le monde à l’Ofcom se sent privilégié de se voir confier ce rôle important, et nous sommes prêts à commencer à mettre en œuvre ces nouvelles lois », a déclaré Dame Melanie Dawes, PDG de l’Ofcom. « Très peu de temps après que le projet de loi aura reçu la Sanction royale, nous mènerons des consultations sur la première série de normes que nous attendons des entreprises technologiques qu'elles respectent pour lutter contre les méfaits illégaux en ligne, notamment l'exploitation sexuelle des enfants, la fraude et le terrorisme. »
Au-delà des sujets de préoccupation spécifiques, il existe une inquiétude générale majeure quant à l’ampleur du fardeau réglementaire que la législation appliquera à l’économie numérique du Royaume-Uni – puisque les règles ne s’appliquent pas seulement aux principales plateformes de médias sociaux ; de nombreux services en ligne beaucoup plus petits et moins bien dotés en ressources doivent également s'y conformer, sous peine de lourdes sanctions.
Source : Ofcom
Et vous ?
Pensez-vous que la loi sur la sécurité en ligne est suffisante pour protéger les enfants contre les contenus nuisibles en ligne ? Quelles autres mesures pourraient être prises ? Quel est votre avis sur le rôle de l’Ofcom dans la régulation des plateformes numériques ? Est-il trop puissant, trop faible ou équilibré ? Comment concilier la liberté d’expression et le droit à l’information avec la lutte contre les contenus illégaux ou nuisibles ? Où tracer la limite entre le légal et l’illégal, entre le nuisible et le non-nuisible ? 
Envoyé par petitours
