La proposition de règlement de l’UE sur les abus sexuels commis sur des enfants (CSA), actuellement mise en avant par la présidence danoise, menace de détruire la vie privée et de nuire gravement aux entreprises européennes. En obligeant les fournisseurs d’accès à scanner tous les messages, même ceux qui sont cryptés, la loi interdirait effectivement les communications sécurisées et ouvrirait de dangereuses portes dérobées dans la vie privée de chacun. C’est la raison pour laquelle le contrôle du chat est l’une des lois les plus critiquées de tous les temps.

Chez Tuta Mail, un cryptage fort de bout en bout n’est pas négociable. C’est le fondement d’une communication sécurisée en ligne, qui permet une société libre et démocratique. L’affaiblissement du cryptage ne rendrait personne plus en sécurité - il ne ferait que détruire la confiance dans les entreprises européennes, et donc nuire à l’industrie technologique européenne.

”Si le projet Chat Control est adopté, deux options s’offrent à nous en tant que fournisseur de services de cryptage : intenter une action en justice pour défendre la vie privée des citoyens ou quitter l’Union européenne. Et nous avons décidé de nous battre. Nous n’affaiblirons jamais notre cryptage et nous n’y introduirons jamais de portes dérobées” - Matthias Pfau, PDG de Tuta Mail

Avec plus de 40 entreprises européennes soucieuses de la protection de la vie privée et l’European Digital SME Alliance, qui représente plus de 45 000 PME numériques, Tuta exhorte les ministres des États membres de l’UE à défendre la souveraineté numérique de l’Europe et à rejeter ce projet de loi qui normalise la surveillance de masse et affaiblit le cryptage.

Lisez l’intégralité de la lettre ouverte ci-dessous et découvrez pourquoi l’Europe doit choisir la liberté et la sécurité plutôt que la numérisation de masse.

---

Lettre ouverte aux États membres de l’UE sur la proposition de règlement CSA

Chers ministres de l’Intérieur, de la Justice, du Numérique et de l’Économie des États membres de l’UE,

Nous, les entreprises européennes soussignées, ainsi que l’Alliance européenne des PME numériques - qui représente plus de 45 000 PME numériques en Europe - vous écrivons pour vous faire part de notre profonde inquiétude concernant la proposition de règlement sur les abus sexuels commis sur des enfants (CSA). Protéger les enfants et veiller à ce que chacun soit en sécurité sur nos services et sur l’internet en général est au cœur de notre mission en tant qu’entreprises axées sur la protection de la vie privée. Nous considérons la vie privée comme un droit fondamental, qui sous-tend la confiance, la sécurité et la liberté en ligne pour les adultes comme pour les enfants. Cependant, nous sommes convaincus que l’approche actuelle suivie par la présidence danoise ne rendrait pas seulement l’internet moins sûr pour tout le monde, mais qu’elle compromettrait également l’un des objectifs stratégiques les plus importants de l’UE : progresser vers des niveaux plus élevés de souveraineté numérique.

La souveraineté numérique est l’avenir stratégique de l’Europe

Dans un monde de plus en plus instable, l’Europe doit être en mesure de développer et de contrôler ses propres infrastructures, services et technologies numériques sécurisés, dans le respect de ses valeurs. Le seul moyen d’atténuer ces risques est de donner aux fournisseurs européens de technologies innovantes les moyens d’agir.

La souveraineté numérique est importante pour deux raisons essentielles :

• L’indépendance économique: L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés, à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens - particuliers et entreprises - et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive.
• Sécurité nationale: Le chiffrement est essentiel pour la sécurité nationale. Le fait d’imposer ce qui équivaudrait essentiellement à des portes dérobées ou à d’autres technologies de balayage crée inévitablement des vulnérabilités qui peuvent être et seront exploitées par des acteurs étatiques hostiles et des criminels. C’est précisément pour cette raison que les gouvernements se sont exemptés des obligations de balayage proposées par la CSA. Néanmoins, de nombreuses informations sensibles d’entreprises, d’hommes politiques et de citoyens seront en danger si le règlement CSA est adopté. Il affaiblira la capacité de l’Europe à protéger ses infrastructures critiques, ses entreprises et ses citoyens.

Le règlement CSA sapera la confiance dans les entreprises européennes

La confiance est l’avantage concurrentiel de l’Europe. Grâce au GDPR et au solide cadre européen de protection des données, les entreprises européennes ont mis en place des services auxquels les utilisateurs du monde entier font confiance en matière de protection, de sécurité et d’intégrité des données. Cette réputation est durement acquise et confère aux services basés en Europe un argument de vente unique que les monopoles des grandes entreprises technologiques ne pourront jamais égaler. Il s’agit de l’un des rares, voire du seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique, mais le règlement de la CSA risque d’annuler ce succès.

Ce texte juridique saperait les services européens éthiques et respectueux de la vie privée en les obligeant à affaiblir les garanties de sécurité qui différencient les entreprises européennes sur le plan international. Cela est particulièrement problématique dans un contexte où l’administration américaine interdit explicitement à ses entreprises d’affaiblir le chiffrement, même si la législation européenne les y oblige.

En fin de compte, le règlement CSA sera une bénédiction pour les entreprises américaines et chinoises, car il fera perdre à l’Europe son seul avantage concurrentiel et ouvrira encore plus grand les portes aux grandes entreprises technologiques.

Les contradictions affaiblissent les ambitions numériques de l’Europe

L’UE s’est engagée à renforcer la cybersécurité par des mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité. Ces politiques reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe. Le règlement de la CSA ne doit toutefois pas compromettre ces réalisations en imposant des vulnérabilités systémiques.

Il est incohérent pour l’Europe d’investir dans la cybersécurité d’une main et de légiférer contre elle de l’autre.

Les PME européennes seront les plus durement touchées

Les petites et moyennes entreprises (PME) seraient les plus durement touchées si elles étaient obligées de mettre en place un système d’analyse côté client. Contrairement aux grandes entreprises technologiques, les PME ne disposent souvent pas des ressources financières et techniques nécessaires pour développer et maintenir des mécanismes de surveillance intrusifs, ce qui signifie que la mise en conformité imposerait des coûts prohibitifs ou forcerait à quitter le marché. En outre, de nombreuses PME construisent leur position unique sur le marché en offrant les niveaux les plus élevés de protection des données et de la vie privée, ce qui, en particulier en Europe, est un facteur décisif pour de nombreuses personnes qui choisissent leurs produits plutôt que les produits équivalents des grandes entreprises technologiques. Rendre obligatoire l’analyse côté client saperait cette proposition de valeur fondamentale de nombreuses entreprises européennes.

Cela étoufferait l’innovation européenne et cimenterait la domination des fournisseurs étrangers. Au lieu de construire un écosystème numérique dynamique et indépendant, l’Europe risque de légiférer pour exclure ses propres entreprises du marché.

Pour ces raisons, nous vous demandons de

• Rejeter les mesures qui forceraient la mise en œuvre de l’analyse côté client, des portes dérobées ou de la surveillance de masse des communications privées, telles que nous les voyons actuellement dans la proposition danoise pour une position du Conseil sur le règlement CSA.
• Protéger le chiffrement pour renforcer la cybersécurité et la souveraineté numérique de l’Europe.
• Préserver la confiance que les entreprises européennes ont bâtie au niveau international.
• Veiller à ce que la réglementation de l’UE renforce la compétitivité des PME européennes au lieu de la saper.
• Mettre en œuvre des mesures de protection de l’enfance efficaces, proportionnées et compatibles avec l’objectif stratégique de l’Europe en matière de souveraineté numérique.

La souveraineté numérique ne peut être atteinte si l’Europe sape la sécurité et l’intégrité de ses propres entreprises en rendant obligatoire l’analyse côté client ou d’autres outils ou méthodologies similaires conçus pour analyser les environnements cryptés, ce que les technologues ont une fois de plus confirmé comme étant impossible à réaliser sans affaiblir ou saper le cryptage. Pour prendre la tête de l’économie numérique mondiale, l’UE doit protéger la vie privée, la confiance et le chiffrement.

Signataires :

Blacknight (Irlande)

Commown (France)

CryptPad (France)

Ecosia (Allemagne)

Element (Allemagne)

E-Foundation (France)

European Digital SME Alliance (association professionnelle de l’UE représentant 45 000 PME de l’UE)

Fabiano Law Firm (Italie)

FlokiNET (Islande)

FFDN (France)

Gentils Nuages (France)

Hashbang (France)

Heinlein Group (Allemagne)

LeBureau.coop (France)

Logilab (France)

mailbox (Allemagne)

Mailfence (Belgique)

Murena (France)

Nextcloud (Allemagne)

Nord Security (Lituanie)

Nym (France / Suisse)

Octopuce (France)

Olvid (France)OpenCloud (Allemagne)

OpenTalk (Allemagne)

Phoenix R&D (Allemagne)

Proton (Suisse)

Skylabs (Irlande)

Sorware Ay (Finlande)

Soverin (Pays-Bas)

Startmail (Pays-Bas)

Surfshark (Pays-Bas)

TeleCoop (France)

The Good Cloud (Pays-Bas)

Tuta Mail (Allemagne)

Volla Systeme GmbH (Allemagne)

WEtell (Allemagne)

Wire (Suisse)

XWiki SAS (France)

zeitkapsl (Autriche)