Lettre ouverte invitant les États membres de l'UE à défendre le chiffrement

Alors que le trilogue est sur le point de commencer, les États membres de l'UE doivent décider de leur camp : la protection de la vie privée ou la surveillance.

Encryption in the EU must be defended to protect the privacy of people and businesses alike.

Nouvelle année, ancienne discussion : Cette année, l'Union européenne entamera le trilogue sur le règlement de la Commission relatif aux abus sexuels commis sur des enfants (CSAR), qui propose d'analyser chaque message des citoyens de l'Union européenne afin d'y déceler des informations sur les abus sexuels. L'année dernière, le Parlement européen s'est déjà prononcé contre ce type d'analyse côté client, ce qui a constitué un grand succès pour les défenseurs de la vie privée en Europe. Le moment est venu pour les États membres de l'UE de se positionner dans cette bataille de la vie privée contre la surveillance. Nous, une coalition d'entreprises européennes soucieuses de la protection de la vie privée, appelons nos ministres à faire respecter le droit des citoyens à la vie privée et à défendre un chiffrement fort.


L’année dernière, nous avons été ravis de voir l’accord historique du Parlement européen contre la surveillance du contrôle des conversations. Nous tenons à féliciter le Parlement européen pour sa décision de défendre le droit des citoyens à la vie privée et de soutenir un chiffrement fort en Europe. Dans sa décision, le Parlement européen a suivi les conseils de 300 scientifiques et experts en cryptographie et du Service de recherche du Parlement européen (EPRS) qui ont fortement critiqué le contrôle des chats pour ses vastes pouvoirs de surveillance qui détruiraient le droit à la vie privée en ligne et porteraient atteinte à la liberté d’expression, sapant ainsi nos valeurs démocratiques.

Alors que le monde est plus que jamais confronté à des tendances à la surveillance - comme en témoignent le projet de loi sur la sécurité en ligne au Royaume-Uni, la législation australienne sur la surveillance et la réforme de la FISA aux États-Unis-, l’Union européenne a aujourd’hui la chance unique de devenir le phare de l’espoir pour la liberté d’expression et la démocratie.

Avec le règlement général sur la protection des données (RGPD), l’UE a fixé une norme très élevée pour la protection des données et de la vie privée dans l’UE. Il est maintenant important de maintenir ce niveau élevé de protection de la vie privée en défendant un chiffrement fort afin que les citoyens et les entreprises de l’UE puissent continuer à bénéficier d’une protection de la vie privée et d’une confidentialité en ligne au niveau le plus élevé possible.

Lettre ouverte aux États membres de l’UE sur la proposition de règlement CSA

Chers ministres de l’intérieur, de la justice et de l’économie des États membres de l’UE,

Nous vous écrivons en tant que petites et moyennes entreprises et organisations européennes, préoccupées par la proposition de règlement sur les abus sexuels envers les enfants (CSA). Collectivement, nous vous demandons de veiller à ce que la position de votre pays sur ce dossier soit aussi proche que possible de celle du Parlement européen (PE). Nous sommes tous d’accord pour dire que la sécurité des enfants en ligne est l’une des tâches les plus importantes des entreprises technologiques et c’est pourquoi nous trouvons la proposition de règlement de la Commission européenne extrêmement inquiétante. S’il était mis en œuvre tel qu’il est proposé, il aurait un impact négatif sur la vie privée et la sécurité des enfants en ligne, tout en ayant des conséquences imprévues et dramatiques sur le paysage de la cybersécurité de l’UE, en plus de créer un fardeau administratif inefficace. Le Parlement européen a récemment adopté sa position sur le dossier, reconnaissant que les technologies de balayage ne sont pas compatibles avec l’objectif d’avoir des communications confidentielles et sécurisées. Les changements cruciaux qu’il propose pour la proposition reflètent les avis du Contrôleur européen de la protection des données (CEPD), des services juridiques du Conseil ainsi que d’innombrables experts en cryptographie et en cybersécurité. Ils reflètent également l’opinion de 63 à 69 % des entreprises, des autorités publiques, des ONG et des citoyens consultés par la Commission européenne dans le cadre de son analyse d’impact. En tant que petites et moyennes entreprises et organisations technologiques, nous partageons leurs préoccupations, car nous savons que la recherche de contenus spécifiques - tels que du texte, des photos et des vidéos - dans une communication cryptée de bout en bout nécessiterait la mise en œuvre d’une porte dérobée ou d’une technologie similaire appelée “balayage côté client”. Même si ce mécanisme est créé dans le but de lutter contre la criminalité en ligne, il serait aussi rapidement utilisé par les criminels eux-mêmes, ce qui mettrait les citoyens et les entreprises plus en danger en ligne en créant des vulnérabilités pour tous les utilisateurs.

La protection des données est un avantage concurrentiel important

En tant qu’entreprises technologiques opérant au sein de l’Union européenne, nous avons conçu des produits et des services conformes au solide cadre de protection des données de l’UE, qui sert encore d’exemple et d’inspiration dans le monde entier. Le GDPR a permis la création d’entreprises technologiques éthiques et soucieuses de la protection de la vie privée en Europe, qui n’auraient autrement jamais pu rivaliser avec les grandes entreprises technologiques. Il a donné aux entreprises européennes un solide avantage concurrentiel dans ce domaine au niveau international et a permis aux consommateurs de trouver enfin des alternatives aux services américains et chinois. Nos utilisateurs, tant au sein de l’UE qu’au-delà, en sont venus à faire confiance à notre engagement à protéger leurs données, et cette confiance est un moteur essentiel de notre compétitivité. La courbe d’apprentissage pour s’adapter à la charge administrative nécessaire imposée par le GDPR a été élevée, mais elle en valait la peine. Toutefois, le règlement CSA pourrait menacer cet argument de vente unique des entreprises informatiques européennes et ajouterait également une nouvelle charge administrative qui, nous le craignons, pourrait submerger à la fois nos entreprises et les organismes chargés de l’application de la loi. Compte tenu du volume de communications et de contenus transitant par nos services, même un taux d’erreur insignifiant des technologies appliquées à la recherche de contenus abusifs se traduirait par des millions de faux positifs à examiner manuellement chaque jour.

Le règlement de la CSA pourrait éroder la confiance et la sécurité en ligne

Dans un monde où les violations de données et les scandales liés à la protection de la vie privée sont de plus en plus fréquents, la réputation de l’UE en matière de protection rigoureuse des données est un argument de vente unique pour les entreprises opérant à l’intérieur de ses frontières. Elle nous confère un avantage concurrentiel en garantissant à nos clients que leurs informations sont traitées avec le plus grand soin et la plus grande intégrité. Une fois érodée, cette confiance est difficile à rétablir, et toute mesure qui la compromet, telle que l’obligation de scanner ou de vérifier l’âge, risque de nuire aux entreprises, grandes et petites. En outre, l’UE a récemment adopté le règlement 2023/2841, qui impose aux institutions et organes de l’UE d’envisager l’utilisation du chiffrement de bout en bout parmi leurs mesures de gestion des risques liés à la cybersécurité. Il existe également de nombreuses propositions “cyber” de l’UE actuellement sur la table, telles que la loi sur la cyber-résilience et la loi sur la cybersécurité. Soutenir une approche opposée pour le règlement CSA ne ferait que saper le cadre de cybersécurité de l’UE en créant un nouvel ensemble de mesures contradictoires, incohérentes et inefficaces que les entreprises ne seraient pas en mesure d’appliquer sans mettre les citoyens et les entreprises en danger.

La proposition du Parlement européen va dans la bonne direction

Nous félicitons donc le Parlement européen pour sa position résolue dans la défense du droit des citoyens européens à la vie privée et à la sécurité des communications. L’engagement du Parlement européen en faveur de ces principes n’est pas seulement un témoignage de son dévouement aux droits de l’homme, mais aussi une lueur d’espoir pour les entreprises qui, comme la nôtre, accordent la priorité à la protection des données et à la sécurité. La position du Parlement inclut des alternatives au scanning qui ont un impact minimal sur la cybersécurité et la protection des données, et qui, selon les experts, seraient à la fois plus efficaces et plus efficientes que le scanning obligatoire. De tels changements de paradigme impliqueraient de dépasser la fausse dichotomie entre vie privée et sécurité, tout en faisant en sorte que la proposition respecte le principe de proportionnalité, comme l’a demandé le comité de surveillance de la réglementation. Même s’ils ne sont pas parfaits à nos yeux, les changements apportés par le Parlement européen dans sa position constituent un bon compromis pour maintenir la sécurité et la confidentialité numériques et pour mieux protéger les enfants en ligne. Nous pensons que ces changements établissent un juste équilibre entre la protection des enfants et la sauvegarde de la vie privée et de la cybersécurité.

En tant que représentants de la dynamique communauté des petites entreprises européennes, nous encourageons les États membres de l’UE à continuer à défendre les valeurs de la vie privée, de la cybersécurité et de la protection des données. Ces principes sont non seulement conformes à l’engagement de l’UE en faveur des droits de l’homme, mais servent également de fondement à un environnement commercial prospère et compétitif. Défendons et renforçons ces principes, en veillant à ce que l’UE reste un défenseur de la vie privée sur le marché mondial.

C’est pourquoi nous vous demandons de

  • Veiller à ce que la position du Conseil soit alignée aussi étroitement que possible sur celle du Parlement européen. Cela permettra une adoption plus rapide du règlement tout en s’appuyant sur le travail important du Parlement européen.
  • Maintenir le niveau élevé des droits fondamentaux - et en particulier de la protection des données - dont jouissent les citoyens de l’Union européenne.
  • S’abstenir d’obliger des entreprises comme la nôtre à effectuer une surveillance de masse de la correspondance privée pour le compte des forces de l’ordre.
  • Garantir un niveau élevé de cybersécurité dans l’UE en protégeant le cryptage de bout en bout et en introduisant les garanties nécessaires dans le texte. L’analyse côté client et les portes dérobées, en particulier, ne devraient pas être imposées.
  • Préserver la confidentialité de la correspondance.
  • Minimiser la charge administrative de la proposition en la rendant plus efficace et efficiente, grâce à des alternatives au balayage de masse.

Signé :

Blacknight Solutions

Cyberstorm

Élément

Porte 15

Mailfence

Mail.de GmbH

Olvid

One Privacy

Parsec

Proton

Seezam

Surfshark

TelemetryDeck

Threema

Tresorit

Tuta

Associations professionnelles et soutiens :

ACT | The App Association

Défendre la démocratie

Encryption Europe

ISOC-CAT

Conseil canadien de la protection de la vie privée et de l’accès à l’information

STUDIO LEGALE FABIANO