Le projet de loi sur la sécurité en ligne(new window) est actuellement en cours d’examen par le parlement britannique et devrait être adopté en tant que loi cet automne. Cette législation d’une grande portée obligerait tout « service d’utilisateur à utilisateur » (comme TikTok, Facebook et Twitter) ou moteur de recherche accessible en ligne au Royaume-Uni à protéger tous ses utilisateurs contre le contenu illégal et les enfants contre le contenu potentiellement nuisible.
C’est l’une des batailles les plus urgentes pour l’avenir d’internet. Trouver des moyens pour retirer rapidement le contenu haineux, nuisible et illégal rend internet plus sûr pour tous. Nous sommes heureux de constater que les législateurs prennent ce problème au sérieux et cela reste une priorité absolue pour Proton. Cependant, il n’est pas clair si le projet de loi sur la sécurité en ligne aborderait efficacement le problème.
Il semble plus probable que dans sa tentative de traiter tous les types de contenu nuisible sur toutes les plateformes en ligne, le projet de loi ait eu recours à des généralités ouvertes à interprétation et qui pourraient porter atteinte à la vie privée et à la sécurité des personnes.
Nous croyons que si les législateurs britanniques veulent sérieusement faire du Royaume-Uni « l’endroit le plus sûr au monde pour être en ligne tout en défendant la libre expression », ils doivent réviser de manière significative le projet de loi sur la sécurité en ligne. Ils doivent clarifier les services et contenus couverts par le projet de loi, éliminer le potentiel de conséquences nuisibles non intentionnelles et prendre des mesures pour s’assurer que ce projet de loi ne compromettra pas le chiffrement de bout en bout.
Pour résoudre un problème, il faut le définir
Vous vous demandez peut-être pourquoi nous commentons un projet de loi qui semble viser les entreprises de réseaux sociaux alors que nous proposons des services de messagerie, de calendrier, de stockage cloud et de VPN chiffrés. Nous estimons devoir nous exprimer en raison de l’influence que ce projet de loi aura, non seulement au Royaume-Uni, mais sur internet dans le monde entier. Bien que les services de messagerie soient exclus du texte actuel, les services de stockage cloud en ligne, comme Proton Drive, ne le sont pas. De plus, le projet de loi sur la sécurité en ligne pourrait ouvrir la voie à une future législation qui ciblerait davantage de services et pousserait à des mesures encore plus étendues.
À ce stade, le projet de loi est si vaste qu’il n’est pas tout à fait clair qui serait soumis à celui-ci. Bien qu’il cible principalement les entreprises de réseaux sociaux, le projet de loi définit le « contenu » comme tout ce qui est « communiqué publiquement ou en privé ». En pratique, comme les entreprises technologiques (comme Proton) proposent souvent des comptes uniques englobant un certain nombre de services différents, il est probable que des services qui ne sont pas censés être assujettis à la loi (comme les e-mails) le deviennent involontairement par extension.
Cela signifie essentiellement que presque tout service en ligne ayant des utilisateurs au Royaume-Uni pourrait être affecté. Cela signifie également que les messages que vous envoyez à votre mère pourraient être traités de la même manière que quelque chose que vous publiez sur les réseaux sociaux pour que tout le monde puisse le voir, ce qui s’approche dangereusement de la violation du droit explicite des citoyens britanniques à une vie privée.
Un autre domaine clé de confusion est que le projet de loi exigera des services en ligne, comme Facebook, de faire respecter leurs conditions d’utilisation du service ou de faire face à des sanctions gouvernementales, y compris la responsabilité pénale et l’emprisonnement pour les cadres dirigeants (Article 65). Essentiellement, le gouvernement britannique externalise son devoir de définir le contenu nuisible à des entreprises privées, encourageant l’autocensure. Cependant, le gouvernement britannique a le droit de décider si une entreprise n’applique pas leurs conditions comme il le souhaite et peut imposer des punitions sévères.
Cela garantit presque que les entreprises vont surcorriger et retirer des discours parfaitement légaux et autrement protégés de leurs plateformes plutôt que de risquer d’être responsables.
C’est exactement ce qui s’est produit lorsque les États-Unis ont promulgué les projets de loi FOSTA-SESTA, prétendument pour prévenir la traite des êtres humains. Cependant, le mandat flou de la loi a provoqué une censure généralisée(new window) autour de tout ce qui pourrait éventuellement être utilisé pour « promouvoir ou faciliter la prostitution ». Par exemple, Craigslist a fermé sa section de rencontres personnelles(new window), Reddit a supprimé de nombreux sous-forums(new window) et des sites internet plus petits ont tout simplement fermé. Tel qu’il est actuellement rédigé, le projet de loi sur la sécurité en ligne aurait un effet tout aussi glaçant sur la liberté d’expression.
Une interdiction du chiffrement de bout en bout en tout sauf en nom
L’article 110 du projet de loi sur la sécurité en ligne permettrait au gouvernement britannique d’exiger de tout « service de communication entre utilisateurs » l’utilisation de « technologies accréditées » pour identifier et supprimer les contenus d’abus sexuels sur enfants (CSAM) ou les contenus terroristes « qu’ils soient communiqués publiquement ou en privé par le biais du service ».
En termes clairs, l’article 110 donnerait au gouvernement britannique des pouvoirs étendus lui permettant d’exiger de tout service en ligne disponible au Royaume-Uni de surveiller tout contenu généré par les utilisateurs sur sa plateforme, y compris les messages privés de ses utilisateurs.
Cela pose problème pour les services chiffrés de bout en bout, qui ne peuvent pas accéder au contenu de leurs utilisateurs.
Bien que les législateurs britanniques aient déclaré ne pas vouloir interdire le chiffrement de bout en bout, les seules manières pour un service chiffré de bout en bout de se conformer à la loi seraient :
- Supprimer son chiffrement de bout en bout
- Affaiblir son chiffrement de bout en bout
- Installer une analyse côté client
- Cesser de fournir des services au Royaume-Uni
Cela constituerait une recréation flagrante des systèmes de surveillance de masse qu’Edward Snowden a exposés en 2013. Non seulement cela porterait atteinte au droit à la vie privée des citoyens britanniques, mais il existe peu ou pas de preuve que la surveillance de masse soit efficace(new window) pour réduire la criminalité ou le terrorisme. L’analyse côté client est déjà en place sur certaines plateformes comme Google, et ses faux positifs ont eu des conséquences désastreuses dans la vie réelle(new window). De plus, cette surveillance aurait également un effet dissuasif sur la liberté d’expression et rendrait plus difficile pour les journalistes et les lanceurs d’alerte de dénoncer les méfaits.
Affaiblir le chiffrement de bout en bout réduirait la sécurité en ligne de tous, y compris celle des enfants que ce projet de loi cherche à protéger(new window). Sans un chiffrement robuste, les données sensibles de millions de personnes seraient menacées.
Le projet de loi sur la sécurité en ligne doit être révisé pour lutter contre le contenu illégal
Nous partageons l’objectif de garantir la sécurité des personnes en ligne. Nous faisons tout notre possible pour que les contenus illégaux n’aient pas leur place sur nos services, et nous avons participé à des événements Tech Against Terrorism au fil des ans pour partager les meilleures pratiques. Notre équipe Anti-abus représente environ 10 % de notre personnel, et ils enquêtent constamment sur de nouvelles et innovantes façons de lutter contre le contenu abusif tout en protégeant la vie privée de nos utilisateurs.
Mais cette loi laisse trop de place à l’interprétation. Les défenseurs du projet de loi sur la sécurité en ligne ont des intentions louables — nous voulons tous arrêter la propagation du CSAM et des contenus terroristes — et nous sommes heureux de voir les décideurs politiques enfin entrer dans le débat sur la manière d’améliorer la sécurité en ligne. Mais leur approche est malavisée et dangereuse.
Le projet de loi met en danger notre droit à la vie privée, notre liberté d’expression et le fonctionnement économique de l’internet, tout en faisant peu pour protéger les personnes en ligne. En réalité, affaiblir le chiffrement exposerait les personnes à des risques plus grands.
Nous appelons le gouvernement britannique à réviser le projet de loi sur la sécurité en ligne pour mieux protéger le droit à la vie privée, la liberté d’expression et le chiffrement sur lequel internet s’appuie pour fonctionner. Nous tenons également à souligner que tout programme de lutte contre le CSAM devrait également impliquer un financement accru des services de protection de l’enfance, des conseils et de l’application de la loi,
Si la loi est adoptée, nous ferons tout notre possible pour nous conformer tout en protégeant nos utilisateurs. Nous avons fondé Proton afin que chacun puisse exercer son droit humain fondamental à protéger sa vie privée en ligne. Tant que nous pourrons garantir la vie privée de la communauté Proton au Royaume-Uni, nous continuerons d’y opérer.
MISE À JOUR 6 mars 2023 : Suppression d’une référence au projet de loi sur la sécurité en ligne s’appliquant aux « grandes » entreprises. En fait, il s’appliquerait aux entreprises de toutes tailles, imposant un lourd fardeau technique à de nombreuses entreprises de taille moyenne et petites.
