COMPTES RENDUS DE LA COMMISSION DES AFFAIRES EUROPEENNES

Mercredi 15 février 2023
- Justice et affaires intérieures - Lutte contre la pédopornographie en ligne : proposition de résolution européenne de M. Ludovic Haye, Mme Catherine Morin-Desailly et M. André Reichardt sur la proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants (COM(2022) 209)
- Questions diverses

Mercredi 15 février 2023

- Présidence de M. Jean-François Rapin, président -

La réunion est ouverte à 14 h00.

Justice et affaires intérieures - Lutte contre la pédopornographie en ligne : proposition de résolution européenne de M. Ludovic Haye, Mme Catherine Morin-Desailly et M. André Reichardt sur la proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants (COM(2022) 209)

M. Jean-François Rapin. - Mes chers collègues, nous allons aborder un autre sujet qui fait malheureusement trop souvent l'actualité : la pédopornographie, qui prospère sur internet.

Lorsqu'Elon Musk a racheté Twitter en octobre 2022, il a fait de la lutte contre la pédopornographie, son cheval de bataille. Fin novembre, il annonçait : « Supprimer l'exploitation des enfants est la priorité n° 1 ». Pourtant, le 6 février dernier, le « New York Times » publiait une étude qui soulignait que, quatre mois après cette annonce, la publication en ligne d'abus sexuels sur les enfants était loin d'avoir disparu de Twitter : à l'heure actuelle, il est toujours aussi aisé d'y trouver des images pornographiques mettant en scène de jeunes mineurs. Certains contenus sont largement diffusés et, même, sont recommandés par l'algorithme. En outre, le système de signalement de ces contenus illicites semble défectueux : le « Times » aurait signalé plusieurs comptes qui sont restés actifs et sont même apparus comme recommandations. Twitter a depuis réagi et a assuré avoir besoin de plus de temps pour comprendre la raison de ces dysfonctionnements...

Il n'est donc visiblement pas simple de trouver la solution pour enrayer ce phénomène mondial, mais tout particulièrement européen, puisque l'Union européenne serait le premier hébergeur de contenus à caractère pédopornographique dans le monde...

La présidence suédoise du Conseil de l'Union européenne est très mobilisée sur ce dossier. Nous l'avons bien senti à Stockholm fin janvier, lors de la récente réunion des présidents de commission des affaires européennes des Parlements nationaux, qu'on appelle la petite Cosac : la présidence suédoise avait souhaité consacrer une session à la lutte européenne contre la criminalité organisée et, dans ce cadre, la commissaire européenne aux affaires intérieures, Ylva Johansson, est intervenue en faisant valoir l'action entreprise par l'Union européenne pour protéger les enfants des abus sexuels ; nous avons ensuite entendu avec émotion Anna Karin Hildingson Boqvist, secrétaire générale de l'ECPAT (End child prostitution, child pornography and trafficking of children for sexual purposes) Suède, une organisation qui défend les droits de l'enfant et travaille à combattre leur exploitation sexuelle.

Ici aussi, au Sénat, le sujet est suivi de près, notamment par la délégation aux droits des femmes qui, après avoir publié à l'automne dernier un rapport retentissant sur l'industrie de la pornographie, a déposé une proposition de résolution transpartisane pour faire de la lutte contre les violences pornographiques une priorité de politique publique : ce texte sera examiné par le Sénat le 1^er mars prochain.

C'est donc un moment tout à fait propice pour entendre les rapporteurs qui ont travaillé pour notre commission sur la proposition législative européenne destinée à prévenir et combattre les abus sexuels sur enfants : je leur laisse la parole en les remerciant pour le travail accompli.

M. Ludovic Haye. - Monsieur le président, chers collègues, notre proposition de résolution européenne aborde un sujet d'intérêt général, qui est aussi un sujet très douloureux : celui des abus sexuels sur les enfants, plus spécifiquement sur internet, qui font l'objet de la proposition de règlement visant à prévenir et à combattre les abus sexuels sur les enfants en ligne, présentée par la Commission européenne, le 11 mai dernier, et en cours d'examen au Conseil.

Pourquoi une telle réglementation européenne ? Il nous faut déjà rappeler que les abus sexuels sur mineurs constituent « une délinquance de masse » : c'est ce qu'a déploré le commandant Frank Dannerolle, chef de l'office central pour la répression des violences aux personnes de la police judiciaire lors de son audition. Il a fait état, en France, de 100 000 recensements annuels. Ces abus recouvrent une grande diversité d'actes. Il n'est d'ailleurs pas possible d'établir un profil type des abuseurs, en dehors du fait que ce sont quasi exclusivement des hommes.

Par ailleurs, l'Union européenne détient un triste record : elle est aujourd'hui le premier hébergeur de contenus à caractère pédopornographique dans le monde. Elle est également l'un des principaux lieux de consultation de tels contenus : le nombre de signalements d'abus sexuels commis contre des enfants en ligne au sein de l'Union européenne est ainsi passé de 23 000 en 2010 à plus de 725 000 en 2019, impliquant plus de 3 millions d'images et de vidéos.

Face à ce fléau, le législateur européen a voulu fixer un cadre de règles minimales afin de mettre fin aux distorsions en la matière entre États membres, avec la directive 2011/93/UE , qui définit les infractions liées aux abus sexuels et à l'exploitation sexuelle des enfants, ainsi que celles liées à la pédopornographie et à la sollicitation d'enfants à des fins sexuelles. Elle demande aux États membres de « prendre les mesures nécessaires » pour les punir.

Au niveau opérationnel, l'agence européenne de coopération policière Europol, qui fait l'objet de l'attention de notre commission, dispose de l'une des bases de données les plus importantes au monde sur l'exploitation sexuelle des enfants et a fait de la lutte contre la production et la diffusion de contenus pédopornographiques en ligne, l'une de ses priorités, avec une unité opérationnelle 24h/24h pour soutenir les enquêtes des services compétents des États membres.

Simultanément, et sous l'impulsion du Sénat, la France a renforcé les sanctions pénales contre la pédopornographie, qui est punie de cinq ans d'emprisonnement et de 75000 euros d'amende. Notre pays est également à la pointe de ce combat avec la plateforme de signalement PHAROS (Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements), qui peut demander aux éditeurs et aux hébergeurs en ligne de retirer les contenus pédopornographiques. En cas de non-retrait de ces contenus, leur accès peut être bloqué sans délai et les services hébergeant ces contenus peuvent faire l'objet d'un déréférencement. Cette procédure administrative s'exerce sous la surveillance d'une personnalité qualifiée indépendante, chargée de vérifier le bien-fondé des demandes de retrait, et qui a la possibilité d'exercer un recours devant le tribunal administratif contre une demande injustifiée. À l'heure actuelle, Mme Laurence Pécaut-Rivolier que nous avons eu l'honneur de rencontrer et qui est membre de l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), est cette personnalité qualifiée. Lors de nos échanges, elle a évoqué un volume de 150 000 contenus litigieux traités en 2021, dont environ 70 % de contenus à caractère pédopornographique.

Enfin, certains fournisseurs de services en ligne ont décidé, sur une base volontaire, de procéder à la détection de contenus pédopornographiques diffusés sur leurs services et de les retirer, dans le cadre de leurs politiques internes de modération. En outre, conformément à la loi américaine, ils signalent ces contenus au Centre américain pour les enfants disparus et exploités (NCMEC), qui partage les images pédopornographiques signalées avec les autorités répressives d'environ 150 pays dans le monde, notamment en Europe. Je précise qu'en 2022, la France a été destinataire de 100 000 de ces signalements.

Toutefois, des dispositifs existent mais sont insuffisants. En effet, le développement d'Internet dans les dernières décennies a permis une prolifération de contenus en ligne relatifs à des abus sexuels commis sur mineurs.

En France, le Sénat est leader dans la lutte contre les violences sexuelles sur les enfants et a su tirer à temps la sonnette d'alarme : on peut citer le rapport d'information de notre collègue Marie Mercier au nom de la commission des lois sur la protection des mineurs victimes d'infractions sexuelles et la proposition de loi qui a en résulté, le rapport de la délégation aux droits des femmes sur l'industrie de la pornographie, publié en septembre dernier, ou les travaux récents de nos collègues Catherine Morin-Desailly et Florence Blatrix Contat sur la législation sur les services numériques qui ont été appréciés, notamment au sujet du DSA (Digital services act).

De son côté, le Président de la République a demandé une meilleure protection des enfants face aux menaces en ligne, en particulier dans son discours du 20 novembre 2019 à l'UNESCO, et a pris plusieurs initiatives en ce sens, à l'exemple du Laboratoire pour la protection de l'enfance en ligne, lancé le 10 novembre dernier avec les acteurs du secteur et les organisations non gouvernementales (ONG) de protection de l'enfance.

Pourquoi les résultats se font-ils attendre ? Plusieurs explications peuvent être avancées : en premier lieu, on peut constater une application inégale de la directive 2011/92/UE selon les États membres. « Le diable se cache toujours dans les détails » et certains États membres ont été plus réticents à mettre en oeuvre cette législation européenne contraignante. Ensuite, force est de déplorer l'impossibilité d'évaluer objectivement l'efficacité des actions volontaires des fournisseurs de communications électroniques car ces derniers n'autorisent pas une telle évaluation. En troisième lieu, la pandémie de covid-19 a conduit à une nette augmentation des abus sexuels contre les enfants en raison des confinements. Enfin, en quatrième lieu, l'intégration des courriers électroniques, des messageries instantanées, et de la téléphonie par internet, à partir du 21 décembre 2020, dans le champ d'application de la directive dite « vie privée et communications électroniques », a mieux garanti la confidentialité de ces communications mais a fragilisé la sécurité juridique des actions volontaires de détection effectuées par les fournisseurs.

C'est pourquoi l'Union européenne a adopté, le 24 juillet 2020, une stratégie européenne pour lutter plus efficacement contre les abus sexuels commis contre des enfants. Dans ce cadre, afin de répondre aux urgences et sécuriser les actions volontaires mises en place par les fournisseurs, elle a adopté une réglementation dérogatoire temporaire aux dispositions de la directive « vie privée et communications électroniques », qui permet aux fournisseurs de détecter et de signaler tout abus sexuel commis contre un enfant en ligne, et de bloquer le compte de l'utilisateur concerné ou de suspendre son accès au service. Ce règlement intérimaire arrive cependant à expiration le 3 août 2024 et l'adoption d'une réglementation pérenne plus ambitieuse est donc urgente et nécessaire.

La première partie de cette réponse pérenne est intervenue avec la législation sur les services numériques (Digital services act - DSA) qui prévoit que les autorités compétentes des États membres peuvent demander aux fournisseurs d'agir contre les contenus illicites, sans que ces derniers aient une obligation de retrait systématique de ces contenus.

La suite de cette réponse pérenne va intervenir en deux temps : le présent texte vise une meilleure prévention et un renforcement de la lutte contre ces abus en ligne. Il sera complété avant la fin de l'année par une révision de la directive 2011/93/CE relative à la lutte contre les abus sexuels sur enfants. Je vous remercie et cède la parole à mon collègue André Reichardt.

M. André Reichardt. - Monsieur le président, chers collègues, après les propos de Ludovic Haye, je voudrais tout d'abord souligner que ce texte marque une prise de conscience bienvenue de l'Union européenne sur la nécessité de mettre fin aux pires dérives constatées dans les communications électroniques, à savoir les abus sexuels sur les enfants. Je vais donc vous présenter le contenu de la proposition de règlement à laquelle nous proposons au Sénat de réagir tant qu'elle est en négociation.

La réforme impose de nouvelles obligations de détection et de retrait des contenus illégaux aux fournisseurs de services en ligne. Ces derniers feront l'objet d'une obligation d'évaluation régulière des risques d'utilisation de leurs services à des fins d'abus sexuels sur les enfants et, si un risque se confirme, à une obligation d'atténuation de ce risque par des mesures telles que le renforcement de la modération des contenus. En cas de risque de « pédopiégeage » (c'est-à-dire, de sollicitation d'un enfant par un adulte à des fins sexuelles), des mesures spécifiques de vérification permettant l'identification des enfants utilisateurs doivent être prises. Enfin, les fournisseurs seront tenus de faire rapport aux autorités de contrôle compétentes de l'État membre concerné.

La proposition introduit, en outre, pour les fournisseurs, des obligations de détection, de signalement et de retrait des contenus relatifs à des abus sexuels sur enfants en ligne ; et, si le fournisseur ne se met pas en conformité avec lesdites obligations, les autorités compétentes de l'État membre concerné se voient reconnaître le pouvoir de demander aux fournisseurs d'accès à internet le blocage des sites contrevenants pour une durée maximale d'un an.

Un point important est à souligner : tous les contenus publics sur Internet mais également toutes les communications interpersonnelles privées, dont les communications audio, seraient visées par ces injonctions. Il s'agit d'un changement majeur par rapport à l'état actuel du droit. À titre d'exemple, la plateforme PHAROS n'agit que sur l'Internet public.

La Commission européenne a souhaité prendre plusieurs précautions pour encadrer la procédure de détection : en effet, cette dernière n'est autorisée que sur injonction demandée par une « autorité de coordination pour les questions relatives aux abus sexuels sur enfants », qui dispose de pouvoirs d'enquête et de coercition auprès des fournisseurs. Et elle est ensuite émise par une juridiction ou par une autorité administrative indépendante, pour une période d'application maximale de 24 mois (12 mois concernant la sollicitation d'enfants).

Avant de demander une injonction de détection, l'autorité de coordination doit procéder aux enquêtes nécessaires et établir une analyse d'impact (en cas de première demande). Elle doit aussi permettre au fournisseur visé ainsi qu'au « centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur enfants » qui serait créé, de formuler leurs observations. Le fournisseur présente alors un plan de mise en oeuvre de l'injonction, et si cette dernière concerne des contenus de « pédopiégeage », l'autorité nationale en charge de la protection des données à caractère personnel doit aussi rendre un avis. Le schéma qui vous a été distribué résume cette procédure qui vise à offrir des garanties aux fournisseurs et aux utilisateurs des services, mais qui, il faut le dire, est complexe et pose la question de ses délais de mise en oeuvre.

Dans le schéma retenu, le retrait de contenus et le blocage de l'accès à un service internet sont, comme l'obligation de détection, déclenchés par une injonction, obéissant aux mêmes modalités, moyennant une « évaluation diligente ». Le fournisseur saisi d'une telle injonction doit l'exécuter « dès que possible », et au plus tard dans les 24 heures suivant sa réception.

La faiblesse des mesures proposées en faveur des victimes d'abus peut sembler étonnante en première lecture : la proposition de règlement se contente en effet de rappeler le droit des victimes d'abus sexuels à être informées, à leur demande, sur les contenus relatifs à des abus sexuels en ligne qui les concernent et qui auraient fait l'objet d'un signalement, ainsi que leur droit d'être assistées dans leurs demandes de retrait de tels contenus par les fournisseurs et par le nouveau centre de l'Union européenne qui serait créé. Mais la raison en est simple : les droits des victimes relèvent de la directive 2011/92/UE et sa révision devrait intervenir d'ici la fin de l'année.

La proposition de règlement institue enfin un « centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur enfants », qui serait un organisme de l'Union européenne doté de la personnalité juridique. Il serait conduit à la fois par un conseil d'administration, au sein duquel siégeraient représentants des États membres, de la Commission européenne et du Parlement européen, par un conseil exécutif et par un directeur exécutif. On peut se demander si une telle organisation interne n'est pas trop pesante.

Ce centre aurait pour principales missions : la réception des signalements de contenus pédopornographiques transmis par les fournisseurs et leur « filtrage », avant classement sans suite ou envoi aux services répressifs compétents pour mener les investigations à leur sujet ; une compétence consultative sur les injonctions de détection ; la création de bases de données, la mise au point d'une liste de technologies pour détecter ou retirer des contenus et leur mise à disposition des fournisseurs et des autorités compétentes.

La Commission européenne affirme que l'existence d'un centre indépendant serait nécessaire, en particulier au regard de la proportionnalité des mesures qu'il devrait prendre pour le traitement des signalements. Remarquons cependant que ce centre lui serait plutôt subordonné : en effet, il reviendrait à la Commission de proposer une liste de candidats pour le choix du directeur exécutif, d'évaluer l'action de ce directeur et de proposer sa révocation, si nécessaire.

De même, à l'égard d'Europol, son indépendance serait aussi très limitée. Le centre siégerait en effet dans la proximité immédiate d'Europol, à La Haye et partagerait ses fonctions administratives avec l'agence de coopération policière, « y compris les fonctions liées à la gestion du personnel, aux technologies de l'information et à l'exécution du budget». Ce qui est logique puisqu'on lui confierait des missions qui font en partie « doublon » avec celles de l'agence.

Vous l'avez compris, l'utilité de ce centre ne nous apparaît pas évidente. Nous vous proposons donc de le supprimer et de renforcer plutôt Europol, déjà en pointe dans la lutte contre la pédocriminalité et la pédopornographie.

En complément, je voudrais vous dire quelques mots de l'avancée des négociations du texte au sein du Conseil de l'Union européenne. La réforme, présentée en mai 2022, a connu de lentes avancées sous présidence tchèque avec, en particulier, une réelle opposition de l'Allemagne à certaines de ces dispositions, par exemple sur les recherches de contenus indifférenciés.

La présidence suédoise du Conseil, en phase avec nos propres réflexions, s'interroge sur la pertinence et le calibrage de certaines mesures. Elle souhaite en conséquence que les États membres précisent leurs positions sur quatre points clefs de la réforme avant de proposer un compromis. Ces quatre points sont : la détection volontaire, la préservation du chiffrement de bout en bout (selon cette technologie qui garantit la confidentialité des échanges, lorsqu'un message est envoyé à un destinataire, celui-ci est chiffré et seul le destinataire peut le décrypter, à l'aide d'une clé), la détection dans les communications interpersonnelles, et la détection dans les communications audio.

Mme Catherine Morin-Desailly. - Monsieur le président, chers collègues, en préambule je souhaiterais dire, comme mes collègues l'ont affirmé, que le principe de cette réforme doit être soutenu, tant le phénomène des abus sexuels sur les enfants sur Internet est un véritable fléau. Les chiffres et les témoignages étant tout à fait renversants, témoins des horreurs absolues qui se déroulent, à défaut d'un monde suffisamment sécurisé et responsable. Vous le savez, la régulation des acteurs du numérique me préoccupe depuis longtemps, des débats de la loi « infox » en 2018 jusqu'à la résolution n°70 (2021-2022) du Sénat du 14 janvier 2022 sur la législation sur les services numériques (Digital services act ou « DSA ») pour laquelle nous avions proposé avec ma collègue Florence Blatrix Contat un certain nombre de mesures pour protéger les enfants.

Il est primordial de responsabiliser les fournisseurs par des obligations d'évaluation et d'atténuation des risques ainsi que par des obligations de détection et de retrait des contenus pédopornographiques.

Toutefois, nous devons aussi constater que le dispositif proposé n'est pas exempt de critiques et qu'il conviendrait, selon nous, de l'amender.

Tout d'abord, nous pensons qu'il faut éviter la remise en cause de la confidentialité des communications interpersonnelles et tout risque de surveillance généralisée des communications.

Il faut constater que la proposition de règlement concerne tant les contenus publics (à l'exemple de ceux présents et librement accessibles sur les réseaux sociaux) que les contenus de communications interpersonnelles, tels que les courriels, les boucles de messageries privées et la téléphonie en ligne. Comme l'a rappelé André Reichardt, les contenus audio seraient aussi explicitement concernés. L'application d'injonctions de détection ne pourrait donc se faire que par dérogation à la directive de 2002 sur la confidentialité des communications précitée, qui garantit la confidentialité des communications interpersonnelles et, partant, au droit à la vie privée, telle que protégée par l'article 7 de la Charte européenne des droits fondamentaux.

Car, de facto, la proposition de règlement introduirait une dérogation généralisée à ce principe de confidentialité des communications.

Ce qui serait paradoxal, à l'heure où la Cour de justice de l'Union européenne (CJUE) ainsi que la Cour européenne des droits de l'Homme (CEDH) développent une approche restrictive des exceptions à ce principe.

En outre, techniquement, les recherches de contenus envisagés seraient impossibles sur des ensembles de contenus faisant l'objet de chiffrements de bout en bout. En pratique, pour se conformer au présent règlement, les fournisseurs de services de communication interpersonnelle cryptés devraient renoncer, partiellement ou en partie, au chiffrement des contenus, ce qui pourrait impliquer des risques pour la confidentialité des communications et la sécurité.

Plus préoccupant encore, la proposition de règlement est susceptible d'instaurer une surveillance généralisée des communications. Aujourd'hui, cette surveillance concerne les abus sexuels sur les enfants. Mais demain, la tentation pourrait être grande de l'autoriser pour d'autres motifs si l'on n'y prend garde, par exemple la détection des discours de haine avec toutes les dérives qu'une telle intrusion est susceptible d'entraîner au plan des libertés publiques.

En ce qui concerne les contenus publics, la possibilité d'émettre des injonctions de détection des contenus pédopornographiques est une atteinte manifeste à l'interdiction de surveillance généralisée des contenus, réaffirmée récemment dans le Digital Services Act. Ce risque nous a été rappelé par les représentants de la Commission nationale informatique et libertés (CNIL) lors de leur audition, au cours de laquelle ils ont précisé que la proposition rendait possible une analyse généralisée et systématique du contenu de quasiment tout type de communication électronique.

Bien sûr, les exceptions à ce principe existent mais elles sont très limitées (recherche de contenus sous droits d'auteur), et elles demeurent pour l'instant limitées à la recherche de contenus déjà connus. Cette recherche de contenus déjà identifiés avec la technique du « hachage » (empreinte numérique attribuée à une image ou à une vidéo, permettant de les retrouver facilement) ne paraît pas soulever de difficulté.

En revanche, la recherche de nouveaux contenus via des logiciels d'intelligence artificielle paraît plus discutable, en particulier au regard des faibles performances des logiciels d'intelligence artificielle (IA) aujourd'hui disponibles. Selon un chiffre cité par la Commission européenne elle-même, les technologies d'IA actuellement disponibles sur le marché génèreraient environ 12 % de faux positifs pour la détection de nouveaux contenus. Ainsi, un nombre considérable de contenus parfaitement légaux pourraient être portés à la connaissance des autorités de contrôle, au risque d'affecter la liberté d'expression, y compris dans l'espace public.

En outre, en ce qui concerne le « pédopiégeage », la CNIL a précisé que l'analyse et la qualification des conversations incriminées ne pourraient reposer que sur un recoupement de leur contenu avec des données à caractère personnel (fournies directement par l'utilisateur ou déduites des contenus qu'il aura consultés ou du profil de ses « amis » sur les réseaux sociaux). Or, les garanties apportées par la proposition pour éviter de déclencher une injonction de détection et limiter l'utilisation des données à caractère personnel, une fois cette injonction émise, paraissent insuffisantes au regard du risque de « chalutage généralisé » des données par les fournisseurs que pourrait entraîner une telle réglementation. La proposition de règlement se borne en effet à indiquer que les technologies utilisées doivent être « conformes à l'état de la technique dans le secteur et [...] les moins intrusives. » À l'évidence, le dispositif envisagé ne respecterait pas le principe de proportionnalité.

Cette nature très intrusive de la procédure de détection explique que la phase d'autorisation soit si longue et se déroule sur plusieurs semaines voire plusieurs mois. Mais en conséquence, ces injonctions ne constitueraient pas un gage d'efficacité accrue de la lutte contre les abus sexuels sur les enfants. C'est pourquoi nous vous proposons la suppression des dispositions de la proposition de règlement autorisant, sur émission d'une injonction de détection, la recherche indifférenciée de contenus pédopornographiques et de « pédopiégeage » dans les services de communications interpersonnelles : nous devons prévenir ce risque d'une surveillance de masse des communications.

Ce faisant, loin d'affaiblir cette proposition de règlement, une telle inflexion la sécuriserait juridiquement, en lui évitant la censure du juge européen. C'est le sens des discussions qui se déroulent à l'heure actuelle au Conseil, sous présidence suédoise.

En complément, nous souhaitons aussi affirmer un rôle de contrôle plus important du Comité européen de la protection des données (EDPB) et des autorités nationales de protection des données dans l'établissement de lignes directrices relatives aux injonctions de détection et de la liste des technologies mises à disposition des fournisseurs. Nous soutenons, pour ces technologies, le principe de protection des données dès la conception et par défaut.

Bien entendu, nous voulons également renforcer les outils à la disposition des autorités compétentes et « donner toutes ses chances » à la présente réglementation en s'inspirant des succès de la loi française. Il nous semble cohérent d'une part, d'intégrer les moteurs de recherche et annuaires dans le champ d'application du règlement, afin de prévoir aussi des injonctions de déréférencement de contenus illégaux. Nous souhaitons aussi considérer la plateforme PHAROS, dont l'efficacité est unanimement saluée, comme l'une des « autorités nationales compétentes » habilitée à mettre en oeuvre la présente réglementation, afin de préserver le rôle central de cette plateforme dans la lutte contre les contenus de pédopornographie en ligne. Elle pourrait également émettre des injonctions de retrait.

Dans la droite ligne de nos demandes formulées lors de l'examen du DSA, nous souhaitons accentuer encore la responsabilisation des acteurs du numérique. Leur rôle déterminant dans la prolifération des contenus préjudiciables aux mineurs a été souligné. Dans vos propos introductifs, monsieur le président, vous avez notamment cité Twitter et l'inaccessibilité de son algorithme. On peut d'ailleurs déplorer une nouvelle fois que la proposition réaffirme le régime de responsabilité limitée des hébergeurs, qui ne bénéficient toujours pas de statut.

Nous devons aussi nous interroger sur l'opportunité de confier, une fois de plus, le contrôle de l'espace public en ligne aux acteurs privés du numérique, en particulier aux GAFAM. En effet, ces derniers visent avant toute chose des objectifs de rentabilité. Sur ce point, je voudrais ici rappeler les propos de Frances Haugen, la lanceuse d'alerte sur le fonctionnement de Facebook, ici même au Sénat, qui avait affirmé que les plateformes privilégieront toujours la rentabilité à la sécurité des enfants. Il est ainsi crucial que les autorités compétentes soient en mesure de faire pression sur eux, par une règlementation contraignante, et par la possibilité de mettre en évidence leurs lacunes dans la lutte contre les contenus pédopornographiques.

Pour ce faire, nous demandons que les autorités de régulation soient elles-mêmes en mesure de pouvoir auditer ces services, ou puissent confier de tels audits à des chercheurs qualifiés et indépendants, ainsi que le Sénat le demandait déjà dans sa résolution n° 70 sur le DSA. Ces autorités de régulation devraient également pouvoir rendre publics, si nécessaire, les éventuels manquements des fournisseurs à leurs obligations, dans une logique de « name and shame », afin que ce risque pour leur réputation les incite à respecter très scrupuleusement le présent règlement.

Enfin, en lien avec les travaux récents de diverses instances du Sénat et avec la proposition de résolution, cosignée par tous les présidents de groupes, qui sera débattue par le Sénat en séance publique, le 1^er mars prochain, nous vous proposons de renforcer le volet préventif pour protéger les enfants dans l'espace numérique.

Nous souhaitons ainsi rappeler l'importance du développement des méthodes alternatives de protection des enfants en ligne, reposant à la fois, sur un renforcement des mesures d'éducation aux usages du numérique, sur l'activation par défaut, sur les appareils, des dispositifs de contrôle parental, et sur des procédures simples de vérification en ligne de l'âge des utilisateurs de certains sites.

Il nous semble aussi pertinent d'obliger les très grandes plateformes à mettre en oeuvre sur les services, à leurs frais, des campagnes de communication visant à rappeler à leurs utilisateurs la réglementation applicable en matière de contenus pédopornographiques. Il pourrait y avoir des panneaux de recommandation circulant sur Youtube et d'autres plateformes, comme cela est fait par l'ARCOM.

Enfin, nous estimons nécessaire de prévoir un droit à l'oubli renforcé pour les mineurs, concernant les contenus les concernant diffusés sur les très grandes plateformes, comme la résolution n° 70 précitée le proposait déjà.

Ce sont, mes chers collègues, tous ces objectifs que défend la proposition de résolution européenne que nous vous soumettons.

M. Jean-François Rapin. - Merci à tous les trois pour ce travail sérieux et exhaustif. Au regard du tableau fourni, je suis effaré des délais nécessaires pour supprimer un contenu une fois le danger identifié. Une fois l'alerte émise de manière quasi-immédiate, il faut ensuite minimum 12 voire 24 mois pour la suppression du contenu, c'est impressionnant. En ce sens, PHAROS vous paraît-elle être une structure efficace, avec des moyens et un dispositif suffisants ?

Mme Catherine Morin-Desailly - Nous leur avons posé la question. La question des budgets ne semble pas être un frein, en revanche la responsable chargée d'identifier les contenus nous a avoué se sentir un peu seule et espérer une formation collégiale pour la soutenir dans son rôle de contrôle des contenus illicites à l'avenir.

Mme Patricia Schillinger - Merci pour ce rapport sur un sujet d'intérêt général qui nous touche tous et dont nous parlons depuis longtemps. Vous avez raison, il faut avancer dans la lutte contre la pédopornographie. Je me demande même si nous n'aurions pas pu user de termes encore plus forts, et évoquer, au-delà de la notion « d'abus », celle de lutte contre les « agressions sexuelles ». J'ai découvert l'existence d'un site de dépôt de photos pédophiles qui constitue une banque d'images libres de droits, les avez-vous interrogés ? Si les photos ne sont pas catégorisées en tant que pornographie, des enfants sont partout sur ce site ; l'agression est dans l'image, dans l'acte et dans les transferts sur les sites.

Mme Colette Mélot. -Je félicite les rapporteurs de cette proposition de résolution. Je sais que Catherine Morin-Desailly a beaucoup travaillé sur le sujet et je ne doute pas de la qualité de son travail. J'ai mené en 2021 un travail sur le harcèlement et le cyber-harcèlement, on retrouve ici les mêmes problématiques. Il faut être très strict et arriver à avoir des modérateurs chez les fournisseurs afin que l'on puisse éviter la mise en ligne de telles images de pédopornographie.

Il est tellement facile d'harceler des enfants. Les conséquences physiques et psychologiques de tels abus sont immenses sur les victimes. Il nous faut donc absolument travailler à détecter et signaler les contenus pédopornographiques. Or, beaucoup d'autorités ne se rendent pas compte à quel point le sujet est grave. Cela entraîne des suicides chaque année, des enfants enlevés, des agressions, c'est un sujet extrêmement préoccupant.

M. Ludovic Haye. - Merci chers collègues pour vos questions tout à fait pertinentes. Concernant le point soulevé par Patricia Schillinger, la partie détection est extrêmement importante aujourd'hui, nous l'avons vu. Dès lors qu'un site a été identifié, il peut revenir sous une autre forme ce qui complexifie d'autant plus les contrôles. Cela est valable pour d'autres sites que la pédopornographie, notamment en ce qui concerne le prosélytisme religieux. Une fois le déréférencement du site demandé, ce qui peut prendre déjà un certain temps, il peut ensuite revenir sous une autre façade, avec une facilité effarante.

Détecter, c'est une chose, mais c'est un principe de communauté qui doit dominer : je le rappelle à chaque fois que je rencontre des jeunes en collège ou lycée. Face à ce que nous constatons, nous devons tous agir et signaler les contenus aux plateformes de référencement. Si l'on ne fait que détourner le regard, on participe en quelque sorte au développement de ces activités illicites.

En ce qui concerne PHAROS, c'est une plateforme intéressante et techniquement tout à fait opérationnelle. Elle mériterait d'être humainement renforcée au vu de la difficulté pour ces opérateurs d'être exposés continuellement à ces contenus illicites, mais également car les chiffres des crimes explosent. Pour finir, nous devons mettre « les mots sur les maux ». Tant que l'économie primera sur la morale, il y aura un vrai sujet. Il ne s'agit pas jeter Internet aux orties, mais les GAFAM doivent prendre conscience des effets collatéraux de leurs priorités de rentabilité et assumer leurs responsabilités.

M. André Reichardt. - En réponse à la remarque de Patricia Schillinger, je veux ajouter que nous n'avons naturellement pas choisi le terme « d'abus sexuels ». Ce terme est en fait la qualification juridique visée par la proposition de règlement européen que nous examinons. J'ai peu de choses à rajouter au sujet de PHAROS, qui est un outil qui rend d'ores et déjà d'éminents services et dont le travail est tout à fait remarquable. Je voudrais à mon tour saluer le professionnalisme de ses personnels ainsi que l'action titanesque de la personne qualifiée, chargé de contrôler les contenus, qui ne s'occupe pas seulement de pédocriminalité mais aussi de terrorisme en ligne. Afin de coordonner les solutions retenues dans ces domaines, on pourrait d'ailleurs envisager de prévoir de réduire le délai de retrait des contenus pédopornographiques détectés, de 24 heures à à 1heure comme cela est fait pour le terrorisme. PHAROS ne doit surtout pas voir ses missions réduites. Elle doit être renforcée. C'est le sens de nos propositions.

Mme Catherine Morin-Desailly - Pour répondre à notre collègue Patricia Schillinger sur la distinction entre « abus sexuels » et « agressions sexuelles », je précise que le terme « abus » recouvre un concept juridique très général qui comprend en particulier les « agressions » mais également d'autres types d'abus comme la création et la diffusion de contenus pédopornographiques. Il s'agit d'une terminologie précise qui correspond à des infractions sanctionnées dans notre code pénal. Je voudrais également souligner de nouveau que la création d'un centre européen pour prévenir et lutter contre les abus sexuels sur les enfants en ligne est superflue. Dans l'exercice de ces missions, l'agence européenne de coopération policière Europol fonctionne aujourd'hui très bien : j'ai pu le constater à l'occasion de la visite que j'ai pu y faire la semaine dernière. Elle dispose en effet d'une expertise de plus de vingt ans dans ce domaine, avec des bureaux de liaison de chaque État membre et au-delà, et déploie des campagnes de prévention et de formation. Il nous faut donc soutenir et renforcer cette expertise.

Comme Colette Mélot l'a très justement souligné, à la racine de la prévention des abus, il y a l'éducation, sujet sur lequel nous revenons toujours. La lutte contre le cyberharcèlement et contre la cyberpornographie est au coeur de nos recommandations. Cette criminalité touche tous les milieux, toutes les couches sociales, toutes les familles. On nous a rapporté des scènes invraisemblables de parents se mettant eux-mêmes en scène avec leurs enfants, c'est abominable. L'éducation à l'école est donc primordiale : il faut éduquer, sensibiliser et prévenir les enfants ainsi que les adultes éducateurs qui les entourent.

La commission adopte à l'unanimité la proposition de résolution européenne, disponible en ligne sur le site du Sénat, ainsi que l'avis politique qui en reprend les termes et qui sera adressé à la Commission européenne.

Proposition de résolution au nom de la commission des affaires européennes, en application de l'article 73 quater du Règlement, sur la proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants - COM(2022) 209 final

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu le traité sur l'Union européenne, en particulier ses articles 2, 3 et 6,

Vu le traité sur le fonctionnement de l'Union européenne, en particulier ses articles 2, 4, 16, 88 et 114,

Vu les articles 7, 8 et 24 de la Charte des droits fondamentaux de l'Union européenne,

Vu la convention de sauvegarde des droits de l'homme et des libertés fondamentales, et notamment ses articles 10, 11 et 16, son protocole additionnel, et notamment son article 3, et le protocole n° 12,

Vu la convention du Conseil de l'Europe sur la protection des enfants contre l'exploitation et les abus sexuels du 25 octobre 2007 (convention de Lanzarote),

Vu la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel du 8 novembre 2001 (« Convention 108 + »), notamment son article 6,

Vu la convention des Nations unies relative aux droits de l'enfant (CNUDE),

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques,

Vu la directive 2011/92/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil,

Vu la directive 2012/29/UE du Parlement européen et du Conseil du 25 octobre 2012 établissant des normes minimales concernant les droits, le soutien et la protection des victimes de la criminalité et remplaçant la décision-cadre 2001/220/JAI du Conseil,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, abrogeant la directive 95/46/CE, dit règlement général sur la protection des données - RGPD,

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision cadre 2008/977/JAI du Conseil,

Vu la proposition de règlement du Parlement européen et du Conseil du 10 janvier 2017 concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»),

Vu la stratégie de l'Union européenne en faveur d'une lutte plus efficace contre les abus sexuels commis contre des enfants (communication COM(2020) 607 final) du 24 juillet 2020,

Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 26 janvier 2022 établissant une déclaration européenne sur les droits et principes numériques pour la décennie numérique, COM(2017) 10 final,

Vu le règlement (UE) 2021/1232 du Parlement européen et du Conseil du 14 juillet 2021 relatif à une dérogation temporaire à certaines dispositions de la directive 2002/58/CE en ce qui concerne l'utilisation de technologies par les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d'autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne,

Vu la nouvelle stratégie européenne pour un internet mieux adapté aux enfants (communication COM(2022) 212 final) du 11 mai 2022,

Vu la proposition de règlement du Parlement européen et du Conseil du 11 mai 2022 établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants, COM(2022) 209 final,

Vu l'avis conjoint n° 04/2022 du Comité européen de la protection des données et du Contrôleur européen de la protection des données, en date du 28 juillet 2022,

Vu la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet,

Vu le rapport d'information de n° 529 (2018-2019) de Mmes Marie MERCIER, Michelle MEUNIER et Dominique VÉRIEN, fait au nom de la mission commune d'information sur les politiques publiques de prévention, de détection, d'organisation des signalements et de répression des infractions sexuelles susceptibles d'être commises par des personnes en contact avec des mineurs,

Vu le rapport d'information n° 900 (2021-2022) de Mmes Annick BILLON, Alexandra BORCHIO FONTIMP, Laurence COHEN et Laurence ROSSIGNOL, au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes du Sénat sur l'industrie de la pornographie,

Vu la résolution européenne du Sénat n° 70 (2021-2022) du 14 janvier 2022 sur la proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques (Législation sur les services numériques - Digital Services Act - DSA) et modifiant la directive 2000/31/CE, COM(2020) 825 final,

Sur la proposition de règlement et ses objectifs :

Considérant que la protection des enfants doit constituer une priorité de l'Union européenne,

Considère avec gravité que l'ampleur des abus sexuels commis sur les enfants appelle une mobilisation générale et immédiate des États membres et des institutions européennes afin de les prévenir et les combattre plus efficacement ;

Constate que les fournisseurs de services d'hébergement et de communications interpersonnelles n'ont jusqu'à présent pas fait la preuve de leur diligence et de leur efficacité dans la lutte contre l'utilisation de leurs services à des fins d'abus sexuels sur les enfants et, plus généralement, de leur capacité à assurer la sûreté de l'environnement en ligne des enfants ;

S'inquiète de l'expiration prochaine, au 3 août 2024, du régime temporaire institué par le règlement (UE) 2021/1232 précité afin de sécuriser juridiquement les actions volontaires menées par les fournisseurs de services d'hébergement et de communications interpersonnelles pour lutter contre l'utilisation de leurs services à des fins d'abus sexuels sur les enfants ;

Soutient donc le principe du paquet législatif constitué par le présent projet de règlement qui vise à mieux détecter et retirer les contenus pédopornographiques en ligne, et par la refonte de la directive 2011/92/CE, qui doit intervenir l'an prochain en vue de renforcer la prévention et la lutte contre les abus sexuels commis sur les enfants ;

Approuve l'importance des sanctions prévues par la proposition, qui pourraient aller jusqu'à 6 % du chiffre d'affaire mondial des fournisseurs de services en ligne ne se conformant pas à leurs obligations au titre de la proposition de règlement ;

S'étonne néanmoins du choix de la Commission européenne de ne pas considérer la prévention et la lutte contre les abus sexuels sur les enfants en ligne comme prioritaire au regard de l'exigence de bon fonctionnement du marché intérieur, et de chercher avant tout leur conciliation, afin « de garantir des conditions de concurrence équitables aux fournisseurs », « d'éliminer les obstacles au marché unique numérique pour les services concernés, d'accroître la sécurité juridique pour les fournisseurs et de réduire les coûts de mise en conformité »^1(*) ;

Demande, dans un souci de cohérence et de clarté du texte, que la définition d'un « enfant » y soit harmonisée en désignant toute personne âgée de moins de dix-huit ans ;

Sur l'évaluation des risques et sur les mesures d'atténuation :

Considérant que la réglementation proposée exigerait que les fournisseurs de services d'hébergement et de services de communications interpersonnelles évaluent le risque que leurs services soient utilisés à des fins d'abus sexuels sur les enfants en ligne, dans les trois mois suivant son entrée en vigueur puis, en principe, tous les trois ans, et, si un tel risque est identifié, qu'ils prennent des mesures d'atténuation de ce risque ;

Constate l'insuffisance des informations disponibles à ce jour sur les mesures actuellement prises volontairement par les fournisseurs de services pour prévenir tout risque d'utilisation de leurs services à des fins d'abus sexuels sur enfants ;

Approuve par conséquent, l'obligation faite aux fournisseurs de faire rapport à l'autorité de coordination désignée par les États membres sur leur politique d'évaluation et d'atténuation des risques ; estime que ces rapports doivent en particulier comprendre des informations précises sur les moyens humains, financiers et technologiques engagés par les fournisseurs pour se conformer aux dispositions de la présente réforme ;

Souligne la nécessité d'un audit externe et indépendant des risques et des mesures d'atténuation prises, qui nécessite l'accès aux données pertinentes pour les autorités de régulation et les chercheurs agréés ;

Sur la procédure d'injonction de détection de contenus pédopornographiques :

Sur la complexité de la nouvelle procédure d'injonction de détection :

Considérant la nouvelle obligation de détection des contenus pédopornographiques et de contenus sollicitant des mineurs pour des actes sexuels (« pédopiégeage ») imposée aux fournisseurs de services en ligne, sur demande, après divers enquêtes et avis, de l'autorité nationale de coordination du lieu d'établissement du fournisseur, puis émise par l'autorité administrative indépendante ou la juridiction compétente ;

Considérant que le projet de demande d'émission d'une injonction de détection serait en principe soumis à deux reprises au fournisseur concerné, la première fois pour lui permettre de présenter ses observations et la seconde, afin qu'il élabore un plan de mise en oeuvre de l'injonction ; ajoute que ce projet de demande serait également soumis pour avis au nouveau centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur les enfants, afin qu'il émette un avis à son sujet dans un délai de quatre semaines ;

Considérant que la période de validité d'une injonction de détection serait de vingt-quatre mois pour la détection de contenus pédopornographiques déjà identifiés ou la recherche de nouveaux contenus, et de douze mois pour les recherches relatives à des sollicitations d'enfants ;

Constate que ce processus d'enquête, d'évaluation et de consultation préalable à la transmission de la demande d'émission d'une injonction de détection par l'autorité de coordination durerait ainsi plusieurs semaines, voire plusieurs mois ; s'interroge en conséquence sur l'intérêt et la compatibilité d'un tel processus avec la souplesse et l'efficacité recherchées par la Commission européenne dans la détection, puis, dans un second temps, le retrait ou le blocage rapides de contenus liés à des abus sexuels sur les enfants ;

Sur le manque de clarté de la procédure d'injonction de détection

Considérant que, selon le dispositif envisagé, la possibilité de demander et d'émettre une injonction de détection est soumise à l'existence d'« éléments probants indiquant un risque important que le service soit utilisé à des fins d'abus sexuels sur enfants en ligne », étant entendu qu'un tel « risque important » est réputé exister s'il est « probable » que le service est utilisé « pour la diffusion de matériel connu relatif à des abus sexuels sur enfant », ou s'il est prouvé qu'une telle utilisation a eu lieu « au cours des 12 derniers mois » « dans une mesure appréciable »^2(*) ;

Considérant que le manque de clarté de cette rédaction compromet la sécurité juridique du dispositif et risque de déboucher sur une surveillance disproportionnée des contenus ;

Demande la clarification des critères imposés pour autoriser l'émission d'une injonction de détection, afin d'éviter des interprétations contradictoires de la part des différents acteurs de la procédure ; appelle en conséquence à l'édiction de lignes directrices harmonisées par les autorités de coordination désignées ;

Sur la nécessité d'encadrer les atteintes à la confidentialité des communications

Considérant la nécessité d'articuler la possibilité d'enjoindre aux fournisseurs de rechercher non seulement des contenus pédopornographiques ou de « pédopiégeage » avec le principe d'interdiction de surveillance généralisée des contenus, posé par l'article 15 de la directive 2000/31 du 8 juin 2000, dite « directive sur le commerce électronique », et plus récemment par l'article 8 du règlement 2022/2065 du 19 octobre 2022, dit « Digital Services Act » ;

Considérant que le champ du règlement envisagé couvre, en plus des contenus publiquement mis à disposition sur internet, les services de communications interpersonnelles, notamment de type courriels, messageries instantanées ou appels téléphoniques via internet ;

Considérant le principe de confidentialité des communications privées, qui est un élément essentiel du droit à la vie privée et familiale, protégé par l'article 7 de la Charte européenne des droits fondamentaux ;

Considérant néanmoins que la protection des enfants contre les abus sexuels est un objectif d'intérêt général, qui justifie que les États membres puissent adopter des mesures législatives, nécessaires, appropriées et proportionnées, visant à limiter la confidentialité des communications, afin d'assurer la prévention, la recherche, la détection et la poursuite des infractions pénales qui en résultent ;

Considérant que la jurisprudence récente de la Cour de justice de l'Union européenne (CJUE), qui a affirmé, à plusieurs reprises, l'interdiction de toute injonction faite aux fournisseurs de services de communications électroniques de procéder à la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation^3(*), a prévu une exception à cette interdiction à des fins de lutte contre la criminalité grave, dont la pédopornographie et la pédocriminalité, tout en exigeant que cette exception soit proportionnée, limitée au strict nécessaire et soumise au contrôle préalable d'une juridiction ou d'une autorité administrative indépendante^4(*),

Considérant que le texte envisagé prévoit que, sur la base d'une injonction de détection, les fournisseurs de services d'hébergement et de services de communications interpersonnelles sont conduits non seulement à détecter dans leurs services des contenus pédopornographiques déjà identifiés, mais également à procéder à une recherche indifférenciée de tels contenus ainsi que de contenus de « pédopiégeage » ;

Considérant que les garanties procédurales prévues par la proposition, telles que le droit des fournisseurs à un recours effectif contre une injonction de détection, le principe de l'adoption des mesures les moins intrusives pour effectuer les recherches ou encore la limitation dans le temps de la durée des injonctions, ne sont pas suffisantes pour préserver les utilisateurs d'un risque de surveillance généralisée et permanente de leurs communications ;

Considérant avec gravité, sur la base de l'avis conjoint du Comité européen de la protection des données et du Contrôleur européen de la protection des données, en date du 28 juillet dernier, qu'en raison du manque de clarté de ses dispositions et de son large champ d'application, la proposition de règlement risquerait de faire des exceptions posées au principe de confidentialité des communications une règle et d'ainsi constituer la base d'une surveillance généralisée et indifférenciée de l'ensemble des contenus des communications électroniques de tous leurs utilisateurs dans l'Union européenne et dans l'Espace économique européen ;

Considérant l'insuffisante maturité des outils de détection automatique des contenus à caractère pédopornographiques, et a fortiori des contenus de « pédopiégeage », qui risque donc de générer un nombre important de « faux positifs » et en conséquence, de voir portés à la connaissance des autorités de contrôle et des autorités répressives de nombreux contenus légaux ;

Considérant que les recherches de contenus indifférenciées envisagées par la proposition sont techniquement impossibles sur des ensembles de contenus chiffrés de bout en bout et que, pour y procéder, les fournisseurs de services de communications interpersonnelles cryptés devraient donc renoncer, partiellement ou totalement, au cryptage des contenus, au détriment de la confidentialité des communications et au risque de créer des failles de sécurité dommageables ;

Considérant les graves atteintes aux droits fondamentaux susceptibles d'être posées par de telles entorses au chiffrement ;

Appelle à la suppression des dispositions relatives à la recherche indifférenciée de contenus pédopornographiques et de « pédopiégeage » dans les services de communications interpersonnelles ;

Soutient en revanche le principe d'injonctions de détection portant sur des contenus déjà identifiés, conformément aux pratiques existantes ;

Estime cependant nécessaire, au vu des inégales performances des outils de détection disponibles, que les technologies susceptibles d'être utilisées pour effectuer ces recherches fassent l'objet d'un examen approfondi par la Commission européenne, en lien avec le Contrôleur européen de la protection des données et les autorités compétentes concernées, ainsi qu'avec le futur comité européen de l'intelligence artificielle et les coordinateurs des services numériques qui devraient être prochainement désignés par les États membres aux termes du règlement européen sur les services numériques, afin de développer des solutions fiables et robustes, et que cet examen identifie aussi et réduise les biais induits par l'utilisation de technologies d'intelligence artificielle pour la détection ;

Soutient le principe de la consultation systématique du Comité européen de la protection des données en vue de l'établissement d'une liste des technologies pouvant être utilisées pour effectuer des recherches de contenus pédopornographiques ou de « pédopiégeage » et de toute modification ultérieure de cette liste ;

Approuve la transmission du plan de mise en oeuvre de l'injonction préparé par le fournisseur à l'autorité compétente chargée de la protection des données afin que cette dernière puisse émettre un avis en temps utile sur la compatibilité des dispositions envisagées avec la protection des données et la confidentialité des communications ;

Estime que le Comité européen de la protection des données devrait être consulté par la Commission européenne lorsqu'elle établit des lignes directrices concernant les obligations de détection, conformément aux dispositions de l'article 11 de la proposition ;

Souhaite, de la part des pouvoirs publics européens et des États membres, un soutien financier et technique appuyé au développement de tels outils, selon un cahier des charges élaboré par leurs soins ;

Sur les injonctions de retrait et de blocage :

Considérant que la réforme proposée prévoit que l'autorité de coordination du lieu d'établissement qui a connaissance d'un contenu pédopornographique ou de « pédopiégeage », peut, après évaluation diligente, demander à la juridiction ou à l'autorité administrative indépendante compétente d'émettre une injonction de retrait au fournisseur concerné ;

Considérant qu'après l'émission de l'injonction de retrait, dans les 24 heures maximum suivant sa réception, le fournisseur concerné doit retirer effectivement les contenus visés ;

Considérant que l'autorité de coordination compétente peut également demander à la juridiction ou à l'autorité administrative indépendante compétente d'émettre une injonction de blocage imposant à un fournisseur de services d'accès à l'internet de prendre des « mesures raisonnables » pour empêcher les utilisateurs d'accéder à des contenus connus relatifs à des abus sexuels sur les enfants ;

Prend acte des dispositions garantissant l'information et le droit au recours de l'utilisateur par son fournisseur en cas de retrait de certains de ses contenus ;

Appelle à la mise en place d'une coordination nécessaire entre autorités compétentes afin que l'exécution d'une injonction de retrait ou de blocage n'entrave pas les activités de prévention et de détection ;

Estime qu'en complément de la possibilité d'injonctions de blocage, devraient être prévues la possibilité d'injonctions de déréférencement adressées aux exploitants de moteurs de recherche ou d'annuaires, et donc l'intégration explicite de ces exploitants dans le champ d'application de la proposition de règlement, afin de conférer à cette dernière une pleine efficacité ; salue les discussions en cours à ce sujet au Conseil ;

Sur le centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur les enfants :

Considérant que, dans la proposition de règlement, tout fournisseur ayant connaissance d'une information relative à un abus sexuel potentiel commis sur des enfants et diffusé en ligne sur ses services doit le signaler rapidement au nouveau centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur les enfants, et, sauf communication contraire de ce dernier, en informer l'utilisateur concerné ;

Considérant que le centre précité, lorsqu'il estime que le signalement effectué n'est pas sans fondement, transfère ce dernier à Europol ou à l'autorité répressive de l'État membre susceptible d'être compétente pour enquêter sur les abus sexuels sur les enfants ou pour engager des poursuites judiciaires en conséquence ;

Prend acte de l'institution envisagée d'un nouveau centre de l'Union européenne, en position intermédiaire entre les fournisseurs et les services répressifs, afin de contribuer au traitement des signalements ; souligne que l'intervention d'un tel centre allonge la procédure de signalement, au risque de contredire l'objectif affiché de retrait rapide des contenus pédopornographiques ;

Constate que ce centre, en principe autonome, devrait néanmoins siéger à proximité immédiate d'Europol, agence de coopération policière de l'Union européenne, et serait dépendant des ressources humaines et matérielles de cette agence ;

Estime que les autres missions attribuées au centre précité, pour l'essentiel son pouvoir consultatif sur les demandes d'injonctions de détection et la mise à disposition de technologies de détection au bénéfice des fournisseurs, ne justifient pas non plus la création d'un centre autonome ;

Ajoute que le coût prévisionnel prévu pour le fonctionnement de ce centre, à savoir 28,47 millions d'euros à échéance 2030, la complexité de son organigramme administratif, qui cumulerait un conseil d'administration, un conseil exécutif et un directeur exécutif, ainsi que les exigences de « scolarisation multilingue et à vocation européenne » et de « liaisons de transport appropriées » prévues à l'article 81 pour figurer dans l'accord de siège relatif à l'implantation du centre, semblent déraisonnables et déplacées ;

Rappelle simultanément qu'Europol dispose aujourd'hui d'une réelle expertise dans la lutte contre les abus sexuels sur les enfants et contre la cybercriminalité et bénéficie de la confiance des services répressifs et des juridictions compétentes des États membres dans ce domaine ;

Affirme que, dans une volonté de rationalisation de la procédure de traitement des signalements, un pôle dédié d'Europol pourrait être désigné responsable de leur centralisation et, en lien avec les services répressifs nationaux, de leur traitement, et appelle en conséquence à confirmer Europol comme centre européen de la lutte contre les abus sexuels sur les enfants, et à augmenter ses moyens à hauteur du budget envisagé initialement pour le nouveau centre dont la création est proposée ;

Souligne enfin que la plateforme PHAROS (pour Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements) dont dispose la France depuis 2009 est une structure pionnière, efficace et opérationnelle sans interruption, pour recevoir et traiter les signalements de contenus illicites sur Internet, et qu'en conséquence, son rôle doit être reconnu et son insertion garantie dans le dispositif de la réforme envisagée, en tant qu'autorité nationale compétente au sens de l'article 25 de la proposition de règlement, afin qu'elle contribue au traitement des signalements, ainsi qu'au retrait et au blocage des contenus pédopornographiques en ligne ;

Sur la responsabilité des plateformes en ligne dans la prolifération de contenus préjudiciables aux mineurs :

Considérant le rôle déterminant des plateformes en ligne dans la prolifération de contenus préjudiciables aux mineurs, et la nocivité potentielle de leur modèle économique ;

Considérant le maintien du régime de responsabilité limitée des hébergeurs, mis en place par la directive sur le commerce électronique de 2000, spécifiquement réaffirmé à l'article 19 de la présente proposition ;

Considérant la profitabilité extrême des grands acteurs privés du numérique ;

Considérant que la lutte contre les abus sexuels sur mineurs en ligne ne peut résulter que d'un ensemble de mesures comprenant un volet préventif, complémentaire du volet répressif envisagé par la proposition;

Insiste sur la pertinence des dispositifs techniques de contrôle parental pour limiter et filtrer les contenus préjudiciables accessibles aux mineurs ; appelle à leur activation par défaut par les fournisseurs, et à leur extension aux opérateurs téléphoniques, lorsqu'un abonnement téléphonique est souscrit pour l'usage d'un mineur ;

Estime en outre nécessaire l'instauration de dispositifs -fiables et respectueux de la vie privée- de vérification de l'âge des utilisateurs par les fournisseurs, notamment pour l'accès aux contenus pornographiques, et l'imposition, sur ces sites pornographiques, de l'affichage d'un écran noir tant que l'âge de l'utilisateur n'a pas été vérifié ;

Rappelle la nécessité de renforcer l'éducation des jeunes publics aux usages du numérique ;

Demande, en complément, l'ouverture d'une réflexion commune associant les fournisseurs, les autorités de régulation nationales et européennes compétentes et les instances académiques, en vue de l'institution d'un droit à l'oubli renforcé pour les mineurs ;

Souhaite que les très grandes plateformes en ligne, au sens du Digital Services Act, soient tenues, dans le cadre de leurs obligations d'atténuation des risques, de mettre en oeuvre sur leurs services, à leurs frais, des campagnes de communication visant à rappeler la réglementation applicable en matière de contenus pédopornographiques ;

Estime que les sanctions pécuniaires ne sauraient à elles seules suffire à leur faire modifier le traitement réservé aux contenus illicites ou préjudiciables ;

Appelle donc, en cas de manque de diligence de la part de certains de ces fournisseurs dans la mise en oeuvre du règlement, à habiliter la Commission européenne, sur la base des informations transmises par Europol et par les autorités nationales compétentes, à porter cette information à la connaissance du public ;

Invite le Gouvernement à faire valoir cette position dans les négociations au Conseil.

Questions diverses

M. Jean-François Rapin. - Mes chers collègues, au titre des questions diverses, je souhaiterais vous proposer de nommer des rapporteurs sur la proposition de résolution n° 345 déposée par notre collègue André Gattolin pour dénoncer les transferts forcés massifs d'enfants ukrainiens par la Fédération de Russie. C'est un sujet important auquel j'ai été directement sensibilisé par mon homologue ukrainienne, Ivanna Klympush-Tsintsadze, notamment lorsque je l'ai rencontrée à Prague lors de la dernière Cosac. Selon le président de la Rada ukrainienne, les enfants victimes de ces transferts seraient de l'ordre de 18 000. Pour approfondir le sujet au nom de notre commission, je vous propose de désigner deux rapporteurs : André Gattolin et Claude Kern, qui sont tous deux membres de la délégation française à l'assemblée parlementaire du Conseil de l'Europe et sont, de ce fait, bien informés des enjeux du conflit ukrainien, notamment en ce qui concerne les transferts d'enfants vers la Russie.

M. André Gattolin. - Merci monsieur le président. Vous avez rappelé l'estimation donnée par les associations ukrainiennes, mais le nombre réel d'enfants transférés pourrait être beaucoup plus important. La situation de guerre rend les vérifications difficiles mais les chiffres communiqués par la Russie évoquent l'entrée de 730 300 enfants ukrainiens sur le territoire russe. Certains sont des russophones ukrainiens volontaires mais d'autres ont été orientés par corridors, voire même enlevés. J'ai déposé le texte en mon nom propre et il est désormais ouvert à la signature, mes chers collègues. C'est un texte ciblé et descriptif, destiné à obtenir un consensus sur ce sujet jusqu'ici « sorti des radars », notamment de la résolution générale sur l'Ukraine adoptée par le Sénat le 7 février dernier et initiée par notre collègue Claude Malhuret. En l'espèce, l'enjeu humanitaire est extrêmement important.

La réunion est close à 15h00.

* ¹ Exposé des motifs de la proposition de règlement, p. 7-8.

* ² Article 7 de la proposition.

* ³ CJUE, arrêts Digital Rights Ireland du 8 avril 2014 (affaires C-203/15 et C-698/15), Tele2Sverige AB du 21 décembre 2016 (mêmes affaires) et La Quadrature du Net et autres du 6 octobre 2020 (C-511/18, C-512/18 et C-520/18).

* ⁴ CJUE, H.H/Prokuratuur, C-746/18, 2 mars 2021.