La proposition révisée de l’UE sur le « contrôle du bavardage » présente des risques pour la confidentialité des données des entreprises.
L’Union européenne modifie sa façon de gérer la surveillance numérique. Le projet initial avait suscité l’inquiétude du secteur technologique : il prévoyait le balayage obligatoire de toutes les communications privées afin de détecter d’éventuels abus. Aujourd’hui, l’Union européenne a changé de cap. La surveillance est « volontaire » et il appartient aux fournisseurs, généralement de grandes plateformes, de décider s’ils analysent les messages des utilisateurs et de quelle manière. Certains titres ont présenté cette décision comme une victoire pour la protection de la vie privée, mais soyons clairs : pour les entreprises, en particulier celles qui opèrent en Europe, il ne s’agit pas d’un sursis, mais d’un avertissement. C’est un avertissement.
À l’heure actuelle, aucun pare-feu solide n’empêche les entreprises privées d’analyser les communications chiffrées. Ces analyses sont effectuées par des outils d’intelligence artificielle qui sont loin d’être parfaits. Ils commettent souvent des erreurs, signalant des fichiers, des courriels ou des documents internes légitimes comme des menaces potentielles. Pour les entreprises, un faux positif n’est pas seulement ennuyeux. C’est un risque sérieux. Pensez à la feuille de route stratégique interne sur laquelle vos équipes ont passé des mois. Code sensible. Planification de fusions et d’acquisitions. Si elles sont signalées par erreur, ces informations peuvent être envoyées aux forces de l’ordre à votre insu. Il ne s’agit pas seulement d’un problème d’exposition des données, mais aussi d’une atteinte à l’assurance de confidentialité que vous donnez à vos employés, aux membres de votre conseil d’administration et à vos partenaires.
Patrick Breyer, défenseur de la vie privée numérique et ancien membre du Parlement européen, souligne qu’alors que la plupart des discussions se sont concentrées sur la vie privée des individus, les implications pour les entreprises sont ignorées. Il a raison. Cela concerne tout le monde, de votre conseiller général à votre directeur de la technologie.
Cette proposition crée un précédent où les données cryptées conservées dans votre infrastructure ne sont plus entièrement sous votre contrôle. En tant que dirigeants, vous devez faire preuve de lucidité à ce sujet. Si les plateformes sur lesquelles vous vous appuyez pour la messagerie d’entreprise ou la collaboration sont soumises à une analyse « volontaire » et disposent d’une large marge de manœuvre, vous aurez besoin d’un solide cahier des charges interne concernant les communications sécurisées, les protocoles de chiffrement et les stratégies d’atténuation des risques.
La surveillance numérique se développe et les règles qui l’entourent sont de plus en plus floues. Ce n’est pas parce qu’une mesure est qualifiée de « volontaire » par les régulateurs qu’elle est inoffensive. Cela signifie simplement que vous devez agir plus rapidement pour vous adapter et défendre vos données.
Balayage de masse volontaire sous couvert de lutte contre la maltraitance des enfants en ligne
Ce qui est présenté comme un compromis pour la protection de la vie privée dans la mise à jour du « Chat Control » de l’UE est, en réalité, une expansion discrète de la surveillance numérique. Les régulateurs affirment que l’analyse des communications sera désormais effectuée par les plateformes elles-mêmes, et uniquement si elles le souhaitent. À première vue, cela peut sembler moins intrusif. Mais cela pose un autre problème : transformer de puissantes entreprises privées en entités de surveillance autorégulées sans contrôle clair.
Voici le problème. Dans cette version du « Chat Control », les entreprises peuvent analyser de manière proactive les messages des utilisateurs, à grande échelle, sans qu’il soit nécessaire de soupçonner un acte répréhensible. Elles utilisent des modèles d’apprentissage automatique peu transparents et dont les marges d’erreur sont inconnues. Ces modèles sont programmés pour identifier les marqueurs de contenu abusif, mais ils produisent également des faux positifs. Il n’y a pas d’audit normalisé, ni de contrôle légal pour arrêter ce type de balayage. Dans certains cas, il n’existe aucune base juridique.
Patrick Breyer l’a rappelé directement : « Le contrôle des conversations n’est pas mort, il est juste en train d’être privatisé ». C’est exact. Ces analyses volontaires ne sont pas facultatives pour les utilisateurs. La décision revient aux fournisseurs de technologie et, dans de nombreux cas, il s’agit d’entreprises américaines qui servent des utilisateurs européens. En d’autres termes, vous avez des implications transfrontalières en matière de protection de la vie privée, combinées à une application incohérente des lois européennes.
L’organisation European Digital Rights (EDRi) est également intervenue, mettant en garde contre le manque de clarté des nouvelles règles. Ils ont souligné que le Conseil n’avait pas explicitement rejeté le « balayage côté client », une méthode qui consiste à traiter les données avant même qu’elles n’atteignent le destinataire. Cette méthode permet de contourner entièrement le cryptage. L’EDRi a insisté sur le fait qu’en l’absence de frontières juridiques plus solides, les droits numériques sont exposés à des interprétations nationales qui peuvent varier considérablement d’un État membre à l’autre.
Pour les chefs d’entreprise, la conclusion pratique est simple. Vous ne pouvez pas supposer que les plates-formes cryptées offrent une protection absolue de la vie privée, en particulier lorsque les plates-formes peuvent décider unilatéralement d’inspecter les communications. Veillez à ce que votre feuille de route en matière de respect de la vie privée ne se contente pas de respecter les règles actuelles, mais anticipe un avenir proche où la surveillance au niveau des plateformes se normalisera sans mandat de l’État.
La structure est déjà en place pour cet avenir. N’attendez pas que les mécanismes d’application se resserrent. Agissez dès maintenant. Réévaluez la façon dont votre organisation communique et mettez en place des mesures de protection afin que ni votre personnel ni vos clients ne soient pris au dépourvu.
Faits marquants
- Les entreprises sont confrontées à des risques réels d’exposition des données dans le cadre du contrôle révisé des chats par l’UE : Le nouveau modèle d’analyse « volontaire » permet aux plateformes technologiques de surveiller les communications cryptées à l’aide d’outils d’intelligence artificielle sujets aux erreurs. Les dirigeants devraient réévaluer les protocoles internes de protection des données, car les faux positifs pourraient conduire à l’exposition non autorisée de matériel sensible aux autorités.
- La surveillance gérée par le secteur privé nuit à la protection de la vie privée et à la clarté juridique : La politique révisée délègue le balayage de masse des messages aux grandes entreprises technologiques avec une surveillance minimale et aucune restriction contraignante sur les outils invasifs tels que le balayage côté client. Les dirigeants devraient surveiller ce changement de réglementation et faire pression pour obtenir des garanties plus claires afin de protéger la vie privée des utilisateurs et l’intégrité opérationnelle dans toutes les juridictions.
