« Le nouveau cadre de protection de l'enfance en ligne du Royaume-Uni. Partie 2

J'ai décidé qu'il ne servait à rien d'écrire longuement sur les dispositions du texte final du projet de loi sur la sécurité en ligne. Plusieurs centaines de pages seraient nécessaires. Les avocats et autres en sont probablement déjà à la moitié de leur première ébauche. Ici, je ne donnerai que les gros titres afin que vous ayez une idée de ce que contient la nouvelle loi.

L'évaluation d'impact initiale du gouvernement pour cette législation peut être consultée ici.

Si vous souhaitez avoir une idée plus complète de la façon dont tout cela s'est finalement déroulé, vous devriez lire l'excellent compte rendu fourni par le Fiducie Carnegie.  Plusieurs cabinets d'avocats ont également publié leurs propres synopsis.

Ofcom doit être le principal régulateur du nouveau régime juridique, même si l'organisme britannique chargé de la protection de la vie privée, le ICO et d’autres agences joueront également un rôle important dans l’ensemble des choses. Il sera intéressant de voir quels types d’accords de travail inter-agences ils mettent en place et dans quelle mesure ils fonctionnent.

Le jour où le projet de loi a terminé son parcours parlementaire (19 septembre), Dame Melanie Dawes, directrice générale de l'Ofcom, a déclaré : le suivant

« Très peu de temps après que le projet de loi aura reçu la sanction royale, nous mènerons des consultations sur la première série de normes que nous attendons des entreprises technologiques qu'elles respectent pour lutter contre les méfaits illégaux en ligne, notamment l'exploitation sexuelle des enfants, la fraude et le terrorisme. »

Une déclaration aussi claire des priorités est la bienvenue. Les principaux éléments du nouveau projet de loi seront mis en œuvre progressivement, probablement sur une période pouvant aller jusqu'à 18 mois. De nombreuses consultations passeront en premier. Le Parlement devra déterminer comment il examinera le fonctionnement et l'efficacité des nouvelles lois. Comme nous tous.

Les évaluations des risques sont essentielles

Si vous fournissez un service de médias sociaux au Royaume-Uni, vous devez effectuer une évaluation des risques pour déterminer si ou dans quelle mesure le service présente un risque pour les enfants et, le cas échéant, vous devez prendre des mesures pour atténuer ces risques. Cela intègre davantage la notion de sécurité dès la conception et de sécurité par défaut.

Règles de transparence OK !

L'ignorance quant à l'identité de vos utilisateurs réels ne sera plus une excuse et le régulateur a le pouvoir d'examiner votre évaluation des risques et de se prononcer sur son adéquation. Vous devrez également expliquer aux utilisateurs les mesures que vous prenez pour prévenir et détecter les comportements ou les publications qui enfreignent les règles du service, comme indiqué dans les CGU.

Vos conditions d’emploi sont importantes, notamment en ce qui concerne l’âge

Les CGU ne peuvent plus être utilisées simplement comme outils de marketing. Personne ne peut plus introduire des éléments sans tenter sérieusement de les faire respecter. S’ils le font, ils pourraient se retrouver dans de gros ennuis. Une attention particulière doit être accordée aux limites d'âge indiquées dans un service.

Règles de proportionnalité, OK !

Plus l’entreprise est grande, plus les attentes sont grandes. C'est une évidence, mais tout le monde ne sera pas tenu de déployer le même niveau de ressources pour assurer la sécurité des enfants. Le contexte est tout. Les évaluations des risques et les preuves de dommages réels ou probables seront cruciales.

Supprimer rapidement certains types de contenu

Nous avons déjà noté la priorité accordée aux matériels pédopornographiques. Les plateformes concernées devront développer une capacité à les identifier et à les supprimer rapidement et à empêcher leur nouvelle mise en ligne.

De même, les contenus qui prônent ou encouragent l’automutilation doivent être rapidement supprimés et les autres formes de contenu jugées préjudiciables aux enfants ne doivent pas être accessibles aux enfants.

Une meilleure protection pour les femmes et les filles

Grâce à cette législation, il sera plus facile de condamner quelqu'un qui partage des images intimes sans consentement et de nouvelles lois criminaliseront davantage le partage non consensuel de deepfakes intimes.

Sanctions pénales et autres

Dans certaines circonstances, les cadres supérieurs pourraient être passibles d'amendes ou d'emprisonnement s'ils ne se conforment pas à ces règles ou s'ils mentent au régulateur. De lourdes amendes peuvent être imposées aux entreprises qui ne respectent pas ces règles. Jusqu'à 18 millions de livres sterling, soit 10 % du chiffre d'affaires mondial.

La pornographie est un interdit pour les enfants

Tout site ou service donnant accès à de la pornographie doit s'assurer qu'il repose sur un système robuste de vérification de l'âge.

Les magasins d'applications sont concernés

L'Ofcom étudiera le rôle des magasins d'applications en permettant aux enfants d'accéder à des contenus préjudiciables, potentiellement en vue d'obliger les entreprises à prendre des mesures pour réduire les risques. Il est fou que les App Stores puissent classer une application comme adaptée aux enfants de 4/5 ans alors que le fournisseur de l'application ou la loi précise autre chose. Et si une application apparaît avec le sceau d'approbation apparent d'Apple ou d'Android, cela devrait signifier qu'elle a passé avec succès certains contrôles d'honnêteté, techniques et juridiques de base.

Cryptage de bout en bout

D'après ce que je comprends, comme pour le projet de règlement européen, le projet de loi britannique ne contient aucun pouvoir d'interdire ou d'obliger quiconque à ne pas utiliser E2EE. De même, il n'existe aucun pouvoir pour contraindre un fournisseur de services pour décrypter un message particulier, et encore moins tous les messages qui transitent sur son réseau ou utilisent son application.

Cela dit, au Royaume-Uni du moins, en vertu de la partie 3 de la loi de 2000 sur la réglementation des pouvoirs d'enquête (telle que modifiée), il convient de noter qu'une personne peut être tenue de divulguer une clé de cryptage ou un mot de passe. Le refus de le faire pourrait entraîner une peine de prison pouvant aller jusqu'à 5 ans dans des cas impliquant la sécurité nationale ou des abus sexuels sur des enfants.

Cependant, si l'on revient à la nouvelle législation, lorsque l'évaluation des risques ou les preuves réelles indiquent qu'une plate-forme ou un système E2EE particulier est en fait ou est très susceptible d'être utilisé à une échelle appréciable pour mener des activités criminelles préjudiciables aux enfants, alors le le fournisseur de ce service E2EE devra démontrer les mesures qu’il prend pour éliminer ou minimiser une illégalité à si grande échelle.

Un échec ou un refus de le faire rendrait la plateforme passible d’amendes ou d’autres sanctions, mais le choix de la manière de le faire lui appartiendrait.