I. Proposition de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants - COM (2022) 209 final

A) Pourquoi une proposition de règlement pour mieux lutter contre les abus sexuels en ligne ?

Les abus sexuels et l'exploitation sexuelle des enfants, y compris la pédopornographie, constituent des crimes particulièrement graves punis dans tous les États membres.

Malheureusement, l'Union européenne apparaît aujourd'hui comme le premier hébergeur de contenus à caractère pédopornographique dans le monde^1(*). Ainsi, le nombre de signalements d'abus sexuels commis contre des enfants en ligne au sein de l'Union européenne est passé de 23 000 en 2010 à plus de 725 000 en 2019, impliquant plus de 3 millions d'images et de vidéos.

Or, si la France est pionnière en matière de lutte contre la pédopornographie (voir annexe), il n'en va pas de même dans tous les États membres. Cependant, le droit européen a fixé un cadre clair de règles minimales. Ainsi, la directive 2011/92/CE^2(*) définit les infractions liées aux abus sexuels et à l'exploitation sexuelle des enfants, ainsi que celles liées à la pédopornographie et à la sollicitation d'enfants à des fins sexuelles, et demande aux États membres de « prendre les mesures nécessaires » pour les punir. Concernant la lutte contre la pédopornographie, elle impose la mise en place de dispositifs permettant la suppression rapide des pages internet diffusant de la pédopornographie qui sont hébergées sur leur territoire.

En outre, certains fournisseurs de services de communication électronique ont décidé, sur une base volontaire, de détecter les abus sexuels commis contre des enfants mis en ligne sur leurs services, de les signaler aux autorités compétentes et de retirer les contenus qui en résultent.

Enfin, au niveau opérationnel, l'agence européenne de coopération policière, Europol, a constitué en son sein le centre européen de lutte contre la cybercriminalité (EC3), qui joue un rôle clé pour soutenir les enquêtes des services compétents des États membres en matière de pédopornographie.

Toutefois, le bilan de ces actions est perfectible et les abus sexuels en ligne constatés ont augmenté avec la pandémie de covid-19. C'est pourquoi l'Union européenne a adopté, le 24 juillet 2020, une stratégie européenne pour une lutte plus efficace contre les abus sexuels commis contre des enfants. Ainsi, afin de dépasser les seules actions volontaires des fournisseurs, juridiquement sécurisées par le règlement (UE) 2021/1232 du 14 juillet 2021^3(*), la stratégie de 2020 a préconisé, dans un second temps, l'adoption d'une législation européenne pérenne plus ambitieuse, remplaçant les actions volontaires des « fournisseurs » par des obligations harmonisées. C'est l'objet du projet de règlement soumis à votre examen.

Dans ce contexte, la proposition de règlement COM (2022) 209 final impose des obligations précises aux fournisseurs de services d'hébergement et de services de communications interpersonnelles afin de mieux lutter contre les abus sexuels sur les enfants en ligne (chapitres I à III) et institue un centre de l'Union européenne dédié à cette mission (chapitre IV).

Précisons d'emblée que, pour l'application de ce règlement, chaque fournisseur précité devrait indiquer dans quel État membre se situe son établissement principal, ou, si ce dernier n'est pas dans l'Union européenne, désigner un représentant légal. Il devrait également mettre en place un point de contact unique pour les échanges avec les autorités compétentes dans la prévention et la lutte contre les abus sexuels en ligne (articles 23 et 24).

Simultanément, chaque État membre devrait désigner une ou plusieurs autorités compétentes pour l'application du présent règlement ainsi qu'une « autorité de coordination pour les questions relatives aux abus sexuels sur enfants ». Cette autorité de coordination disposerait de pouvoirs d'enquête et de coercition auprès des fournisseurs (ex : possibilité d'inspecter les locaux d'un fournisseur ; pouvoir d'ordonner la cessation des infractions constatées, d'infliger des amendes, ou de demander aux juridictions compétentes la restriction temporaire de l'accès des utilisateurs au service concerné ; pouvoir de notification à un fournisseur afin d'obtenir le retrait de contenus) (articles 27 à 32).

Le premier changement majeur de cette réforme est constitué par l'ensemble des obligations qui s'imposeraient désormais aux fournisseurs de services d'hébergement et de communications interpersonnelles quant au contenu de leurs services (dénommé « matériel » par la proposition) :

- obligation d'évaluation régulière des risques d'utilisation de leurs services à des fins d'abus sexuels sur les enfants en ligne et, si un risque se confirme, obligation d'atténuation de ce dernier par des mesures efficaces, ciblées et proportionnées (ex : adaptation des fonctionnalités du service ; renforcement de la modération des contenus...). En outre, ils devraient alors prendre les mesures de vérification nécessaires à l'identification des enfants utilisateurs et faire rapport sur ces mesures aux « autorités de coordination » de l'État membre concerné (articles 3 à 6) ;

- obligations de détection des abus sexuels sur enfants en ligne, de signalement de tout abus sexuel potentiel, de retrait du « matériel » identifié ou de blocage de l'accès à ses services (sections 3 à 5 ; articles 7 à 24).

L'obligation de détection se traduirait par l'émission d'une injonction par l'autorité judicaire ou l'autorité administrative indépendante désignée par l'État membre concerné, sur demande de l'autorité de coordination compétente.

L'autorité de coordination devrait, avant d'effectuer sa demande, procéder aux enquêtes nécessaires, effectuer une analyse d'impact (en cas de première demande) et permettre au fournisseur visé ainsi qu'au « centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur enfants » qui serait créé, de formuler leurs observations sur son projet. Il lui reviendrait ensuite de demander un plan de mise en oeuvre de cette demande au fournisseur et un avis à l'autorité en charge de la protection des données. Puis, elle transmettrait sa demande à l'autorité d'émission avec l'ensemble des documents recueillis (plan, avis et observations). L'émission d'une injonction par cette autorité serait alors subordonnée à la réunion de plusieurs critères (probabilité d'une utilisation du service pour la diffusion de matériel relatif à des abus sexuels sur les enfants ; éléments probants indiquant que le service ou un service comparable a été utilisé à ces fins dans les 12 derniers mois...).

De plus, sa mise en oeuvre devrait respecter plusieurs conditions destinées à la limiter à la mesure strictement nécessaire (période d'application maximale de 24 mois ou de 12 mois concernant la sollicitation d'enfants ; nécessité d'un contrôle humain régulier ; mise en place de procédures internes pour éviter les accès et usages prohibés...) (articles 7 à 11).

Toute injonction de retrait de contenu et de blocage de l'accès à un service internet se ferait selon les modalités qui viennent d'être évoquées. Il faut noter cependant qu'une injonction de retrait devrait en outre faire l'objet d'une « évaluation diligente » préalable par l'autorité de coordination et que le fournisseur qui en serait saisi devrait l'exécuter dans les 24 heures suivant sa réception. La période d'application d'une injonction de blocage, quant à elle, ne devrait pas dépasser un an.

La procédure de signalement serait plus simple : tout fournisseur constatant la présence sur son service de « matériel » relatif à des abus sexuels sur les enfants en ligne devrait le signaler au centre de l'Union européenne, à charge pour ce dernier de traiter ce signalement et, si ce dernier n'est pas dénué de fondement, de le transmettre à Europol et aux autorités répressives compétentes de l'État membre concerné. En outre, le centre tiendrait à jour une base de données de ces signalements (articles 45 et 48).

Signalons enfin que les fournisseurs ne pourraient pas conserver les données visées par ces procédures plus de 12 mois à compter de la date à laquelle elles auraient été signalées, retirées ou rendues inaccessibles (article 22).

Le second changement majeur proposé par cette réforme résulte du premier, à savoir l'ampleur des possibilités d'intrusion des fournisseurs dans les communications électroniques des utilisateurs pour satisfaire aux obligations précitées. Précisons en effet que ces obligations concerneraient non seulement les contenus identifiés et connus, mais également les nouveaux contenus (images ; vidéos ; messages audio...) ainsi que les sollicitations d'enfants à des fins sexuelles (ce qui impliquerait donc de scruter les correspondances électroniques, d'en identifier les auteurs et destinataires...). Ce faisant, les technologies mises en place pour détecter et retirer le matériel relatif à des abus sexuels en ligne pourraient permettre de fait un « chalutage » des données personnelles des utilisateurs et une surveillance de leurs communications électroniques sur de longues durées.

C'est pourquoi plusieurs garanties sont prévues au profit des fournisseurs et des utilisateurs : reconnaissance d'une impossibilité pour les fournisseurs de mettre en oeuvre l'injonction en cas de force majeure, ou d'une impossibilité de fait qui ne lui est pas imputable ou d'une erreur manifeste dans la rédaction de l'injonction ; mise à disposition de technologies « les moins intrusives » par le centre de l'Union européenne ; information des fournisseurs sur les demandes d'injonction et des utilisateurs, dans la mesure où cela ne compromet pas l'efficacité des mesures prises ; possibilité, pour les fournisseurs, de présenter des observations préalables sur les demandes d'injonction ; droit au recours des fournisseurs et des utilisateurs contre les injonctions...

La proposition prévoit également le droit des victimes d'abus sexuels d'être informées, à leur demande, sur le « matériel » relatif à des abus sexuels en ligne sur lequel elles apparaissent et qui aurait fait l'objet d'un signalement, et leur droit d'être assistées dans leurs demandes de retrait de tels contenus par les fournisseurs et par le centre de l'Union européenne. Leurs demandes devraient être formulées auprès de l'autorité de coordination compétente (articles 20 et 21).

2) La création d'un centre de l'Union européenne dévolu à la lutte contre les abus sexuels commis contre les enfants

La présente proposition de règlement instituerait le « centre de l'Union européenne chargé de prévenir et de combattre les abus sexuels sur enfants », déjà évoqué, qui serait un organisme de l'Union européenne doté de la personnalité juridique siégeant à La Haye aux Pays-Bas, pour travailler à proximité de l'agence Europol, déjà installée sur place (chapitres IV et V ; articles 40 à 84).

Ce centre aurait pour principales missions : la création et la mise à jour de bases de données sur les indicateurs pertinents pour détecter des abus sexuels en ligne et sur les signalements, et leur mise à disposition des fournisseurs et des autorités compétentes ; l'établissement d'une liste de technologies pouvant être utilisées par les fournisseurs pour détecter ou retirer des contenus et leur mise à disposition de ces derniers ; la contribution aux processus de détection, de signalement et de retrait (formulation d'avis sur les injonctions de détection ; réception des injonctions de retrait et de blocage...) en soutien aux autorités compétentes des États membres et à Europol (mise en place d'un système de partage d'informations fiables ; autorisation d'accès à ses bases de données aux autorités répressives et à Europol) ; une activité de recherches et d'études.

En pratique, le centre serait dirigé par un directeur exécutif, nommé pour cinq ans (articles 64 et 65). Il serait épaulé par un conseil d'administration^4(*), qui définirait les orientations générales des actions du centre (articles 56 et 57), et par un conseil exécutif^5(*) (articles 61 et 62), chargé de la bonne exécution des missions. Le centre partagerait cependant ses fonctions administratives avec Europol « y compris les fonctions liées à la gestion du personnel, aux technologies de l'information et à l'exécution du budget. » (article 53).

C) La proposition de règlement est-elle conforme au principe de subsidiarité ?

La proposition de règlement est-elle nécessaire ? L'amélioration de l'efficacité de la lutte contre les abus sexuels et contre la pédopornographie l'est incontestablement, eu égard à l'ampleur du phénomène dans l'Union européenne.

Au demeurant, cette criminalité grave, parce qu'elle agit sur Internet, se joue des frontières par nature et nécessite donc une coopération européenne active.

On peut néanmoins se poser la question de la pertinence de certaines dispositions. À titre d'exemple, la création d'un nouveau centre de l'Union européenne, spécifiquement dédié à la prévention et à la lutte contre les abus sexuels en ligne, est-elle justifiée alors que les autorités nationales spécialisées et Europol assument déjà les missions qui lui seraient confiées? On peut également se demander si les dispositions du texte relatives au blocage et au retrait des contenus pédopornographiques sont pertinentes alors que de tels contenus sont déjà interdits par la directive 2011/92/CE et que le Digital Services Act, en cours d'adoption, renforce les obligations de diligence des hébergeurs pour lutter contre les contenus illégaux. Seul un examen au fond de la présente proposition permettra de lever ces interrogations.

En outre, la présente réforme est-elle fondée sur une base juridique correcte ? Comme trop souvent désormais, la Commission européenne justifie sa proposition sur le fondement de l'article 114 du traité sur le fonctionnement de l'Union européenne, relatif au fonctionnement du marché intérieur.

L'édiction de règles sur la lutte contre les abus sexuels, en ligne ou hors ligne, relève-t-elle effectivement du développement du marché intérieur plutôt que de l'Espace, de liberté, de justice et de sécurité, (dispositions du titre V du traité sur le fonctionnement de l'Union européenne (TFUE)), et de ses règles relatives à la coopération judiciaire pénale et à la coopération policière? Cela ne va pas de soi.

Néanmoins, dans la période récente, lors de précédents contrôles de subsidiarité relatifs à des initiatives législatives en matière de lutte contre la diffusion de contenus à caractère terroriste en ligne^6(*) ou de transparence de la publicité politique^7(*), la commission des affaires européennes du Sénat n'a pas contesté cette « lecture » des traités par la Commission européenne. Il est proposé, en conséquence, de prendre acte de la base juridique invoquée.

Des questions se posent également au sujet de la proportionnalité du dispositif proposé. Ainsi, la proposition de règlement porterait une atteinte conséquente à la confidentialité des communications interpersonnelles, protégées par la directive 2002/58/CE précitée, alors même que la Cour de justice de l'Union européenne (CJUE) défend désormais une approche restrictive des exceptions au principe de confidentialité (elle interdit ainsi la conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation au nom de la lutte contre la criminalité grave^8(*)). Il n'est donc pas certain que ses dispositions seraient jugées conformes aux traités ainsi interprétés.

En outre, les recherches envisagées par la réforme sur des ensembles de contenus cryptés de bout en bout étant impossibles techniquement à ce jour, les fournisseurs devraient de facto renoncer partiellement ou totalement au cryptage des contenus pour se conformer à ses prescriptions.

Toutefois, afin d'effectuer une analyse approfondie de la réforme et de permettre au Sénat de prendre une position éclairée à son sujet, il est proposé de privilégier un examen au fond du texte.

En effet, cet examen au fond de cette réforme semble urgent et nécessaire car :

- elle ne semble pas vouloir faire primer l'objectif de lutte contre les abus sexuels sur les enfants en ligne sur celui de bon fonctionnement du marché intérieur, mais rechercher, dans une logique contractuelle, leur conciliation afin de préserver « des conditions de concurrence équitables» (p. 25 de l'exposé des motifs de la proposition) ;

- elle affirme vouloir améliorer la lutte contre les abus sexuels en ligne mais met en place des procédures complexes pour les détecter ou en bloquer l'accès, avec un centre de l'Union européenne, qui semble « faire doublon » avec les autorités compétentes actuelles, au risque d'aboutir à une moindre efficacité des actions menées ;

- elle permet, potentiellement, des intrusions inédites et prolongées des fournisseurs dans les communications électroniques des citoyens. Or, les garanties affichées par le texte pour limiter la portée de ces intrusions semblent insuffisantes. En outre, si ces intrusions sont autorisées pour la lutte contre la pédopornographie aujourd'hui, elles pourraient l'être demain pour d'autres motifs plus subjectifs (« non-respect des valeurs européennes »...) et conduire, à ce titre, à une surveillance indifférenciée des communications.

Malgré ces interrogations et compte tenu de ces observations, le groupe de travail sur la subsidiarité a donc décidé de ne pas intervenir plus avant sur ce texte au titre de l'article 886 de la Constitution.

Toutefois, la commission des affaires européennes procédera à un examen au fond de ce texte dans le cadre de la procédure prévue par l'article 88-4 de la Constitution.

* ¹ Exposé des motifs de la communication de la Commission européenne COM(2020) 607 final du 24 juillet 2020 valant « Stratégie de l'Union européenne en faveur d'une lutte plus efficace contre les abus sexuels commis contre des enfants. »

* ² Directive 2011/92/CE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil. Il faut également signaler la directive 2012/29/CE du 25 octobre 2012 qui établit des normes minimales concernant les droits, le soutien et la protection des victimes de la criminalité.

* ³ Règlement (UE) 2021/1232 du Parlement européen et du Conseil du 14 juillet 2021 relatif à une dérogation temporaire à certaines dispositions de la directive 2002/58/CE en ce qui concerne l'utilisation de technologies par les fournisseurs de services de communications impersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d'autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne.

* ⁴ Le conseil d'administration serait composé d'un représentant par État membre et de deux représentants de la Commission européenne disposant du droit de vote. Il comprendrait également un expert désigné par le Parlement européen et un représentant d'Europol, avec voix consultative.

* ⁵ Le conseil exécutif serait composé du président et du vice-président du conseil d'administration, de deux autres membres du conseil d'administration disposant du droit de vote et des deux représentants de la Commission européenne y siégeant. Le président du conseil d'administration serait aussi celui du conseil exécutif.

* ⁶ Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatifs à la lutte contre la diffusion des contenus à caractère terroriste en ligne du 29 avril 2021.

* ⁷ Proposition de règlement COM (2021) 731 final du Parlement européen et du Conseil relatif à la transparence et au ciblage de la publicité à caractère politique en date du 25 novembre 2021.

* ⁸ CJUE, grande chambre, 6 octobre 2020, La Quadrature du Net contre Premier ministre français (affaires C-511/18 ; C-512/18 et C-520/18).