Utilisation de technologies par des prestataires de services de communications interpersonnelles non fondés sur la numérotation en vue du traitement des données à caractère personnel et autres, afin de lutter contre la pédopornographie en ligne (dérogation temporaire à certaines dispositions de la directive 2002/58/CE)
Le Parlement a adopté par 537 voix pour, 133 contre et 24 abstentions, une résolution sur la proposition de règlement du Parlement européen et du Conseil concernant l’utilisation de technologies pour le traitement de données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne (dérogation temporaire à la directive 2002/58/CE).
La position du Parlement européen adoptée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition de la Commission comme suit :
Objet et champ d’application
Le règlement établit des règles temporaires et limitées dérogeant à certaines obligations prévues dans la directive 2002/58/CE qui protège la confidentialité des communications et des données relatives au trafic. Son but est de permettre aux fournisseurs de certains services de courrier électronique en ligne et de messagerie d’utiliser, sur une base volontaire, des technologies spécifiques de traitement des données à caractère personnel dans la mesure strictement nécessaire pour détecter les abus sexuels commis contre des enfants en ligne sur leurs services, pour les signaler et pour retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne.
Le règlement ne s’appliquera pas au contrôle des communications audio.
Traitement des données par les fournisseurs de services
Les types de technologies utilisées devront être les moins intrusifs au regard de la vie privée en l’état actuel de la technique dans le secteur. Ces technologies ne devront pas être utilisées pour le filtrage et l’examen systématiques du texte dans les communications, excepté s’il s’agit seulement de détecter des schémas qui indiquent d’éventuels motifs concrets de soupçons d’abus sexuels commis contre des enfants en ligne. Elles ne devront pas être capables de déduire la substance du contenu des communications.
Dans le cas de la technologie utilisée pour identifier les sollicitations d’enfants, de tels motifs concrets de soupçons devront être fondés sur des facteurs de risque identifiés objectivement, tels que la différence d’âge et la participation probable d’un enfant à la communication examinée.
En ce qui concerne toute technologie spécifique utilisée aux fins du règlement, le fournisseur de services devra au préalable avoir réalisé une analyse d’impact relative à la protection des données et avoir procédé à une consultation en la matière, conformément au règlement général sur la protection des données (RGPD).
Obligations des fournisseurs de services
Les fournisseurs de services devront i) établir des procédures internes pour prévenir les utilisations abusives de données à caractère personnel, ii) garantir un contrôle humain du traitement des données et iii) établir des procédures et des mécanismes de recours pour garantir aux utilisateurs la possibilité d’introduire une réclamation auprès d’eux dans un délai raisonnable afin de présenter leur point de vue.
Les fournisseurs de services devront informer les utilisateurs d’une manière claire, bien visible et compréhensible du fait qu’ils ont invoqué la dérogation prévue par le règlement. Ils devront également informer les utilisateurs i) des voies de recours auprès d’eux; ii) de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et iii) du droit à un recours juridictionnel lorsque leurs contenus ont été retirés, ou que leur compte a été bloqué.
Stockage et conservation des données
Lorsqu’un cas suspecté d’abus sexuel commis contre un enfant en ligne a été identifié, les données de contenu et les données relatives au trafic y associées traitées, ainsi que les données à caractère personnel générées par ce traitement, devront être stockées de manière sécurisée.
La période pendant laquelle les données sont stockées ultérieurement en cas d’identification de cas suspectés d’abus sexuels commis contre des enfants en ligne, devra rester limitée à ce qui est strictement nécessaire à l’exercice de ces activités.
Toutes les données devront être supprimées immédiatement et de manière permanente dès qu’elles ne sont plus strictement nécessaires à l’une des finalités énoncées dans le règlement.
Transparence et responsabilité
Les fournisseurs de services devront publier des rapports et les soumettre à l’autorité de contrôle compétente et à la Commission, au plus tard six mois après la date d’entrée en vigueur du règlement, et au plus tard le 31 janvier de chaque année par la suite.
Ces rapports devront porter, entre autres, sur le traitement relevant du champ d’application du règlement, y compris le type et les volumes de données traitées, les motifs spécifiques invoqués pour le traitement de données à caractère personnel en vertu du RGPD, les motifs invoqués pour les transferts de données à caractère personnel en dehors de l’Union ainsi que le nombre de cas d’abus sexuels commis contre des enfants en ligne identifiés.
Lignes directrices
Afin de soutenir les autorités de contrôle dans leurs tâches, la Commission devra demander au comité européen de la protection des données de publier des lignes directrices sur le respect du RGPD dans le cadre du traitement relevant du champ d’application de la dérogation prévue par le règlement.
Liste publique
Les fournisseurs devront communiquer à la Commission le nom des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants auxquels ils signalent des abus sexuels potentiels commis contre des enfants en ligne dans le cadre du règlement. La Commission rendra publique la liste et la tiendra à jour.
Statistiques
Au plus tard un après la date d’entrée en vigueur règlement, puis sur une base annuelle, les États membres devront mettre à la disposition du public et présenter à la Commission des rapports comprenant des statistiques sur i) le nombre total de signalements d’abus sexuels commis contre des enfants en ligne qui ont été transmis aux autorités répressives nationales compétentes; ii) le nombre d’enfants identifiés grâce aux mesures prises en vertu du règlement, ventilé par sexe; iii) le nombre d’auteurs condamnés.