Proton
An illustration of content scanning that could happen under EARN IT.

Dernière mise à jour le 2 février 2022

Le 2 juillet 2020, la commission judiciaire du Sénat a voté pour approuver la loi EARN IT (un acronyme signifiant Eliminating Abusive and Rampant Neglect of Interactive Technologies Act de 2020). Elle est ensuite tombée à l’eau, sans jamais être soumise au vote sur le parquet du Sénat. (L’autre attaque contre le chiffrement de bout en bout de cette année, la loi LAED, a connu un sort similaire.)

Aujourd’hui, le Congrès crée de nouveau une attaque sournoise probable contre le chiffrement. Plusieurs sénateurs ont réintroduit le EARN IT Act(nouvelle fenêtre) au sein du Comité judiciaire du Sénat en janvier, et le comité a par la suite adopté le projet de loi le 10 février 2022. La loi EARN IT a également été introduite à la Chambre des représentants en février. Ce projet de loi, s’il est adopté, obligerait probablement les entreprises de réseaux sociaux à surveiller tout le contenu partagé sur leurs plateformes, y compris les messages privés, officiellement pour prévenir la diffusion de matériel d’abus sexuels sur enfants.

Mais le projet de loi est formulé de manière vague et donne un pouvoir extraordinaire aux États individuels pour créer leurs propres règles. Les défenseurs de la liberté en ligne disent que la législation est mal adaptée à son objectif déclaré et pourrait plutôt forcer les entreprises Internet à surveiller l’activité de tous leurs utilisateurs, même si cela signifie briser le chiffrement.

En d’autres termes, EARN IT peut être utilisé comme un cheval de Troie pour attaquer le chiffrement, ou comme les critiques l’ont formulé, une « porte dérobée à une porte dérobée ».

Bien que nous reconnaissions le fléau du matériel d’abus sexuels sur enfants en ligne et le rôle des géants de la tech dans sa prolifération, EARN IT est une tentative maladroite de résoudre le problème. Il existe de nombreuses solutions proposées, telles que la suppression des vidéos d’enfants du système de recommandation de YouTube(nouvelle fenêtre), que les pédophiles ont utilisé pour créer des répertoires de contenu. EARN IT aborderait plutôt le problème en obligeant YouTube à supprimer presque toutes les vidéos d’enfants, car YouTube ne voudrait pas risquer la responsabilité accrue à laquelle il serait confronté sous la nouvelle loi.

EARN IT aborde seulement de manière tangentielle le problème du matériel abusif en ligne. Son effet principal serait très probablement d’obliger les entreprises à surveiller leurs utilisateurs, d’appliquer la censure d’informations légales et de créer un cadre pour briser le chiffrement.

Comment fonctionne EARN IT

Selon la loi américaine, les plateformes technologiques ne sont généralement pas légalement responsables du contenu que les utilisateurs publient sur leurs plateformes. Cette prémisse légale a permis à Facebook et Twitter de devenir des centres de diffusion pour les fausses nouvelles, la diffamation et les contenus extrémistes. Elle est codifiée sous l’article 230 du Communications Decency Act.

La prémisse originale de EARN IT est que les entreprises en ligne et de réseaux sociaux devraient « mériter » leurs protections de l’article 230 en suivant des pratiques exemplaires spécifiques, qui devaient être créées par une commission fédérale de 19 membres.

Ce projet de loi réintroduit est presque exactement le même que celui qui est mort en 2020. Il rend toujours les entreprises responsables si du matériel d’abus sexuels sur enfants apparaît sur leur plateforme, sans exception. En d’autres termes, le matériel abusif ne serait pas protégé par l’article 230.

Le pouvoir de la commission fédérale est également toujours réduit, et sa liste de pratiques exemplaires sera volontaire. Et les 50 États peuvent toujours rédiger leurs propres règles et réglementations pour prévenir le matériel abusif. Si une entreprise Internet ne se conforme pas à ces lois, elle s’expose à des accusations criminelles au niveau des États.

Cela entraînerait un système juridique disparate où chaque État aurait son propre ensemble de règles, ce qui amènerait probablement les entreprises Internet à adopter simplement le code de l’État le plus restrictif comme norme. Il suffit qu’un État exige des entreprises Internet qu’elles scannent le contenu avant qu’il ne soit chiffré pour annuler le chiffrement de bout en bout. Et c’est là que la principale modification de EARN IT apparaît. En 2020, il y a eu quelques tentatives timides de déclarer que le chiffrement serait protégé. Ces protections ont été en grande partie éliminées de la version 2022 du projet de loi.

Comment EARN IT attaque le chiffrement et la liberté d’expression

EARN IT transformerait les entreprises Internet en censeurs et donnerait aux États le pouvoir de saper le chiffrement de bout en bout.

En attaquant l’article 230, ce projet de loi garantit qu’une grande partie des discours libres légaux serait supprimée. Pour éviter la responsabilité, de nombreuses entreprises en ligne supprimeront tout ce qui est même tangentiellement lié au sujet visé.

Nous le savons car nous l’avons déjà constaté. La loi sur la lutte contre la traite sexuelle en ligne, à laquelle ce projet de loi ressemble maintenant, était censée cibler uniquement la traite sexuelle. Cependant, en pratique, cela a conduit Craigslist à supprimer toute sa section « Personals »(nouvelle fenêtre) et Microsoft à surveiller Skype(nouvelle fenêtre) pour la vulgarité et la nudité.

Il pourrait aussi être le projet de loi qui briserait le chiffrement. Au lieu d’une attaque directe sur le chiffrement comme la loi LAED, EARN IT donnerait aux États-Unis le pouvoir de mettre fin au chiffrement de bout en bout. Les États pourraient exiger des entreprises Internet de scanner les messages avant qu’ils ne soient chiffrés ou de créer de nouvelles méthodes pour accéder aux messages chiffrés de bout en bout sans toucher au chiffrement. La loi d’Assistance et d’Accès de l’Australie joue ce même jeu sémantique en exigeant des entreprises Internet qu’elles aident les forces de l’ordre à développer des logiciels malveillants capables d’accéder aux informations après qu’elles aient été déchiffrées sur votre appareil, laissant ainsi techniquement le chiffrement intact.

Comme l’explique Riana Pfefferkorn dans le blog du Centre pour l’Internet et la Société(nouvelle fenêtre), la nouvelle loi EARN IT offre une protection discutable pour le chiffrement au mieux. Alors que le projet de loi indique que l’offre d’un chiffrement solide n’est pas en soi un motif de responsabilité, il ne fait rien pour empêcher un procureur de trouver une cause semi-plausible séparée, comme la négligence, et de poursuivre une entreprise en justice pour son chiffrement de cette manière. En d’autres termes, tant qu’une poursuite civile ou pénale est fondée sur une plainte séparée semi-légitime et non sur le chiffrement d’un service, elle peut utiliser le chiffrement de ce service contre lui comme preuve de négligence.

Le résultat final le plus probable serait de décourager le chiffrement fort et le chiffrement de bout en bout en totalité. Lorsque EARN IT a été initialement proposé en 2020, le service de messagerie de bout en bout Signal a déclaré qu’ils devraient probablement déplacer leur siège social hors des États-Unis(nouvelle fenêtre) s’il était adopté.

Comment EARN IT vous affecterait-il ?

Si vous êtes un utilisateur de Proton, vous éviterez les effets les plus nocifs de EARN IT s’il est adopté. Nous sommes une entreprise suisse, et les centres de données utilisés par Proton Mail sont tous situés en Suisse. Par conséquent, nous ne sommes pas soumis aux lois américaines. Toute demande des autorités judiciaires étrangères doit être approuvée par les autorités suisses.

EARN IT entraînerait probablement une réaction excessive massive de la part des entreprises Internet, car elles seront incitées à supprimer le contenu utilisateur complètement légal pour éviter même l’ombre d’une responsabilité. Ou, comme l’a déclaré l’ACLU en 2020 dans sa lettre(nouvelle fenêtre) au Comité judiciaire du Sénat, « Même si le discours couvert par la loi pouvait être restreint sans soulever de préoccupation constitutionnelle, les pratiques de modération de contenu que les entreprises déploieront pour éviter le risque de responsabilité balayeront bien plus largement que le contenu illégal. »

Si un État accepte l’invitation de cette loi et adopte des réglementations contre le chiffrement de bout en bout, cela mettra de nombreuses entreprises américaines, comme WhatsApp ou Signal, dans une situation difficile. Doivent-elles lutter contre de nombreux procès coûteux, briser leur chiffrement ou quitter les États-Unis ?

Nous ne pouvons pas permettre au Congrès d’adopter EARN IT

EARN IT érode l’un des fondements juridiques de la liberté d’expression sur internet et met en péril le chiffrement qui sécurise internet au nom de la prévention de la diffusion de matériel abusif en ligne. Cependant, la publication de matériel sexuel abusif sur les enfants est déjà un crime fédéral, ce qui signifie qu’elle est de toute façon exemptée de la Section 230. Il existe de nombreuses méthodes plus efficaces pour prévenir la prolifération de ce type de matériel.

De plus, si ce projet de loi n’avait pas pour but de cibler le chiffrement, les législateurs auraient pu inclure des protections bien plus fortes et explicites pour le chiffrement.

En bref, EARN IT est vague, inutile et peu susceptible de résoudre le problème qu’il prétend aborder. Au lieu de cela, cela élargirait la surveillance et la censure gouvernementales et forcerait probablement les entreprises à créer des portes dérobées dans leur chiffrement ou à abandonner complètement leur chiffrement.

Ce que vous pouvez faire

EARN IT est actuellement en cours de vote au sein de la Commission judiciaire du Sénat. Vous pouvez suivre son avancement ici(nouvelle fenêtre).

Nous encourageons vivement tous les Américains à écrire à leurs représentants au Congrès et à leur dire de voter contre EARN IT. C’est l’occasion de rappeler au Congrès que vous attachez de l’importance à votre sécurité et à votre liberté d’expression. Le Centre d’action(nouvelle fenêtre) de l’Electronic Frontier Foundation vous aidera à entrer en contact avec vos représentants.

Vous pouvez également protéger vos messages personnels en vous inscrivant à un compte de boite mail sécurisée gratuit avec Proton Mail. Ce compte vous donnera également accès à la version gratuite de Proton VPN(nouvelle fenêtre), que vous pouvez utiliser pour chiffrer votre navigation en ligne.

EARN IT menace le droit de chacun à un internet qui protège la vie privée et la liberté des personnes. Aidez-nous à l’arrêter.

Vous pouvez obtenir un compte de boite mail sécurisée gratuit de Proton Mail ici.

Nous fournissons également un service VPN gratuit(nouvelle fenêtre) pour protéger votre vie privée.

Proton Mail et Proton VPN sont financés par les contributions de la communauté. Si vous souhaitez soutenir nos efforts de développement, vous pouvez souscrire à un abonnement payant. Merci pour votre soutien.

Articles similaires

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.