Les cybercriminels agissent en bandes très organisées, et surtout très modulables. Dan Asaki, Unsplash , CC BY Par Jean-Yves Marion , Université de Lorraine Europol vient d’ annoncer le démantèlement d’un groupe de rançongiciels en Ukraine . Dans leur forme la plus basique, ces cyberattaques bloquent les systèmes informatiques et exfiltrent les données de la victime, promettant de les restituer contre rançon. Ainsi, en août 2022, une cyberattaque attribuée au rançongiciel LockBit a paralysé le centre hospitalier sud-francilien en exfiltrant 11 Gigaoctets de données de patients et d’employés. L’hôpital a dû fonctionner en « mode dégradé » pendant plusieurs mois, avec les dossiers médicaux inaccessibles et des appareils de soin inutilisables. En juillet 2023, c’est le port de Nagoya, l’un des plus importants du Japon, qui a été obligé de s’arrêter pendant deux jours à cause d’un rançongiciel. De l’exfiltration des données à leur revente sur des marc
Analyse de Constantin Pavléas, avocat spécialisé en droit des technologies et fondateur et dirigeant du cabinet Pavléas Avocat.
Thierry Breton, Commissaire européen à l’Industrie, a rappelé fin janvier à Elon Musk l’énorme masse de travail qui attend Twitter pour se plier aux normes de l’Union européenne en matière de transparence, de modération des contenus et de protection de la liberté d’expression. Cette déclaration témoigne d’une volonté de l’Union européenne de faire respecter son droit et ses valeurs, en particulier sa conception de la liberté d’expression.
L’Union européenne a adopté de nouvelles normes, entrées en vigueur en novembre dernier dans le cadre du Digital Services Act (DSA). Celles-ci prévoient, en cas d’infraction, des pénalités financières pouvant atteindre jusqu’à 6% du chiffre d’affaires mondial des très grandes plateformes. Twitter ayant récemment licencié des milliers de prestataires, Thierry Breton a fait savoir à Elon Musk qu’il serait vigilant quant aux ressources et outils qui seront mis en œuvre pour répondre aux obligations légales inscrites dans le DSA, d’autant que parmi les prestataires limogés figurent les modérateurs de contenus du média en ligne, catégorie déjà considérée en sous-effectifs au sein de Twitter.
Cette inquiétude a été relayée par l’Arcom, l’Autorité publique française de régulation de la communication audiovisuelle et numérique, qui a demandé à Twitter de lui déclarer rapidement quels étaient les moyens humains et technologiques consacrés à la lutte contre la désinformation. La réponse apportée par Twitter a été jugée très imprécise par l’Arcom, ce qui l’a conduite à pointer le manque de transparence de la plateforme en matière de lutte contre la désinformation.
Cette situation illustre le différend entre l’opérateur et le régulateur. D’un côté, Elon Musk érige la liberté d’expression en principe absolu, s’interdisant toute censure potentielle. De l’autre, l’Union européenne veut instaurer un environnement en ligne sûr, dans lequel les personnes peuvent évoluer et s’exprimer librement dans la limite de tout abus qui compromettrait la liberté et la sécurité des autres. Dans ces conditions, la modération effective des contenus en ligne est indispensable pour lutter contre la désinformation ou contre les discours haineux et menaçants. La responsabilité de cette modération a été laissée aux plateformes, dans le respect des exigences posées par la réglementation.
Cette situation illustre également la volonté de l’Union européenne de faire évoluer les règles, non seulement pour mieux protéger les internautes européens mais aussi pour aider les entreprises européennes à se développer en responsabilisant les très grandes plateformes comme Twitter. Le DSA étant entré en vigueur le 16 novembre 2022 pour toutes les grandes plateformes en ligne, celles-ci devront publier au plus tard le 17 février 2023 le nombre de leurs utilisateurs mensuels actifs. Sur cette base, la Commission dressera la liste des plateformes qui seront effectivement soumises aux exigences prévues par le DSA, avec obligation de contrôler la qualité de la modération, tant dans ses défaillances que dans ses excès.
En pratique, le retrait ou non d’un contenu notifié comme étant illicite est une décision lourde de conséquences et d’autant plus difficile que la question de la licéité peut relever du droit national (et non européen). Il est ainsi demandé aux plateformes non seulement de mettre en place des normes de modération cohérentes, de disposer de ressources humaines et algorithmiques adéquates mais aussi d’interpréter la question de la licéité. Avec, comme enjeu pour elles, des sanctions pour n’avoir pas supprimé assez de contenus ou pour en avoir au contraire supprimé trop. Un délicat équilibre devra donc être trouvé pour respecter les valeurs européennes tout en assurant la souveraineté numérique de l’Union européenne.