Le Centre canadien de protection de l’enfance soutient le projet de loi C-63, également connu sous le nom de Loi sur les préjudices en ligne. Dans l’ensemble, le gouvernement du Canada propose un cadre solide et réfléchi pour lutter contre l’exploitation et les abus sexuels d’enfants sur Internet. Dans les semaines à venir, nous publierons une série de recommandations qui, selon nous, permettraient de renforcer encore davantage les protections offertes aux enfants par le projet de loi.

L’exclusion des fonctions de messages privés de la version proposée de la Loi sur les préjudices en ligne laisse planer une grave menace pour les enfants


Objet

Par cette note d’information, le Centre canadien de protection de l’enfance (CCPE) veut faire valoir qu’à ses yeux, la version de la Loi sur les préjudices en ligne (projet de loi C-63) proposée par le gouvernement du Canada doit être modifié de manière à réglementer les services de messagerie privée et certains aspects des fonctions de messages privés, étant donné qu’une grande partie des préjudices subis par les enfants surviennent précisément dans ces environnements numériques.

Points à retenir

  • L’un des principaux vecteurs d’attaque signalés par les enfants victimes d’exploitation sexuelle au Canada est la messagerie privée.
  • Or, la version actuelle de la Loi sur les préjudices en ligne ne couvre que les opérateurs de services de médias sociaux, exclut spécifiquement les fonctions de messages privés de ces services et ne couvre pas les services qui se limitent à la messagerie privée
  • Malgré les critiques formulées à l’étranger au sujet de la réglementation des services et des fonctions de messages privés, il est possible au Canada d’obtenir le soutien du public et de tous les partis en faveur de leur inclusion.
  • Recommandation : Inclure et réglementer la périphérie d’un service de messagerie privée (et les fonctionnalités de messagerie privée des services de médias sociaux), comme les algorithmes de découvrabilité, les fonctionnalités de signalement des abus, etc.

Enjeu

Dans l’état actuel des choses, les services de messagerie privée (p. ex. MessengerMD, WhatsAppMD, WizzMD, SignalMD, TelegramMD) et les fonctions de messages privés (p. ex. les fonctions de clavardage d’InstagramMD, SnapchatMD et TikTokMD) sont exclus du champ d’application du projet de loi C-63 :

Exclusion de services
5 (1) Pour l’application de la présente loi, ne constitue pas un service de média social le service qui ne permet pas à un utilisateur de communiquer du contenu au public.
[...]
Exclusion d’une fonction de message privé
6 (1) Les obligations qui incombent à l’exploitant d’un service réglementé au titre de la présente loi ne s’appliquent pas à l’égard des fonctions de messages privés des services réglementés.

Compte tenu de la réalité de l’exploitation sexuelle des enfants sur Internet, on peut se demander si les critères d’inclusion actuels ne limiteraient pas l’efficacité d’une future Loi sur les préjudices en ligne à atteindre son objectif de protéger les enfants sur Internet. En bref, pour ce qui concerne les éléments du projet de loi relatifs à la protection des enfants, les critères d’inclusion actuels du projet de loi C-63 font fi d’un grave danger qui pèse actuellement sur les enfants. La portée du projet de loi suscite également des inquiétudes, étant donné que les jeunes internautes se tournent de plus en plus vers des espaces privés et semi-privés plus fragmentés (groupes Snapchat, canaux Discord, plateformes de discussion consacrées à des jeux) plutôt que vers les services de médias sociaux grand public classiques auxquels on a été habitués dans les années 2000 et 2010, comme Facebook, Twitter, TumblrMD et MySpaceMD1.

Les meilleures informations disponibles sur l’exploitation sexuelle des enfants sur Internet au Canada (qui est au cœur de la structure du projet de loi C-63) montrent que les services et les fonctions de messages privés sont souvent les principaux vecteurs d’attaque utilisés pour commettre des crimes contre les enfants ou leur faire subir des préjudices :

  • Les données des forces policières canadiennes montrent que le leurre d’enfant – qui se passe généralement par la messagerie privée – représente la grande majorité (77 %) des infractions sexuelles contre des enfants et des adolescents signalées entre 2014 et 20202. Les cas de leurre d’enfant ont augmenté de 69 % entre 2014 et 20223.
  • Les données de Cyberaide.ca – la centrale canadienne de signalement des cas d’exploitation et d’abus sexuels d’enfants sur Internet – montrent que, pour la grande majorité des victimes (enfants et jeunes adultes) qui viennent chercher de l’aide, l’auteur du crime a utilisé des fonctions ou des services de messagerie privée pour prendre contact avec la victime et abuser d’elle. Soulignons également que la messagerie privée a été le principal vecteur d’attaque pour la totalité des plus de 7000 cas de sextorsion en ligne signalés à Cyberaide.ca au cours des 24 derniers mois.

Les risques liés à la messagerie privée ont également été signalés au Royaume-Uni, où l’Office for National Statistics (ONS) a constaté ce qui suit4 :

  • C’est souvent par message privé que les enfants se font contacter par des étrangers sur Internet (74 %).
  • Environ un enfant sur dix (11 %) âgé de 13 à 15 ans dit avoir reçu un message à caractère sexuel, tandis que 1 sur 100 dit avoir envoyé un message à caractère sexuel dans les 12 mois de la période étudiée.

Examen de la question

Les débats intenses qui ont cours dans d’autres juridictions telles le Royaume-Uni et l’UE où l’on a présenté des projets de loi visant à réglementer les fonctions de messages privés peuvent sembler politiquement insurmontables en raison des préoccupations soulevées concernant la protection de la vie privée et la surveillance étatique. Il convient toutefois de noter que ces débats portent le plus souvent sur des questions liées 1) à l’imposition du balayage en amont des communications privées par des outils de détection de matériel pédopornographique connu et 2) à la mise en œuvre de ce balayage dans des environnements chiffrés de bout en bout. Les critiques épargnent les fonctionnalités périphériques de services de messagerie qui peuvent aussi réduire les préjudices.

État des lieux : Pratiques sectorielles en lien avec les fonctions de messages privés

Il est important de noter que plusieurs des grandes plateformes de médias sociaux, de jeu et de messagerie privée en usage au Canada recourent actuellement à la modération ou à des technologies pour réduire l’exploitation sexuelle des enfants au sein ou en périphérie de leurs fonctions de messages privés5. L’Annexe A cite de nombreux exemples de ces outils et des plateformes qui les utilisent; en voici quelques-uns :

  • Snapchat, Twitter, Discord et Facebook Messenger utilisent PhotoDNA avec les photos partagées en privé dans le but de détecter et d’empêcher les échanges de matériel pédopornographique connu;
  • TikTok utilise des modèles de langage pour détecter le matériel pédopornographique au moyen de l’analyse textuelle;
  • Google utilise PhotoDNA pour détecter le matériel pédopornographique connu dans Gmail.

Réglementer les fonctions de messages privés sans « toucher » aux communications privées

Le CCPE estime que balayage en amont par des outils de détection de matériel pédopornographique connu dans les environnements de communication privés peut se faire et se fait de façon routinière d’une manière qui concilie le respect de la vie privée et la nécessité de réduire les préjudices/crimes facilités par la technologie, comme le démontrent depuis des années de nombreux fournisseurs de services en ligne bien en vue (voir l’Annexe A).

Même sans balayer en amont le contenu des messages à la recherche de signatures numériques de fichiers contenant du matériel pédopornographique connu, les fournisseurs de services en ligne peuvent rendre les services ou les fonctions de messages privés plus sûrs pour les enfants sans « toucher » au contenu ou à la substance des messages privés.

Les mesures d’atténuation passent souvent par l’utilisation des données de transmission, dont les données relatives à l’acheminement du message (p. ex. numéro de téléphone, adresse IP, numéros de port, date et heure) et les informations qui permettent aux fournisseurs de services d’authentifier l’utilisateur et ses appareils (p. ex. numéro IMEI [International Mobile Equipment Identity] ou carte SIM [Subscriber Identity Module]). Les données de transmission en elles-mêmes ne révèlent pas la substance, le sens, le contenu ou le motif d’une communication privée.

Voici des exemples de mesures qui sont en accord avec de nombreuses pratiques sectorielles et qui mériteraient d’être intégrées par les services de messagerie privée :

  • Offrir des fonctions permettant aux utilisateurs de signaler des abus à même les messages privés.
    • Les signalements faits à même les messages privés sont l’une des principales sources de signalements transmis au NCMEC par l’application WhatsApp (qui est chiffrée de bout en bout).
    • Pour le moment, iMessenger d’Apple ne dispose pas d’outils ou de fonctions permettant aux utilisateurs de signaler d’autres abus que le pourriel6.
  • Tenir compte du fait que leurs fonctions de recherche d’utilisateurs et de découvrabilité ont un impact sur la sécurité.
    • Au fond, quand un service de messagerie privée permet de rechercher des utilisateurs par nom, par région ou par toute autre caractéristique personnelle (contrairement aux services de communication privée, où les utilisateurs doivent connaître d’emblée les coordonnées de leurs correspondants pour entrer en contact avec eux), il serait plus juste de le considérer comme un service de médias sociaux.
    • À propos de la sextorsion envers les jeunes, un expert en cybersécurité a fait remarquer qu’« Instagram est sans contredit le plus grand répertoire de recherche d’adolescents au monde pour les escrocs et les prédateurs7 ».
    • Certaines applis populaires comme Wizz (qu’on surnommait « Tinder pour enfants »8) permettaient à des inconnus de contacter sans discernement des mineurs dans le monde entier à des fins de sextorsion.
  • Déceler les comportements suspects à partir de signaux/indices tirés des métadonnées à la périphérie du contenu d’un message privé, par exemple :
    • les comptes qui ont été bloqués ou signalés par de nombreux utilisateurs;
    • les comptes qui ajoutent un grand nombre d’utilisateurs à un groupe, sans partager de réseau commun;
    • les comptes dont le nombre de messages sortants est extrêmement élevé par rapport au nombre de messages entrants;
    • les comptes qui envoient un grand nombre de messages à des utilisateurs qui ne figurent pas dans leurs contacts personnels.
  • Établir des paramètres de confidentialité robustes et sûrs par défaut.
    • Les listes d’amis publiques sont souvent utilisées comme moyen de chantage, y compris envers les membres de famille de l’enfant9.
    • Réserver l’envoi de messages privés à un enfant aux personnes faisant partie de ses contacts personnels.
  • Tenir compte des risques associés au fait d’indiquer la géolocalisation en temps réel des utilisateurs à d’autres utilisateurs.
    • Même si ces services sont vivement critiqués par les défenseurs de la vie privée et de la sécurité depuis des années, les entreprises continuent de les déployer10.
  • Se donner les moyens de vérifier l’identité et/ou l’âge de l’utilisateur afin de restreindre s’il y a lieu l’accès de certains services selon l’âge de l’utilisateur.
  • Offrir aux utilisateurs la possibilité de se limiter géographiquement afin de fixer les contours de la communauté avec laquelle un enfant interagit.
    • Selon certaines analyses, la plupart des sextorqueurs seraient originaires d’un groupe de pays « à haut risque »11. Les utilisateurs devraient avoir la possibilité de se limiter géographiquement à une région précise dans laquelle il se sentent en sécurité.
  • Doter les services ouverts aux enfants de mécanismes et de contrôles parentaux robustes et faciles à utiliser.
  • Limiter la capacité des utilisateurs qui utilisent des outils d’anonymisation tels que Tor/VPN à dialoguer avec d’autres utilisateurs ou à profiter de certaines fonctions ou caractéristiques.
    • Les utilisateurs qui accèdent à des services en ligne à travers Tor ou un VPN présentent souvent des niveaux de risque supérieurs1213.
  • Empêcher l’ouverture d’un compte avec un numéro de téléphone virtuel.
    • WhatsApp, par exemple, ne prend pas en charge les numéros de téléphone virtuels, les lignes fixes et les numéros gratuits pour l’enregistrement des comptes, de sorte qu’il faut nécessairement utiliser un numéro associé à une carte SIM14. WhatsApp prétend que cette mesure renforce la sécurité de son réseau et permet du même coup de réduire les risques d’exploitation et d’abus sexuels sur son service de messagerie privée chiffrée de bout en bout1516.

Toutes les mesures de sécurité précitées pourraient être mises en place par les fournisseurs de services en ligne sans qu’ils aient à « toucher » aux communications privées des utilisateurs. Elles ont toutefois le potentiel de limiter considérablement les préjudices causés aux utilisateurs en agissant sur les facteurs de risque évitables à la périphérie des communications privées.

Recommandation

Modifier la version proposée de la Loi sur les préjudices en ligne de manière à inclure les services de messagerie privée et les fonctions de messages privés dans la liste des fournisseurs de services en ligne qui seraient assujettis à la loi et au règlement. Pour ce faire, il pourrait s’avérer nécessaire d’élargir la définition d’un service de média social ou de ne pas faire de la possibilité de « communiquer du contenu au public » le fondement des critères d’inclusion, ou les deux à la fois.

Annexe A. Mesures de sécurité utilisées par les entreprises de technologie dans les services/fonctions de messages privés

Les renseignements présentés dans le tableau ci-dessous sont tirés de deux enquêtes du Commissariat australien à la sécurité en ligne (eSafety Commissioner)1718 où les grandes entreprises de technologie ont été invitées à répondre à une série de questions sur leurs pratiques en matière de confiance et de sécurité. Ces questions ont été incluses dans les avis donnés en vertu de l’article 56(2) de la loi australienne de 2021 sur la sécurité en ligne (Online Safety Act 2021).

Plateforme Fonction de MP Technologie utilisée par la fonction de MP
Apple iCloud (courriel) PhotoDNA pour le matériel pédopornographique connu
Apple iMessage L’outil « Communication Safety » détecte les images des nudité et met les utilisateurs enfants en garde contre les risques liés à l’envoi et à la visualisation de telles images
Meta Facebook Messenger Outils de détection du matériel pédopornographique connu (PhotoDNA, PDQ, technologies propriétaires de correspondance d’images), là où le chiffrement de bout en bout n’a pas été déployé. Outils de détection du matériel pédopornographique inconnu : API Content Safety de Google. Outils d’analyse linguistique (utilisés seulement pour classer les signalements par ordre de priorité)
Meta Instagram (messages privés) Outils de détection du matériel pédopornographique connu (PhotoDNA, PDQ, technologies propriétaires de correspondance d’images), là où le chiffrement de bout en bout n’a pas été déployé. Outils de détection du matériel pédopornographique inconnu : API Content Safety de Google. Outils d’analyse linguistique (utilisés seulement pour classer les signalements par ordre de priorité)
Meta Instagram/FB « Meta dit utiliser l’apprentissage automatique pour analyser les données comportementales “sur l’ensemble de [ses] plateformes” afin de déceler les interactions inappropriées entre un adulte et un adolescent. Meta précise que ces processus n’incluent pas l’analyse des messages privés, mais qu’ils permettent de déceler les indices d’intentions potentiellement malveillantes d’un adulte envers un adolescent. »
Meta WhatsApp (profils d’utilisateurs et images des groupes, photos et vidéos dans les signalements transmis par les utilisateurs, sujet et description des groupes) PhotoDNA et d’autres technologies propriétaires pour identifier le matériel pédopornographique connu; utilisation d’un outil de correspondance d’empreintes numériques développé en interne pour détecter le matériel pédopornographique connu dans les images vidéo; utilisation de l’API Content Safety de Google et d’un modèle de classification interne pour détecter le matériel pédopornographique neuf.
Microsoft Version grand public de Teams (sans chiffrement de bout en bout) PhotoDNA et MD5 sont utilisés pour détecter le matériel pédopornographique connu. PhotoDNA for Video est utilisé pour détecter les vidéos pédopornographiques connues
Microsoft Xbox LiveMD PhotoDNA et MD5 sont utilisés pour détecter le matériel pédopornographique connu. PhotoDNA for Video est utilisé pour détecter les vidéos pédopornographiques connues. Utilise aussi « plusieurs outils et processus » pour détecter le « conditionnement », dont l’« analyse de texte ».
Microsoft SkypeMD Outils de correspondance d’empreintes numérique PhotoDNA et MD5 pour les images, et PhotoDNA for Video pour les vidéos, sur la messagerie Skype lorsqu’elle n’est pas chiffrée de bout en bout
Microsoft OutlookMD Outils de correspondance d’empreintes numériques (PhotoDNA et MD5) pour le matériel pédopornographique connu.
Snapchat Direct Chat PhotoDNA pour les images et CSAI Match pour les vidéos téléversées avec le téléphone d’un utilisateur, mais RIEN pour les photos et les vidéos prises directement sur la plateforme (en temps réel)
Google Google Chat (consommateurs seulement) PhotoDNA, SHA 256, autres technologies propriétaires pour détecter les images connues
Google Gmail (consommateurs seulement) PhotoDNA, SHA 256, autres technologies propriétaires pour détecter les images connues
Twitter Messages privés PhotoDNA, Safer by Thorn et outils internes (y compris des modèles d’apprentissage automatique) pour détecter les images connues
TikTok Messages privés Les utilisateurs ne peuvent partager que des images qui ont déjà été publiées sur la plateforme, lorsque la publication n’est pas privée. Dès lors, le contenu a déjà passé par le processus de modération (qui utilise notamment la correspondance d’empreintes numériques) avant d’être partagé. PhotoDNA, API Content Safety de Google, CSAI Match, modèle interne pour les vidéos pédopornographiques qui sont publiques mais qui sont partagées par message privé. Tiktok utilise également un modèle interne de vision par ordinateur, un modèle audio et TAL et l’API Content Safety de Google pour détecter les images inconnues. Outil de TAL interne pour l’analyse linguistique.
Twitch WhispersMD Blocage des adresses URL menant à du matériel pédopornographique connu à l’aide de Crisp et d’outils internes (y compris l’analyse linguistique). Utilise des technologies d’analyse linguistique (Crisp et autres) pour détecter les termes liés au matériel pédopornographique et au conditionnement
Discord Messages privés PhotoDNA, CLIP pour les images connues, CLIP pour détecter le matériel pédopornographique neuf

Sources

  1. 1 https://www.commonsensemedia.org/research/the-common-sense-census-media-use-by-tweens-and-teens-2021
  2. 2 https://www150.statcan.gc.ca/n1/pub/85-002-x/2022001/article/00008-fra.htm
  3. 3 https://www150.statcan.gc.ca/n1/pub/85-002-x/2024001/article/00003-fra.htm
  4. 4 https://www.ons.gov.uk/peoplepopulationandcommunity/crimeandjustice/bulletins/childrensonlinebehaviourinenglandandwales/yearendingmarch2020
  5. 5 https://www.esafety.gov.au/sites/default/files/2022-12/BOSE%20transparency%20report%20Dec%202022.pdf
  6. 6 https://support.apple.com/en-au/guide/iphone/iph203ab0be4/ios
  7. 7 https://www.linkedin.com/posts/raffile_meta-revokes-job-offer-to-sextortion-expert-activity-7196976442771947522-W5vt [traduction]
  8. 8 https://www.nbcnews.com/tech/social-media/wizz-tinder-app-aimed-teens-removed-apple-google-stores-rcna136607
  9. 9 https://protegeonsnosenfants.ca/fr/ressources-et-recherche/analyse-des-publications-de-victimes-de-sextorsion-financiere-sur-sextortion/
  10. 10 https://www.grimsbytelegraph.co.uk/news/snapchat-snap-map-nspcc-warning-180757
  11. 11 https://networkcontagion.us/reports/yahoo-boys/
  12. 12 https://www.esafety.gov.au/industry/tech-trends-and-challenges/anonymity
  13. 13 https://www.hackerfactor.com/blog/index.php?/archives/720-This-is-what-a-TOR-supporter-looks-like.html
  14. 14 https://faq.whatsapp.com/684051319521343/
  15. 15 https://faq.whatsapp.com/1369114327051380/
  16. 16 https://www.theregister.com/2023/05/16/ftc_xcast_illegal_robocalls/
  17. 17 https://www.esafety.gov.au/sites/default/files/2022-12/BOSE%20transparency%20report%20Dec%202022.pdf
  18. 18 https://www.esafety.gov.au/sites/default/files/2024-03/Basic-Online-Safety-Expectations-Full-Transparency-Report-October-2023_0.pdf

Soutenez nos efforts. Faites-nous un don.

Associez-vous à une grande cause. En tant qu’organisme de bienfaisance enregistré, nous faisons appel aux dons pour nous aider à offrir nos services et nos programmes à la population. Aidez-nous à aider les familles et à protéger les enfants.

Faire un don