L'organisme britannique de surveillance d'Internet durcit sa politique à l'égard du deepfake porn
Ofcom, l'organisme de régulation de la sécurité Internet du Royaume-Uni, a publié un autre nouveau projet de directives alors qu'il continue de mettre en œuvre l'Online Safety Act (OSA) - la dernière série de recommandations vise à aider les entreprises concernées à respecter leurs obligations légales de protection des femmes et des filles contre les menaces en ligne telles que le harcèlement et l'intimidation, la misogynie et les abus d'images intimes.
Le gouvernement a déclaré que la protection des femmes et des filles était une priorité dans la mise en œuvre de la loi sur la protection des données. Certaines formes d’abus (principalement) misogynes – comme le partage d’images intimes sans consentement ou l’utilisation d’outils d’IA pour créer des images pornographiques deepfake ciblant des individus – sont explicitement définies dans la loi comme des priorités en matière d’application de la loi .
La réglementation sur la sécurité en ligne, approuvée par le Parlement britannique en septembre 2023 , a été critiquée pour ne pas être à la hauteur de la tâche consistant à réformer les géants des plateformes, bien qu'elle contienne des sanctions substantielles en cas de non-conformité - jusqu'à 10 % du chiffre d'affaires annuel mondial.
Les défenseurs de la sécurité des enfants ont également exprimé leur frustration quant au temps nécessaire à la mise en œuvre de la loi, ainsi que leurs doutes quant à son effet escompté.
Dans une interview accordée à la BBC en janvier, le ministre de la technologie Peter Kyle, qui a hérité de la législation du gouvernement précédent, l’a qualifiée de « très inégale » et « insatisfaisante ». Mais le gouvernement maintient son approche. Une partie du mécontentement autour de l’OSA peut être attribuée au long délai accordé aux ministres pour mettre en œuvre le régime, qui nécessite que le Parlement approuve les directives de conformité de l’Ofcom.
Toutefois, les mesures d'application devraient bientôt commencer à être appliquées en ce qui concerne les exigences fondamentales en matière de lutte contre les contenus illégaux et de protection de l'enfance. D'autres aspects de la conformité à l'OSA prendront plus de temps à mettre en œuvre. Et l'Ofcom reconnaît que ce dernier ensemble de recommandations pratiques ne deviendra pleinement applicable qu'en 2027 ou plus tard.
« Les premières obligations de la loi sur la sécurité en ligne entreront en vigueur le mois prochain », a déclaré Jessica Smith, de l'Ofcom, qui a dirigé l'élaboration des directives axées sur la sécurité des femmes, à TechCrunch lors d'une interview. « Nous allons donc appliquer certaines des obligations fondamentales de la loi sur la sécurité en ligne avant que ces directives [elles-mêmes ne deviennent exécutoires] ».
Le nouveau projet de directives sur la sécurité des femmes et des filles en ligne vise à compléter les directives plus larges de l'Ofcom sur le contenu illégal, qui fournissent également, par exemple, des recommandations pour protéger les mineurs contre la visualisation de contenu pour adultes en ligne.
En décembre, le régulateur a publié ses orientations définitives sur la manière dont les plateformes et les services devraient réduire les risques liés aux contenus illégaux , un domaine dans lequel la protection de l'enfance est une priorité claire.
L'organisation a également déjà élaboré un Code de sécurité pour les enfants , qui recommande aux services en ligne de mettre en place des contrôles d'âge et des filtrages de contenu pour s'assurer que les enfants ne sont pas exposés à des contenus inappropriés tels que la pornographie. Et dans le cadre de la mise en œuvre du régime de sécurité en ligne, elle a également élaboré des recommandations pour les technologies de garantie de l'âge des sites Web de contenu pour adultes , dans le but d'inciter les sites pornographiques à prendre des mesures efficaces pour empêcher les mineurs d'accéder à des contenus inappropriés pour leur âge.
Selon l'Ofcom, la dernière série de directives a été élaborée avec l'aide de victimes, de survivants, de groupes de défense des droits des femmes et d'experts en sécurité. Elle couvre quatre grands domaines dans lesquels, selon le régulateur, les femmes sont touchées de manière disproportionnée par les préjudices en ligne, à savoir : la misogynie en ligne ; le harcèlement en ligne ; la violence domestique en ligne ; et les abus liés aux images intimes.
La principale recommandation de l'Ofcom exhorte les services et plateformes concernés à adopter une approche de « sécurité dès la conception ». Smith nous a dit que le régulateur souhaite encourager les entreprises technologiques à « prendre du recul » et à « réfléchir à l'expérience utilisateur dans son ensemble ». Bien qu'elle ait reconnu que certains services ont mis en place des mesures utiles pour réduire les risques en ligne dans ce domaine, elle a fait valoir qu'il y a toujours un manque de réflexion holistique lorsqu'il s'agit de donner la priorité à la sécurité des femmes et des filles.
« Ce que nous demandons réellement, c'est simplement une sorte de changement radical dans la façon dont fonctionnent les processus de conception », nous a-t-elle expliqué, précisant que l'objectif est de garantir que les considérations de sécurité soient intégrées dans la conception des produits.
Elle a souligné l’essor des services d’IA générateurs d’images, qui, selon elle, ont conduit à une croissance « massive » des abus d’images intimes truquées, comme un exemple de cas où les technologues auraient pu prendre des mesures proactives pour réduire les risques que leurs outils soient utilisés comme armes pour cibler les femmes et les filles – mais ne l’ont pas fait.
« Nous pensons que les services pourraient prendre des mesures judicieuses dès la phase de conception pour contribuer à réduire le risque de certains de ces préjudices », a-t-elle suggéré.
Parmi les exemples de « bonnes » pratiques du secteur que l’Ofcom met en évidence dans ses directives figurent les services en ligne qui prennent des mesures telles que :
- Suppression de la géolocalisation par défaut (pour réduire les risques de confidentialité/harcèlement) ;
- Réaliser des tests d’« abusabilité » pour identifier comment un service pourrait être utilisé à mauvais escient ou à mauvais escient ;
- Prendre des mesures pour renforcer la sécurité des comptes ;
- Concevoir des invites utilisateur destinées à inciter les utilisateurs à réfléchir à deux fois avant de publier du contenu abusif ;
- Et offrir des outils de reporting accessibles qui permettent aux utilisateurs de signaler les problèmes.
Comme c'est le cas pour toutes les directives OSA de l'Ofcom, toutes les mesures ne seront pas pertinentes pour tous les types ou toutes les tailles de services, car la loi s'applique aux services en ligne de grande et de petite taille et touche à divers domaines, des médias sociaux aux rencontres en ligne, aux jeux, aux forums et aux applications de messagerie, pour n'en citer que quelques-uns. Une grande partie du travail des entreprises concernées consistera donc à comprendre ce que signifie la conformité dans le contexte de leur produit.
Lorsqu'on lui a demandé si l'Ofcom avait identifié des services répondant actuellement aux normes du guide, Mme Smith a répondu que non. « Il reste encore beaucoup de travail à faire dans l'ensemble du secteur », a-t-elle déclaré.
Elle a également tacitement reconnu que des défis croissants pourraient survenir en raison de certaines mesures rétrogrades prises par certains acteurs majeurs du secteur en matière de confiance et de sécurité. Par exemple, depuis qu’il a repris Twitter et rebaptisé le réseau social X, Elon Musk a réduit ses effectifs en matière de confiance et de sécurité, au profit de ce qu’il a qualifié d’approche maximaliste de la liberté d’expression.
Ces derniers mois, Meta, propriétaire de Facebook et d'Instagram, semble avoir pris des mesures similaires, en déclarant qu'il mettait fin aux contrats de vérification des faits de trente parties au profit du déploiement d'un système de « notes communautaires » de type X pour l'étiquetage participatif des litiges de contenu, par exemple.
Smith a suggéré que la réponse de l'Ofcom à de tels changements de haut niveau - où les actions des opérateurs risquent d'aggraver, plutôt que d'atténuer, les dommages en ligne - se concentrera sur l'utilisation de la transparence et des pouvoirs de collecte d'informations qu'il exerce en vertu de l'OSA pour illustrer les impacts et sensibiliser les utilisateurs.
Donc, en bref, la tactique ici semble être de « nommer et de faire honte » — du moins dans un premier temps.
« Une fois que nous aurons finalisé les directives, nous produirons un rapport [de marché]… sur qui utilise les directives, qui suit quelles étapes, quel type de résultats ils obtiennent pour leurs utilisateurs qui sont des femmes et des filles, et nous mettrons vraiment en lumière les protections en place sur différentes plateformes afin que les utilisateurs puissent faire des choix éclairés sur l'endroit où ils passent leur temps en ligne », nous a-t-elle dit.
Smith a suggéré que les entreprises souhaitant éviter le risque d'être publiquement stigmatisées pour leurs mauvaises performances en matière de sécurité des femmes pourront se tourner vers les conseils de l'Ofcom pour connaître les « mesures pratiques » à prendre pour améliorer la situation de leurs utilisateurs et gérer également le risque d'atteinte à leur réputation.
« Les plateformes qui opèrent au Royaume-Uni devront se conformer à la législation britannique », a-t-elle ajouté dans le cadre du débat sur les grandes plateformes qui mettent moins l’accent sur la confiance et la sécurité. « Cela signifie donc se conformer aux obligations en matière de préjudices illégaux et de protection des enfants en vertu de la loi sur la sécurité en ligne. »
« Je pense que c’est là que nos pouvoirs en matière de transparence entrent également en jeu : si l’industrie change de direction et que les préjudices augmentent, c’est là que nous pourrons faire la lumière et partager des informations pertinentes avec les utilisateurs britanniques, avec les médias et avec les parlementaires. »
L'un des types de préjudice en ligne pour lequel l'Ofcom renforce explicitement ses recommandations avant même de commencer activement l'application de l'OSA est l'abus d'images intimes - car le dernier projet de directive suggère d'utiliser la correspondance de hachage pour détecter et supprimer ces images abusives, alors que les recommandations précédentes de l'Ofcom n'allaient pas aussi loin.
« Nous avons inclus des étapes supplémentaires dans ces directives qui vont au-delà de ce que nous avons déjà défini dans nos codes », a noté Smith, confirmant que l'Ofcom prévoyait de mettre à jour ses codes antérieurs pour intégrer ce changement « dans un avenir proche ».
« Il s’agit donc d’une manière de dire aux plateformes qu’elles peuvent devancer cette exigence exécutoire en suivant les étapes définies dans ces directives », a-t-elle ajouté.
L'Ofcom a recommandé l'utilisation d'une technologie de correspondance de hachage pour lutter contre les abus d'images intimes en raison d'une augmentation substantielle de ce risque, selon Smith - en particulier en ce qui concerne les abus d'images deepfake générées par l'IA.
« Il y a eu plus d'abus d'images intimes deepfake signalés en 2023 que dans toutes les années précédentes réunies », a-t-elle noté, ajoutant qu'Ofcom a également rassemblé davantage de preuves sur l'efficacité de la correspondance de hachage pour lutter contre ce préjudice.
L'ensemble du projet d'orientation fera désormais l'objet d'une consultation - l'Ofcom invitant à donner son avis jusqu'au 23 mai 2025 - après quoi il produira des orientations définitives d'ici la fin de cette année.
Dix-huit mois plus tard, l’Ofcom produira son premier rapport examinant les pratiques du secteur dans ce domaine.
« Nous arriverons en 2027 avant de pouvoir produire notre premier rapport sur qui fait quoi [pour protéger les femmes et les filles en ligne] – mais rien n’empêche les plateformes d’agir maintenant », a-t-elle ajouté.
En réponse aux critiques selon lesquelles l'OSA prend trop de temps à l'Ofcom pour mettre en œuvre l'OSA, elle a déclaré qu'il était normal que le régulateur consulte sur les mesures de conformité. Cependant, avec la mesure finale qui entrera en vigueur le mois prochain, elle a noté que l'Ofcom s'attend également à un changement dans le débat autour de cette question.
« Cela va vraiment commencer à changer la conversation avec les plateformes, en particulier », a-t-elle prédit, ajoutant que cela sera également en mesure de commencer à démontrer des progrès pour faire bouger les choses en matière de réduction des préjudices en ligne.
techcrunch
