Les réponses au questionnaire font référence à deux types de législation européenne : les « règlements » et les « directives ». Les règlements ont un effet direct et s’appliquent automatiquement dans tous les États membres sans qu’il soit nécessaire d’adopter une législation nationale de transposition, sous réserve des marges d’appréciation expressément prévues. Les directives fixent des objectifs contraignants au niveau de l’UE, mais doivent être transposées dans le droit national par chaque État membre, ce qui peut entraîner des divergences du point de vue de l’interprétation, du champ d’application ou du niveau de protection, selon que la directive autorise une harmonisation minimale (permettant des mesures nationales plus strictes) ou exige une harmonisation maximale (limitant les mesures nationales aux exigences de la directive).
Définitions juridiques
La Convention du Conseil de l’Europe sur la protection des enfants contre l’exploitation et les abus sexuels (Convention de Lanzarote), ratifiée par tous les États membres de l’UE, établit des normes pénales minimales contraignantes à l’échelle européenne. Bien qu’il ne s’agisse pas d’une législation de l’UE, elle inspire et sous-tend directement le droit pénal de l’UE dans ce domaine.
Le droit européen définit systématiquement un « enfant » comme toute personne âgée de moins de 18 ans. Cette définition figure dans toutes les directives européennes pertinentes traitant de la traite, des abus sexuels, de l’exploitation sexuelle, des droits des victimes et des garanties procédurales, et s’aligne sur la Convention de Lanzarote. Bien que la législation de l’UE n’adopte pas de définition unique et universelle du terme « mineur », lorsque ce terme est utilisé, il désigne généralement une personne âgée de moins de 18 ans. L’UE ne fixe pas d’âge uniforme du consentement pour les activités sexuelles. Au lieu de cela, « l’âge du consentement sexuel » est défini comme « l’âge en dessous duquel, conformément au droit national, il est interdit d’avoir des relations sexuelles avec un enfant ». En conséquence, l’âge légal du consentement pour les relations sexuelles varie d’un État membre à l’autre.
La législation de l’UE ne prévoit pas de définition autonome du terme « comportement sexuellement explicite », mais ce terme est utilisé dans les définitions d’autres termes, notamment celle de « pédopornographie ». La définition du « matériel d'abus sexuels d'enfants en ligne» (CSAM) fait directement référence à la définition de la pédopornographie, qui inclut notamment les représentations d’un enfant se livrant à un « comportement sexuellement explicite réel ou simulé » et les « images réalistes » d’un enfant se livrant à un comportement sexuellement explicite.
Les « abus sexuels d'enfants » sont traités par la criminalisation de comportements spécifiques en vertu de la Convention de Lanzarote et de la directive 2011/93/UE (CSAD), notamment le fait de se livrer à des activités sexuelles avec un enfant n’ayant pas atteint l’âge du consentement sexuel tel que défini au niveau national, ainsi que les comportements impliquant la contrainte, l’abus d’autorité ou l’exploitation d’une situation de vulnérabilité.
Les comportements communément décrits comme « l’incitation » ou le « grooming » sont traités au même titre que l’infraction de « sollicitation d’enfants ».
Le droit européen n’utilise pas expressément le terme « sextorsion », mais les comportements connexes sont couverts par les infractions impliquant la contrainte, les menaces, l’exploitation sexuelle et l’utilisation abusive d’images à caractère sexuel d’enfants en vertu de la Convention de Lanzarote et de la CSAD.
Exigences réglementaires/recommandations
Le droit européen n’impose pas aux plateformes en ligne une obligation générale de surveiller de manière proactive l’ensemble des contenus. Il établit toutefois, au titre de plusieurs instruments, des obligations structurées en matière de notification et d’action, de signalement, de retrait et d’atténuation des risques.
La Digital Services Act (DSA) impose aux prestataires de services de mettre en place des mécanismes de notification et d’action permettant à toute personne physique ou morale de signaler aux plateformes en ligne des contenus illicites, y compris le CSAM. Dès qu’elles ont connaissance de contenus illicites en ligne, les plateformes doivent agir sans délai pour les retirer ou en bloquer l’accès, sous peine de perdre la protection de leur responsabilité. Les plateformes doivent signaler aux autorités chargées de l'application de la loi les infractions pénales présumées mettant en danger la vie ou la sécurité. Les très grandes plateformes en ligne (VLOP), définies comme des plateformes comptant au moins 45 millions d’utilisateurs actifs par mois dans l’UE, doivent procéder à des évaluations annuelles des risques systémiques et mettre en œuvre des mesures d’atténuation raisonnables et proportionnées, y compris des outils de protection de l’enfance tels que la vérification de l’âge et le contrôle parental.
La directive « Services de médias audiovisuels » impose aux plateformes de partage de vidéos (VSP) de prendre des « mesures appropriées » pour protéger les utilisateurs contre les contenus criminels, y compris le CSAM, en vertu du droit de l’UE.
Le règlement provisoire (UE) 2021/1232 autorise l’utilisation volontaire de technologies de détection (notamment le hachage et l’IA) pour détecter, signaler et supprimer le CSAM en ligne, nonobstant les restrictions pertinentes en matière de protection de la vie privée. Les contenus présumés illégaux doivent faire l’objet d’un examen et d’une confirmation par des personnes avant que les plateformes en ligne ne s’acquittent de leurs obligations de signalement. Le règlement a été prolongé jusqu’au 3 avril 2026.
Une proposition de règlement sur le CSAM établirait un cadre à long terme, remplaçant le règlement provisoire par une règle permanente concernant l’utilisation volontaire des technologies de détection, entre autres éléments. Les détails de la proposition de règlement font l’objet de négociations en cours, tandis que son adoption définitive reste en suspens.
Exigences/recommandations concernant la vérification de l'âge
Le droit européen n’impose pas de système universel de vérification de l’âge pour l’accès aux plateformes en ligne.
En vertu de l’article 28 de la DSA, les plateformes accessibles aux mineurs doivent prendre des mesures appropriées et proportionnées pour garantir un niveau élevé de respect de la vie privée, de sûreté et de sécurité. La vérification de l’âge peut être exigée lorsque cela s'avère approprié et proportionné, en particulier pour les services à haut risque tels que les sites Web pornographiques.
Les VLOP doivent intégrer des outils de vérification de l’âge et de contrôle parental dans le cadre des mesures d’atténuation des risques.
Le règlement proposé concernant le CSAM n’établit pas d’obligation générale de vérification de l’âge pour l’accès aux plateformes, mais des mesures liées à l’âge et fondées sur les risques peuvent être exigées dans certaines circonstances pour des plateformes particulières.
Exigences/recommandations concernant le consentement parental
Il n’existe pas d’obligation universelle de consentement parental avant qu’un enfant utilise une plateforme en ligne.
En vertu de l’article 8 du Règlement général sur la protection des données (RGPD), lorsque le consentement sert de base juridique au traitement des données à caractère personnel, le consentement parental est requis pour les enfants n’ayant pas atteint « l’âge du consentement numérique », 16 ans par défaut, mais un État membre est en droit de fixer un âge différent, qui ne peut être inférieur à 13 ans.
La DSA n’impose pas le consentement parental, mais exige des VLOP qu’ils fournissent des outils de contrôle parental et encourage le respect des lois applicables, y compris le RGPD.
Recours juridiques pour les enfants victimes
Le droit européen prévoit des recours pénaux et civils permettant de retirer des contenus et de protéger des données pour les enfants victimes d’exploitation sexuelle en ligne. La directive 2011/93/UE impose aux États membres de criminaliser les infractions liées au grooming et au CSAM, et permet ainsi les enquêtes et les poursuites. La DSA impose aux plateformes en ligne de retirer les contenus illégaux dès notification et autorise les ordonnances de retrait contraignantes, tandis que les États membres doivent garantir le retrait ou le blocage rapide du CSAM.
Les victimes ont droit à l’information, au soutien, à la protection et à des mesures d’indemnisation en vertu de la directive relative aux droits des victimes et, le cas échéant, de la directive relative à la lutte contre la traite des êtres humains. En vertu du RGPD, les victimes peuvent invoquer le droit à l’effacement et s’opposer au traitement illicite de données à caractère personnel, y compris les images relevant de CSAM.
Exigences de « Safety by Design »
Bien que le droit européen n’utilise pas explicitement le terme « Safety by Design », des obligations connexes existent. L’article 25 du RGPD impose la protection des données dès la conception et par défaut, rendant obligatoire l’intégration de mesures techniques et organisationnelles appropriées dans les systèmes dès le départ et de manière continue. L'article 28 de la DSA impose aux plateformes accessibles aux mineurs de mettre en œuvre des mesures appropriées et proportionnées garantissant un niveau élevé de sécurité, et les VLOP doivent intégrer des mesures de protection de l'enfance dans leurs évaluations des risques systémiques et leurs processus d'atténuation. Ces obligations s'appliquent de manière continue et doivent être intégrées avant le déploiement de nouvelles fonctionnalités susceptibles d'affecter les risques systémiques.
Le respect des obligations du RGPD est supervisé par les autorités nationales de protection des données, qui peuvent infliger des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Les obligations de la DSA sont supervisées par les coordinateurs nationaux des services numériques et, pour les VLOP, directement par la Commission européenne, qui peut infliger des amendes pouvant atteindre 6 % du chiffre d’affaires annuel mondial.