Toujours pas de garde-fous pour les logiciels espions, et toujours plus de lanceurs d’alerte et de politiques visés par ces outils intrusifs : trois ans après l’affaire Pegasus, ce logiciel utilisé par des États pour espionner des politiques et des défenseurs de droits à leur insu, l’Union européenne n’a toujours pas réglementé le secteur, estiment 29 associations européennes, dans une déclaration commune publiée le 3 septembre dernier. Et il est temps que les institutions européennes se saisissent de ce dossier, s’alarment ces organisations, dont le Centre pour la démocratie et la technologie (CDT Europe), European Digital Rights (EDRi), Access Now, le Réseau européen des droits numériques ou encore Wikimedia Europe.
Depuis le tollé suscité par l’affaire Pegasus en 2021, une commission du Parlement européen avait pourtant enquêté pendant de longs mois sur le sujet. En mai 2023, elle avait rendu ses recommandations constatant que « tous les États membres ont acheté ou utilisé au moins un système de logiciels espions ». En la matière, « le risque d’abus est très concret en l’absence d’un cadre juridique solide assorti de garanties et de contrôles », estimait-elle.
« Toujours pas de solutions efficaces des institutions européennes »
Mais depuis, « nous sommes dans une situation où les autorités européennes ont décidé de ne rien faire. Les Etats-membres non plus », constate Chloé Berthélémy, conseillère politique à EDRi. Pire, ils continuent à acheter des spyware. Début septembre, le gouvernement slovaque aurait acquis Pegasus, selon un média local.
Et s’il est question de mettre à jour le règlement « vie privée et communications électroniques » (ePrivacy Regulation), et qu’une nouvelle législation, qui concerne surtout les journalistes – l’Acte européen pour la liberté des médias (EMFA) – a été adoptée, « les institutions de l’UE n’ont pas réussi à fournir des solutions efficaces », écrivent les organisations. Les Etats-Unis et d’autres pays, dont la France, ont bien signé une vague déclaration d’intention en mars 2023, dans laquelle ils s’engagent à lutter « contre la prolifération et les mauvais usages des logiciels espions commerciaux ». Mais cette initiative ne change rien « aux nombreux rapports de mauvaise administration et d’abus de pouvoir par les (pays de l’UE) au cours de la dernière législature », regrettent les organisations dans leur communiqué commun.
A lire aussi : Biden limite le recours aux logiciels espions comme Pegasus : quelle efficacité ?
Car depuis 2021, des politiques, des lanceurs d’alerte, des journalistes ou des défenseurs des droits ont continué à être la cible de logiciels espions. Cet été, c’est un Eurodéputé allemand, Daniel Freund (Verts/Alliance libre européenne), qui a expliqué sur X avoir été ciblé par le logiciel Candiru. En février 2024, des membres d’une de ses commissions les plus sensibles du Parlement européen, (la SEDE, la sous-commission de sécurité et de défense) ont été visés par des logiciels espions, dont la française Nathalie Loiseau (Renew).
A lire aussi : Des logiciels espions découverts sur les smartphones de députés européens
Deux ans plus tôt, des spyware comme Pegasus, Candiru ou Predator avaient déjà été découverts sur les smartphones de certains membres du Parlement et de la Commission européenne. C’est bien simple : les affaires liées aux logiciels espions éclatent très régulièrement sur le Vieux continent.
Or, « certains pays européens commencent à l’utiliser contre leurs propres citoyens, leurs politiques. Et nous avons amplement documenté l’impact dévastateur que cela pourrait avoir sur l’espace civique, sur la démocratie et sur les droits fondamentaux de chacun », s’alarme Silvia Lorenzo Perez, directrice de la sécurité et de la surveillance de l’ONG CDT Europe.
Une « mise sous surveillance qui dépasse toutes les capacités jamais rêvées, même par un état autoritaire »
Pourquoi n’a-t-on pas alors enrayé la machine, et ralenti le recours à ces outils ? D’abord parce que ce type de logiciels permet une telle surveillance de masse, sans immobiliser des enquêteurs souvent soumis à des logiques de réduction des coûts et d’effectifs, qu’il est tentant, pour un Etat, d’y avoir recours. D’un côté, vous avez la possibilité d’opter pour des outils de surveillance classiques comme la mise sur écoute ou le fait de filer un suspect, des mesures qui respectent la vie privée et d’autres droits fondamentaux, mais qui vont demander des effectifs de police, et du temps. De l’autre, vous avez ces outils, dont la licence peut paraître chère, qui mobilisent moins d’agents, et qui sont bien plus intrusifs.
Les spyware permettent de récolter tout un tas d’informations sur toutes les connexions, tous les contacts de telle personne. « Vous pouvez la mettre sur écoute en activant le micro et la caméra à son insu, vous pouvez la géolocaliser en temps réel. Vous avez accès à toutes les données qui sont collectées par les applications, y compris les données de comportement. Vous avez cliqué sur quoi ? À quel moment ? Vos yeux se sont arrêtés sur quoi ? C’est extrêmement intrusif. C’est une mise sous surveillance qui dépasse toutes les capacités jamais rêvées, même par un état autoritaire », explique Chloé Berthélémy, conseillère politique chez EDRi.
A lire aussi : Quand Gérald Darmanin repart à l’assaut du chiffrement, après l’attentat d’Arras
Tout le monde en achète, alors pourquoi pas moi ?
Et quand « tout le monde sait que l’autre achète, pourquoi ne pas acheter soi-même ? D’autant que c’est sur le marché qui n’est quasiment pas régulé », résume cette dernière.
Il existe pourtant des lois qui réglementent le secteur, comme le règlement européen à double usage. Cette législation, qui s’applique aux biens utilisés dans le cadre civil mais aussi militaire, prévoit pour l’export de ces outils un certain nombre de garde-fous. L’objectif : qu’un logiciel espion développé en Europe ne tombe pas dans les mains d’un pays autoritaire. Mais ces lois ne sont pas très bien appliquées, explique la conseillère politique d’EDRi. Lors du scandale de Pegasus, Chypre a été, par exemple, un État membre de l’Union européenne assez clé pour la redistribution des logiciels.
La sécurité nationale, la chasse gardée des Etats membres
Et surtout, elle ne réglemente pas l’import – le fait d’acheter des logiciels espions développés hors de l’Union européenne, une acquisition qui reste à la discrétion des Etats, grâce à la « sécurité nationale ». Selon les traités de l’EU, tout ce qui tombe dans son champ reste une compétence exclusive des États membres. Traduction : l’Union européenne n’a donc pas son mot à dire en la matière. « Et les 27 pays de l’UE militent depuis des années, avec succès, pour que ce concept soit le plus large possible », explique Silvia Lorenzo Perez, directrice de la sécurité et de la surveillance de l’ONG CDT Europe.
« Les Etats membres vont prétendre que les spywares sont nécessaires pour protéger l’ordre, pour lutter contre le terrorisme et pour être utilisé contre les menaces graves qui pèsent sur la société. Mais le problème est ce concept de « sécurité nationale » est défini différemment en fonction des pays, et que ces outils sont utilisés abusivement par les gouvernements eux-mêmes et par les services de renseignement et la police à d’autres fins » qui n’ont rien à voir avec le terrorisme ou le grand banditisme, déplore Silvia Lorenzo Perez.
« En Hongrie par exemple, s’opposer au gouvernement peut tomber dans le champ de la “sécurité nationale”. On en arrive à espionner des journalistes qui répandraient, selon cette vision des choses, de la propagande – donc dans ce cas, utiliser des logiciels espions contre ces derniers serait justifié », poursuit la directrice. D’où l’importante des principes de l’État de droit et des droits fondamentaux, qui vont permettre de définir des lignes directrices, un certain contrôle, de la transparence « pour pouvoir évaluer après coup que le recours à tel logiciel espion était bien justifié », souligne Silvia Lorenzo Perez.
Et jusqu’à présent, si la Commission européenne n’agissait pas, c’est qu’elle acceptait d’aller dans le sens des Etats-membres – à savoir que les logiciels espions tombaient dans le giron de « leur » sécurité nationale. Pourtant, il s’agit aussi « d’une application de l’État de droit et des droits fondamentaux, des valeurs de l’UE, du marché intérieur. D’autant que l’Europe cherche à réglementer un sujet similaire – le chiffrement des messageries, avec le projet de règlement CSAM, pourquoi ne le ferait-elle pas pour les logiciels espions », s’interroge Silvia Lorenzo Perez, qui espère que sous la nouvelle mandature, les choses seront différentes.
Il faut interdire les logiciels espions les plus intrusifs, selon les ONG
Dans leur déclaration, les ONG demandent que les outils les plus intrusifs comme Pegasus ou Predator soient interdits. Car « on ne pourra jamais utiliser ces logiciels d’une manière conforme au droit européen, et proportionnée. Une fois que votre téléphone est infecté par Pegasus ou Predator, c’est fini. Même le chiffrement ne peut pas vous protéger. Il n’y a rien que vous puissiez faire. Les capacités sont tellement intrusives qu’il n’y a aucun moyen de contrôler cet outil », déplore Chloé Berthélémy d’EDRi.
Juridiquement, ils organisent une telle collecte massive de données, que « cela va à l’encontre des principes de protection de la vie privée et des données, tels que la minimisation des données. Tout cela est très bien réglementé par la législation européenne, qui précise ce à quoi les forces de l’ordre peuvent accéder et dans quelles circonstances. L’utilisation de ce type de logiciel espion ne pourrait jamais se conformer à ces limitations », poursuit-elle.
A côté de cette demande d’interdiction pure et dure pour les outils de type Pegasus, les organisations demandent une règlementation pour les logiciels moins intrusifs. Elles souhaitent aussi que soient introduits des mécanismes de responsabilité efficaces contre ceux qui utilisent abusivement les logiciels espions dans l’UE. Elles plaident enfin pour offrir des recours aux victimes de la surveillance illégale par ces outils. De quoi rafraichir la mémoire des candidats commissaires européens qui pourraient bientôt prendre leurs fonctions, et agir en la matière. Mais ces derniers auront-ils le courage de demander aux 27 de revenir en arrière ? « Maintenant que ces jouets sont entre les mains des Etats », reconnait Chloé Barthélémy, « cela va être très difficile de les retirer ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.