Aucune protection en vue contre les logiciels espions et un nombre croissant de politiques et de lanceurs d’alerte ciblés par ces outils intrusifs : trois ans après le scandale Pegasus, ce logiciel utilisé par des États pour espionner des politiques et des défenseurs de droits sans qu’ils le sachent, l’Union européenne n’a toujours pas mis en place une réglementation, selon un constat de 29 associations européennes, dans une déclaration commune publiée le 3 septembre dernier. Il est grand temps que les institutions européennes prennent des mesures concrètes, avertissent ces organisations, parmi lesquelles le Centre pour la démocratie et la technologie (CDT Europe), European Digital Rights (EDRi), Access Now, le Réseau européen des droits numériques, et Wikimedia Europe.
Depuis le scandale Pegasus en 2021, une commission du Parlement européen a pourtant mené une enquête approfondie sur ce sujet. En mai 2023, elle a publié ses recommandations révélant que « tous les États membres ont acheté ou utilisé au moins un système de logiciels espions». La commission a souligné que «le risque d’abus est très concret en l’absence d’un cadre juridique solide assorti de garanties et de contrôles».
« Toujours pas de solutions efficaces des institutions européennes »
Depuis cette enquête, «nous sommes dans une situation où les autorités européennes ont décidé de ne rien faire. Les États membres non plus», déclare Chloé Berthélémy, conseillère politique à EDRi. Pire encore, certains continuent à acheter des spyware. Début septembre, le gouvernement slovaque aurait acquis Pegasus, selon un média local.
Bien que la mise à jour du règlement « vie privée et communications électroniques » (ePrivacy Regulation) soit en discussion, et qu’une nouvelle législation visant surtout les journalistes – l’Acte européen pour la liberté des médias (EMFA) – ait été adoptée, «les institutions de l’UE n’ont pas réussi à fournir des solutions efficaces», écrivent les organisations. Les États-Unis et d’autres pays, dont la France, ont signé une vague déclaration d’intention en mars 2023, visant à lutter «contre la prolifération et les mauvais usages des logiciels espions commerciaux». Mais cette initiative ne change rien « aux nombreux rapports de mauvaise administration et d’abus de pouvoir par les (pays de l’UE) au cours de la dernière législature», déplorent les organisations dans leur communiqué commun.
Des cibles en constante augmentation
Depuis 2021, des politiques, des lanceurs d’alerte, des journalistes et des défenseurs des droits ont continué à être la cible de logiciels espions. Cet été, l’Eurodéputé allemand Daniel Freund (Verts/Alliance libre européenne) a révélé sur X avoir été ciblé par le logiciel Candiru. En février 2024, des membres de la sous-commission de sécurité et de défense (SEDE) du Parlement européen, dont la française Nathalie Loiseau (Renew), ont été visés par des logiciels espions.
Deux ans auparavant, des logiciels espions comme Pegasus, Candiru ou Predator avaient déjà été découverts sur les smartphones de certains membres du Parlement et de la Commission européenne. Les affaires liées aux logiciels espions éclatent très régulièrement en Europe.
«Certains pays européens commencent à les utiliser contre leurs propres citoyens, leurs politiques. Nous avons amplement documenté l’impact dévastateur que cela pourrait avoir sur l’espace civique, sur la démocratie et sur les droits fondamentaux de chacun», s’alarme Silvia Lorenzo Perez, directrice de la sécurité et de la surveillance de l’ONG CDT Europe.
Une « mise sous surveillance qui dépasse toutes les capacités jamais rêvées, même par un état autoritaire »
Pourquoi n’a-t-on pas alors enrayé la machine et ralenti le recours à ces outils ? Parce que ce type de logiciels permet une surveillance de masse sans mobiliser des enquêteurs, souvent soumis à des logiques de réduction des coûts et d’effectifs. D’un côté, vous avez des outils de surveillance classiques comme la mise sur écoute ou la filature, respectant la vie privée et les droits fondamentaux, mais demandant des effectifs de police et du temps. De l’autre, vous avez ces outils, dont la licence peut paraître chère, mais qui mobilisent moins d’agents et sont beaucoup plus intrusifs.
Les spywares permettent de récolter une multitude d’informations sur toutes les connexions et tous les contacts d’une personne. «Vous pouvez la mettre sur écoute en activant le micro et la caméra à son insu, la géolocaliser en temps réel, accéder à toutes les données collectées par les applications, y compris les données de comportement. C’est une mise sous surveillance qui dépasse toutes les capacités jamais rêvées, même par un état autoritaire», explique Chloé Berthélémy, conseillère politique chez EDRi.
Tout le monde en achète, alors pourquoi pas moi ?
«Quand tout le monde sait que l’autre achète, pourquoi ne pas acheter soi-même ? D’autant que c’est un marché quasiment pas régulé», résume Chloé Berthélémy.
Il existe pourtant des lois qui réglementent le secteur, comme le règlement européen à double usage. Ce cadre, appliqué aux biens utilisés dans le cadre civil mais aussi militaire, prévoit des garde-fous pour l’export de ces outils, afin qu’ils ne tombent pas entre les mains de régimes autoritaires. Mais ces lois ne sont pas bien appliquées, explique la conseillère politique d’EDRi. Lors du scandale de Pegasus, Chypre a été un État membre clé pour la redistribution des logiciels.
La sécurité nationale, chasse gardée des États membres
Surtout, les lois ne régulent pas l’import de logiciels espions développés hors de l’Union européenne, une acquisition laissée à la discrétion des États au nom de la « sécurité nationale ». Selon les traités de l’UE, cette notion reste une compétence exclusive des États membres. «Les 27 pays de l’UE militent depuis des années pour que ce concept soit le plus large possible», explique Silvia Lorenzo Perez.
«Les États membres vont prétendre que les spywares sont nécessaires pour protéger l’ordre, lutter contre le terrorisme, et contrecarrer les menaces graves. Mais le problème est que ce concept de « sécurité nationale » est défini différemment selon les pays, et ces outils sont utilisés abusivement par les gouvernements, les services de renseignement et la police à d’autres fins», déplore Silvia Lorenzo Perez.
«En Hongrie, par exemple, s’opposer au gouvernement peut tomber sous le coup de la “sécurité nationale”. On en arrive à espionner des journalistes considérés comme diffusant de la propagande, ce qui justifierait, selon cette vision, l’utilisation de logiciels espions», continue la directrice. D’où l’importance des principes de l’État de droit et des droits fondamentaux, permettant de définir des lignes directrices, un certain contrôle et de la transparence «pour évaluer après coup que le recours à tel logiciel espion était bien justifié», souligne Silvia Lorenzo Perez.
Jusqu’à présent, la Commission européenne n’a pas agi, acceptant de suivre les États membres, pour qui les logiciels espions relèvent de « leur » sécurité nationale. Pourtant, il s’agit aussi «d’une application de l’État de droit et des droits fondamentaux, des valeurs de l’UE, du marché intérieur. L’Europe cherche à réglementer un sujet similaire – le chiffrement des messageries avec le projet de règlement CSAM, pourquoi ne le ferait-elle pas pour les logiciels espions», se demande Silvia Lorenzo Perez, qui espère que sous la nouvelle mandature, les choses changeront.
Il faut interdire les logiciels espions les plus intrusifs, selon les ONG
Dans leur déclaration, les ONG demandent l’interdiction des outils les plus intrusifs comme Pegasus ou Predator. Car «on ne pourra jamais utiliser ces logiciels d’une manière conforme au droit européen et proportionnée. Une fois votre téléphone infecté par Pegasus ou Predator, c’est fini. Même le chiffrement ne peut pas vous protéger. Les capacités sont tellement intrusives qu’il n’y a aucun moyen de contrôler cet outil», déplore Chloé Berthélémy d’EDRi.
Juridiquement, ils organisent une collecte massive de données, allant à l’encontre des principes de protection de la vie privée et des données, tels que la minimisation des données. «L’utilisation de ce type de logiciel espion ne pourrait jamais se conformer à ces limitations», poursuit-elle.
En plus de cette demande d’interdiction, les organisations plaident pour une réglementation des logiciels moins intrusifs. Elles réclament aussi des mécanismes de responsabilité efficaces contre ceux qui abusent des logiciels espions dans l’UE et souhaitent offrir des recours aux victimes de surveillance illégale. De quoi rafraîchir la mémoire des candidats commissaires européens qui pourraient bientôt agir en la matière. Mais ces derniers auront-ils le courage de demander aux 27 de revenir en arrière ? «Maintenant que ces jouets sont entre les mains des États», reconnaît Chloé Berthélémy, «cela va être très difficile de les retirer».
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.