En juillet 2021 un nouveau scandale de cyber-espionnage dit affaire Pegasus est dénoncé par un collectifs de 17 médias et d’une association dit forbidden stories dont est membre le Monde.[1] Le logiciel mis en cause, Pegasus, est un logiciel espion développé par une société israélienne dit NSO group qui a permis de s’introduire dans de nombreux téléphones de personnes politiques, journalistes, chefs politiques, avocats ou encore des militants politiques afin de prendre un contrôle quasi-total du téléphone et dans extraire des informations (données, messages, photos etc).

Selon Amnesty International plus de 11 Etats auraient eu recours à ce logiciel d’espionnage dont l’Allemagne[2] ou encore le Maroc. Par conséquent, on constate une violation délibérée des droits de l’Homme par plusieurs pays. En outre, ce n’est pas la première affaire internationale de cyberespionnage mettant à mal les relations diplomatiques entre différents pays et montrant les lacunes des règlementations internationales, européennes et nationales sur la surveillance de masse via le cyberespionnage. En effet, en 2013 un scandale fait surface celui de l’affaire Snowden similaire à l’affaire Pegasus.[3] Cependant ces affaires montrent à quel point la place de la cybersécurité dans les problématiques de défense nationale et de défense des droits de l’Homme dans le monde du numérique est devenue centrale[4].

Un logiciel espion violant délibérément règle européenne de commercialisation de bien à double usages

Le logiciel Pegasus a été développé en Israël mais a été commercialisé notamment sous licence Hongroise et Chypriote. Or, ce sont deux Etats membres de l’Union Européenne ce qui pose problème. En principe, lors de la commercialisation il était  soumis à un règlement de 2009 qui vient d’être abrogé et remplacé par le règlement dit 2021/821 instituant un régime de l’Union de contrôle des exportations, du courtage, de l’assistance technique, du transit et des transferts en ce qui concerne les biens à double usage. En effet, le logiciel Pegasus est considéré comme un bien à double usage c’est-à-dire que c’est une technologie qui peut être utilisée à la fois dans un contexte civil comme militaire. Par conséquent, il est soumis à une règlementation spéciale incluant différent contrôle. Dans le nouveau règlement principale innovation est donc le renforcement du contrôle pour la commercialisation de ces outils/technologies à doubles usages pouvant porter atteintes aux droits de l’Homme[5]. Cependant malgré ces innovations ces autorisations relèvent de la souveraineté nationale[6]. En outre, lors de la commercialisation de Pegasus on avait donc un contrôle dit léger.  Cependant malgré qu’il y eût un contrôle léger les Etats se doivent de vérifier si ce logiciel ne méconnait pas les règlementations européennes notamment relatives à la protection des données personnelles et au respect de la vie privée.

En effet, l’utilisation de ce logiciel par ces différents pays semble violer le droit à la vie privée et celui de la protection des données personnelles. Or, ces droits sont protégés par de nombreux textes européens comme l’article 8 de la Convention Européenne des Droit de l’Homme[7] mais aussi dans le cadre des traitements de données par la directive 2002/58/CE dit e-privacy du 12 juillet 2002 ou encore par le Règlement Général de la Protection des Données (RGPD) entrée en vigueur le 12 décembre 2018. Cependant, on peut porter atteinte à la vie privée via la surveillance de masse si cela est nécessaire et de manière proportionnée comme pour des raisons de sécurité publique. Or l’Etat Hongrois et l’Etat Chypriote sont tenus de respecter ces textes et ne peuvent autoriser la commercialisation d’un logiciel tel que Pegasus si ce dernier méconnait les règles relatives à la surveillance de masse. Malheureusement ces règles ne s’applique pas  pour Israël qui a développé le logiciel  Pegasus.

Un non-respect des règles européennes concernant la surveillance de masse

L’interception de données par des services de renseignement étranger est notamment soumise à certaines conditions . Dans l’affaire Big Brother Watch c./ Royaume-Uni on issu de l’affaire Snowden a admis la possibilité de surveillance de masse même secrète mais sous certaines garanties minimales, par exemple toute ingérence à l’article 8 de la Convention doit être prévue par la loi et doit être mis en place dans un but légitime et nécessaire dans un société démocratique.[8] En effet , la surveillance de masse doit être prévisible, limité dans le temps et non arbitraire par conséquent toute procédure de surveillance de masse quel soit d’origine étrangère ou non doit être soumise à une autorisation préalable par une autorité compétente et indépendante de l’Etat destinataire.[9]  Ainsi on a une volonté de la CEDH de mettre une barrière afin d’éviter toute décision qui serait arbitraire et tout abus de droit. Malgré cela, le régime actuel n’offre aucune garantie suffisante pour certains car la CEDH avait affirmé dans un arrêt que « la cour a admis que les régimes d’interception en masse n’étaient pas nécessairement exclus de la marge d’appréciation des Etats » [10] où on peut donc constater qu’il existe une marge de subjectivité dans l’autorisation de surveillance de masse par un Etat.

Ainsi la surveillance de masse est simplement autorisée pour des questions de sécurité nationale et de maintien à l’ordre public mais uniquement lorsque cela est nécessaire et proportionnée. Or dans cette affaire Pegasus,  ce sont des membres de gouvernement, des journalistes et des lanceurs d’alerte  qui sont surveillés par soit des Etats et leurs services de renseignement mais aussi des tierces personnes. Par conséquent on peut douter de la nécessité de surveillance et de son autorisation préalable. En effet cette surveillance de masse est mise en place par des personnes utilisant un logiciel issu d’une société privée ne garantissant aucune sécurité pour les citoyens victimes de cette surveillance de masse. Posant de réelle question sur le respect de la vie privée qui est nécessaire pour le bienêtre et la santé physique et mentale de chaque individu.

L’appel à une réglementation Internationale

Le groupe NSO qui a développé le logiciel Pegasus appel aujourd’hui à une réglementation internationale pour éviter à l’avenir l’apparition de scandale similaire.[11] Or cela ne veut pas dire qu’il n’existe aucune réglementation internationale aujourd’hui applicable à ce type de logiciel. Il s’agit de l’arrangement Wassenaar mis en place le 19 décembre 1995 qui est « destiné à contrôler l’exportation d’outils initialement conçus pour un usage civil mais susceptibles d’être détournés par leurs utilisateurs à des fins militaires terroristes ou d’abus des droits humains ». Or cet arrangement est inefficace à l’heure actuelle car malgré le fait que 42 Etats en sont membres cet instrument juridique n’est point contraignant, de plus Israël ne fait point partie de cet accord.

Par conséquent, même si la Commission avait affirmé que « L’Europe se doit, plus que jamais, de faire entendre sa voix, de défendre ses valeurs […]. Il y va de sa souveraineté »[12]  dans le monde du numérique. Aujourd’hui son manque de fermeté dans la lutte de la défense des droits de l’Homme dans le monde du numérique pose désormais un problème vis-à-vis  de la sauvegarde des droits de l’Homme.  En outre, l’apparition de scandale telle que Pegasus ou Snowden risque de devenir de plus en plus courant si aucune législation internationale et contraignante n’est mise en place.

Juliette Naïri

Source :

[1] Amesty International Rapport « Uncovering the iceberg the digital surveillance crisis wrought by States and the private sector »  P4

[2] Damien Leloup et Martin Untersinger « Le renseignement allemand a également utilisé Pegasus » Le Monde International, lundi 11 octobre 2021 p. 6

[3] Révélation d’Edward Snowden sur la surveillance numérique de certaines juridictions et personnalités politiques européennes par des agences américaines dont la NSA.

[4] Brunessen Bertrand « la souveraineté numérique européenne : une pensée en acte » ?  RDT eur. 2021 p249

[5] Sylvie Roeznfeld   «  L’UE renforce le contrôle de l’export des logiciels espions » Expertises: Droit, technologies et prospectives Septembre 2021 n°417 p288-289

[6] CJCE, 17 oct. 1995, Leifer e.a., aff. C-83/94 , Rec. I. 3231

[7] Article 8 de la Convention européenne des droits de l’homme proclame le droit de toute personne au respect « de sa vie privée et familiale, de son domicile et de sa correspondance » mais organise un régime de restrictions si celles-ci sont « prévues par la loi » et « nécessaires, dans une société démocratique ».

[8] CEDH Kennedy c Royaume Unis j°26839/05 18 mai 2010

[9] CEDH, 25 mai 2021, arrêt Big Brother watch et autres c. Royaume Uni (Requêtes nos 58170/13, 62322/14 et 24960/15)

[10] CEDH, AFFAIRE LIBERTY ET AUTRES c. ROYAUME-UNI, 1er juillet 2008, 58243/00 et CEDH Weber et Saravia c. Allemagne du 29 juin 2006 (req. n° 54934/00)

[11] Lettre de l’audiovisuel du 6 octobre 2021

[12] Communication de la Commission, « Une nouvelle stratégie industrielle pour l’Europe », 10 mars 2020 COM(2020) 102 final, p. 1