1. Introduction
1. Le présent rapport fait suite
à une proposition de recommandation déposée le 21 septembre 2021,
que le Bureau a renvoyée devant la commission des questions juridiques
et des droits de l’homme (la commission) pour rapport le 24 septembre
2021
. Le 27 septembre 2021, la
commission m’a désigné rapporteur.
2. La proposition de recommandation rappelle qu’à la mi-juillet
2021, le consortium de médias Forbidden Stories et ses partenaires
internationaux ont fait état de la fuite d’une liste de 50 000 numéros
de téléphone proposés par des clients de NSO Group pour en faire
d’éventuelles cibles du logiciel espion de NSO, Pegasus. «Bon nombre
des téléphones concernés appartiennent à des journalistes, des défenseurs
des droits de l'homme, des responsables politiques de l’opposition
et des responsables politiques étrangers. [...] Bien que l’existence
de Pegasus soit déjà connue, l’utilisation qu’en font apparemment
les gouvernements du monde entier et la nature de celle-ci sont
choquantes. Les répercussions qu’il pourrait avoir sur la liberté
des médias et les institutions démocratiques sont extrêmement préoccupantes».
Les révélations concernant Pegasus montrent que des garanties plus
rigoureuses contre l’utilisation abusive de cette technologie par
des pouvoirs publics, notamment lorsqu’il s’agit de régimes répressifs
et autoritaires, sont nécessaires. La proposition demande à l’Assemblée
parlementaire d’établir un rapport sur les révélations faites au
sujet de Pegasus, en vue de formuler des propositions politiques
aux États membres du Conseil de l’Europe et aux autres acteurs pertinents.
3. Dans le roman dystopique de George Orwell, 1984, toutes les maisons et tous
les appartements des citoyens sont équipés de télécrans afin qu’ils
puissent être regardés ou écoutés à tout moment. Chaque personne
sait qu’elle est observée et c’est un avertissement sévère. Le logiciel
espion actuel est beaucoup plus intrusif: le citoyen ne sait pas
si et quand il est utilisé et qui l’utilise. Non seulement les informations présentes
sont transférées, mais toutes les données du téléphone peuvent également
être transférées. C’est tellement intrusif que même Orwell n’est
pas allé aussi loin. Pourtant, c’est la réalité de notre monde moderne et
cela fait partie des outils utilisés contre les opposants politiques
aujourd’hui.
4. Au cours de la préparation du présent rapport, la commission
a tenu deux auditions. La première a eu lieu en septembre 2022 à
Berne, avec la participation de Tim Engelhardt, responsable des
droits humains au Haut-Commissariat des Nations Unies aux droits
de l'homme, et de Lars Patrick Berg, député européen et membre de
la commission d’enquête chargée d’enquêter sur l’utilisation de
Pegasus et de logiciels espions de surveillance équivalents du Parlement
européen (Commission PEGA). La seconde, qui s'est tenue en décembre
2022, nous a permis d'entendre le témoignage de trois victimes ciblées
par Pegasus ou des logiciels espions similaires: Krzysztof Brejza,
membre du Sejm polonais pour le parti d'opposition Plateforme civique, Diana
Riba, députée européenne espagnole du parti Esquerra Republicana
de Catalunya et vice-présidente de la commission PEGA, et Thanasis
Koukakis, journaliste d'investigation grec. J'ai également rencontré d'autres
victimes en ma qualité de rapporteur. J’ai également pris en considération
la proposition de résolution «Enquête sur la surveillance illégale
de dirigeants étrangers, d’opposants politiques et de militants
en Pologne» du 26 avril 2023.
5. Dans ce rapport, je présenterai d’abord le contexte factuel
des allégations d'utilisation abusive de Pegasus et de logiciels
espions similaires par les États membres du Conseil de l'Europe,
sur la base de différentes sources, notamment les conclusions de
la commission PEGA. J'évoquerai ensuite les normes juridiques du
Conseil de l'Europe et d'autres normes juridiques internationales
susceptibles d'avoir été violées par des États en raison de l'utilisation
de logiciels espions commerciaux tels que Pegasus. Enfin, je présenterai les
propositions faites par différents acteurs internationaux pour prévenir
de nouvelles utilisations abusives des logiciels espions de type
Pegasus et mieux traiter leur incidence sur les droits humains.
2. L'utilisation
de Pegasus et de logiciels espions similaires par les États membres
du Conseil de l'Europe
2.1. Le
logiciel espion Pegasus
6. Pegasus est un logiciel espion
développé et commercialisé par la société israélienne NSO Group.
Il peut être installé secrètement sur les téléphones mobiles fonctionnant
sous la plupart des versions d'iOS et d'Android. La version la plus
ancienne de Pegasus, qui a été découverte par des chercheurs en
2016, infectait les téléphones par «harponnage», de SMS ou de courriers
électroniques qui incitent une cible à cliquer sur un lien malveillant
.
Depuis lors, les infections peuvent être réalisées par des attaques
dites «zéro-clic», qui ne nécessitent aucune interaction de la part
du propriétaire du téléphone pour réussir. Par exemple, en 2019, WhatsApp
a révélé que Pegasus avait utilisé une vulnérabilité dans son application
pour lancer des attaques «zéro clic». Il suffisait d’appeler le
téléphone cible pour que le logiciel espion s’y installe, et celui-ci
s'installait même en l’absence d’une réponse à l’appel. Plus récemment,
NSO a commencé à exploiter les vulnérabilités du logiciel IMessage
d'Apple. Lorsque le harponnage et les attaques «zéro click» ne réussissent
pas à l’installer, Pegasus peut également être installé au moyen
d’un émetteur-récepteur sans fil situé à proximité d'un appareil
cible, ou en obtenant un accès physique à l'appareil
.
7. Une fois installé sur un téléphone, Pegasus serait capable
d'exécuter un code arbitraire, d'extraire des contacts, des journaux
d'appels, des messages, des photos, l'historique de navigation sur
Internet, des paramètres
. Il pourrait aussi
recueillir des informations à partir d'applications, notamment les
applications de communication iMessage, Gmail, Viber, Facebook,
WhatsApp, Telegram et Skype
. Il peut secrètement transformer
un téléphone portable en un dispositif de surveillance 24 heures
sur 24, car il obtient un accès complet à tous les capteurs et à
toutes les informations de l’appareil. Pegasus peut lire, envoyer
ou recevoir des messages qui sont censés être cryptés de bout en
bout, télécharger des photos stockées, et entendre et enregistrer
des appels vocaux ou vidéo. Il a un accès complet à l'appareil photo,
au microphone et au module de géolocalisation du téléphone
. D'une certaine manière, l’auteur
de l’écoute peut en savoir plus que le propriétaire du téléphone.
8. Selon le contrôleur européen de la protection des données,
Pegasus appartient à une nouvelle catégorie de logiciels espions
qui diffèrent des outils d'interception «traditionnels» utilisés
par les autorités répressives, sur trois aspects: il accorde un
accès complet et illimité à l'appareil ciblé; il est capable de
mener une attaque «zéro-clic», ne nécessitant aucune action de l'utilisateur
pour être déclenchée; et il est très difficile à détecter
. Contrairement aux écoutes
téléphoniques classiques, qui ne permettent qu'une surveillance
en temps réel des communications, ce type de logiciel espion peut
fournir un accès complet et rétroactif aux fichiers et aux messages
créés dans le passé, aux mots de passe et aux métadonnées relatives
aux communications antérieures.
9. NSO Group affirme que Pegasus ne collecte des données que
sur les appareils mobiles de personnes spécifiques pré-identifiées,
soupçonnées d'être impliquées dans des activités criminelles graves
et terroristes. À cet égard, il est (selon NSO) similaire en principe
à une écoute téléphonique traditionnelle et a permis d'empêcher
des attaques terroristes, de démanteler des réseaux de pédophilie,
de trafic sexuel et de drogue, ou de retrouver et de sauver des
enfants kidnappés. NSO octroie des licences du logiciel Pegasus
aux services répressifs et de renseignement des États souverains
et n'a aucune visibilité sur son utilisation et les cibles de ses
clients
. Selon NSO, Pegasus n'est pas en
mesure de supprimer ou de modifier des données sur un appareil mobile.
La société déclare qu'elle exige des clauses de respect des droits
humains dans tous les contrats conclus avec les clients, et que
ces derniers doivent s'engager à utiliser ses systèmes exclusivement pour
la prévention des crimes graves et du terrorisme et pour les enquêtes
portant sur de tels crimes, à condition qu’elles soient légitimes
et légales. Lorsque la société a terminé sa procédure interne de
diligence raisonnable en matière de droits humains pour l'approbation
des engagements des clients, les demandes de licences d'exportation
doivent être approuvées par l'Agence de contrôle des exportations
de défense du ministère israélien de la Défense, qui limite strictement
l'octroi de licences du logiciel Pegasus, en menant sa propre analyse
des clients potentiels du point de vue des droits humains
. En outre, NSO affirme qu'il adapte la
configuration du système Pegasus au moyen de paramètres spécifiques
à chaque utilisateur final. Ces spécifications personnalisées tiennent
compte des restrictions d'utilisation définies dans les politiques
internes de l'entreprise en matière de droits humains, ainsi que
des conditions énoncées dans la licence d'exportation délivrée par
le ministère israélien de la Défense. Toute allégation d'utilisation
abusive de Pegasus par un État déclenche un processus d'examen approfondi
et une enquête sur les faits signalés. Elle peut conduire à la résiliation
du contrat avec un client, si nécessaire. En fait, NSO affirme avoir
ouvert des enquêtes à la suite des allégations publiées dans le
cadre du «Projet Pegasus» de 2021, notamment en examinant les cadres juridiques
nationaux, en interrogeant les utilisateurs finaux et en vérifiant
les faits à partir de sources objectives
.
10. Le 3 novembre 2021, le gouvernement des États-Unis (Bureau
de l'industrie et de la sécurité du Département du commerce) a ajouté
NSO Group à la liste des entités ayant mené des activités contraires
à la sécurité nationale ou aux intérêts de la politique étrangère
américaine. Cette décision a été prise en se fondant sur des preuves
que cette société a développé et fourni des logiciels espions à
des gouvernements étrangers qui utilisaient ces outils pour cibler
de manière malveillante des responsables gouvernementaux, des journalistes,
des hommes et des femmes d'affaires, des militants, des universitaires
et des employés d'ambassades, même en dehors de leurs frontières.
Gina M. Raimondo, secrétaire au Commerce des États-Unis, a déclaré:
«Les États-Unis sont déterminés à utiliser de manière agressive
les contrôles à l'exportation pour tenir pour responsables les entreprises
qui développent, font le trafic ou utilisent des technologies pour mener
des activités malveillantes qui menacent la cybersécurité des membres
de la société civile, des dissidents, des responsables gouvernementaux
et des organisations ici et à l'étranger
». L'exportation de technologies vers
la société NSO Group et ses filiales est donc interdite.
11. Des sociétés telles que Meta et Apple ont intenté des procès
à NSO Group pour avoir utilisé le logiciel espion Pegasus contre
leurs utilisateurs
. Une cour d'appel
américaine a rejeté l'argument de la société israélienne selon lequel
elle devrait être protégée par les lois sur l'immunité souveraine.
12. À la suite des révélations du «Projet Pegasus» et de l'inscription
de NSO sur la liste noire des États-Unis, il semble que la liste
des pays d'exportation éligibles ait été réduite par le ministère
israélien de la Défense, passant de 102 à 37
.
2.2. Premières
allégations concernant l'utilisation abusive de Pegasus
13. La version iOS de Pegasus a
été identifiée en août 2016. M. Ahmed Mansoor, défenseur arabe des droits
humains, a reçu un SMS contenant un lien promettant des «secrets»
sur la torture pratiquée dans les prisons des Émirats arabes unis.
M. Mansoor a envoyé le lien au Citizen Lab de l'université de Toronto,
qui a enquêté et découvert que si Mansoor avait cliqué sur le lien,
son téléphone aurait été «infecté» et le logiciel espion implanté
dans celui-ci
. Pegasus avait déjà
été révélé dans une fuite de documents de Hacking Team, qui indiquait
que le logiciel avait été fourni au Gouvernement du Panama en 2015.
Certains médias ont également rapporté que les Émirats arabes unis
utilisaient ce logiciel espion dès 2013
.
14. Deux mois après le meurtre du journaliste saoudien Jamal Khashoggi
à Istanbul, le dissident saoudien Omar Abdulaziz a intenté une action
en justice en Israël contre NSO Group, accusant la société d'avoir
fourni au gouvernement saoudien le logiciel de surveillance pour
l'espionner, lui et ses amis, dont M. Khashoggi
. Cette accusation est rejetée
par NSO.
15. Des allégations concernant l'utilisation de Pegasus contre
des personnes ciblées dans certains États membres du Conseil de
l'Europe ont également été signalées avant 2021. Par exemple, selon
The Guardian et El País, le logiciel Pegasus a été utilisé pour
compromettre les téléphones de plusieurs responsables politiques
en Espagne, dont l'ancien président du Parlement de Catalogne, Roger
Torrent
.
2.3. Les
révélations du «Projet Pegasus» en 2021
16. En 2020, une liste de plus
de 50 000 numéros de téléphone censés appartenir à des personnes considérées
comme «des personnes d'intérêt» par des clients de NSO Group a été
divulguée à Amnesty International et Forbidden Stories, une organisation
à but non lucratif de médias basée à Paris. Ces informations ont
été partagées avec 17 organisations de médias d’information dans
11 pays dans le cadre de ce qu'on a appelé le «Projet Pegasus».
Pendant plusieurs mois, plus de 80 journalistes de ces organisations médiatiques,
dont The Guardian, Le Monde et Radio France, Die Zeit, The Washington
Post, Le Soir et Direkt36, ont mené une enquête conjointe sur une
éventuelle utilisation abusive de Pegasus contre des personnes ciblées.
Le laboratoire de sécurité d'Amnesty International a effectué des
analyses technico-légales des téléphones portables de certaines
des cibles potentielles
.
17. Le 18 juillet 2021, des rapports ont commencé à être publiés,
révélant que Pegasus avait potentiellement été utilisé contre des
défenseurs des droits humains, des opposants politiques, des avocats, des
diplomates, des chefs d'État et près de 200 journalistes de 24 pays
. Forbidden Stories
et ses partenaires ont identifié des clients potentiels de NSO dans
11 pays: Azerbaïdjan, Bahreïn, Hongrie, Inde, Kazakhstan, Mexique,
Maroc, Rwanda, Arabie saoudite, Togo et Émirats arabes unis. Selon
le Washington Post, 14 chefs d'État et de gouvernement anciens ou
actuels, dont le président français Emmanuel Macron et l'ancien
Premier ministre belge Charles Michel (actuel président du Conseil
européen), figuraient sur la liste des cibles potentielles
.
2.4. Constatations
relatives à l'utilisation de Pegasus et de logiciels espions similaires
par les États membres du Conseil de l'Europe
18. Des rapports d'enquête ultérieurs
et d'autres sources ont démontré que Pegasus et d'autres logiciels espions
similaires ont été achetés et utilisés par des États membres du
Conseil de l'Europe contre leurs propres citoyens. D'après les informations
fournies par NSO Group, on sait que Pegasus a été vendu dans au moins
14 pays de l'Union européenne jusqu'à ce que les contrats avec deux
pays soient résiliés. On ne sait pas de quels pays il s'agit, mais
on suppose généralement qu'il s'agit de la Pologne et de la Hongrie
. Il existe également des
preuves que des États membres du Conseil de l'Europe ont exporté
Pegasus ou des logiciels espions similaires vers des pays tiers
ayant des régimes autoritaires et présentant un risque élevé de
violations des droits humains. Les paragraphes ci-après résument
certaines des constatations et conclusions de la commission PEGA
et d'autres sources, pays par pays.
2.4.1. Pologne
19. En décembre 2021, le Citizen
Lab de l'Université de Toronto a annoncé que Pegasus avait été utilisé
en Pologne contre Roman Giertych, un avocat représentant les principaux
responsables politiques de l'opposition dont Donald Tusk, et Ewa
Wrzosek, une procureure impliquée dans une affaire contre le gouvernement
en place
. Le téléphone
du sénateur Krzystof Brejza avait également été piraté à de nombreuses
reprises lorsqu'il menait la campagne électorale de la Plateforme
civique en 2019
. Parmi les autres
victimes signalées figurent Michal Kolodziejczak, chef du mouvement
agraire Agrounia; Tomasz Swejgiert, journaliste et ancien associé
présumé du Bureau central de lutte contre la corruption
; Andrzej Malinowski,
ancien président des Employeurs de Pologne; ainsi que d'anciens
responsables politiques du parti Droit et Justice (PiS)
. Le 7 février 2022, la Cour des comptes
a révélé qu'entre 2020 et 2021, 544 appareils de ses employés ont
été sous surveillance dans plus de 7 300 attaques, et que trois
d'entre eux auraient pu être infectés par Pegasus
. La Cour des comptes
enquêtait alors sur l'annulation des élections présidentielles de
2020.
20. Le cas du sénateur Brejza, qui dirigeait la campagne électorale
de la Plateforme civique lors des élections européennes et nationales
lorsqu’il a été pris pour cible, illustre les liens présumés entre
la surveillance et le processus électoral. Son téléphone a en effet
subi 33 attaques entre avril et octobre 2019, quelques jours seulement
après la fin du cycle électoral. À la suite de ces attaques, des
SMS et de la correspondance provenant de son téléphone ont été volés
et diffusés sur le réseau de télévision contrôlé par l'État dans
le cadre d'une campagne de diffamation qui aurait été orchestrée
contre lui. M. Brejza n’a fait l’objet d’aucune accusation, mais
sa surveillance aurait été liée à l'enquête criminelle ouverte contre
son père (maire d'Inowroclaw) cinq ans auparavant, dans laquelle
il n'avait même pas été interrogé en tant que témoin. En 2019, le
père de M. Brejza avait lui-même reçu 10 SMS que le laboratoire
de sécurité d'Amnesty International avait jugés suspects et qui
correspondaient aux caractéristiques de Pegasus. En outre, selon
M. Brejza, le tribunal qui a autorisé la surveillance dont il a
fait l'objet pendant la campagne électorale n'a pas été informé de
l'utilisation de Pegasus
.
21. Le Gouvernement polonais, qui avait d'abord nié l'acquisition
du logiciel espion, a confirmé début 2022 qu'il était en possession
de Pegasus. Jarosław Kaczyński, le président du PiS, le parti au
pouvoir, a admis que la Pologne avait acquis le logiciel espion
Pegasus, mais a rejeté toute allégation concernant son utilisation abusive
à des fins politiques, par exemple contre des responsables politiques
de l'opposition lors de la campagne des élections législatives de
2019. Le ministre de la Justice, M. Ziobro, a déclaré que toute utilisation
de Pegasus était «conforme à la loi»
. À cet égard, une
commission créée par le Sénat polonais pour enquêter sur l'utilisation
de Pegasus (commission extraordinaire du Sénat chargée d'enquêter
sur les cas de surveillance illégale, leur impact sur le processus
électoral en République de Pologne et la réforme des services spéciaux)
a entendu différents témoins et experts, notamment des experts en
cybersécurité (de Citizen Lab) et l'ancien président de la Cour
des comptes et ensuite, sénateur indépendant, Krzysztof Kwiatkowski.
En janvier 2022, il a présenté deux factures à la commission confirmant
l'achat de logiciels espions pour le Bureau central de lutte contre
la corruption pour un montant de 25 millions de PLN provenant d'un
fonds du ministère de la Justice destiné aux victimes d'actes criminels.
La législation polonaise prévoyant que les opérations du Bureau
central ne peuvent être financées que par le budget de l'État (le
fonds susmentionné n'en faisant pas partie), il semble que l'achat
de Pegasus ait enfreint la législation polonaise. En ce qui concerne
l'utilisation de Pegasus, il n'a pas été explicitement précisé si
parmi les personnes qui avaient été ciblées par ce logiciel espion,
à ce jour une seule, et encore moins toutes, a été espionnée avec
une autorisation judiciaire, comme l'exige la loi. Il semble que
seuls les cas d’espionnage de la procureure Ewa Wrzosek et de Krzysztof
Brejza aient été examinés par les tribunaux à la suite de leurs
plaintes et recours
.
22. Le 22 février 2022, j'ai écrit aux autorités polonaises, par
l'intermédiaire du Président de la délégation polonaise à l’Assemblée,
pour leur demander de me fournir quelques explications. Le 22 avril
2022, Stanislaw Zaryn, directeur du département de la sécurité nationale,
a répondu qu'il n'y avait aucune preuve de surveillance illégale
à l'encontre de qui que ce soit et que chaque cas de contrôle opérationnel
par les services spéciaux polonais avait fait l'objet d'une autorisation
judiciaire.
23. Lors de ma visite d'information à Varsovie (13-15 mars 2023)
dans le cadre de la procédure de suivi concernant la Pologne (Commission
pour le respect des obligations et engagements des États membres
du Conseil de l'Europe (Commission de suivi)), j'ai rencontré des
membres de la commission sénatoriale chargée de clarifier les cas
de surveillance illégale et d'autres autorités compétentes. J'ai
été informé que le nombre de services secrets et de services répressifs
qui sont légalement autorisés à effectuer des surveillances a beaucoup
augmenté en Pologne. En conséquence, le contrôle judiciaire et parlementaire
est fragmenté et n'est manifestement plus adéquat. Je regrette qu'en
dehors de la commission extraordinaire du Sénat, le Sejm n'ait pas
tenté d'enquêter sur les allégations de surveillance illégale, y
compris de personnalités politiques de premier plan
. Il faut noter que la commission
sénatoriale n'a pas les pouvoirs d'investigation du Sejm.
24. La commission PEGA a conclu que «l'utilisation de Pegasus
[en Pologne] fait partie intégrante et est un élément déterminant
d’un système de surveillance de l’opposition et des détracteurs
du gouvernement à des fins politiques. (...). Le champ de la surveillance
en Pologne a été considérablement élargi au cours des dernières
années, par l’affaiblissement ou la suppression des garanties et
des dispositions en matière de contrôle. Au fil des modifications
législatives systématiques et ciblées adoptées par la majorité au
pouvoir, les droits des victimes ont été réduits au minimum et les
voies de recours ont été de fait vidées de leur sens. Les contrôles
ex ante et
ex
post effectifs, ainsi que les mécanismes de surveillance
indépendants, ont été
de facto éliminés.»
Le Parlement européen,
dans sa recommandation du 15 juin 2023 sur l'enquête relative à l'utilisation
de Pegasus et de logiciels espions de surveillance équivalents,
a noté que «le logiciel espion de surveillance Pegasus a été déployé
illégalement à des fins politiques pour espionner des journalistes,
des responsables politiques, des avocats, des procureurs et des
acteurs de la société civile».
2.4.2. Hongrie
25. En 2021, le projet Pegasus
a révélé, et Amnesty International a confirmé, que plus de 300 Hongrois auraient
été ciblés par Pegasus. Les numéros de téléphone d'au moins dix
avocats et de cinq journalistes, d'un responsable politique de l'opposition,
ainsi que de militants et d'entrepreneurs de renom figuraient sur
la liste divulguée des cibles potentielles de Pegasus
. Il a été confirmé
depuis qu’un certain nombre de cibles ont été piratées avec succès.
Le téléphone de Szabolcs Pany, journaliste d'investigation pour
Direkt36, a été infecté par le logiciel espion, selon l'analyse
technico-légale d'Amnesty International. Le téléphone de M. Pany
a été piraté à plusieurs reprises par Pegasus au cours d'une période
de sept mois en 2019, l'infection ayant eu lieu peu après qu'il
a demandé des commentaires à des responsables gouvernementaux (notamment
sur un article qu'il avait écrit concernant le déménagement d'une
banque russe à Budapest). Parmi les autres personnes identifiées
comme cibles figurent le journaliste Dávid Dercsény; le propriétaire
de Central Media Group, Zoltán Varga; le professeur Attila Chikán
(ancien ministre du premier gouvernement de Viktor Orbán et actuellement critique),
le fils et l'avocat de l'un des anciens amis (aujourd'hui opposant)
de Viktor Orbán, Lajos Simicska; János Bánáti, président de l'Association
du Barreau de Hongrie; Adrien Beauduin, un doctorant belgo-canadien
de l'Université d'Europe centrale qui a été arrêté après avoir participé
à une manifestation à Budapest; l'avocate Ilona Patócs; le maire
de Gödöllö György Gémesi; Brigitta Csikász, l'un des journalistes hongrois
les plus expérimentés en matière de criminalité; ainsi que des personnes
faisant partie du cercle rapproché du Fidesz
.
26. Au début de l’année 2022, un groupe de six journalistes et
militants a entamé des actions en justice auprès des autorités hongroises
et de la Commission européenne. L'Union hongroise des libertés civiles (HCLU)
les représente
. Au moment de la rédaction du présent
rapport, la Cour suprême et la Cour constitutionnelle avaient toutes
deux rejeté les demandes de la HCLU.
27. Dans un premier temps, les autorités hongroises n'ont ni commenté
ni démenti l'utilisation de Pegasus. En novembre 2021, Lajos Kósa,
président de la Commission parlementaire de la défense et de l'application
de la loi, a admis que le ministère de l'Intérieur avait acheté
Pegasus, mais a déclaré qu'il n'avait jamais été utilisé contre
des citoyens hongrois
. Le ministère de
l'Intérieur a acheté indirectement Pegasus pour 6 millions EUR par
l'intermédiaire de Communication Technologies Ltd à la société de
NSO Group enregistrée au Luxembourg en 2017. Le 31 janvier 2022,
l'Autorité nationale hongroise pour la protection des données et
la liberté d'information (NAIH) a présenté les conclusions d'une
enquête ouverte d'office sur l'utilisation de Pegasus par les autorités
hongroises. Elle a conclu que Pegasus était utilisé par le service
de sécurité nationale pour surveiller plusieurs personnes dont les
noms avaient paru dans la presse, mais toujours dans le respect
du cadre juridique (avec une autorisation du ministère de la Justice
ou d'un tribunal) et pour des motifs de sécurité nationale. Les
300 citoyens hongrois dont le téléphone figurait sur la liste ayant
fait l'objet d'une fuite n'ont pas tous fait l'objet d'une enquête
de la part de NAIH, puisque, selon son président, Amnesty International
ne lui a pas fourni cette liste
. Les motifs de
l'enquête resteront classifiés jusqu'en 2050.
28. En février 2022, j'ai écrit aux autorités hongroises, par
l'intermédiaire du Président de la délégation hongroise à l’Assemblée,
pour leur demander de me fournir quelques explications. Je n’ai,
malheureusement, pas reçu de réponse à ce jour.
29. D'autres sociétés de logiciels espions, telles que Black Cube
et Cytrox, semblent également avoir des liens avec la Hongrie. Black
Cube est intervenue en Hongrie lors des élections de 2018, au cours
desquelles elle a espionné différentes ONG et des personnes qui
avaient des liens avec George Soros
. En 2015, des fichiers
divulgués par Hacking Team ont révélé que le gouvernement hongrois
était un client.
30. La commission PEGA a conclu que «L’utilisation de Pegasus
en Hongrie semble s’inscrire dans le cadre d’une campagne stratégique
et orchestrée du gouvernement visant à saper la liberté des médias
et la liberté d’expression. Le gouvernement a utilisé ce logiciel
espion pour instaurer facilement un régime de harcèlement, de chantage,
de menaces et de pressions à l’encontre des journalistes indépendants,
des médias, des opposants politiques et des organisations de la
société civile, sans crainte de contestations.»
Dans sa recommandation
du 15 juin 2023, le Parlement européen est parvenu à la même conclusion
qu'avec la Pologne, à savoir que «le logiciel espion de surveillance
Pegasus a été déployé illégalement à des fins politiques pour espionner
des journalistes, des responsables de l’opposition, des avocats
et des acteurs de la société civile».
2.4.3. Grèce
31. En mars 2022, Citizen Lab a
révélé que le téléphone du journaliste d'investigation Thanasis
Koukakis avait été infecté par le logiciel espion Predator en 2021
. Contrairement à Pegasus, Predator
est un code d’exploitation dans lequel il faut que la cible clique
une fois sur un lien pour que le logiciel espion infecte le téléphone.
Predator a été développé par Cytrox, une société basée à l'époque
en Macédoine du Nord. Cytrox a ensuite été rachetée par Tal Dilian
(ancien membre des forces de défense israéliennes qui a la nationalité maltaise)
avant de devenir membre de l'alliance Intellexa, un consortium de
vendeurs de logiciels espions ayant des représentations à Chypre,
en France, en Grèce et en Irlande. En juillet 2022, le député européen
et chef du parti d'opposition grec PASOK Nikos Androulakis a annoncé
qu'il portait plainte contre les tentatives visant à infecter son
téléphone par Predator. Les tentatives d’installation du logiciel
espion ont été découvertes lors d’un contrôle de son téléphone par
le service informatique du Parlement européen. Ces tentatives ont
eu lieu lorsque M. Androulakis était candidat à la direction du
PASOK. En novembre 2022, les médias grecs ont révélé une liste de
33 cibles de Predator, toutes des personnalités de premier plan,
dont des membres du gouvernement, l'ancien Premier ministre Antonis
Samaras et l'ancien commissaire européen Avramopoulos. En février 2023,
le président de l'Autorité grecque chargée de la protection des
données (Hellenic Data Protection Authority, HDPA) a confirmé que
300 SMS liés au logiciel espion Predator avaient été envoyés à une
centaine d'appareils
. Parmi
les cibles confirmées de Predator figurent Christos Spiritzis, ancien
ministre des Infrastructures et député du parti Syriza, et Artemis
Seaford, une ancienne employée gréco-américaine de Meta qui avait
écrit sur un cas de harcèlement sexuel de la part d'un homme politique.
32. Koukakis et Androulakis ont tous deux tenté d'obtenir des
informations ou des réparations auprès des autorités nationales
compétentes, notamment en s'adressant à l'Autorité grecque chargée
de la sécurité des communications et de la vie privée (ADAE) et
en déposant des plaintes pénales. Ils ont également introduit des
requêtes auprès de la Cour européenne des droits de l'homme.
33. En août 2022, le gouvernement grec a admis que le service
de renseignement national (EYP)
avait surveillé
(au moyen d'écoutes téléphoniques classiques) MM. Koukakis et Androulakis,
mais il a nié avoir jamais acheté le programme Predator ou l'avoir
utilisé contre eux. Le 8 août, le Premier ministre Kyriakos Mitsotakis
a déclaré que la surveillance de M. Androulakis avait été «légale»
mais «politiquement inacceptable». Il n'a fait aucune référence
au cas de M. Koukakis ou à d'autres cas présumés. Après les premières
révélations, le directeur de l’EYP et Grigoris Dimitriadis, le secrétaire
général du gouvernement, ont démissionné. L'ancien directeur de
l’EYP a déclaré que les écoutes téléphoniques de M. Androulakis
avaient été lancées à la demande des services de renseignement de
l'Arménie et de l'Ukraine, compte tenu de sa participation à la
commission du commerce international du Parlement européen, qui
traite des relations commerciales entre l'Union européenne et la
Chine. Il est possible que Predator n'ait pas été acheté directement
par l'État, mais par d'autres canaux
.
34. Il a également été confirmé que le gouvernement grec avait
accordé des licences d'exportation à Intellexa pour la vente du
logiciel espion Predator à des gouvernements tels que Madagascar
et le Soudan, ce qui aurait pu constituer une violation du règlement
de l'Union européenne sur les biens à double usage
.
35. La commission PEGA a conclu que «certains schémas suggèrent
que le gouvernement grec autorise l’utilisation de logiciels espions
envers des journalistes, des responsables politiques et des hommes
et femmes d’affaires. Il permet également l’exportation de logiciels
espions vers des pays dont le bilan en matière de droits de l’homme
est mauvais (...) Bien que l’utilisation de logiciels espions soit
illégale en Grèce, l’enquête sur l’origine des attaques de logiciels
espions n’a pris de l’ampleur qu’à l’été 2022. (...) Les dirigeants
politiques les plus haut placés du pays utilisent les logiciels
espions comme un outil de pouvoir et de contrôle politiques, dans
certains cas en parallèle à une interception légale, ou après celle-ci.
(...) Contrairement à d’autres cas, tels que la Pologne, l’utilisation
abusive de logiciels espions ne semble pas faire partie d’une stratégie autoritaire
à part entière, mais plutôt être utilisée de manière opportuniste
pour des gains politiques et financiers.» Le Parlement européen,
dans sa recommandation du 15 juin 2023, a ajouté «qu’il est très
probable que ce dernier ait été utilisé par des personnes très proches
du bureau du Premier ministre».
2.4.4. Espagne
36. En avril 2022, Citizen Lab
a publié un rapport (CatalanGate Report) selon lequel les téléphones
mobiles de 65 personnes avaient été ciblés ou infectés par Pegasus
ou un logiciel espion similaire entre 2017 et 2020: 63 avec Pegasus,
quatre avec Candiru (un autre logiciel espion vendu par la société
Candiru, enregistrée en Israël) et au moins deux personnes avec
les deux. Les appareils d'au moins 51 personnes ont été infectés. Toutes
ces personnes étaient des membres du mouvement indépendantiste catalan
(députés européens, présidents catalans, législateurs, avocats et
membres de la société civile) ou des membres de leur famille et de
leur personnel. Citizen Lab n'a pas attribué les attaques à une
entité spécifique, mais a suggéré que les preuves indiquaient «un
lien étroit avec une ou plusieurs entités au sein du gouvernement
espagnol». En mai 2022, les autorités espagnoles ont admis avoir
ciblé, avec l'autorisation d'un juge de la Cour suprême, 18 personnes
sur les 65 cas présumés. L’ancienne directrice du Centre national
du renseignement espagnol (CNI), Paz Esteban, s’est présentée devant
la commission des secrets officiels du Congrès des députés lors d'une
réunion à huis clos pour justifier la surveillance de ces 18 personnes,
mais les mandats judiciaires n'ont jamais été rendus publics. Parmi
les cibles confirmées figurent l'actuel président de la Catalogne
Pere Aragonès, l'ancien président et actuel député européen Carles
Puigdemont (ciblage relationnel), les anciens présidents de l'ANC
(organisation de la société civile catalane soutenant l'indépendance)
Jordi Sanchez et Elisenda Paluzie, ainsi que l'ancien vice-président
de l'ONG Omnium Cultural Marcel Mauri. Certaines des cibles confirmées
ont fait l'objet de poursuites pénales liées au référendum sur l'indépendance
de 2017 et aux événements qui ont suivi. D'autres auraient été visées
au moment des manifestations publiques et des blocages de routes
organisés par les Comités de défense de la République (CdR) en réaction
à la condamnation pénale des dirigeants catalans impliqués dans
le référendum illégal. Les autorités ont invoqué des motifs de confidentialité
et de sécurité nationale pour ne pas s'étendre sur les motifs de
la surveillance. Le gouvernement n'a fait aucun commentaire sur
les 47 personnes restantes et il n'est pas avéré que ces personnes
aient été légalement visées par une décision de justice. Certaines
des cibles se trouvaient en dehors de l'Espagne au moment de l'infection,
notamment en Belgique et en Suisse
. Selon certaines sources, le Gouvernement
espagnol a acheté Pegasus au cours de la première moitié des années
2010 pour un montant estimé à 6 millions EUR
.
37. Les députés catalans indépendantistes du Parlement européen
font partie des groupes ciblés. Nous avons entendu le cas de Diana
Riba lors de l’audition en commission le 12 décembre 2022. Elle
affirme que son téléphone a été infecté par Pegasus à deux reprises.
La première a eu lieu en juin 2019, alors qu'elle venait de prendre
son siège d'eurodéputée et pendant les discussions politiques sur
le siège vacant d'Oriol Junqueras, qui n'a pas pu prendre ses fonctions
d'eurodéputé parce qu'il était en détention provisoire pour son implication
dans le référendum catalan illégal de 2017. La deuxième infection
a eu lieu en octobre 2019, après l’arrêt de la Cour suprême contre
les dirigeants indépendantistes, notamment son propre partenaire
et ancien ministre catalan, Raül Romeva. La majorité de ses appels
téléphoniques concernaient cette affaire, y compris des conversations
avec les avocats de l’ancien ministre
.
38. Parmi les 65 autres personnes ciblées figurent Marta Rovira,
secrétaire générale du parti ERC vivant en Suisse, Elena Jiménez,
représentante internationale d'Omnium Cultural faisant partie de
l'équipe juridique de Jordi Cuixart (ancien président d'Omnium Cultural);
ainsi que des avocats représentant certains responsables politiques
catalans indépendantistes emprisonnés à l'époque.
39. Parallèlement, en mai 2022, peu après les révélations du CatalanGate,
le Gouvernement espagnol a révélé que les téléphones du Premier
ministre Pedro Sánchez, de la ministre de la Défense Margarita Robles et
du ministre de l'Intérieur Fernando Grande-Marlaska avaient été
infectés par le logiciel espion Pegasus en 2020-2021. Le ministre
de l’Agriculture, Luis Planas, qui exerçait auparavant les fonctions
de diplomate au Maroc, a également été ciblé par le logiciel espion,
mais n’a constaté aucune infection. Bien que l'origine de ces attaques
n'ait pas été confirmée, les autorités marocaines (qui auraient
utilisé Pegasus contre des cibles en France) sont soupçonnées d'en
être à l'origine, compte tenu de la crise diplomatique entre les
deux pays à l'époque.
40. À la suite des révélations du CatalanGate, le Médiateur espagnol
a ouvert une enquête d'office. Le 18 mai 2022, il a conclu que les
18 cibles confirmées avaient été surveillées conformément à la loi
puisque les interceptions avaient été approuvées par un juge de
la Cour suprême et que l'autorisation était accompagnée de la motivation
requise. Il avait eu accès aux documents classifiés mais n'a pas
commenté sur le fond les motifs contenus dans les mandats judiciaires
ni la proportionnalité de la surveillance
. Bien que le Congrès espagnol ait
voté contre une proposition de création d'une commission d'enquête
sur l'utilisation de Pegasus en 2022, les récentes élections tenues
en juillet 2023 ont modifié la position du parti socialiste au pouvoir (PSOE),
qui a finalement accepté de créer une commission d'enquête sur Pegasus
en échange du soutien des partis indépendantistes catalans à la
présidente du Congrès nouvellement élue
.
Le Parlement catalan avait déjà créé une commission d'enquête en
2022
.
41. Différentes plaintes pénales ont été déposées auprès des tribunaux
d'instruction de Barcelone par certaines des personnes concernées,
des organisations de la société civile et même le Parlement catalan
. Cependant, les enquêtes ne progressent
pas aussi rapidement que prévu et il est difficile de prouver l'existence des
infections. Il semble que les juges d'instruction n'acceptent pas
toujours les expertises présentées par les plaignants et que les
procureurs demandent que les téléphones portables infectés soient
vérifiés par la police. La Cour suprême a rejeté les recours déposés
par certaines des cibles confirmées et qui souhaitaient avoir accès
aux mandats judiciaires et aux documents relatifs à leur surveillance
.
En effet, la législation espagnole prévoit que les informations
relatives aux services de renseignement et à leurs activités sont
classifiées
. L'affaire
de la surveillance du Premier ministre Pedro Sánchez et d'autres
ministres a également été portée devant l'Audience nationale à Madrid.
Le juge d'instruction de ce tribunal a adressé une demande formelle d'entraide
judiciaire internationale (commission rogatoire) au gouvernement
israélien afin d'obtenir des informations sur différents aspects
du logiciel Pegasus. Cependant, le juge a récemment décidé de clore provisoirement
cette affaire «en raison du manque total de coopération d'Israël»
.
42. La commission PEGA a conclu que les 47 personnes ciblées mentionnées
dans le rapport CatalanGate devraient avoir accès à la justice et
qu'une enquête devrait être ouverte. En ce qui concerne les 18 cas
ayant fait l'objet d'une autorisation judiciaire, leur proportionnalité
et leur nécessité restent encore à être vérifiées par un tribunal,
étant donné que le Médiateur n'a vérifié que leur légalité (formelle).
Dans sa recommandation du 15 juin 2023, le Parlement européen a
appelé l'Espagne à inviter Europol, qui pourrait apporter une expertise technique,
à s’associer aux enquêtes.
2.4.5. Azerbaïdjan
43. Selon les révélations du «Projet
Pegasus» de 2021, l'Azerbaïdjan fait partie des pays qui utilisent Pegasus.
Au moins 48 journalistes auraient été désignés comme cible potentielle
de ce logiciel espion
. Il s'agissait notamment de
Sevinc Vaqifqizi, journaliste freelance pour le média indépendant
Meydan TV, dont le téléphone a été infecté pendant deux ans (2019-2020)
et de Khadija Ismayilova, journaliste d'investigation au Projet
de signalement de la criminalité organisée et de la corruption (OCCRP),
dont le téléphone a été régulièrement infecté pendant près de trois
ans (2019-2021)
. Certains rapports mentionnent également
des militants de la société civile, comme Fatima Movlamli, dont
des photos intimes ont été divulguées sur Facebook en 2019
. À cet égard, la publication de photos
et de conversations privées et intimes de femmes soulève des inquiétudes
particulières et illustre les dangers spécifiques liés au genre
de la surveillance ciblée des femmes journalistes et défenseures
des droits humains.
44. L'enquête menée par le consortium OCCRP a révélé que plus
de 1 000 numéros azerbaïdjanais figuraient sur la liste du Projet
Pegasus. Au total, 245 numéros de téléphone ont été identifiés.
Sur cette liste, un cinquième appartenait à des journalistes, des
rédacteurs en chef ou des propriétaires d'entreprises de médias
. Environ
62 personnes ont porté plainte devant le bureau du procureur général,
affirmant que leurs téléphones avaient été illégalement infiltrés
par le logiciel espion Pegasus et que cela constituait une violation de
leur droit au respect de la vie privée garanti par la Convention
européenne des droits de l'homme (STE no 5).
Le bureau du procureur général a répondu que leurs plaintes devaient
être adressées à la Direction des enquêtes du service de sécurité
de l'État (SSS). Celui-ci a refusé de donner une réponse écrite
officielle et les responsables ont informé oralement les avocats
des requérants individuels qu'ils n'avaient pas utilisé ce logiciel
espion contre eux. Les requérants ont engagé des poursuites contre
le bureau du procureur général et le SSS pour leur inaction et leur
refus d'ouvrir une enquête pénale. Si certaines plaintes sont toujours pendantes
devant les tribunaux nationaux à différentes instances, certaines
sont déjà parvenues à la Cour européenne des droits de l'homme
.
45. Des rapports récents ont révélé que Pegasus avait été utilisé
lors du conflit entre l'Arménie et l'Azerbaïdjan. Les téléphones
de 12 personnes travaillant en Arménie, dont le porte-parole du
ministère arménien des Affaires étrangères, un représentant de l'ONU
et plusieurs militants de la société civile et journalistes arméniens
(dont la plupart avaient fait des reportages sur le conflit), auraient
été infectés par Pegasus entre octobre 2020 et décembre 2022
. Aucune preuve n’indique que l'Arménie
ait déjà été un utilisateur de Pegasus (l'achat possible du Predator
de Cytrox est évoqué ci-après). CitizenLab a identifié un opérateur
Pegasus présumé en Azerbaïdjan qui aurait pu atteindre des cibles
en Arménie.
2.4.6. Chypre
46. Selon le Parlement européen,
«Chypre est un important pôle d’exportation à l’échelle européenne
pour le secteur de la surveillance et représente un endroit attrayant
pour les entreprises qui vendent des technologies de surveillance».
Tal Dilian, ancien membre des forces de défense israéliennes, a
commencé une carrière d'expert du renseignement à Chypre, où il
a lancé Aveledo Ltd, qui deviendra plus tard WS WiSpear Systems
Ltd. Il a également lancé Intellexa Alliance, un consortium de fournisseurs
d'équipements de surveillance. En 2019, Tal Dilian aurait conclu
un accord non contractuel avec Hermes Airports en vue de l’utilisation
de son équipement Wispear dans le but d’améliorer le signal Wi-Fi
mis à la disposition des passagers de l’aéroport international de
Larnaca. Il semble que la véritable raison de cet accord était de
tester la technologie d'interception de la société WiSpear, qui
a été condamnée à une amende de 76 000 EUR par la Cour d'assises
le 22 février 2022 pour surveillance illégale de communications
privées et violation de la protection des données. Les poursuites
pénales contre Tal Dilian et d'autres employés de WiSpear ont été abandonnées.
À la suite de cette affaire, M. Dilian a transféré les activités
d'Intellexa en Grèce, bien qu'il n'ait jamais quitté Chypre
.
47. Bien que le gouvernement chypriote nie l'exportation de Pegasus
et l'enregistrement de toute entité de NSO Group à Chypre, les rapports
de NSO Group indiquent que Chypre a accordé des licences d'exportation pour
sa technologie
. Selon un document
transmis par le parti d’opposition AKEL au Parlement européen, NSO
Group aurait exporté Pegasus par l’intermédiaire d’une de ses filiales
à Chypre vers une société implantée aux Émirats arabes unis. En
2017, une réunion entre des responsables de NSO et des clients saoudiens
a eu lieu à l’hôtel Four Seasons de Limassol dans le but de présenter
les dernières capacités de Pegasus. Les clients saoudiens l'ont
immédiatement acheté, un an avant l'assassinat de Jamal Khashoggi
au consulat saoudien d'Istanbul et la surveillance présumée de ses
proches par Pegasus
.
48. Selon la commission PEGA, «dans la pratique, il semblerait
que les règles soient faciles à contourner et qu’il existe des liens
étroits entre les responsables politiques, les agences de sécurité
et le secteur de la surveillance. C’est apparemment l’application
laxiste des règles qui fait de Chypre un endroit aussi attrayant pour
le commerce de logiciels espions».
2.4.7. Autres
États membres
49. Le gouvernement autrichien
a déclaré que l’Autriche n'a pas été un client de NSO. Or, son ancien chancelier
Sébastien Kurz entretient des liens étroits avec le fondateur de
NSO Group, Shalev Hulio. En octobre 2022, ils ont lancé une société
de cybersécurité appelée Dream Security. En outre, une société spécialisée
dans les logiciels espions, Decision Supporting Information Research
and Forensic (DSIRF), est basée en Autriche. En juillet 2022, Microsoft
a découvert qu'un outil logiciel de DSIRF (appelé Subzero) était utilisé
pour attaquer des cabinets d'avocats, des banques et des cabinets
de conseil stratégique en Autriche, au Royaume-Uni et au Panama.
Compte tenu de l'absence de licence d'exportation pour DSIRF, le
parquet de Vienne a ouvert une enquête préliminaire. En effet, le
logiciel aurait pu être utilisé par un acteur étranger, ce qui reviendrait
à une violation des restrictions à l'exportation par DSIRF
.
50. Il semble que la Belgique soit l'un des 14 États de l'Union
européenne qui ont acheté Pegasus. Un ancien responsable des services
de renseignement israéliens a révélé que la police belge utilisait
Pegasus dans ses opérations. En septembre 2021, le ministre de la
Justice a indiqué que ce logiciel espion pouvait être utilisé de
manière légale, mais n'a pas confirmé si les services belges étaient
des clients de NSO. Parmi les personnes ciblées par Pegasus sur
le territoire belge (très probablement par des pays tiers) figurent
l'ancien Premier ministre et actuel président du Conseil européen
Charles Michel ainsi que son père Louis Michel; El Mahjoub Maliha,
défenseur des droits humains originaire du Sahara occidental; Carine
Kanimba, fille d'un militant politique rwandais; l'actuel commissaire
européen à la justice Didier Reynders ainsi que des membres du personnel
de la Commission européenne
.
51. En Bulgarie, les autorités nationales nient avoir accordé
des licences d'exportation à NSO Group ou à ses filiales. Cependant,
les rapports de cette société indiquent que ses produits sont ou
ont été exportés de Chypre et de Bulgarie
. Selon
les médias, certains des serveurs de la structure de réseau à partir
desquels les attaques Pegasus sont menées sont situés dans un centre
de traitement de données bulgare appartenant à une société bulgare,
Circle Bulgaria, elle-même détenue par NSO Group. Cette société
fournit des services de recherche et de développement aux filiales
chypriotes depuis la Bulgarie et exporte des produits vers des administrations
publiques. Le bureau du procureur de la ville de Sofia enquête pour
savoir si les services de l'État ont utilisé illégalement Pegasus
contre des citoyens bulgares
.
52. En France, le Projet Pegasus a permis de révéler que plusieurs
tentatives de piratage par Pegasus avaient eu lieu, et que le président
Macron avait notamment été visé. Des traces d'infections par Pegasus
ont été confirmées sur les téléphones de cinq ministres et d'un
député, du directeur de la station de radio parisienne TSF Jazz
Bruno Delport, des journalistes d'investigation Edwy Plenel et Lénaïg
Bredoux, ainsi que d'avocats et de proches de militants sahraouis.
Dans la plupart des cas, il semble que le Maroc soit à l'origine des
attaques.
53. En outre, la France abrite plusieurs sociétés spécialisées
dans les logiciels espions, telles que Nexa Technologies (qui fait
partie de l'alliance Intellexa de Tal Dilian) et Amesys. En juillet
2021, à la suite de plusieurs plaintes déposées par des organisations
de défense des droits humains, quatre cadres d'Amesys et de Nexa
Technologies ont été inculpés pour vente de technologies de surveillance
aux gouvernements de Libye (sous le régime de Kadhafi) et d'Égypte.
On ignore si des licences d'exportation ont été accordées pour l'exportation
de logiciels espions vers ces pays
.
54. En Allemagne, les médias ont rapporté que l'Office fédéral
de la police criminelle (BKA) avait acquis une version modifiée
de Pegasus (avec un accès uniquement aux communications en direct,
pour qu'il soit conforme à la législation allemande) fin 2020. Toujours
selon les médias, le vice-président du BKA a confirmé l'achat du
logiciel espion lors d'une réunion à
huis clos de la commission de l'Intérieur du Bundestag
et qu'il était utilisé depuis mars 2021. Le service de renseignement
extérieur allemand a également acheté une version modifiée de Pegasus.
Les informations relatives à ces opérations restent confidentielles.
Avant les révélations sur Pegasus, le BKA et la police berlinoise
LKA avaient acheté FinSpy à FinFisher (basé à Munich) en 2012 et
2013, également dans une version modifiée avec un accès uniquement
aux communications en direct. D'anciens dirigeants de FinFisher
ont été inculpés par le parquet de Munich pour avoir exporté des technologies
de surveillance vers la Türkiye sans licence d'exportation. FinFisher
a annoncé sa faillite et ses activités ont cessé. Plus récemment,
il a été signalé que le gouvernement (par l'intermédiaire de l'Office
central des technologies de l'information dans le secteur de la
sécurité: ZITiS) avait été en contact avec d'autres sociétés de
logiciels espions (l’italienne RCS Lab, l’autrichienne DSIRF, Candiru,
Intellexa ou Cytrox), mais il n’a pas été confirmé que des logiciels
espions supplémentaires avaient été effectivement acquis.
55. En ce qui concerne l'Italie, aucun rapport sur l'achat ou
l'utilisation éventuels de logiciels espions par les autorités n'a
été publié. Cependant, des sociétés de logiciels espions telles
que Tykelab et RCS Lab sont basées en Italie. Hacking Team, aujourd'hui
appelé Memento Labs, a exporté le logiciel espion RCS vers des pays
dont les régimes sont autoritaires
.
56. Aux Pays-Bas, les médias ont rapporté en juin 2022 que le
service de renseignement néerlandais avait utilisé Pegasus pour
aider la police à retrouver Ridouan Tagh, principal suspect de plusieurs
meurtres liés à la criminalité organisée. Le gouvernement néerlandais
s’est refusé à tout commentaire. D'autres reportages dans les médias
ont révélé qu'en 2019, le ministère néerlandais de la Défense était
sur le point de signer un accord avec WiSpear, la société détenue
par Tal Dilian. Rien ne permet de confirmer cependant que le contrat
ait été signé ou que des logiciels espions aient été acquis
.
57. Le Luxembourg, l'Irlande, Malte et la République tchèque entretiennent
des liens importants avec le secteur des logiciels espions. Le Luxembourg
héberge neuf entités directement liées à NSO Group, mais le ministre
des Affaires étrangères a confirmé qu'aucune d'entre elles n'avait
été autorisée à exporter des produits de surveillance à partir du
Luxembourg. En octobre 2021, le Premier ministre Xavier Bettel a
confirmé que le Luxembourg avait acheté et utilisé Pegasus «pour
des motifs liés à la sécurité de l’État». L'Irlande héberge certaines
des sociétés de logiciels espions mentionnées (Intellexa et Thalestris
Limited, sa société mère) parce que sa législation fiscale serait
favorable. Plusieurs personnalités du secteur du commerce des logiciels
espions, dont Tal Dilian, ont obtenu des passeports maltais. Enfin,
c’est à Prague que se tient le salon européen annuel du secteur
des logiciels espions, l’«ISS World», également baptisé «The Wiretappers’
Ball» (La foire aux écoutes)
.
58. Selon le rapport de CitizenLab, des clients probables de Predator
ont été trouvés en Arménie. Il semble que des acteurs soutenus par
le gouvernement aient acheté des produits Cytrox
.
59. La Roumanie a acheté le logiciel espion FinFisher, comme d'autres
pays de l'Union européenne (Belgique, République tchèque, Estonie,
Allemagne, Hongrie, Italie, Pays-Bas, Slovaquie, Slovénie et Espagne).
Black Cube a été impliqué dans un scandale de piratage informatique:
les dirigeants de la société ont admis avoir espionné l'ancien procureure
en chef de la Direction nationale anticorruption de Roumanie, Laura
Kövesi; l'ancien agent roumain Daniel Dragomir aurait été le commanditaire
de cette mission. D'autres sociétés de logiciels espions (Cognyte,
QuaDream) opéreraient depuis la Roumanie
.
60. Selon certains rapports, la Serbie a été cliente de Circles
Technologies (appartenant à NSO Group), de Predator, de Cognyte
et de FinFisher
.
61. Des filiales de la société Thalestris, société mère d'Intellexa
Alliance, sont situées en Suisse. DigiTask (Allemagne) a vendu des
logiciels espions aux autorités suisses, selon des informations
divulguées en 2011
.
62. La Türkiye a utilisé FinSpy de FinFisher en 2017. Le logiciel
était déguisé en application téléchargeable recommandée aux participants
aux manifestations antigouvernementales
. Des procureurs allemands
ont accusé quatre anciens dirigeants d'entreprise de vendre illégalement
des logiciels aux services secrets de Türkiye.
63. Selon CitizenLab, des téléphones de représentants du gouvernement
du Royaume-Uni, y compris du cabinet du Premier ministre et du ministère
des Affaires étrangères et du Commonwealth, ont été infectés par Pegasus
en 2020-2021. Les infections suspectes liées au ministère des Affaires
étrangères étaient associées à des opérateurs Pegasus liés à des
pays tiers, notamment les Émirats arabes unis, l'Inde, Chypre et
la Jordanie
.
3. Normes
juridiques pertinentes
3.1. La
Convention européenne des droits de l'homme
64. La surveillance secrète ciblée,
y compris l'interception des communications par téléphone mobile, constitue
une atteinte au droit au respect de la vie privée et de la correspondance
consacré par l'article 8.1 de la Convention européenne des droits
de l'homme (STE no 5, «La Convention»)
.
Selon la jurisprudence de la Cour européenne des droits de l'homme
(«la Cour»), la surveillance secrète d'un individu ne peut se justifier au
regard de l'article 8.2 que si elle est «prévue par la loi», vise
un ou plusieurs des «buts légitimes» mentionnés dans ce paragraphe
(parmi lesquels la défense de l'ordre, la prévention des infractions
pénales et la protection de la sécurité nationale et de la sûreté
publique) et est «nécessaire dans une société démocratique» pour
atteindre ces buts
.
65. En ce qui concerne la première exigence, cela signifie que
la surveillance doit avoir un fondement juridique en droit interne
qui doit être accessible à la personne concernée et prévisible quant
à ses effets. La loi doit être suffisamment claire pour donner aux
citoyens une indication adéquate des circonstances et des conditions
dans lesquelles les autorités publiques sont habilitées à recourir
à des mesures de surveillance secrète. Dans sa jurisprudence relative
à ces mesures, la Cour énonce les garanties minimales suivantes contre
les abus de pouvoir que la loi doit renfermer: la nature des infractions
susceptibles de donner lieu à un mandat d’interception; la définition
des catégories de personnes susceptibles d’être mises sur écoute;
la fixation d’une limite à la durée d’exécution de la mesure; la
procédure à suivre pour l’examen, l’utilisation et la conservation
des données recueillies; les précautions à prendre pour la communication
des données à d’autres parties, et les circonstances dans lesquelles
peut ou doit s’opérer l’effacement ou la destruction des enregistrements
. La Cour
a confirmé que ces garanties minimales s'appliquent dans les cas
où l'interception avait pour but de prévenir ou de détecter des
infractions pénales, mais aussi dans ceux où la mesure a été ordonnée
pour des raisons de sécurité nationale
. Elle a cependant
admis que l’exigence de «prévisibilité» de la loi n’allait pas jusqu’à
imposer aux États l’obligation d’édicter des dispositions juridiques
énumérant dans le détail tous les comportements pouvant conduire
à la décision de soumettre un individu à une surveillance secrète
pour des motifs de «sécurité nationale». De par leur nature même,
les menaces pour la sécurité nationale peuvent varier et être imprévues
ou difficiles à définir à l'avance. La loi doit au moins indiquer
avec suffisamment de clarté l'étendue de tout pouvoir discrétionnaire
conféré aux autorités compétentes et les modalités de son exercice
.
66. La deuxième condition requise pour qu’une ingérence soit justifiée
au regard de l’article 8.2 est que la mesure soit «nécessaire dans
une société démocratique» pour poursuivre l’un des buts énoncés
dans le deuxième alinéa (sécurité nationale, sûreté publique, défense
de l’ordre et prévention des infractions pénales, etc.). Le pouvoir
d’ordonner la surveillance en secret des citoyens n’est tolérable
au regard de l’article 8 que dans la mesure strictement nécessaire
à la sauvegarde des institutions démocratiques
.
En outre, la mesure doit être strictement nécessaire à l'obtention
de renseignements vitaux dans le cadre d'une opération individuelle.
Afin de s'assurer que les mesures de surveillance secrète ne sont
appliquées que lorsqu'elles sont «nécessaires dans une société démocratique»,
la Cour doit également être convaincue qu'il existe des garde-fous
suffisants et effectifs contre les abus. Cela implique d'évaluer,
entre autres, les procédures d’autorisation, les
modalités du contrôle de l’application de mesures de surveillance
secrète, ainsi que tout mécanisme de notification et de recours
prévus en droit interne
.
67. En ce qui concerne les procédures d'autorisation, bien que
l'autorisation judiciaire préalable puisse constituer une garantie
importante contre la surveillance abusive, la Cour examine également
avec soin son champ d'application (si le juge applique un test de
«nécessité» ou de «proportionnalité») et le contenu de l'autorisation
d'interception (c'est-à-dire la mention de personnes ou de locaux
spécifiques). L'autorité d'autorisation doit en effet être en mesure
de vérifier l'existence d'un soupçon raisonnable à l'encontre de
la personne concernée, en particulier s'il existe des indices concrets
permettant de soupçonner cette personne de préparer, de commettre
ou d'avoir commis des actes criminels ou d'autres actes pouvant
donner lieu à une surveillance secrète, tels que, par exemple, des
actes mettant en péril la sécurité nationale
.
Il est en principe souhaitable de confier le contrôle à un juge,
car le contrôle juridictionnel offre les meilleures garanties d'indépendance
et d'impartialité, ainsi qu'une procédure appropriée. Cependant,
le contrôle exercé par des organes non judiciaires peut également
être considéré comme conforme à la Convention si l'organe de contrôle
est indépendant des autorités chargées de l'opération et est doté
de pouvoirs suffisants pour exercer un contrôle effectif et permanent
. Appliquant ces principes, la Cour a
estimé dans l'affaire
Szabó et Vissy
c. Hongrie que l'autorisation et le contrôle
des mesures de surveillance secrète par le ministre de la Justice (sans
autorisation judiciaire préalable) étaient, par essence, incapables
d'assurer l'appréciation requise de la stricte nécessité. Pour la
Cour, le contrôle par un membre politiquement responsable de l'exécutif
n'offre pas les garanties nécessaires. En outre, lorsqu'un juge
ou un tribunal qui exerce la fonction de contrôle fait preuve de
passivité et se contente d'approuver, sans véritable vérification
des faits, les actions des services de sécurité, ce contrôle n'est
pas compatible avec l'article 8
.
68. Une fois la surveillance terminée, la question de la notification
ultérieure des mesures de surveillance est inextricablement liée
au caractère effectif des recours devant les tribunaux. Les possibilités
de recours devant les tribunaux par l'individu concerné sont en
principe limitées, sauf si ce dernier est informé des mesures prises
à son insu et peut en contester la légalité
a
posteriori, ou sauf si la personne qui soupçonne que
ses communications sont ou ont été interceptées peut saisir un tribunal,
de sorte que la compétence de celui-ci ne dépend pas de la notification
au sujet qui a fait l'objet de l'interception. Les informations
devraient toutefois être communiquées en principe au sujet après
la fin des mesures de surveillance «dès que la notification peut
être effectuée sans compromettre l'objectif de la restriction»
.
69. La Cour a constaté des violations de l'article 8 dans des
affaires concernant la surveillance secrète de militants des droits
humains
, de membres
d'organisations non gouvernementales
, d'avocats
et
de journalistes
, entre
autres.
70. En ce qui concerne les journalistes, les mesures de surveillance
ciblée visant à découvrir leurs sources journalistiques peuvent
également porter atteinte à leur droit à la liberté d'expression,
tel que garanti par l'article 10 de la Convention, en l'absence
de garanties adéquates dans la loi
ou de toute
exigence impérieuse d'intérêt public justifiant de telles mesures
dans le cas concret
. La Cour a constamment considéré
que le droit pour les journalistes de protéger leurs sources fait
partie de la liberté de «recevoir ou de communiquer des informations
ou des idées sans qu'il puisse y avoir ingérence d'autorités publiques» consacrée
par l'article 10 et qui en constitue l'une des garanties essentielles.
Il s'agit là d'une pierre angulaire de la liberté de la presse,
sans laquelle les sources pourraient se montrer réticentes à aider
la presse à informer le public sur des questions d'intérêt général.
Une ingérence susceptible de conduire à la divulgation d'une source
ne saurait donc être considérée comme «nécessaire» au sens de l'article
10 que si elle se justifie par une exigence impérieuse d'intérêt
public
.
71. La communication entre un avocat et son client est particulièrement
protégée par l'article 8 de la Convention. En principe, les communications
orales et la correspondance entre un avocat et son client sont privilégiées
et doivent rester confidentielles. Il s'agit également d'une garantie
importante des droits de la défense et du droit à un procès équitable
garantis par l'article 6
.
L'utilisation de logiciels espions a également des conséquences
négatives sur l'exercice d'autres droits de la Convention, en particulier
par les défenseurs des droits humains et les militants politiques,
notamment le droit à la liberté de réunion et d'association (article 11),
le droit à des élections libres (article 3 du Protocole n° 1 à la
Convention (STE no 009)) et, dans les
cas les plus extrêmes, le droit à l'intégrité physique et mentale
et le droit à la vie (articles 2 et 3).
72. La question de savoir si les cas d'infections par Pegasus
décrits dans la section ci-dessus ont violé les droits de la Convention,
et en particulier le droit au respect de la vie privée, devra être
tranchée par les différents tribunaux nationaux saisis et, en dernier
ressort, par la Cour. Un certain nombre de requêtes individuelles
ont déjà été introduites devant la Cour. Bien qu'il n'y ait pas
encore eu de décision ou de jurisprudence sur l'utilisation de Pegasus,
l'utilisation de ce logiciel espion ou d'un logiciel espion similaire
par les autorités de l'État soulève de nouvelles questions sur d’éventuelles
incidences sur les droits humains. Donner accès à tous les contenus
et fonctionnalités d'un smartphone (localisation, appels téléphoniques,
SMS et messages vocaux, courriels, photos, vidéos, mots de passe,
historique de navigation sur le web, ou possibilité d'utiliser à
distance l'appareil photo et le microphone en temps réel) conduit
à un niveau d'intrusion sans précédent. Cela révèle les informations
les plus sensibles (notamment sur la santé, la vie sexuelle, les opinions
politiques, les croyances religieuses ou autres) non seulement sur
les personnes ciblées, mais aussi sur leur famille, leurs collègues,
leurs amis, leurs clients, etc. À cet égard, le Contrôleur européen
de la protection des données, dans ses remarques préliminaires publiées
le 15 février 2022, a déclaré qu'étant donné le niveau d'ingérence
dans le droit au respect de la vie privée et la difficulté de satisfaire
aux exigences de proportionnalité, le déploiement régulier de Pegasus
ou d'autres technologies de logiciel espion similaires très intrusives
ne paraît pas compatible avec l'ordre juridique de l'Union européenne.
Il a donc proposé d'interdire le développement et le déploiement
de ces logiciels espions dans l'Union européenne et, à titre subsidiaire
(si de tels outils sont néanmoins utilisés dans des situations exceptionnelles),
de prendre certaines mesures pour empêcher leur utilisation illégale
(renforcement du contrôle des mesures de surveillance, mise en œuvre
intégrale de la législation européenne en matière de protection
de la vie privée et des données, contrôle judiciaire, pas d’utilisation
abusive de l'exception relative à la sécurité nationale pour des
motifs politiques, etc.)
. La Commissaire aux droits de l'homme
du Conseil de l'Europe a également exprimé de sérieux doutes quant
à la compatibilité de l'utilisation de Pegasus ou de logiciels espions
similaires avec la jurisprudence de la Cour, compte tenu de leur
degré d'intrusion
. En tout état de cause, et indépendamment de
l'évaluation de la proportionnalité de l'utilisation de ces logiciels
espions dans chaque cas d’espèce, la Cour devra d'abord examiner
la qualité du cadre législatif concerné, comme elle le fait souvent
dans les affaires de surveillance au titre de l'article 8. Selon
différentes études, le cadre législatif de certains des pays qui
ont utilisé Pegasus est insuffisant ou inefficace, notamment en
ce qui concerne les mécanismes de contrôle
ex
ante et
ex post,
ainsi que les voies de recours
. Dans certains
cas, les lacunes ont déjà été recensées par la Cour dans des affaires
antérieures de surveillance sans rapport avec Pegasus (Hongrie,
par exemple l'absence d'obligation de notification après la fin
de la surveillance
et les
pouvoirs de contrôle limités de l'autorité chargée de la protection
des données
). Dans
d'autres (Pologne, Grèce), ces études ont conduit la commission
PEGA et le Parlement européen à relever les lacunes qui semblent
soulever des inquiétudes au regard des normes de la Convention.
Par exemple, en Grèce, un amendement législatif de 2021 a supprimé la
possibilité pour l'ADAE d'informer les citoyens de la levée de la
confidentialité des communications. En ce qui concerne la Pologne,
la Commission européenne pour la démocratie par le droit (Commission
de Venise) a constaté que la loi de 2016 sur la police régissant
la surveillance des citoyens (toujours en vigueur) ne contenait
pas de garanties suffisantes pour prévenir les abus
.
3.2. Autres normes du Conseil de l'Europe
73. La Convention du Conseil de
l'Europe pour la protection des personnes à l'égard du traitement automatisé
des données à caractère personnel (STE n° 108), seul instrument
international juridiquement contraignant dans le domaine de la protection
des données ayant une portée mondiale (ratifiée par 55 Parties, dont
9 non membres du Conseil de l'Europe), accorde une protection supplémentaire
pour tout traitement de données effectué par le secteur privé et
le secteur public, y compris le traitement des données par les autorités judiciaires
et autres autorités d’application de la loi. Toutefois, les États
peuvent faire des déclarations visant à exclure du champ d'application
de la Convention certains types de traitement des données (par exemple,
à des fins de sécurité nationale et de défense)
.
À cet égard, Mme Kaldani, Vice-Présidente
du Comité consultatif de la Convention, a rappelé lors de l'audition
du 14 septembre 2021 que la Convention 108 modernisée (Protocole
d’amendement à la Convention pour la protection des personnes à
l'égard du traitement automatisé des données à caractère personnel,
STCE n ° 223, «Convention 108+», ouvert à la signature le 10 octobre
2018 et non encore entré en vigueur
) supprime cette possibilité.
La Convention 108+ établit également des exigences plus strictes
concernant la licéité du traitement, la proportionnalité et la minimisation
des données, rappelant que les données traitées doivent être adéquates,
pertinentes et non excessives au regard des finalités pour lesquelles
elles sont traitées
. Elle renforce les droits des individus et
impose des exigences de plus grande transparence
,
qui peuvent toutefois être restreintes lorsque cela est prescrit
par la loi, respecte l'essence des droits et libertés fondamentaux
et constitue une mesure nécessaire et proportionnée dans une société
démocratique à des «objectifs essentiels d'intérêt public général»,
y compris la protection de la sécurité nationale, la défense, la
sûreté publique ou la prévention, l'investigation et la répression
des infractions pénales
. La Convention 108+ renforce également
les pouvoirs d'enquête et de correction ainsi que l'indépendance
des autorités chargées de la protection des données. Elle prévoit
toutefois un nombre limité d'exceptions dans le domaine de la sécurité
nationale et de la défense, pour autant qu'elles soient prévues
par la loi et nécessaires dans une société démocratique
. Les activités de traitement à des
fins de sécurité nationale et de défense doivent en tout cas faire
l’objet d’un contrôle et d’une supervision indépendants effectifs
selon la législation nationale
.
74. Depuis son ouverture à la signature en 2001, la Convention
sur la cybercriminalité (STE n° 185, également connue sous le nom
de «Convention de Budapest» ou «Convention sur la cybercriminalité»),
a attiré la participation de pays de toutes les régions du monde. Elle
contient des dispositions relatives au droit pénal matériel et au
droit procédural, ainsi qu'à la coopération internationale, en matière
de criminalité informatique. La notion de «système informatique»
définie à l'article 1.a couvre les téléphones mobiles modernes,
les smartphones, les tablettes ou des dispositifs similaires, qui
ont la capacité de produire, de traiter et de transmettre des «données
informatiques»
. Parmi les abus que la Convention
impose aux États parties d'incriminer, ceux qui sont pertinents
pour notre sujet sont l'«accès illégal» (article 2), l'«interception
illégale» (article 3) et l'«utilisation abusive de dispositifs»
(article 6). L'«interception illégale» s'applique à toutes les formes
de transfert électronique de données (par exemple par téléphone),
mais l'interception doit être effectuée «intentionnellement» et
«sans droit». À cet égard, l'interception est justifiée si elle
est légalement autorisée dans l'intérêt de la sécurité nationale
ou de la détection d'infractions par les autorités chargées de l'enquête
. L'«utilisation
abusive de dispositifs» fait référence à la production, la vente,
l'acquisition pour utilisation, l'importation, la distribution ou
toute autre mise à disposition d'un dispositif, y compris un programme informatique,
conçu ou adapté principalement dans le but de commettre l'une des
autres infractions; ou d'un mot de passe informatique, d'un code
d'accès ou de données similaires permettant d'accéder au système informatique.
Le Comité de la Convention sur la cybercriminalité (T-CY) a précisé
que toutes les formes de logiciels malveillants sont couvertes par
ces dispositions, en fonction de ce que le logiciel malveillant
fait réellement
. La Convention de Budapest
pourrait entrer en jeu dans les cas où l'interception au moyen d'un logiciel
espion n'est manifestement pas légale au titre du droit interne,
auquel cas elle pourrait être assimilée à une «interception illégale»
et devrait être érigée en infraction pénale
. En outre, la Convention de Budapest contient
des dispositions spécifiques sur l'interception des données relatives
au contenu des communications («en ce qui concerne un éventail d’infractions
graves à définir en droit interne») et sur l'entraide entre les
États en la matière (articles 21 et 34). L'interception doit en
tout état de cause être soumise aux garanties relatives aux droits
de l'homme, y compris celles découlant de la Convention et d'autres
traités internationaux, et en particulier au principe de proportionnalité,
à la supervision judiciaire ou d’autres formes de supervision indépendante,
aux motifs justifiant l'application et à la limitation du champ
d’application et de la durée du pouvoir ou de la procédure en question
(article 15).
76. Dans la
Résolution
2045 (2015) «Les opérations de surveillance massive», adoptée à
la suite des révélations faites par M. Edward Snowden sur les pratiques
de surveillance de masse des États-Unis et de certains États membres
du Conseil de l'Europe, l'Assemblée a exhorté les États membres
et observateurs à: «veiller à ce que leur droit interne autorise
la collecte et l’analyse des données à caractère personnel (...) uniquement
avec le consentement de l’intéressé ou à la suite d’une décision
de justice rendue sur la base de motifs raisonnables de soupçonner
la cible de prendre part à des activités criminelles; il importe
d’incriminer la collecte et le traitement illégaux des données de
la même manière que la violation du secret de la correspondance
classique (...)»; «veiller, pour faire respecter ce cadre juridique,
à ce que leurs services de renseignement soient soumis à des mécanismes
de contrôle judiciaire et/ou parlementaire appropriés. (...)»; «convenir
d’un ‘code du renseignement’ multilatéral, destiné à leurs services
de renseignement, qui définisse les principes régissant la coopération
aux fins de lutte contre le terrorisme et la criminalité organisée
(...)»; et «s’abstenir d’exporter vers les régimes autoritaires
une technologie de pointe en matière de surveillance» (paragraphe
19). Dans sa
Recommandation
2067 (2015) «Les opérations de surveillance massive», l'Assemblée
a invité le Comité des Ministres à envisager d’adresser une recommandation
aux États membres en vue de garantir la protection de la vie privée
à l’ère du numérique et la sécurité d’internet à la lumière des menaces
que représentent les techniques de surveillance massive qui ont
fait l’objet de récentes révélations, et de poursuivre l’étude des
problèmes de sécurité sur internet que posent les pratiques de surveillance massive
et d’intrusion, sous l’angle des droits de l'homme des usagers de
l’internet (paragraphes 2.1 et 2.2).
77. Le Comité des Ministres a également adopté des textes importants
dans ce domaine: la Déclaration de 2013 sur les risques présentés
par le suivi numérique et les autres technologies de surveillance
pour les droits fondamentaux; la Recommandation n° R(87)15 visant
à réglementer l'utilisation de données à caractère personnel dans
le secteur de la police; la Recommandation CM/Rec(2014)6 sur un
Guide des droits de l'homme pour les utilisateurs d'internet (Annexe,
paragraphes 65-85), et la Recommandation CM/Rec(2016)5 sur la liberté
d’internet (Annexe, paragraphe 4.2).Le Comité des Ministres a rappelé
que toute mesure prise dans l'intérêt de la sécurité nationale doit
rigoureusement respecter les exigences de la Convention, notamment
en ce qui concerne les articles 8, 10 et 11. Il a également souligné
que les États membres ont à la fois des obligations négatives et
des obligations positives, notamment la protection contre les restrictions arbitraires
imposées par des acteurs non étatiques
.
78. Enfin, la Commission de Venise a établi des normes pertinentes
pour les services de sécurité. L'accent a été mis sur l’obligation
de rendre des comptes, à savoir devant le parlement et la justice
.
3.3. Autres normes internationales
79. Le 28 mai 2019, le Rapporteur
spécial des Nations Unies sur la promotion et la protection du droit
à la liberté d'opinion et d'expression a publié un rapport sur la
surveillance et les droits de l'homme, qui indique que le logiciel
espion Pegasus est un exemple de piratage d'appareils mobiles utilisé
comme outil de surveillance ciblée dans 45 pays. Le rapport donne
un aperçu général des obligations des États en matière de droits
de humains au niveau des Nations Unies qui protègent contre la surveillance
ciblée, parmi lesquelles les articles 12 (droit à la vie privée)
et 19 (liberté d'expression) de la Déclaration universelle des droits
de l'homme, les articles 17(1) (droit à la vie privée) et 19 (liberté
d'expression) du Pacte international relatif aux droits civils et politiques.
Il affirme qu'en plus de l'obligation primaire de ne pas interférer
avec ces droits, les États ont le devoir de protéger les particuliers
contre l'interférence de tiers, y compris en ce qui concerne la
surveillance transnationale exercée par des entités étrangères sur
leurs propres citoyens. Le rapport fait également référence aux
Principes directeurs relatifs aux entreprises et aux droits de l'homme:
mise en œuvre du cadre de référence «protéger, respecter et réparer»
des Nations Unies, adoptés par le Conseil des droits de l'homme en
2011, qui sont pertinents tant pour les États que pour le secteur
privé de la surveillance (processus de diligence raisonnable en
matière de droits de l'homme, mesures correctives, etc.) En ce qui
concerne le contrôle des exportations, il mentionne l'Arrangement
non contraignant de Wassenaar sur le contrôle des exportations d'armes
conventionnelles et de biens et technologies à double usage. Les
États participants à cet Arrangement sont censés appliquer des contrôles
à l'exportation à tous les articles de la liste des biens et technologies
à double usage, y compris les articles liés aux «logiciels d'intrusion»
et aux systèmes de surveillance des communications du réseau du
protocole Internet depuis 2013. Le Rapporteur spécial des Nations
Unies regrette toutefois que l'Arrangement ne comporte pas de lignes
directrices ou de mesures d'application qui traiteraient directement
des violations des droits humains causées par les outils de surveillance
.
80. En ce qui concerne la législation de l'Union européenne, outre
la Charte des droits fondamentaux (articles 7, 8, 11, 41, 42, 47
et 52, paragraphe 1)
, la directive
«vie privée et communications électroniques»
et la directive «Police-Justice»
,
il convient de mentionner le règlement de l'Union sur les biens
à double usage (refonte), qui a introduit de nouveaux contrôles
à l'exportation pour les «éléments de cybersurveillance», lorsqu'ils
risquent d'être utilisés dans le cadre de la répression interne
ou de la commission de violations graves des droits de l'homme et
du droit international humanitaire
. Dans sa recommandation du 15 juin
2023 sur l'enquête Pegasus, le Parlement européen a conclu, par
exemple, qu'il existait des preuves «d’une mauvaise administration
dans l’application du règlement de l’Union sur les biens à double
usage à Chypre», sur la base de rapports montrant que Chypre était
devenue une plaque tournante pour l'exportation de logiciels espions
vers des pays tiers répressifs.
4. La voie à suivre: propositions visant
à prévenir l'utilisation abusive des logiciels espions et à mieux traiter
leurs incidences sur les droits humains
81. À la suite des révélations
concernant Pegasus, différents acteurs internationaux ont formulé
des propositions pour prévenir l'utilisation abusive des logiciels
espions et mieux traiter les risques qu'ils présentent pour les
droits humains.
82. Le 27 janvier 2023, à l'occasion de la Journée européenne
de la protection des données, la Commissaire aux droits de l'homme
du Conseil de l'Europe a publié un
Carnet
des droits de l’homme intitulé «Des logiciels espions très intrusifs menacent
l'essence des droits de l'homme». La Commissaire a observé que 18
mois après la divulgation de la fuite de plus de 50 000 numéros
de téléphone désignés comme cibles potentielles de surveillance
au moyen du logiciel espion Pegasus, des défenseurs des droits humains,
des journalistes et des responsables politiques de l'opposition
continuaient d'être ciblés par de puissants outils de piratage en
mode «zéro clic» qui donnent un accès complet et illimité à leur
vie privée mettant en péril leur sécurité personnelle ainsi que
l’exercice de leurs droits fondamentaux. Tout en se félicitant des
enquêtes en cours sur l'exportation, la vente, le transfert et l'utilisation
de logiciels espions aussi intrusifs que Pegasus, la Commissaire
a appelé les États membres à prendre des mesures pour prévenir de
nouveaux abus, à imposer un moratoire strict sur l'exportation,
la vente, le transfert et l'utilisation de logiciels espions «zéro
clic» tels que Pegasus, et à mettre en place un cadre législatif
complet et respectueux des droits humains qui s’applique à l'utilisation
des technologies de surveillance modernes. Ce cadre devrait prévoir
de véritables garanties procédurales, un contrôle juridictionnel
et parlementaire qui s’exerce avant et après la mise en œuvre de
la mesure de surveillance, et des mécanismes de recours effectifs
pour les victimes. La Commissaire a également réfléchi à la nécessité
de sensibiliser davantage le public à la menace omniprésente que
le secteur des logiciels espions non contrôlés et un fonctionnement
opaque des services de sécurité nationale font peser sur les droits
humains, notamment les droits au respect de la vie privée, à la
liberté d'expression et à la participation au débat public.
83. Le Rapporteur spécial des Nations Unies sur la promotion et
la protection du droit à la liberté d'opinion et d'expression a
proposé (en 2019) un cadre juridique et politique pour la réglementation,
l’obligation de rendre des comptes et la transparence dans le secteur
privé de la surveillance, afin d'améliorer le respect des normes
internationales et de combler les lacunes dans leur mise en œuvre.
Il a appelé à une réglementation plus stricte de l’exportation d’équipements
de surveillance et à ce que leur utilisation soit réglementée, mais aussi
à l’instauration d’un moratoire immédiat sur l'exportation, la vente,
le transfert, l'utilisation ou l'entretien des outils de surveillance
jusqu'à ce que l'utilisation de ces technologies puisse être techniquement
limitée à des fins légales et conformes aux droits humains, ou jusqu'à
ce que la garantie soit apportée que ces technologies ne seront
exportées que vers des pays où leur utilisation est soumise à une
autorisation accordée conformément à une procédure régulière et
aux normes de légalité, de nécessité et de légitimité par un organe judiciaire
indépendant et impartial. Les États participant à l'Arrangement
de Wassenaar devraient élaborer un cadre dans lequel l'octroi de
licences pour toute technologie serait subordonné à un examen national
de son incidence sur les droits humains et au respect par les entreprises
des Principes directeurs des Nations Unies sur les entreprises et
les droits de l'homme
.
84. L’ancienne Haut-Commissaire des Nations Unies aux droits de
l'homme, Mme Bachelet, a estimé que, jusqu’à
ce que le respect des normes relatives aux droits humains soit garanti,
les gouvernements devraient mettre en œuvre un moratoire sur la
vente et le transfert de technologies de surveillance
.
Un rapport récent préparé par le Bureau du Haut-Commissaire des
Nations Unies aux droits de l'homme, outre qu'il réitère les appels
précédents à mettre en œuvre un moratoire sur la vente et l'utilisation
(nationales et transnationales) des systèmes de surveillance, recommande
que le piratage des dispositifs personnels ne soit utilisé qu'en dernier
recours, pour prévenir ou enquêter sur un acte spécifique constituant
une menace grave pour la sécurité nationale ou sur un crime grave
précis, en ciblant étroitement le suspect; de telles mesures devraient également
être soumises à un contrôle indépendant strict et nécessiter l'approbation
préalable d'un organe judiciaire
.
85. Dans sa recommandation de juin 2023 faisant suite à son enquête
sur l'utilisation de Pegasus, le Parlement européen a formulé d'importantes
recommandations à l'intention des États membres de l'Union européenne,
des institutions de l'Union européenne et d'autres acteurs concernés.
Outre des recommandations spécifiques aux principaux États membres
de l'Union européenne concernés (Pologne, Hongrie, Grèce, Espagne
et Chypre), notamment en ce qui concerne leur cadre législatif et
leurs enquêtes, il préconise de «définir les conditions applicables
pour l’utilisation, la vente, l’acquisition et le transfert légaux
de logiciels espion» et fixe un délai à tous les États membres (fin
2023) pour remplir quatre conditions, afin d'être autorisés à continuer
de les utiliser. Ces conditions sont les suivantes: a) enquête et
résolution sans délai des cas d'utilisation abusive de logiciels
espions; b) conformité du cadre juridique national avec les normes
de la Commission de Venise, et la jurisprudence de la Cour de justice
de l'Union européenne et de la Cour européenne des droits de l'homme;
c) engagement exprès d'associer Europol dans leurs enquêtes; et
d) abrogation des licences d'exportation qui ne sont pas conformes
au règlement sur les biens à double usage. Le respect de ces conditions
devrait être évalué par la Commission européenne d'ici le 30 novembre
2023. En ce qui concerne l'action à long terme, le Parlement européen
a estimé qu'en raison de la dimension européenne de l'utilisation
des logiciels espions (coopération judiciaire en matière pénale
et marché intérieur), il est nécessaire d'établir des normes européennes
communes qui devraient réglementer et limiter l'utilisation des
logiciels espions. Par exemple, l'autorisation d'utiliser des logiciels
espions ne devrait être accordée que dans des cas exceptionnels,
dans le cadre d’enquêtes portant sur une «liste limitée et fermée
d’infractions graves clairement définies qui constituent une menace
réelle pour la sécurité nationale». Les autres recommandations du
Parlement européen comprennent, entre autres, les éléments suivants:
- La ratification de la Convention
108 + du Conseil de l'Europe par tous les États membres et l’application immédiate
de ses normes dans le droit national, et l’adhésion de l'Union européenne
elle-même;
- Une législation européenne supplémentaire qui imposerait
aux entreprises produisant et/ou exportant des technologies de surveillance
d’intégrer des cadres relatifs aux droits humains et de diligence raisonnable,
conformément aux Principes directeurs des Nations Unies sur les
entreprises et les droits de l'homme;
- La participation d'Europol aux enquêtes sur les allégations
d'abus de logiciels espions, notamment en proposant aux autorités
nationales d'ouvrir, de mener ou de coordonner une enquête;
- Une meilleure mise en œuvre et application des règles
de l'Union européenne en matière d'exportation afin d'éviter les
«achats liés au régime d’exportation»;
- Une meilleure gestion de l'aide au développement de l'Union
européenne afin de prévenir l'utilisation abusive des technologies
de surveillance par les pays tiers;
- La création d'un laboratoire technologique de l'Union
européenne qui serait chargé de découvrir et d’exposer l'utilisation
illégale de logiciels à des fins de surveillance illicite, et de
fournir une assistance technique aux particuliers en détectant les
traces de logiciels espions dans leurs appareils;
- L’intégration de l'utilisation illégale de logiciels espions
par les États membres de l'Union européenne dans les rapports sur
l'État de droit de la Commission européenne.
86. Les ONG et la société civile ont également formulé des propositions
en vue d'une réglementation plus poussée dans ce domaine, appelant
à un moratoire immédiat sur la vente, le transfert et l'utilisation
de logiciels espions jusqu'à ce qu'un tel cadre réglementaire soit
mis en place
. Certains ont estimé que les recommandations
du Parlement européen n'allaient pas assez loin, par exemple, notant
le fait qu'il subsiste des doutes quant à la poursuite de l'utilisation
légale, de la vente, de l'acquisition et du transfert de logiciels espions
pendant l'évaluation des quatre conditions par la Commission européenne,
qu'aucune mesure d'exécution ne soit prévue en cas de non-respect
de ces conditions, ou simplement que le Parlement européen n'ait
pas demandé une interdiction totale de l'utilisation de cette forme
intrusive de logiciels espions
.
5. Conclusions
87. Les révélations concernant
Pegasus ainsi que les enquêtes qui les ont suivi ont apporté la
preuve que ce logiciel espion et d’autres types de logiciels similaires
(par exemple Candiru, Predator) ont été utilisés comme un outil
de piratage et de surveillance visant des journalistes, des avocats,
des responsables politiques et des militants des droits humains
dans plusieurs États membres du Conseil de l'Europe et dans d’autres
pays encore. Compte tenu du niveau d'intrusion sans précédent de
ce logiciel, qui accorde un accès à distance non autorisé («zéro-clic»)
et sans restriction à un téléphone portable et à toutes les données
à caractère personnel et privé qu’il contient, son utilisation a
de graves incidences sur les droits fondamentaux des personnes effectivement
visées et de tous leurs contacts, notamment leur droit au respect
de la vie privée et leur droit à la liberté d'expression, ainsi
que, plus généralement, sur la liberté des médias et les institutions
démocratiques. D'aucuns ont fait valoir que son utilisation même
pourrait difficilement satisfaire aux exigences de proportionnalité
que toute ingérence dans ces droits devrait respecter, compte tenu
précisément de son degré d'intrusion et de furtivité. J'ai tendance
à être d'accord avec ceux qui ont fait part de ces préoccupations, notamment
la Commissaire aux droits de l'homme du Conseil de l'Europe et le
Contrôleur européen de la protection des données. En tout état de
cause, les autorités nationales d'enquête et les tribunaux des pays concernés
doivent encore faire la lumière sur la question de savoir si ces
ingérences très intrusives dans les droits des personnes concernées
poursuivaient un but légitime (sécurité nationale, prévention des
infractions pénales) ou étaient principalement fondées sur des considérations
politiques, et si elles étaient en l’occurrence nécessaires et proportionnées
pour atteindre ce but dans chaque cas concret, comme l'exigent la
Convention européenne des droits de l’homme et d'autres normes internationales.
L'espionnage des responsables politiques, des journalistes et des
défenseurs des droits humains à des fins purement politiques n'est manifestement
pas conforme aux valeurs du Conseil de l'Europe, aux droits humains,
à l'État de droit et aux principes démocratiques. Il a non seulement
un effet dissuasif sur l'exercice des droits fondamentaux par les acteurs
de la société civile, les responsables politiques et les journalistes,
mais il affecte également l'essence et l'intégrité des processus
électoraux et le débat public. Les victimes devraient avoir accès
à des recours effectifs dans tous les cas de surveillance ciblée
illégale, ce qui suppose d'avoir accès aux informations pertinentes
une fois que la mesure de surveillance a pris fin. Or, dans de nombreux
pays concernés, les victimes ont rencontré des obstacles pour prouver
que leurs appareils étaient infectés ou ciblés, en partie à cause
du manque de transparence et de coopération des autorités nationales,
qui invoquent des motifs de confidentialité et de sécurité nationale.
Les cadres législatifs et les systèmes de contrôle des activités
de surveillance dans certains États membres sont insuffisants ou
inefficaces, et il est manifestement nécessaire de renforcer la
réglementation et les garanties et d'améliorer la mise en œuvre
et le suivi.
88. L'Assemblée devrait adresser des recommandations spécifiques
aux États membres qui ont acquis et utilisé Pegasus ou des logiciels
espions équivalents, notamment la Pologne, la Hongrie, la Grèce
et l'Espagne. Elle devrait également adresser des recommandations
générales à tous les États membres, dont beaucoup ont utilisé ou
utilisent encore des logiciels espions similaires, en s'inspirant
des normes établies par la Cour européenne des droits de l'homme
dans ce domaine. Les États devraient s'abstenir d'utiliser des logiciels espions
à moins que leur cadre législatif, leurs mécanismes de contrôle
et leur système de recours ne soient pleinement conformes à ces
normes. À cet égard, l'Assemblée devrait inviter tous les États
membres à faire rapport aux organes compétents du Conseil de l'Europe
(qu'il s'agisse du Comité consultatif de la Convention 108+, une
fois le Protocole d’amendement entre en vigueur, ou de la Commission
de Venise) sur la conformité de leurs cadres réglementaires et de
leur mise en œuvre avec les normes du Conseil de l'Europe, et à
partager leurs bonnes pratiques. En attendant cette évaluation,
les États membres devraient imposer un moratoire immédiat sur la
surveillance et les droits humains qui porterait notamment sur l'acquisition
et l'utilisation d'outils d'espionnage très intrusifs tels que Pegasus.
Le Comité des Ministres devrait également être invité à rédiger une
recommandation à l’intention des États membres sur la surveillance
et les droits humains qui porterait notamment sur l'acquisition,
l'utilisation, l'exportation et le transfert de logiciels espions,
en tenant dûment compte de toutes les normes juridiques internationales
et du Conseil de l'Europe. Toutes ces normes gagneraient à être
regroupées sous forme de compilation à des fins de clarté. Cette
recommandation codifierait également les normes les plus élevées
dans ce domaine, en s'inspirant par exemple des textes existants
des Nations Unies et du Conseil de l'Europe sur les droits de l'homme
et les entreprises (Recommandation CM/Rec(2016)3) et en les adaptant
au contexte du secteur des logiciels espions. À un stade ultérieur,
le Comité des Ministres pourrait examiner la faisabilité de l'élaboration
d'une nouvelle Convention du Conseil de l'Europe sur l'acquisition,
l'utilisation, l'exportation et le transfert de logiciels espions,
assortie d’un mécanisme de suivi.