Logiciels espions : la Commission et le Conseil défaillants, selon Amnesty International

L’Union européenne est un sanctuaire pour les fabricants de logiciels espions à cause de la défaillance du Conseil de l’UE et de la Commission européenne en matière de lutte réglementaire contre les exportations de ces logiciels et de technologies de surveillance, indique Amnesty International dans un rapport publié lundi (9 octobre).

Le rapport, intitulé « Dans les mailles de Predator » (« The Predator Files : Caught in the Net »), plonge dans les « Predator Files ». Il a été publié jeudi (5 octobre) par le réseau de médias European Investigative Collaborations (EIC) et Amnesty International, et révèle l’inefficacité de l’UE en matière de réglementation du secteur des logiciels espions, notamment en ce qui concerne l’alliance Intellexa.

Intellexa est « impliquée dans le développement et la commercialisation d’une large gamme de produits de surveillance, y compris des logiciels espions avancés, des plateformes de surveillance généralisée et des systèmes tactiques de ciblage et d’interception d’appareils à proximité », selon Amnesty International.

Le rapport révèle qu’en France, des logiciels espions ont été exportés depuis une succursale de l’alliance Intellexa située aux Émirats arabes unis qui lui permet de contourner les mécanismes de contrôle aux exportations de l’UE, et que « des licences d’exportation de technologies de surveillance ont été accordées à des entités commerciales de l’alliance Intellexa en France ».

« Le rapport révèle une fois de plus l’ampleur du problème. Les logiciels espions sont devenus une hydre, et l’Europe est leur refuge », a déclaré à Euractiv Sophie in ‘t Veld, eurodéputée néerlandaise du groupe Renew Europe, qui a dirigé l’enquête Pegasus, désormais close, au Parlement européen.

Les enquêtes du Parlement européen et de sa commission d’enquête chargée de l’affaire Pegasus et des logiciels espions de surveillance équivalents (PEGA) ont démontré qu’Intellexa avait reçu l’autorisation de vendre des logiciels espions à Madagascar et au Soudan par le biais des autorités grecques.

« Ces révélations confirment l’urgence de mettre en œuvre les recommandations approuvées par la commission d’enquête PEGA et par l’ensemble du Parlement », a déclaré à Euractiv Diana Riba i Giner, eurodéputée espagnole et vice-présidente de la commission en question.

« Tous les discours sur les “valeurs européennes” de la Commission et du Conseil sonnent creux lorsque ses institutions permettent sciemment et délibérément — voire facilitent — la poursuite de cette sale affaire » a déclaré Mme in ‘t Veld, ajoutant que l’utilisation abusive de logiciels espions est une grave attaque antidémocratique.

Règlement sur les exportations à double usage

Le règlement de l’UE sur le contrôle des exportations des biens à double usage est en vigueur depuis septembre 2021. Son objectif est d’empêcher que les technologies de cybersurveillance n’enfreignent les droits de l’Homme en imposant des obligations aux exportateurs et en développant la coopération entre la Commission et les États membres.

« Il est clair que le règlement de l’UE sur les biens à double usage comporte d’importantes lacunes, qui ont de graves répercussions sur les droits de l’Homme, tant à l’intérieur qu’à l’extérieur de l’UE », poursuit le rapport.

Le rapport critique le fait que les critères relatifs aux droits de l’Homme ne soient pas une exigence, mais plutôt une considération, et que la Commission ne fournisse pas d’orientation « sur la manière de mener des analyses de risques sur les questions liées aux droits de l’Homme dans le cadre de l’exportation de technologies de cybersurveillance afin d’aider les États et les autorités chargées de l’octroi des licences ».

« Le refus catégorique de la Commission européenne d’agir est profondément honteux. Non seulement elle refuse de proposer les initiatives législatives que le Parlement a demandées, mais elle refuse également d’appliquer les lois de l’UE, telles que la réglementation sur l’exportation des technologies de surveillance », a déclaré Mme in ‘t Veld à Euracitv.

« L’inaction constante rend la Commission pleinement complice de tous les cas d’abus de logiciels espions, à l’intérieur et à l’extérieur de l’Europe », a-t-elle ajouté.

Le véritable coupable

La commission PEGA du Parlement européen a signalé des atteintes à la législation européenne par le Conseil et la Commission, tout en formulant des recommandations non contraignantes.

Dans ses recommandations de juin, la commission a conclu que « ni les États membres, ni le Conseil, ni la Commission ne semblent vouloir tout mettre en œuvre pour faire toute la lumière sur le recours abusif à des logiciels espions, et qu’ils protègent ainsi sciemment des gouvernements de l’Union qui portent atteinte aux droits de l’Homme à l’intérieur et à l’extérieur de l’Union ». 

Si Mme in ‘t Veld estime que la commission PEGA est très efficace, « le gros problème est la structure intergouvernementale de l’UE, qui rend les gouvernements nationaux pratiquement intouchables et fait de la Commission leur fidèle serviteur », explique-t-elle.

Le document indique également que « les efforts déployés par les États-Unis pour lutter contre l’utilisation abusive des logiciels espions sont les bienvenus, mais restent des engagements non contraignants ».

Les enquêtes liées au projet Pegasus et à Predator en Hongrie, en Espagne et en Grèce « n’ont pas encore débouché sur une responsabilisation et une réparation pour les victimes des logiciels espions ».

« Ce sont les gouvernements nationaux et la Commission européenne qui tentent d’étouffer l’affaire », estime Mme in ‘t Veld.

Jeroen Lenaers, eurodéputé néerlandais et président de la commission PEGA, a déploré le fait que « même après les tentatives de piratage de plusieurs hauts fonctionnaires de l’UE, la Commission ne perçoit toujours pas le sentiment d’urgence ».

« La Commission devrait prendre des mesures pour contrer l’utilisation illégale de logiciels espions sans délai, conformément aux recommandations de la commission d’enquête du Parlement européen », a-t-il poursuivi.

Interrogée par Euractiv, la Commission a déclaré qu’elle n’avait aucun commentaire à faire sur le rapport, mais qu’elle étudiait la possibilité de présenter une initiative non législative clarifiant les limites et l’interaction entre le droit européen et la sécurité nationale, en particulier en ce qui concerne les acquis en matière de protection des données et de la vie privée.

Le Conseil de l’UE n’a pas répondu à notre demande de commentaires au moment de la publication de cet article.

Prochaines étapes

« Avec ce rapport, nous avons demandé une réglementation stricte sur l’utilisation de ces technologies d’espionnage afin de prévenir les abus et les violations des droits de l’Homme. Tant que cette réglementation n’est pas en vigueur, nous devons établir un moratoire pour arrêter la vente et l’utilisation de cette technologie au sein de l’UE », a déclaré Mme Riba i Giner à Euractiv.

« Avec tout ce que nous savons aujourd’hui sur le complexe industriel de surveillance, les logiciels espions ne peuvent pas être réglementés, ils doivent être interdits », a déclaré Patrick Breyer, eurodéputé du Parti des pirates allemand (Verts/ALE).

Alors que Bruxelles travaille sur la directive relative au devoir de vigilance des entreprises (CSDDD) pour obliger les entreprises d’une certaine taille basées dans le bloc à évaluer le respect des droits humains et leur impact sociétal, la commission PEGA a appelé à une législation européenne supplémentaire.

Celle-ci devrait exiger des acteurs commerciaux spécialisés dans les technologies de surveillance qu’ils incluent des examens approfondis (due diligence) en matière de droits de l’Homme, en harmonie avec les principes directeurs des Nations unies.

« Selon moi, les fabricants de systèmes d’exploitation pour smartphones doivent également être tenus pour responsables des failles techniques non corrigées dont les fabricants de logiciels espions abusent. Ils ont une responsabilité au moins aussi grande que celle des responsables politiques pour assurer la sécurité des journalistes, des défenseurs des droits de l’Homme», a ajouté M. Breyer.

Selon le rapport, le Conseil de l’UE a tenté « d’introduire une exemption pour les entreprises qui fabriquent des produits soumis au contrôle des exportations, ce qui inclurait les technologies de surveillance ».

« Pourtant, la semaine dernière, lors du vote sur la loi sur la liberté des médias, les chrétiens-démocrates, les socialistes et les centristes ont approuvé l’espionnage des téléphones des journalistes », a poursuivi l’eurodéputé écologiste M. Breyer.

[Édité par Théophane Hartmann et Anne-Sophie Gayet]