Plus de 18 mois se sont écoulés depuis que de courageux journalistes d’investigation, regroupés au sein d’une coalition internationale, ont publié les résultats de leur enquête appelée « projet Pegasus ». D’après cette enquête, plus de 50 000 numéros de téléphone, notamment ceux de défenseurs des droits humains, de journalistes, d’universitaires et de leaders d’opposition, avaient été identifiés comme des cibles potentielles de surveillance au moyen du logiciel espion Pegasus. Ces révélations ont provoqué un choc dans le monde entier. Parmi les personnes dont le téléphone était infecté figuraient aussi des partenaires de longue date de mon bureau, tels que la défenseure des droits humains azerbaïdjanaise Khadija Ismayilova.
Pegasus est un logiciel de surveillance sophistiqué et très intrusif, dont des versions précédentes sont connues depuis quelques années. Il permet à l’utilisateur du logiciel d’avoir accès à l’ensemble de l’appareil de la personne ciblée et à toutes les données liées à l’appareil, sans que la cible ne fasse rien et sans même qu’elle sache qu’elle est victime d’une attaque. Le logiciel peut activer le micro et la caméra du smartphone infecté pour espionner le propriétaire du smartphone ou l’environnement du propriétaire et peut même avoir accès à ses données stockées sur le cloud. Il n’y a pratiquement aucun moyen de se protéger contre ces intrusions qui ne nécessitent pas d’action de la part de l’utilisateur du téléphone.
Les gouvernements ont le devoir d’assurer la sécurité à l’intérieur de leurs frontières et, dans une société démocratique, l’utilisation de techniques de surveillance sophistiquées peut être nécessaire à la sécurité nationale ou à la protection des droits et libertés d’autrui. La jurisprudence de la Cour européenne des droits de l'homme établit cependant que toute surveillance doit être prévue par la loi, poursuivre un but légitime et être nécessaire et proportionnée. De plus, le cadre juridique doit prévoir des garanties précises, effectives et complètes en ce qui concerne l’adoption et l’exécution des mesures de surveillance, ainsi que la réparation des conséquences éventuelles de ces mesures. Celles-ci doivent aussi faire l’objet d’un contrôle juridictionnel et d’une supervision effective.
Or, beaucoup d'éléments démontrent que le logiciel Pegasus a été utilisé illégalement et à des fins d’espionnage national et international plutôt que dans un but légitime de sûreté publique. De nombreuses enquêtes ouvertes au niveau national et au niveau européen, dont la plupart sont en cours, ont permis de réunir des témoignages concernant l’utilisation illégale, l’acquisition, la vente et l’exportation de logiciels espions commerciaux par des États membres du Conseil de l'Europe. Les révélations de cas de journalistes visés par des logiciels espions se multiplient, ce qui laisse penser que ce que nous savons aujourd’hui ne représente que la partie émergée de l’iceberg.
En tant que Commissaire aux droits de l'homme du Conseil de l'Europe, je suis alarmée par les conséquences de l’utilisation de puissants outils de piratage qui permettent d’avoir accès sans restriction à la vie privée de quelqu’un. Ces pratiques ne menacent pas uniquement le droit au respect de la vie privée et à des garanties de protection des données à caractère personnel, qui est inscrit à l’article 8 de la Convention européenne des droits de l'homme et protégé par la version modernisée de la Convention du Conseil de l'Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. En effet, l’utilisation de logiciels espions a des effets paralysants qui nuisent aussi à d’autres droits humains et libertés fondamentales, dont la liberté d’expression et de participation au débat public. Elle crée un climat d’autocensure et de peur, dans lequel toute personne peut être traitée comme suspecte et dans lequel les défenseurs des droits humains et les acteurs de la vie politique sont particulièrement menacés. L’espionnage de journalistes par des logiciels compromet la confidentialité de leurs sources et, de ce fait, le fonctionnement et la crédibilité de l’un des principaux piliers de nos sociétés démocratiques : le libre accès de tous à l’information et la promotion d’un environnement médiatique pluraliste.
Afin d’éviter que l’utilisation de logiciels espions commerciaux comme Pegasus entraîne des violations graves des droits humains, les États membres du Conseil de l'Europe doivent remplir les obligations leur incombant au titre de la Convention européenne, telle qu’elle est interprétée par la Cour, et veiller à ce que cette utilisation respecte les principes de légalité, de légitimité, de nécessité et de proportionnalité.
Non-respect des exigences de légalité
Toute loi autorisant des mesures de surveillance doit définir de manière claire et précise les infractions, les activités et les personnes soumises à la surveillance. De plus, elle doit limiter strictement la durée des mesures et énoncer des règles sur la divulgation et la destruction des données obtenues au moyen de la surveillance. Il faudrait aussi mettre en place des procédures rigoureuses d’examen, d’utilisation et de conservation des informations obtenues, et donner aux personnes ciblées la possibilité d’exercer leur droit à un recours effectif. Enfin, les organes qui supervisent les mesures de surveillance devraient être indépendants et responsables devant le parlement plutôt que devant le pouvoir exécutif.
Dans le cas d’un logiciel espion aussi puissant et intrusif que Pegasus se pose la question de savoir si les cibles, les infractions et les activités à surveiller peuvent vraiment être définies clairement. Ainsi que le Contrôleur européen de la protection des données l’a souligné, des logiciels comme Pegasus marquent un changement radical en matière de cybersurveillance. Ce sont des outils de piratage destinés à contourner les mécanismes de sécurité et à exploiter les vulnérabilités des systèmes informatiques. Cela leur permet d’affecter tous les domaines de la vie des personnes ciblées et d’atteindre un niveau d’ingérence qui ne peut jamais être précis ni limité à une seule personne ou à une période déterminée. Par conséquent, il est en pratique impossible d’assurer une véritable supervision avant et après la mise en œuvre du logiciel, même si les cadres juridiques qui ont été établis sont suffisamment précis et complets pour remplir les conditions strictes définies par la Cour. En outre, l’infection par un logiciel espion aussi sophistiqué étant très difficile à détecter et à prouver, il est très difficile pour la victime d’exercer son droit à un recours effectif.
Il ne paraît donc guère envisageable que l’utilisation de Pegasus ou d’un logiciel espion équivalent puisse jamais être considérée comme satisfaisant aux critères fixés par la Cour en matière de légalité et de garanties nécessaires.
Incertitude quant à la légitimité du but
De plus, les informations collectées à ce jour suggèrent que les logiciels espions commerciaux sont souvent utilisés sans que cette mesure ait été ordonnée par un tribunal ni soumise à un contrôle démocratique, et qu’ils ne servent ni à écarter un danger grave et imminent pour la sécurité nationale ni à protéger les droits et libertés d’autrui. Rares sont les éléments qui indiquent que des infractions ont pu être évitées grâce à ces logiciels mais nombreux sont ceux qui indiquent que ces logiciels servent à espionner des citoyens ordinaires à des fins politiques. Les logiciels espions semblent donc désormais faire partie intégrante de l’arsenal étatique pour réprimer les activités de défense des droits humains sous prétexte dans la plupart des cas de protéger la sécurité nationale. Le fait que les enquêtes sur les circonstances entourant l’utilisation de Pegasus et d’autres logiciels espions ont été entravées par le manque de transparence et de coopération de la part des gouvernements concernés ne contribue pas à dissiper cette impression, d’autant moins au vu de la longue liste de défenseurs des droits humains, de journalistes et d’opposants politiques dont nous savons qu’ils ont été ciblés.
Une surveillance secrète illimitée qui n’est ni nécessaire ni proportionnée dans une société démocratique
La Cour reconnaît que les États contractants jouissent d’un certain pouvoir discrétionnaire quant au choix des modalités du système de surveillance, mais estime qu’ils ne disposent pas pour autant d’une latitude illimitée pour assujettir à des mesures de surveillance secrète les personnes soumises à leur juridiction. Ils ne peuvent pas prendre, au nom de la lutte contre l’espionnage et le terrorisme, n’importe quelle mesure qu’ils jugeraient appropriée. La Cour souligne au contraire l’importance capitale de veiller à ce que des dispositifs de renseignement secrets ne soient utilisés qu’en cas de menace grave et lorsque les moyens et dispositifs d’enquête traditionnels se sont révélés inefficaces dans un cas précis.
Les informations disponibles sur les dangers spécifiques que Pegasus était censé écarter sont insuffisantes. Cela dit, vu les atteintes massives que l’utilisation de logiciels espions aussi puissants et intrusifs porte aux droits au respect de la vie privée de la cible et d’un nombre indéterminé de membres de son entourage, il est difficile d’imaginer un scénario dans lequel cette utilisation serait proportionnée au but poursuivi et donc compatible avec les normes des droits humains.
La progression exponentielle du marché des logiciels espions
L’utilisation de logiciels espions par les agences gouvernementales ne constitue pas la seule source de graves préoccupations pour les droits humains en Europe. De fait, le secteur des logiciels espions est florissant depuis des décennies. Pegasus, Candiru, Predator et des outils de piratage équivalents sont exportés et vendus au plus offrant, souvent sans licence d’exportation en bonne et due forme ni autre procédure de contrôle. Il a été révélé récemment que le logiciel espion européen Predator avait été livré à une milice soudanaise, ce qui est choquant mais n’est malheureusement pas étonnant.
L’ancien Rapporteur spécial de l’ONU sur la promotion et la protection du droit à la liberté d’opinion et d’expression, David Kaye, observait avec inquiétude en 2019 que la surveillance au moyen du piratage d’appareils mobiles, qui était alors déjà pratiquée dans au moins 45 pays, se développait grâce à l’insuffisance des contrôles exercés sur les exportations et les transferts de technologie. Il soulignait que les obligations incombant aux États en matière de droits humains comprennent l’obligation de prévenir les atteintes aux droits humains de la part de tierces parties, d’enquêter sur les atteintes commises, de punir les auteurs et d’offrir réparation aux victimes. Il faisait aussi référence aux Principes directeurs de l’ONU relatifs aux entreprises et aux droits de l'homme. Selon ce texte, les États devraient exercer un contrôle adéquat lorsqu’ils concluent avec une entreprise un contrat pour une prestation de services qui peuvent avoir un impact sur les droits humains. Ces principes directeurs sont donc très utiles dans le cadre des relations des États avec les sociétés de surveillance privées.
Pourtant, le contrôle des transactions des sociétés privées reste insuffisant et sporadique dans un environnement qui a été qualifié de culture de non-respect des garanties en matière de protection de la vie privée établies en Europe. De manière générale, les logiciels espions sont en vente libre et leur utilisation sur des numéros de téléphone est facilitée par le fait que les données à caractère personnel (y compris les numéros de téléphone, les données biométriques et les données de localisation) continuent d’être collectées, traitées et vendues dans des proportions inédites à des entreprises du monde entier, souvent sans le consentement des personnes concernées. Dans un tel environnement, il est donc très difficile de protéger et de faire respecter le droit fondamental à la vie privée, qui risque même de disparaître.
La nécessité de mettre à jour et de renforcer les cadres réglementaires
Ainsi que je l'ai déjà indiqué, aucun pays ne dispose d’un cadre juridique qui régirait de manière pleinement satisfaisante le fonctionnement de ses services de sécurité nationale. En 2015, à la suite des révélations d’Edward Snowden, mon bureau a adressé des recommandations aux États membres du Conseil de l'Europe sur les moyens de rendre les systèmes de contrôle nationaux plus efficaces et les services de sécurité plus responsables de leurs actes et plus respectueux des normes des droits humains. Depuis, le secteur des logiciels espions s’est développé plus vite que les cadres réglementaires applicables aux dispositifs technologiques de surveillance. Même lorsque des cadres ont été établis, ils restent souvent vagues quant aux techniques d’investigation spécifiques qui peuvent être appliquées, laissent une trop grande latitude au pouvoir exécutif ou ne prévoient pas un contrôle juridictionnel suffisant. En outre, l’acquisition, la vente et l’exportation de logiciels espions se caractérisent généralement par une opacité qui rend tout contrôle extrêmement difficile.
Il est grand temps que les États membres du Conseil de l'Europe reconnaissent que le scandale Pegasus est bien plus qu’un épisode embarrassant. L’absence de cadres réglementaires actualisés et adaptés, associée à des structures de contrôle souvent insuffisantes, favorise des ingérences graves dans la vie privée, qui remettent en question la notion même de droits individuels et sapent les fondements des sociétés démocratiques, dont l’intégrité des élections. Si elle n’est pas soumise à des contraintes, la surveillance devient omniprésente et de plus en plus intrusive, au point que chaque acteur est une cible potentielle et que les citoyens modifient leur comportement car ils se savent surveillés.
Les enquêtes en cours destinées à faire la lumière sur l’utilisation de Pegasus et de logiciels espions équivalents méritent d’être saluées et permettront certainement de mieux comprendre ce qui s’est passé, pourquoi et comment, mais, entre-temps, des militants des droits humains, des journalistes et des opposants politiques continuent d’être pris pour cible. Il faut agir maintenant pour éviter de nouveaux abus et pour rétablir la confiance du public dans les services de sécurité. Vu la complexité et l’ampleur de ce défi, il est indispensable d’établir une règlementation complète et stricte et de veiller à son application scrupuleuse.
La voie à suivre
J’appelle les États membres du Conseil de l'Europe à imposer un moratoire strict sur l’exportation, la vente, le transfert et l’utilisation de logiciels espions comme Pegasus (qui sont très intrusifs et ne nécessitent pas d’action de la part de l’utilisateur de l’appareil mobile ciblé) et à établir un cadre législatif précis et respectueux des droits humains qui s’applique à l’utilisation des techniques de surveillance modernes. Ce cadre devrait prévoir de véritables garanties procédurales, un contrôle juridictionnel et parlementaire qui s’exerce avant et après la mise en œuvre de la mesure de surveillance, et des mécanismes de recours effectif pour les victimes. Une fois mis en place, ce cadre devrait être dûment appliqué.
Les États membres devraient aussi accorder une plus grande attention au fait que l’industrie des logiciels espions développe constamment de nouveaux outils, qui, en l’absence de mécanismes efficaces de protection et de contrôle, risquent de servir d’armes, d’être utilisés à des fins malveillantes et de favoriser les atteintes aux droits humains. En outre, il est impératif que les gouvernements fassent connaître les initiatives prises pour garantir un fonctionnement de leurs services de sécurité nationale qui respecte les droits humains, et qu’ils coopèrent pleinement à toutes les enquêtes pertinentes. Enfin, nous devons continuer de sensibiliser le public à la menace omniprésente qu’une industrie des logiciels espions non contrôlée et un fonctionnement opaque des services de sécurité nationale font peser sur le droit au respect de la vie privée et sur la liberté d’expression et de participation au débat public. C’est grâce au courage et à la détermination de journalistes et de groupes de la société civile que nous avons pris conscience du danger. Nous attendons maintenant des gouvernements qu’ils fassent preuve de volonté politique et de résolution pour nous rendre notre dignité et nous permettre de vivre en sécurité.
Dunja Mijatović