Logiciels espions : la commission PEGA a rendu ses conclusions, et appelle à plus de régulation

Une commission d’enquête du Parlement européen a voté une interdiction temporaire et non-contraignante de la vente, de l'acquisition et de l'utilisation de logiciels espions. Elle appelle à une régulation renforcée de l’exploitation des vulnérabilités, mais ne se fait guère d'illusions sur la portée de son vote.

La commission d’enquête du Parlement européen chargée d’enquêter depuis 14 mois sur l’utilisation de Pégasus et de logiciels espions de surveillance équivalents (PEGA) a adopté son rapport final et ses recommandations, et voté une interdiction temporaire de la vente, de l'acquisition et de l'utilisation de logiciels espions.

Les recommandations de la commission, qui ont été approuvées par 30 voix pour, 5 contre et 2 abstentions, devraient être approuvées par l'ensemble du Parlement européen en juin, mais ne sont pas contraignantes.

• Des eurodéputés dénoncent l’utilisation « systématique » de logiciels espions par certains pays de l’UE
• NSO dénombre 22 utilisateurs actifs de son logiciel espion Pegasus dans 12 pays européens

Sans surprise, elle condamne les abus qui visent à intimider l’opposition politique, à faire taire les médias critiques et à manipuler les élections, ainsi que les « violations majeures de la législation européenne » afférentes en Pologne et en Hongrie.

Les eurodéputés déplorent également le fait que les gouvernements nationalistes de la Hongrie et de la Pologne aient « affaibli et éliminé » les garanties contre les logiciels espions, « laissant les victimes sans aucun recours significatif ».

Une campagne planifiée visant à détruire la liberté de la presse et d'expression

PEGA relève plus particulièrement qu'en Hongrie, l’utilisation de logiciels espions fait partie d' « une campagne du gouvernement planifiée et ciblée visant à détruire la liberté de la presse et la liberté d'expression ». Ils estiment de même qu'en Pologne, Pegasus a fait partie d’un « système de surveillance de l'opposition et des voix critiques vis-à-vis du gouvernement, conçu pour maintenir la majorité dirigeante et le gouvernement au pouvoir ».

En Grèce, par contre, les eurodéputés concluent que l’utilisation de logiciels espions « ne semble pas faire partie d'une stratégie autoritaire globale, mais plutôt d'un outil utilisé sur une base ad hoc pour des gains politiques et financiers ». Des logiciels espions n'y ont pas moins été utilisés pour espionner des journalistes, personnalités politiques et hommes d'affaires, mais également « exportés vers des pays dans lesquels les droits humains ne sont pas respectés ».

The Guardian relève que la résolution des députés a également conclu que le Service européen pour l'action extérieure aurait enfreint le droit de l'UE en aidant des pays de la région du Sahel à développer des capacités de surveillance.

Envoyer des « notifications obligatoires » aux personnes ciblées, et à leurs contacts

Pour mettre fin aux pratiques illicites en la matière, les eurodéputés envisagent de n’autoriser l’utilisation de logiciels espions « que dans des cas exceptionnels, à des fins prédéfinies et pour une durée limitée », et « uniquement dans les États membres où les allégations d’abus ont fait l’objet d'enquêtes approfondies, où la législation nationale est conforme aux recommandations de la Commission de Venise et à la jurisprudence de la Cour de justice de l'UE et de la Cour européenne des droits de l'homme, où Europol est impliqué dans les enquêtes et où les licences d’exportation non conformes aux règles de contrôle des exportations ont été abrogées ». 

• Un appel à l'interdiction des logiciels espion
• Plus de 80 pays ont acheté des logiciels espion et de cyberintrusion

Ils soutiennent en outre que les données relevant du secret professionnel entre l'avocat et son client ou appartenant à des personnalités politiques, des médecins ou des médias devraient être exclues de la surveillance, « à moins qu’il n’y ait des preuves d’activités criminelles ».

Ils proposent également d'envoyer des « notifications obligatoires » aux personnes ciblées ainsi qu'aux personnes non ciblées mais dont les données auraient été consultées dans le cadre de la surveillance d'une autre personne, ainsi qu'un contrôle indépendant a posteriori, et des voies de recours juridiques significatives pour les personnes ciblées : 

« Les députés demandent également une définition juridique commune du recours au motif de sécurité nationale comme justification d’une surveillance, en vue d’éviter des abus manifestes. »

Règlementent la découverte, le partage et l’exploitation des vulnérabilités

PEGA propose en outre la création d’un laboratoire technologique européen (« EU Tech Lab ») de recherche indépendant « habilité à enquêter sur la surveillance, à fournir un soutien juridique et technologique, incluant le dépistage des équipements, et à effectuer des recherches technico-légales ».

De façon plus problématique, pour ce qui est des professionnels et chercheurs en cybersécurité, la commission souhaite également que de nouvelles lois « réglementent la découverte, le partage, la résolution et l’exploitation des vulnérabilités ». C'est précisément ce type de renforcement du contrôle du marché des failles « 0days » qui avait amené la société française VUPEN à fermer ses portes, pour migrer aux États-Unis sous l'intitulé Zerodium.

• Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10

En matière de politique étrangère, PEGA propose de procéder à une enquête approfondie des licences d’exportation de logiciels espions, et d'appliquer de manière plus stricte les règles de contrôle des exportations de l’UE. 

Elle réclame également « une stratégie commune UE-États-Unis » en matière de logiciels espions, mais également « des discussions avec Israël », le leader mondial en la matière, en vue d’établir des règles en matière de commercialisation et d’exportation de logiciels espions, et de « veiller à ce que l’aide au développement de l’UE ne soutienne pas l’acquisition et l’utilisation de logiciels espions ».

La mise en œuvre sera difficile et délicate

Le bien informé Euractiv souligne de son côté que le vote final « a été politisé », et que la mise en œuvre des politiques recommandées par l’UE sera « difficile  » : 

« Le travail de la commission a été hautement politisé et controversé, avec des querelles entre les groupes politiques, un manque de coopération de la part des États membres et des intérêts nationaux interférant avec le travail de la commission. »

Les eurodéputés eux-mêmes « avouent que la mise en œuvre sera difficile compte tenu de l’incapacité de la Commission européenne à faire respecter la législation européenne actuelle », comme l'explique la députée européenne du groupe Renew Europe et rapporteure du dossier, Sophie In’t Veld :

« L’idée que les autorités des États membres, qui violent elles-mêmes la loi [comme on l’a vu dans la mauvaise administration des États membres pendant l’enquête], ne colle pas avec l’état d’esprit de la Commission. Cela signifie que nous pouvons adopter autant de lois que nous le souhaitons. Mais s’il n’y a pas d’application, ces lois ne sont que du papier sans valeur. »

• L'administration Biden « menace » et « perturbe » le marché des logiciels espions étatiques
• Onze pays (dont la France) s'engagent à enrayer la prolifération de logiciels espion utilisés à des fins politiques

La mise en œuvre des recommandations du Parlement « sera une tâche délicate », souligne Euractiv, étant donné que « les institutions de l’UE ferment les yeux » et n’appliquent pas la législation existante sur la protection des données et la vie privée, selon Mme In’t Veld.

« Nous continuerons à nous battre, car nous voterons peut-être ce soir, mais le problème n’aura pas disparu pour autant. Nous serons une épine dans le pied aussi longtemps qu’il le faudra », précise l'eurodéputée.

Elle ajoute que lorsque la démocratie européenne est en danger, la Commission et le Conseil « ne peuvent plus se cacher derrière la fiction de la conformité nationale […] ils doivent mettre en œuvre les recommandations du Parlement sans délai ».