L’exportation de systèmes de cybersurveillance européens explose de 570 % en 3 ans

Alors que les trois principales instances européennes doivent s'entendre pour mettre à jour les procédures de contrôle à l'exportation des biens à « double usage » (civils et militaires) – dont les systèmes de cybersurveillance – un rapport révèle un marché en plein boom, composé de plus de 500 entreprises dans le monde, pour moitié européennes.

En 2017, les entreprises européennes de systèmes de cybersurveillance ont obtenu 285 licences d'exportation, portant essentiellement sur des matériels d'interception des télécommunications mobiles ou de brouillage (5A001.f), et recensé 20 refus d'exportations, plus un refus de systèmes de surveillance des communications sur un réseau de protocole internet (IP, 5A001.j), et 13 refus de logiciel d'intrusion (4A005, 4D004 & 4E001a/c), soit un taux de 12 % de refus.

Ces chiffres émanent du rapport sur les activités, les analyses et les consultations du groupe de coordination (GCDU) « double usage » que la Commission est tenue, chaque année depuis 2013, de présenter au Parlement européen. Derrière l'expression, on trouve les biens et technologies qui peuvent être utilisés tant à des fins civiles que militaires, et dont l'export est contrôlé par l'État afin de lutter contre l'accumulation déstabilisante d'armes dans certaines régions du monde. 

« Compte tenu du débat relatif au contrôle des technologies de cybersurveillance », précise le GCDU, ce dernier a « mené en 2017 un échange d'informations sur l'application de contrôles portant sur les technologies de cybersurveillance » (c'est lui qui souligne, sans pour autant en dire plus), dont les données « font ressortir une augmentation du nombre de licences, bien que celui-ci reste limité ».

Le marché n'en reste pas moins en progression de 205 % par rapport à l'an passé, le GCDU n'ayant en effet recensé que 139 autorisations en 2016, pour 17 refus, dont un de décodage pour communications mobiles, et deux; de systèmes de surveillance des communications sur un réseau IP, soit 12 % de refus là encore.

Les précédents rapports ne dressaient pas de statistiques de ce type, mais le graphique montre qu'environ 110 licences avaient été accordées en 2015, contre une cinquantaine en 2014, soit une progression de 570 % en 3 ans seulement. Le GCDU, cela dit, ne détaille ni le type de systèmes de cybersurveillance, ni le nom des produits et entreprises concernées, qu'ils aient fait l'objet d'autorisations ou de refus, non plus que les pays importateurs, pas plus que le chiffre d'affaires associé. 

Tout juste apprend-on que « la valeur totale des demandes a atteint 50,2 milliards d'EUR et les exportations de biens à double usage soumises à contrôle ont donc représenté 2,7 % des exportations totales extra-UE », mais également que « seule une faible proportion des exportations n'a pas été autorisée : il y a eu environ 631 refus en 2017, ce qui représente environ 1,5 % de la valeur des exportations de biens à double usage contrôlées cette année-là et 0,04 % des exportations totales extra-UE », contre 12 % pour les systèmes de cybersurveillance.

« 120 infractions aux règlements relatifs aux contrôles des exportations »

Le GCDU précise par ailleurs que le réseau de contrôle des exportations de l'UE, composé de personnel des autorités compétentes des États membres et de la Commission, comprenait plus de 300 personnes en 2018. En 2017, il aurait enregistré « 120 infractions aux règlements relatifs aux contrôles des exportations, tandis que 130 sanctions administratives et 2 sanctions pénales ont été appliquées par les autorités répressives des États membres », sans plus de précisions.

Le rapport explique également qu'« il est difficile d'obtenir des informations fiables sur l'ensemble des exportations de biens à double usage (y compris celles des biens à double usage ne figurant pas sur la liste) dans la mesure où ceux-ci ne correspondent pas à un secteur économique défini », allant de technologies nucléaires, bactériologiques, chimiques, balistiques, etc.

Il n'en répertorie pas moins de 1 846 biens à double usage classés en dix catégories et correspondant à « près d'un millier de produits répertoriés par les douanes, notamment des substances chimiques, des métaux et des produits minéraux non métalliques, des ordinateurs, des produits électroniques et optiques, des appareils électriques, des machines, des véhicules et des équipements de transport, etc », dont 93 seulement à la rubrique télécommunications et sécurité de l'information.

La liste des 25 principaux pays de destination de ces exportations montre que les États-Unis en importent 22 % (en valeur totale en euros), la Chine 12 %, la Russie 5 %, la Turquie 4 %, les Émirats arabes unis et l'Arabie saoudite 2 %, Israël et l'Égypte 1 %.

Rapportées à leurs zones géographiques respectives, les pays asiatiques représentent 31 % de ces exportations, suivis par l'Amérique du Nord (24 %), l'Europe (20 %), et les Proche et Moyen-Orient (8 %).

Extension du domaine du contrôle

Dans une note d'information publiée début octobre, le Stockholm International Peace Research Institute (SIPRI), think tank de référence en matière de commerces d'armements (donc des contrôles afférents), rappelait que la régulation européenne en matière de biens à double usage, adoptée en 2009, doit faire l'objet d'une mise à jour. La Commission européenne, le Conseil de l'Union européenne et le Parlement européen viennent ainsi d'entamer des négociations en trilogue afin de trouver un terrain d'entente.

Dans la foulée des printemps arabes, on avait en effet découvert que des entreprises européennes notamment avaient vendu des systèmes de cybersurveillance à des dictateurs (le Français Amesys en Libye, l'Allemand Finfisher en Égypte, l'Italien Hacking Team à l'Arabie saoudite, le Finlandais Nokia Siemens à l'Iran, notamment).

À la demande de la France, les systèmes d'interception des communications mobiles, de surveillance de l'internet et les logiciels espion d'intrusion avaient alors été rajoutés à l'Arrangement de Wassenaar sur le contrôle des exportations d'armes conventionnelles et de biens et technologies à double usage, ratifié par 42 pays, et dont la liste sert de matrice à celle de l'UE.

Depuis, la Commission européenne aimerait l'élargir en y incluant les centres de surveillance des télécommunications et de rétention des données de connexion (qui font l'objet de contrôles à l'export en Allemagne depuis 2015), les systèmes d'interception légale, ainsi que les outils de forensique numérique.

Une exception pour la recherche

Le Parlement européen, qui avait de son côté publié 98 amendements à la proposition de la Commission – adoptés à une vaste majorité (571 pour, 29 contre, 29 abstentions) – voudrait y rajouter « les appareils utilisés pour le déchiffrement, la récupération des disques durs, le contournement des mots de passe et l'analyse des données biométriques ».

Seraient aussi concernés « les biens de cybersurveillance, y compris le matériel informatique, les logiciels et les technologies, conçus spécifiquement pour permettre l'intrusion secrète dans des systèmes d'information et de télécommunication et/ou la surveillance, l'exfiltration, la collecte et l'analyse des données et/ou la paralysie ou l'endommagement du système visé sans l'autorisation expresse, informée et univoque du propriétaire des données, et susceptibles d'être utilisés en lien avec des violations des droits de l'homme, notamment du droit à la vie privée, de la liberté d'expression, ou encore de la liberté de réunion et d'association ».

De nombreux acteurs de la cybersécurité avaient émis des critiques, craignant pour leurs travaux. Le Parlement européen avait tenu à préciser que « la recherche en matière de sécurité des réseaux et des TIC aux fins d'essais agréés ou de protection des systèmes de sécurité de l'information est exclue de cette définition ».

Les eurodéputés avaient également réclamé que soit mentionné le fait que « toutes les autorisations pour des biens de cybersurveillance, ainsi que les autorisations individuelles d'exportation pour les biens pour lesquels il existe un risque élevé de détournement ou de réexportation dans des conditions non souhaitées, sont soumises à une déclaration d'utilisation finale ».

Un autre amendement portait sur les biens de cybersurveillance, pour des contrôles accrus de sorte qu'ils ne puissent être « détournés pour une utilisation finale militaire non prévue ou à des fins de terrorisme ».

Ils entendaient par ailleurs s'assurer que « les autorités compétentes des États membres envisagent en particulier le risque de violation du droit à la vie privée, du droit à la protection des données, de la liberté d'expression et de la liberté de réunion et d'association, ainsi que les risques liés à l'état de droit, le cadre juridique de l'utilisation des biens exportés et les risques potentiels pour la sécurité de l'Union et des États membres ».

Vers plus de transparence, a priori

Le Conseil de l'Union, qui réunit les ministres responsables de la coordination des politiques économiques des États membres, voulait pour sa part, rappelle le SIPRI, retirer toute référence à une liste autonome de contrôles aux seuls pays de l'UE.

En janvier 2018, la France, l'Allemagne, l'Italie, l'Espagne et sept autres pays estimaient (.pdf) en effet et de prime abord qu'« Étant donné que la prolifération des technologies de cybersurveillance est un problème mondial, une participation active et efficace de l'Europe à ce discours nécessite également une cyberindustrie européenne active et forte ».

Dès lors, « toute réglementation de l'UE en matière de cyber-industrie devrait donc tenir compte de la nécessité de promouvoir la croissance et le renforcement d'une cyber-industrie européenne responsable et tournée vers le monde afin d'amplifier encore la voix européenne dans les décisions internationales ».

À ce titre, ils plaidaient pour ne pas dévier de la définition établie par l'arrangement de Wassenaar, en attendant de pouvoir le modifier : « Ce faisant, l'UE devrait éviter de s'écarter des normes internationales et, sans porter atteinte à la coopération internationale contre la prolifération des armes de destruction massive, contrôler en même temps les articles qui peuvent être utilisés à des fins répressives ».

En mai 2018, l'Italie rejoignait le Royaume-Uni, la Suède et six autres pays cosignataires d'une prise de position (.pdf) encore plus explicite : « Les biens à double usage représentent de 5 à 24 % du total des exportations européennes en fonction des modèles de calcul, et au moins un million d'emplois. Des amendements au règlement tels qu'une liste de contrôle autonome de l'UE créeront des incertitudes juridiques et introduiront des mesures unilatérales s'écartant des régimes de contrôle internationaux, et pourraient sérieusement compromettre la compétitivité des industries basée dans l'UE ». Pire, cela pourrait aussi entraîner des « mesures de rétorsion ou contre-mesures » de la part de partenaires non-européens.

De plus, une liste autonome à l'UE pourrait également compromettre le fait de pouvoir rajouter, à terme, les nouveaux systèmes de cybersurveillance à l'arrangement de Wassenaar, à mesure que cela pourrait être perçu comme un coup de force de la part de l'UE. Même si cela n'aurait qu'un effet « symbolique plus que préventif : ceux qui cherchent une technologie de cyber-surveillance ne manquent pas de fournisseurs dans les pays tiers. Des règles sur les exportations de l'UE sans mesures parallèles dans les autres économies ne serviraient qu'à stimuler le développement et la production de telles technologies en dehors de l'UE ».

Ils plaidaient pour un renforcement des contrôles basés sur le respect des droits humains, ainsi que sur un effort de transparence entre pays de l'UE et envers le public, de sorte de partager les autorisations et les refus, et de mutualiser l'implémentation des contrôles nationaux : « un nouvel engagement pourrait être que les États membres rendent publiques, de leur propre initiative ou sur demande, les informations concernant les refus de destination ainsi que les licences, destinations et éléments de catégorie approuvés ».

En l'espèce, la Commission européenne a proposé d'augmenter de manière significative la quantité d'informations que les États membres partagent entre eux. En particulier, les États seraient tenus d'échanger « les comptes rendus de violations, de saisies et l'application d'autres sanctions » via un « système sécurisé et chiffré ». La proposition prévoit également la création d'un « mécanisme de coordination de l'application des lois » afin d'établir « une coopération directe et un échange d'informations entre les autorités compétentes et les organismes chargés de l'application des lois ».

Le Parlement, pour sa part, voudrait obliger les États membres à rendre publics des rapports trimestriels détaillant chaque licence d'exportation accordée ou refusée. 

124 marchands d'armes de surveillance en 2011, 528 en 2017

Le SIPRI note qu'en tout état de cause, le trilogue se basera probablement sur un contrôle accru des potentielles atteintes aux droits humains que pourrait entraîner l'export des biens à double usage en général, et des technologies de cybersurveillance en particulier.

De nombreuses autres questions restent en suspens. Il en va ainsi de la notion de « transfert de technologie », notamment lorsqu'elle a vocation à être stockée et partagée dans le cloud. Il est aussi question de proposer des exemptions pour la « recherche scientifique fondamentale » et l'information « relevant du domaine public » (et donc les logiciels libres et open source), l'une des incertitudes étant également de « savoir si et comment les contrôles à l'exportation devraient s'appliquer dans le domaine des publications universitaires ».

En 2015, lorsque les États-Unis avaient entrepris de renforcer le contrôle des technologies de cybersurveillance, de nombreux acteurs de la sécurité informatique, mais également l'EFF, pionnière des ONG de défense des libertés numériques, avaient crié au loup. Pris au pied de la lettre, cela aurait en effet permis d'interdire ou criminaliser la recherche de failles de sécurité, ou encore le développement d'outils de test d'intrusion et de cybersécurité : les hackers chargés de protéger les systèmes d'information ne peuvent pas ne pas utiliser les mêmes outils que ceux qui permettent aux pirates et espions de s'introduire sur les réseaux et systèmes d'information.

En 2011, WikiLeaks rendait public plus d'un millier de documents, modes d'emploi et plaquettes publicitaires de produits commercialisés par les industriels des systèmes de surveillance et d'interception des télécommunications. Sur les 124 marchands d'armes répertoriés, 32 étaient domiciliés aux États-Unis, 17 au Royaume-Uni, 15 en Allemagne, 10 en Israël, 8 en France et 7 en Italie. 

À l'instar des marchands d'armes « traditionnels », la majeure partie d'entre eux étaient situés dans des pays riches, et démocratiques. 12 des 26 pays recensés faisaient ainsi partie de l'Union européenne qui, au total, totalisait 62 de ces entreprises, soit la moitié du total des marchands d'armes de surveillance dans le monde.

En 2017, l'ONG Privacy International en répertoriait 528, dont 127 basées aux États-Unis, 104 au Royaume-Uni, 46 en France, 42 en Allemagne, 27 en Israël, 18 en Italie et 13 en Russie. Sa base de données révèle que 279 d'entre eux, soit 53%, sont basés en Europe.

Un « élément clé de notre politique commerciale axée sur la valeur »

En juin 2019, le rapporteur spécial des Nations unies sur la liberté d'opinion et d'expression, David Kaye, avait de son côté appelé à un « moratoire immédiat » sur les ventes, le transfert et l'utilisation de technologies de surveillance jusqu'à ce qu'un cadre respectueux des droits humains ne soit mis en place.

Il déplorait en effet que l'arrangement de Wassenaar soit non contraignant et que rien n'oblige ses 42 participants à le transcrire dans leurs droits nationaux. Kaye déplorait également qu'il se focalise sur les contrôles à l'export, et non sur le fait que l'utilisation de telles technologies puisse nuire à la liberté d'expression, d'opinion et autres droits humains.

De plus, les nombreux abus en la matière (documentés, notamment, par le Citizen Lab) montrent que cet arrangement n'empêche nullement des gouvernements d'acheter et utiliser de tels outils pour espionner dissidents et journalistes. Il se félicitait à ce titre des efforts entrepris par les eurodéputés, et déplorait les réponses faites par le Conseil des ministres de l'Union, qu'il assimile à un affaiblissement de la protection des droits humains. 

Il appelait ainsi les États membres de Wassenaar (et donc aussi de l'UE) à mettre en place un cadre légal conditionnant toute licence d'exportation à un examen rigoureux du respect des droits humains du pays importateur, et à être particulièrement transparents en la matière.

Business Europe, le lobby patronal européen, a pour sa part, et en prévision du trilogue, pris position mi-octobre pour que la régulation européenne ne diffère pas de l'arrangement de Wassenaar, et ne se dote donc pas de sa propre liste de systèmes de cybersurveillance, à mesure que cela irait à l'encontre de la compétitivité des entreprises européennes.

Ironie de l'histoire, Pierre Gattaz, son président (après avoir été celui du Medef), s'était déjà illustré en matière de propos sécuritaires décomplexés. En 2004, le groupement des industriels de l'électronique (Gixel) qu'il présidait alors, avait en effet expliqué que « la sécurité (étant) très souvent vécue dans nos sociétés démocratiques comme une atteinte aux libertés individuelles, il faut donc faire accepter par la population les technologies utilisées et parmi celles-ci la biométrie, la vidéosurveillance et les contrôles ». 

À cet effet, il ne proposait rien moins que d'en installer « dès l'école maternelle », afin de parfaire à l'« éducation (des) enfants (qui) utilisent cette technologie pour rentrer dans l’école, en sortir, déjeuner à la cantine, et les parents ou leurs représentants s’identifieront pour aller chercher les enfants », et donc les accoutumer, de force, aux systèmes de surveillance. À l'époque, ce discours décomplexé avait valu au Gixel le Prix Novlang aux Big Brother Awards, cérémonie parodique récompensant les atteintes à la vie privée.

Le 22 octobre dernier, Stéphane Chardon, en charge du contrôle des biens à double usage à la Commission européenne, tweetait que la première réunion du trilogue avait été « constructive » et que le Parlement comme le Conseil avaient exprimé leur volonté de parvenir à un accord. 

Ce 13 novembre, Cecilia Malmström, commissaire européenne au commerce, tweetait à son tour au sujet du trilogue, et plus particulièrement des systèmes de cybersurveillance : « Nous devons renforcer la protection des droits de l'homme dans ce domaine. Élément clé de notre politique commerciale axée sur la valeur (We need to increase the protection of human rights here. Key part of our value based trade policy, en VO) ». Reste à poser la balance entre valeurs humanistes et valeurs marchandes.