Par Gérard Haas, Raphaël Mourère et Céline Rodier

Le souvenir des révélations d’Edward Snowden en 2013 à propos des programmes de surveillance de masse des communications par la National Security Agency (NSA), ainsi que du scandale qui s’en est suivi vient soudainement d’être ravivé. Le mois dernier éclatait une affaire de surveillance gouvernementale d’envergure mondiale : l’affaire Pegasus.

Retour sur le Projet Pegasus 

Le Projet Pegasus est le nom donné à une enquête, fruit de la collaboration de dizaines de journalistes dans le monde, coordonnée par l’ONG Forbidden Stories, et menée avec le soutien technique du Labo sécurité d’Amnesty International ayant porté sur le logiciel espion Pegasus.

Dans son communiqué de presse du 19 juillet dernier, Amnesty International indiquait que cette enquête révélait l’existence de fuites massives de données[1] concernant 50 000 numéros de téléphone à travers le monde, identifiés comme des cibles potentielles du logiciel espion Pegasus. Ce dernier fut développé par NSO Group, firme israélienne proposant des solutions logicielles aux gouvernements des Etats et à leurs agences de renseignement. Parmi les victimes de la surveillance figurent des journalistes (dont des membres de la famille du journaliste saoudien Jamal Khashoggi, assassiné le 2 octobre 2018), des militants, des défenseurs des droits, des personnalités politiques et des dirigeants mondiaux. Par ailleurs, Amnesty International et le consortium de journalistes ont identifié des clients potentiels de NSO dans 11 pays : Arabie saoudite, Azerbaïdjan, Bahreïn, Émirats arabes unis, Hongrie, Inde, Kazakhstan, Mexique, Maroc, Rwanda et Togo.

En ce qui concerne la France, l’enquête indique que le logiciel aurait été utilisé par le Maroc en 2019 pour espionner le président Emmanuel Macron et son chef de gouvernement notamment. Suite à ces révélations, un conseil de défense s’est tenu à l’Élysée et le porte-parole du gouvernement Gabriel Attal a affirmé que des investigations ont été lancées. L’affaire est prise très au sérieux par le chef de l’État français. L’avocat du royaume du Maroc nie l’implication de son client et dénonce l’absence de preuve.

L’entreprise NSO nie également toutes les accusations à son encontre et assure que Pegasus est utilisé uniquement à des fins légitimes (lutte contre le terrorisme, les trafics illégaux…). A l’inverse Etienne Maynier, expert des nouvelles technologies à Amnesty Tech a déclaré avoir « apporté des preuves irréfutables que c’est absolument faux ». Il est à noter qu’en 2019, Facebook avait déposé plainte contre NSO après l'espionnage sur la messagerie WhatsApp d'une centaine de journalistes[2].

Face à ce scandale, Amnesty International appelle à un changement dans le secteur de la surveillance. Autre phénomène inquiétant, cette cybersurveillance massive ne serait plus réservée aux États et pourrait être utilisée par de grandes sociétés par exemple[3].

En tant qu’enjeu de sécurité majeur, le cyberespionnage se veut pourtant un phénomène encadré par le droit.

La surveillance de masse : un phénomène encadré en Europe

La thématique du logiciel espion n’est pas nouvelle, elle a depuis un certain nombre d’années suscité une réflexion juridique quant à l’usage de cette technologie, notamment pour des impératifs de sécurité publique. La surveillance de masse des données issues des communications électroniques, ainsi qu’a fortiori des terminaux de données, fait l’objet d’un encadrement par le droit que les grandes cours européennes ont développé.

Récemment, les arrêts Big Brother Watch et autres c/ Royaume-Uni (requêtes n°58170/13, 62322/14 et 24960/1525) et Centrum för Rättvisa c/ Suède (requête n° 35252/08) rendus par la grande chambre de la Cour européenne des droits de l’Homme (CEDH) le 25 mai 2021, sont venus apporter des précisions sur les conditions de conventionnalité de la surveillance de masse des communications électroniques. Ces décisions permettent de dresser le constat suivant : la position de la CEDH est plus souple que celle de la Cour de justice de l’Union européenne (CJUE), formulée quelques mois plus tôt dans l’arrêt La Quadrature du Net et autres (n°C-511/18, C512/18 et C-520/18).

En effet, concernant le droit au respect de la vie privée, la CEDH relève que l’article 8 de la Convention européenne des droits de l’Homme « n’interdit pas de recourir à l’interception en masse lorsqu’elle vise la protection de la sécurité nationale ou d’autres intérêts nationaux ». Toutefois, par écho à sa jurisprudence antérieure en matière de réquisition judiciaire (arrêt Ben Faiza c/ France du 8 février 2018, requête n°31446/12), la Cour limite la conventionnalité du recours à l’interception massive de données à l’objectif de protection contre les menaces graves.

En outre, les juges de Strasbourg précisent que les Etats doivent présenter des garanties contre l’arbitraire et les abus. Le processus d’interception doit ainsi être balisé par une définition claire de plusieurs éléments listés par la CEDH dans ses deux décisions du 25 mai 2021, entre autres :

• Les motifs d’autorisation de l’interception en masse ;
• Les circonstances dans lesquelles les communications d’un individu peuvent être interceptées ;
• La procédure d’octroi d’une autorisation ;
• Les procédures à suivre pour la sélection, l’examen et l’utilisation des éléments interceptés.

De son côté, la CJUE présente un degré d’exigence supplémentaire en matière de surveillance de masse des données et métadonnées issues de communications électroniques. Elle n’admet qu’un nombre limité de fondements à la surveillance des données. Cette position l’a par exemple conduite à déclarer incompatible avec le droit de l’Union européenne plusieurs dispositions du Code de la sécurité intérieure français. Les juges du Luxembourg affirment ainsi que la procédure du régime d’interception doit prévoir le réexamen individuel par des moyens non automatisés de tout résultat positif obtenu à la suite d’une analyse automatisée ; ceci « avant l’adoption d’une mesure individuelle produisant des effets préjudiciables à l’égard des personnes concernées, tel le recueil subséquent des données relatives au trafic et des données de localisation en temps réel, une telle mesure ne pouvant en effet être fondée de manière décisive sur le seul résultat d’un traitement automatisé »[4].

Néanmoins, la lutte contre la criminalité grave constitue aujourd’hui un fondement admis par la CJUE comme la CEDH. La notion permet pour l’heure la subsistance d’une marge de manœuvre pour les autorités nationales. Le Conseil d’Etat a pu ainsi préciser, dans un arrêt du 21 avril 2021 (n°393099), que le rattachement d'une infraction pénale à la criminalité grave a vocation « à s'apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l'infraction commise et de l'ensemble des faits de l'espèce »[5].

En dehors des fondements admis par les cours européennes, l’usage des logiciels espions est contraire au respect du droit à la vie privée, et viole, entre autres, la réglementation en vigueur en matière de protection des données à caractère personnel.

Usages illicites des logiciels espions : la sécurité des données mise en cause

Le logiciel espion Pegasus, comme les autres logiciels malveillants sur mobile, est généralement transmis à ces victimes par un lien de phishing. Cependant, il a évolué vers un modèle de propagation bien plus pernicieux : le « zero touch », qui signifie que « la victime n'a pas besoin d'interagir avec le logiciel espion pour que son terminal soit compromis, mais le lien hébergeant le logiciel espion doit toujours être reçu par le terminal »[6]. Le risque d’une telle attaque augmente compte tenu du très grand nombre d'applications iOS et Android dotées d'une fonction de messagerie[7].

Face aux inquiétudes grandissantes de la population, Amnesty International a publié un outil, nommé Mobile Verification Toolkit, permettant de vérifier si un smartphone a été « infecté » par Pegasus. Cependant, cet outil nécessite des connaissances en informatique et n’est pas à la portée de tous.

Il est important de signaler que les logiciels espions ont un impact sur les entreprises et leurs clients en termes d’obligation de sécurité. Lorsque le cyberespionnage débouche sur un dommage pour une victime, cette dernière peut être tentée de rechercher la défaillance de ses prestataires, partenaires ou clients en vue de mettre en jeu leur responsabilité.

En effet, face au risque d’espionnage, il appartient aux responsables de traitements et à leurs sous-traitants d’assurer la sécurité des données à caractère personnel qu’ils traitent. Cette obligation est consacrée par l’article 32 du le Règlement général sur la protection des données et l’article 121 de la loi Informatique et Libertés de 1978. Elle impose la mise en œuvre des moyens permettant de garantir la confidentialité des données personnelles, afin d’empêcher qu’elles soient accessibles à des tiers non autorisés.

Or, la Commission nationale de l’informatique et des libertés (CNIL) entretient une position très sévère en la matière. Bien que l’obligation de sécurité tende à une obligation de moyen renforcée, la CNIL apprécie la valeur des moyens employés au regard :

• Des solutions existantes et, lorsqu’elles consistent en des produits technologiques, de leur degré de disponibilité sur le marché du numérique. Par exemple, si une technologie offrant un degré de sécurité plus important qu’un ancien produit en voie d’obsolescence est disponible, il pourrait être reproché à l’entreprise de ne pas s’en être doté. De manière générale la CNIL précise qu’il incombe aux acteurs de favoriser la prise des mesures produisant les effets les plus rapides ;

• De l’état des préconisations formulées par les autorités nationales telles que l’Agence nationale de la sécurité des systèmes informatiques (ANSSI) ou la CNIL elle-même. Par exemple, il a pu être reproché à une société de ne pas avoir tenu compte des préconisations mises en avant par la CNIL et l’ANSSI afin d’aider les utilisateurs de son service à créer un mot de passe complexe et facile à retenir (CNIL, Délibération N°SAN-2019-007 du 18 juillet 2019).

Les utilisateurs ne sont pas en reste. Ils doivent également prendre leurs propres précautions, dans la limite des moyens raisonnablement attendus de la part d’un consommateur, lorsqu’ils agissent en cette qualité. Il n’est d’ailleurs pas rare que les conditions générales d’utilisation des plateformes utilisées rappellent l’obligation pour l’utilisateur de garder confidentielles ses données et informations personnelles, telles que son identifiant, son mot de passe...

Néanmoins, les données personnelles ne sont pas les seules visées par ces cyberespionnages. Il est également nécessaire de lutter par les mêmes moyens contre le pillage « des secrets de fabrique, du savoir-faire, des brevets... », ceci passant notamment par « le label de la compliance et la mise en œuvre de normes de sécurité »[8].

S’il est un enseignement à tirer de l’affaire Pegasus, celui-ci serait que même si le risque zéro n’existe pas, des mesures fortes doivent être opposées au risque de cyberespionnage pour que celui-ci ne débouche pas sur un risque juridique.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients sur toutes les problématiques relatives à la protection des données personnelles notamment grâce à deux départements spécialisés sur ces questions : le département protection des données et le département cyber sécurité.

Pour en savoir plus, rendez-vous ici.

[1] SMS, courriels, activité sur Internet, micro, appareil photo, appels téléphoniques et contacts.

[2] DÈBES F., « Pegasus : comment NSO et ses concurrents prospèrent sur le dos de Google et Apple », LesEchos, 27 juillet 2021.

[3] FERAL-SCHUHL C., FEUGERE W. et WILLEMANT R., « Pegasus : la vie privée dans la sphère "compliance" », LesEchos, 2 août 2021.

[4] CJUE, La Quadrature du Net et autres, 6 octobre 2020, n°C-511/18, C512/18 et C-520/18, §182.

[5] CE 21 avril 2021, n°393099, considérant 38.

[6] BOBE B., « Comprendre le puissant logiciel espion Pegasus », Le Monde du Droit, 23 juillet 2021.

[7] Ibid.

[8] FERAL-SCHUHL C., FEUGERE W. et WILLEMANT R., op. cit.