L'affaire Pégasus (1/2) Contexte : NSO group & la Pologne illibérale du PIS

Le 18 juillet 2021 un consortium journalistique dirigé par l'équipe française de Forbidden stories révèle un programme d'espionnage majeur permis par un logiciel privé, nommé Pegasus. 1000 numéros français ciblés par le Maroc, dont 15 ministres, dont Le Drian (ministre de la défense français) Edouard Philippe (notre premier ministre) dont notre président… Emmanuel Macron. Nous sommes victimes….Cette enquête révèle au grand jour qu'une entreprise du secteur militaro-industriel israëlien, NSO group, a produit et vendu à plus d'une quarantaine de pays un logiciel espion d'une puissance encore jamais vue. Celui-ci affiche des particularités hors du commun : sans aucune intervention du propriétaire, le logiciel peut simplement, et à son insu, avoir accès à toutes les données du téléphone, de plus, il peut allumer caméra et micro quand l'opérateur le demande. Ce logiciel à été vendu à 14 pays membres de l'Union européenne d'après NSO Group. Quatre pays de l’Union sont suspectés d’avoir utilisé illégalement ces logiciels à des fins politiques. En Hongrie et en Pologne des opposants politiques, des journalistes et des magistrats ont été ciblés (sans qu'il soit certain que le ciblage ait aboutit à un espionnage), en Espagne des sécessionnistes catalans ont été ciblés, en Grèce des opposants politiques, dont le chef du parti d'opposition figure sur la liste des victimes. Selon le dernier rapport du HCDH sur le thème du droit à la vie privée à l’ère du numérique, “le logiciel Pegasus peut transformer la plupart des smartphones en « dispositifs de surveillance 24 heures sur 24 ». De tels outils permettent ainsi à un « intrus » d’accéder non seulement à tout ce qui se trouve sur nos téléphones mobiles, mais aussi de les armer pour nous espionner.” Le scandale en Europe est majeur, car l'Union est touchée à plus d'un titre : des commissaires et des eurodéputés ont été visés, le Président de la République française Emmanuel Macron aurait été espionné via cette arme par le royaume du Maroc. Plus à l'Est, cette enquête vient s'ajouter à la longue liste des sujets de crise politique que vit depuis 2015 la Pologne. Des enquêtes successives ont révélé qu'un grand nombre de juges, d'opposants politiques, de députés et d'avocats, tous liés à l'opposition politique, ont été visés par le logiciel entre 2017 et 2022.

En effet, le parti au pouvoir jusqu'en décembre 2023, le PIS (parti du droit et de la justice) mène depuis son ascension à la diète (la chambre basse) en 2014 une politique dite « illibérale » qui vise à s'éloigner des pratiques et des méthodes de gouvernement de l'Etat de droit tel que nous le concevons dans nos démocraties occidentales. Cela a conduit depuis 2016 à une série de confrontations avec Bruxelles, pour la plupart liées à la préservation de l'indépendance de la justice. Cela va enclencher un scandale majeur dans le pays, dont le dénouement n'est pas encore connu car le pays vivra ses prochaines élections législatives dans quelques semaines. L'utilisation par Varsovie d'une arme numérique contre son opposition ne peut pas être vue comme une dérive, ou le résultat d'une série de décisions malheureuses, mais bien comme le résultat d'une dégradation du système juridique par le PIS depuis 2014, dans le but précisément de biaiser le jeu politique. Péguasus n'est donc qu'une brique dans le mur de l'autoritarisme naissant du gouvernement nationaliste eurosceptique polonais. Afin de ne pas rester inactif face à ce phénomène nouveau, le parlement européen crée le 10 mars 2022 la commission d'enquête PEGA, menée par des eurodéputés afin de comprendre comment de pareils dérives ont été possibles dans l'Union. Elle rend son rapport le 23 avril 2023. Rapport sur lequel ce mémoire s'est appuyé.

Cependant la commission PEGA n'a eu le droit à aucune coopérations de la part de la Pologne, ni d'Israël, et la coopération de NSO à été pour le moins limitée. Le gouvernement polonais se contente de nier en bloc, et de refuser de répondre à quoi que ce soit comme enquête européenne ou journalistique au nom de la sécurité intérieure. Mariusz Kaminski, ministre de l’intérieur, a décliné une invitation de la commission PEGA. Donc il est compliqué de faire une enquête exhaustive.

A plus d'un titre la question de Pegasus est une problèmatique européenne, notamment car le droit européen sur de nombreux points aurait dû protéger les citoyens polonais de tout usage abusif de la part de leur gouvernement. Toutefois, certains méchanismes juridiques ont été utilisés par le gouvernement polonais pour se procurer discrétement le logiciel, et restreindre l'accès à l'information aux journalistes et aux parlementaires qui demandent à pouvoir enquêter sur l'usage de Pegasus en Pologne. Ce mécanisme est la justification par le secret de la sécurité intérieure qui permet de contourner les règles européennes de passation des marchés publics. L'achat de logiciels espions par les autorités publiques est donc très difficile à détecter, elles peuvent le nier, comme nous allons le voir. En outre, elle permet au gouvernement polonais de ne pas répondre aux enquêtes diligentées par son opposition ou par le parlement européen.

En outre, la question des logiciels espions, de Pegasus, et de son utilisation abusive, sont loin de se limiter à la Pologne. Au contraire, tout cela forme un écosystème très européen. L’Irlande et son régime fiscal attirent de nombreuses entreprises de cybersurveillance ; Chypre, dont le droit interne et le droit commercial sont très lacunaires sur la question de l'armement sert de plateforme de vente ; la République tchèque accueille le principal salon professionnel spécialisé ; et la Macédoine, la Grèce ou la France accueillent des entreprises et des ingénieurs qui développent sur leur sol ces logiciels. L'utilisation de Pegasus par le gouvernement polonais ne doit pas nous faire oublier que la question de l’encadrement par le droit ne peut se faire que dans un cadre européen, sous peine de voir toute tentative de régulation de ce milieu impuissante.

Cette étude vise donc à comprendre comment l'usage de Pegasus par l'ex-gouvernement illibéral du PIS à la fois s'inscrit dans un contexte de dégradation de l'indépendance du système judiciaire polonais, et en même temps aggrave ce phénomène. Elle vise à démontrer le rapport étroit qui unit dérive illibérale du gouvernement, déchéance avancée de l'indépendance du système judiciaire et des droits du contrôle parlementaire sur les activités de la force publique, et logiciels espions. Elle vise, en outre, à présenter quelques recommandations juridiques, qu'elle estime adaptées pour résoudre certaines des dérives dénoncées par les parlementaires européens, les journalistes et les défenseurs des droits de l'Homme.

Si vous désirez citer ou utiliser ce travail, merci de nommer l'auteur dans vos sources, ainsi que le nom de l'ouvrage et sa date de parution. 

I. Historique de NSO Group et éléments de compréhension pour saisir le contexte de l'usage de Pegasus en Pologne au service de l'illibéralisme

1. Définition et catégorisation des logiciels espions

1. Définition selon la commission

Comprendre l'usage des logiciels espions demande d'abord une définition juridique du sujet, et demande également de comprendre en quoi ces logiciels diffèrent des systèmes d'écoute téléphonique. En septembre 2022, la Commission a proposé une définition des logiciels espions comme des logiciels spécialement conçus pour exploiter les vulnérabilités informatiques d'appareils, et qui “permettent la surveillance discrète de personnes physiques ou morales par le suivi, l’extraction, la collecte ou l’analyse de données provenant de ces produits ou provenant des personnes physiques ou morales utilisant ces produits, notamment en [...] filmant des personnes physiques, des machines ou leur environnement, en copiant des messages, en photographiant, en suivant l’activité de navigation [...] sans que la personne physique ou morale concernée ait été informée d’une manière spécifique et qu’elle ait donné son consentement explicite à cet égard”. Cette définition s'applique parfaitement au logiciel Pegasus.

2. Un logiciel particulièrement efficace

Celui-ci présente deux caractéristiques importantes : premièrement Pegasus est conçu pour infiltrer l'intégralité des téléphones portables fonctionnant sur Android ou IOS, il ignore donc complètement les ordinateurs, machines bien plus complexes à pirater. Nous ne parlerons donc jamais dans ce mémoire d'ordinateurs, mais de téléphones mobiles. Par ailleurs, selon certains témoignages recueillis par l'enquête de Forbidden stories, il serait un logiciel espion « total » car, premièrement, il permet d'une part d'avoir accès à toutes les informations présentes sur l'appareil, sans aucune exception, y compris celles des messageries cryptées telles que Signal ou Telegram, voire d'après ces même témoignages à certaines informations effacées par l'utilisateur du téléphone. Il permet également d'activer à distance les caméras et le microphone de l'appareil.

Deuxièmement, il est suffisamment efficace pour que ses dernières versions (celles postérieures à 2020) s'installent de manière « zero clic », c'est-à-dire que son infiltration se fait en totale discrétion sans que l'utilisateur ne puisse s'en rendre compte d'aucune manière. Il est donc extrêmement compliqué, même pour un ingénieur informatique de haut niveau, de détecter l'infiltration. Notons que les caractéristiques techniques de Pegasus sont mal connues, car l'entreprise ne communique en rien sur ce produit, et qu'aucun gouvernement n'a eu pour l'instant à rendre compte de son utilisation. Nous nous basons donc ici sur des affirmations qui doivent être vues comme étant fiables mais non certaines.

3. Un accès total aux donnés du téléphone

Pegasus pose également de nouveaux défis juridiques aux dispositifs de contrôle juridique des écoutes : contrairement “aux écoutes téléphoniques conventionnelles, les logiciels espions peuvent donner un accès intégral et rétroactif aux données, aux mots de passe et aux métadonnées relatives aux communications passées. Par conséquent, une décision judiciaire fixant la date de début et à la durée d’une opération de surveillance constitue une protection inefficace. Il est également techniquement possible d’usurper l’identité de la personne visée en accédant à ses coordonnées”. La puissance de cet outil dépasse donc de loin les capacités d'intrusion et de violation de la vie privée des dispositifs d'écoute téléphoniques développés tout au long du XXème siècle. En outre, comme déjà dit plus tôt, “Il est extrêmement difficile pour la personne ciblée de détecter une intrusion au moyen de logiciels espions”. C'est en particulier vrai pour Pegasus, qui est un logiciel zéro clic, et qui s'installe à distance. La personne ciblée n'a donc aucun signal révélateur issu de son téléphone indiquant un espionnage. Le seul moyen de pouvoir prouver une intrusion est de détecter des connexions internet suspectes réalisées par le téléphone infiltré. Cela demande de suffisamment bien connaître le logiciel Pegasus pour y reconnaître sa trace. Seul un ingénieur informaticien qualifié suivant à la trace les évolutions du logiciel peut le faire, car la nature de ces connexions suspectes peuvent changer du tout au tout suite à une des fréquentes mises à jours de NSO group de son logiciel espion. D'un point de vue juridique, cela pose un défi : car prouver l'infection d'un téléphone par Pegasus n'est pas une chose aisée, cela demande une expertise très haute technique, ainsi qu’une connaissance précise du logiciel en question. En outre, il est impossible de pouvoir assurer avec certitude l’identité de la personne ayant infiltré le téléphone. A moins d'avoir accès aux dossiers de NSO group, ou à une source interne au groupe qui a effectué l'infiltration, ce qui est complexe, et il peut s'avérer très long d'obtenir les autorisations juridiques nécessaires pour avoir accès à ce genre d'informations. Cela peut permettre des abus de la part de la force publique qui peut prétendre tout simplement ne pas être à l'origine de l'espionnage.

4. Pegasus permet un espionnage très complet

Comprendre la nature de Pegasus et de ses effets sur la vie des personnes espionnées demande de comprendre les nuances existantes entre l'usage du logiciel de NSO group et un piratage plus conventionnel. Le piratage consiste à exfiltrer les informations d'une cible à un instant X. Le logiciel de NSO lui s’adonne à la collecte de l'intégralité des données (antérieures comme postérieures à l’infiltration) d'une cible sur tout le laps de temps que dure l'infiltration. Cela donne un accès complet au téléphone, permettant ainsi de surveiller les déplacements, les échanges bancaires, les communications, les loisirs etc. L'opérateur via les caméras et le microphone de l'appareil dispose d'un accès visuel et sonore sur l'espace de vie du propriétaire. L'infection dure en général le temps que décide l'opérateur du logiciel, sans que jamais, la plupart du temps, le propriétaire du téléphone ciblé ne puisse s'en rendre compte. Il s'agit donc d'une violation sérieuse de l'intimité des personnes.

5. Les failles « jour zéro »

D'un point de vue technique, Pegasus, ainsi que tous les logiciels espions fonctionnent par “faille jour-zéro” (plus connue sous son nom anglophone de “faille zero-day”). Aucun logiciel n'est parfaitement sûr, ils souffrent tous de vulnérabilités qui peuvent être exploitées dans un but d'infiltration. Une faille zero-day est une faille récemment découverte qui n'a été repérée que par un attaquant unique qui peut donc l'exploiter à sa guise sans que le propriétaire du logiciel ciblé n'ait pu réagir. Elle permet donc une grande liberté de mouvement à l'attaquant, tant que le propriétaire ignore l'existence de cette faille. Pour le cas de Pegasus, les failles jour-zéro pour IOS et Android sont rares et chères, car les entreprises propriétaires de ces logiciels, Apple et Alphabet (ex Google), sont parmi les plus compétentes en matière de cybersécurité, et disposent donc de moyens extrêmement importants pour sécuriser leurs logiciels. D'un point de vue juridique, Pegasus est donc qualifié de “bien à double usage”, c'est-à-dire de produit civil pouvant avoir une utilité militaire.

6. Les cibles collatérales de la collecte de données

Un point qui va devoir faire l'objet de développement dans ce mémoire est l'existence d'effet collatéral du logiciel espion. Car celui- ci collecte systématiquement des informations non seulement sur la cible, mais également sur ceux qui entrent en contact avec la cible. Cela peut être justement l'effet visé, la communication entre ces deux personnes portant sur des activités criminelles par exemple, ou alors simplement ces personnes sont espionnées de manière accidentelle, sans que cela soit forcément illégal. Cet aspect est problématique, car les renseignements collectés sur ces personnes légalement ne doivent pas être conservés par les forces de l'ordre.

7. Des systèmes d'espionnage qui ne respectent pas les frontières

Enfin, les logiciels espions posent un problème de droit international. Notamment dans le cadre européen. Avec la mondialisation et surtout la disparition des douanes intérieures à l'Europe, certains citoyens européens peuvent choisir de prendre un opérateur téléphonique d’une nationalité différente de la leur, notamment si leur emploi ou leur famille leur demande de voyager à travers les frontières de l'Europe. En outre, un grand nombre de citoyens européens vivent dans d'autres pays que leur pays d’origine, ce qui est particulièrement vrai pour ressortissants des pays d'Europe de l'Est, notamment la Pologne, qui connaissent une migration importante de travailleurs allant trouver un emploi mieux rémunéré en Europe de l'Ouest, notamment en Allemagne, ou en France. Or le logiciel Pegasus demande simplement pour pouvoir infiltrer un téléphone cible un numéro de téléphone avec son indicatif d'appel international. Cela pose un problème important dans la mesure ou l'espionnage peut donc se faire sans difficulté sur un téléphone dont l'opérateur téléphonique relève de la souverainté d'un Etat tiers, ou sur un citoyen polonais résidant dans un pays tiers, ce qui viole la souveraineté de l'Etat accueuillant si cela n'a pas été autorisé par ses autorités politiques.

Pegasus est un logiciel particulièrement efficace, dont l'usage résolument novateur dans les pratiques des services de l’ordre ne va pas sans poser de nombreux défis aux policiers et aux juges, afin d'ajuster l'usage raisonnable de ce nouvel outil, le respect des droits de l'Homme et de l'Etat de droit. Il est évident que cela est tout à fait possible, et qu'un législateur désireux de respecter les principes que nous venons d'évoquer peut tout à fait dessiner un cadre juridique vertueux permettant un usage à la fois efficace et respectueux des droits de l'Homme de Pegasus. Toutefois, certains éléments déterminants ont eu l'effet inverse en Pologne, et ont permis que le gouvernement use de ce logiciel à des fins autoritaires. Ces éléments sont d'une part les méthodes commerciales de NSO group particulièrement problématiques, et d'autre part l'affaiblissement constant de l'indépendance du pouvoir judiciaire en Pologne par le PIS, ainsi que l’extension des droits de la police polonaise par le même gouvernement, auxquelles l'UE s'est opposée sans succès jusqu'à présent.

2. NSO group, ou l'excellence cyber israélienne.

Un fort besoin dans le cadre de la lutte contre le terrorisme, L'usage des logiciels espions est néanmoins nécessaire, et nous ne pouvons nous en poser. Dans le cadre de la lutte contre la grande criminalité, , une entreprise israélienne dont la méthode et l'origine complexifie le problème

Les premiers logiciels espions, tels que définis précédemment, apparaissent vers la fin des années 2000, début des années 2010, en Europe d'après les sources disponibles. Notons que des logiciels du même type ont pu apparaître plus tôt, mais étant donné que ces logiciels peuvent avoir une utilité militaire de haute valeur les gouvernements qui les développent peuvent ne pas avoir communiqué dessus. Les premiers à en vendre ont été des sociétés d'Europe de l'Ouest, notamment Intexalia, une entreprise française qui a signé des contrats d'utilisation avec le régime lybien de Kadhafi. Leur usage est donc récent, et le droit qui les encadre n'est pas totalement mature, même en France. Pegasus, toutefois, est un logiciel israëlien. Son développement et son utilisation sont donc profondément enracinés dans le contexte sécuritaire de l'Etat hébreux, ce qui n'est pas sans poser de questions.

1. Israël, « terre promise » des armes numériques

Si NSO group naît en Israël, ce n'est pas un hasard. L'Etat Israëlien vit depuis sa fondation en 1949 sur le qui-vive permanent, car ses voisins arabes ont longtemps refusé catégoriquement son existence, voyant dans cet Etat juif un nouvel avatar du colonialisme occidental. Sa situation géopolitique est donc précaire, ce qui l'oblige immédiatement à développer un écosystème de défense et de renseignement particulièrement novateur et efficace. Même si, depuis les accords de Camp David (1979), les Etats voisins d'Israël vont, pour certains, progressivement reconnaître son existence, l'occupation des territoires palestiniens, illégale au regard du droit international, va continuer à susciter un besoin important de moyens de défense et de renseignement à Tel Aviv. Cela explique à quel point Israël est un pays de pointe en matière de technologie d'espionnage, et que ces ingénieurs informatique sont souvent considérés comme les meilleurs dans ce domaine. Ainsi en 2022 on estime que les exportations d'Israël en logiciels espions se sont élevées à 1 milliards de dollars. “NSO a indiqué qu'il comptait parmi ses clients 60 agences gouvernementales dans 45 pays”; ce qui en fait un best seller du milieu de l'espionnage.

2. Une arme utilisée dans le contexte de l'occupation des territoires palestiniens

C’est dans ce contexte de conflit permanent qu'est né NSO group, qui est une entreprise, nous allons le voir, profondément liée à l'armée israélienne. Pégasus est donc un logiciel de combat ciblant, à l’origine, des Palestiniens. Des preuves existent de l’espionnage des organisations palestiniennes de défense des droits de l'Homme; ce qui est illégal au regard du jus in bello, car ces organisations sont constituées de civils n'ayant aucune activité militaire, du moins l'armée israélienne n'a pas pu prouver que ces groupes participaient d'une manière ou d'une autre aux combats. On peut déjà ici déceler un biais dans les méthodes d'usage de Pegasus issues de l'occupation des territoires palestiniens que l'enquête de Forbiden stories a dénoncé, celle issue des techniques de renseignement israëlien. Tsahal affronte parfois des adversaires palestiniens bien rodés aux techniques de contre-espionnage. Afin de pouvoir avoir des moyens de pression sur la cible, les services de renseignement israéliens développent une méthode consistant à ne pas viser seulement la cible, mais tous ses proches (cousins, frères, enfants, amis) afin d'obtenir via ses contacts des moyens de pression. Pegasus est donc conçu pour un usage large, massif, sans limites, pour frapper un grand nombre de personnes, dans le but de pouvoir collecter un maximum de données sur des cibles précises. Ce genre de méthode d'usage de Pegasus à été observé notamment au Mexique, où le gouvernement de Enrique Peña Nieto. semble avoir eu recours à de tels moyens afin de faire pression sur des journalistes d'opposition. Une telle dérive n'a pas pour l'instant été observée en Pologne.

3. L'unité 8200, mère de NSO group

NSO group est issu de l'Unité 8200 (prononcer 8-200), une unité d'élite de l'armée israélienne composée de jeunes conscrits sortis des meilleures universités technologiques du pays qui vont passer leur temps de service militaire (trois ans pour les hommes, deux ans pour les femmes, mais dans le cadre de l'unité 8200, le service militaire peut être rallongé) à coder, et à hacker. Réputée pour être l'un des HPT les plus efficaces de la planète, l'entreprise à été fondée en 2010 par d'anciens agents du renseignement israélien. Elle emploie un grand nombre de jeunes ingénieurs tout juste sortis de l'unité d'élite 8200. C'est dans ce contexte particulier qu'un logiciel aussi efficace que Pegasus va pouvoir naître. Ceci pose une question : peut-on toujours considérer Pegasus comme un bien à double usage quand il est développé par une entreprise intimement liée au complexe militaro-industriel israélien, et dans un but premier d'espionnage militaire ? Autre exemple que la classification des logiciel espions comme bien à double usage est contestable : la majorité des exposants du salon des systèmes d'écoute, ISS World (dont NSO fut pendant longtemps le premier sponsor) s'exposent aussi dans les salons d'armements classique.

4. NSO group, une entreprise liée à la diplomatie israélienne…

Le moins que l'on puisse dire, c'est que cette entreprise va pouvoir profiter de ses liens avec l'Etat hébreux pour pouvoir prospérer. L'enquête menée par la commission PEGA, et plus tard par d'autres médias, notamment israéliens, démontre que va se servir de ce logiciel comme levier d'action diplomatique, notamment avec les pays du Golfe, la Hongrie et la Pologne. Selon le New York Times, “le gouvernement israélien a longtemps considéré Pegasus comme un outil essentiel pour sa politique étrangère." et qu'il "[...] a traité NSO comme une branche de facto de l'État, accordant des licences pour Pegasus à de nombreux pays [...] avec lesquels le gouvernement israélien espérait entretenir des liens sécuritaires et diplomatiques plus solides”. Les méthodes de vente du gouvernement Netanyahou sont de nature à poser question sur leur manque de considération envers les violations des droits de l'Homme que l'utilisation d'un tel logiciel peut entraîner, mais aussi sur les liens de dépendance qui peuvent se créer entre l'État hébreux et la Pologne. Ainsi, il est très probable que le gouvernement Netanyahu ait échangé une licence d'exportation du logiciel à l'Arabie Saoudite et aux Emirats Arabes Unis en échange d'accords diplomatiques, commerciaux ou de la reconnaissance de son pays par Abu Dhabi. Or, il est prouvé que ce logiciel a servi pour ces deux pays du Golfe un certain nombre de fois, non à espionner des voisins belliqueux, mais bien à espionner leur propre population, voir même des membres de la famille royale de l'Émirat de Dubaï. Ainsi, il est prouvé que le logiciel a été utilisé notamment contre Latifa al-Maktoum, la fille du cheikh Mohammed bin Rashid al-Maktoum de Dubaï qui a tenté de s'échapper de son pays en 2018, affirmant être victime d'abus et de restrictions. Elle a été capturée au large des côtes de l'Inde par un commando visiblement Indo-Émiratie le 4 mars 2018 et ramenée à Dubaï par la force. Les enquêteurs du projet Pegasus ont prouvé que son téléphone était apparu sur les listes des cibles de NSO group quelques jours après son évasion. De la même manière, le projet Pegasus a démontré que le téléphone du journaliste et opposant saoudo-étatsunien Jamal Khashoggi avait été piégé. Ce dernier a été tué le 2 octobre 2018 au consulat saoudien à Istanbul, en Turquie. Selon l'enquête, il a été assassiné par des agents saoudiens. Sa femme Wahad Kanfaraurait avait été également ciblée. Ces usages et ces méthodes prouvent que NSO group a été complice de graves violations des droits de l'Homme. En achetant ce logiciel, bon nombre de gouvernements européens financent donc une entreprise qui semble faire peu de cas du droit international et, plus généralement, des droits de l'Homme.

5. …Qui respecte scrupuleusement les intérêts israéliens

Comme preuve qu'Israël utilise Pegasus comme monnaie d'échange, il faut aussi parler des ventes annulées par Tel Aviv, afin de ne pas mettre en danger ses intérêts avec ses principaux alliés et rivaux. Afin de ne pas froisser son protecteur états-unien, Tel Aviv a, par exemple, visiblement interdit d'utiliser Pegasus contre tout numéro états-unien. En outre, Pegasus n'a pas été vendu à l'Estonie et à l'Ukraine, afin de ne pas impacter les intérêts russes, pays avec lequel jusqu'à présent Israël tente de garder de bonnes relations, guerre en Syrie oblige.

En outre, d'après l'enquête menée par le groupe de l'enquête Pegasus l'entreprise n'hésite pas à avoir recours à des méthodes commerciales qui consistent à encourager les clients à utiliser son logiciel à très grande échelle afin de maximiser son efficacité. Il a donc été observé qu'au Mexique sur les 15 mille cibles visées (chiffre record), beaucoup n'avaient aucun lien soit avec le monde des narcos trafiquants soit celui de l'opposition politique. Cela semble indiquer que les méthodes israéliennes de renseignement basées sur du renseignement à très grande échelle ont été exportées avec le logiciel Pegasus. NSO group a admis que ses clients ciblent 12 000 à 13 000 personnes par an, chiffre qui interpelle, quand on sait que certains pays comme la Grèce ou la Hongrie comptent moins de 10 millions d'habitants. De telles méthodes de vente devraient faire l'objet d'interdiction dans l'Union européenne, tant elles placent le profit avant le respect des droits de l'Homme. Il faut dire que Pegasus est un logiciel coûteux : “en 2016, on estimait que les frais annuels s’élevaient à 600 000 USD en plus de frais d’installation à hauteur de 500 000 USD pour un système capable de suivre 10 cibles simultanément”.

6. Un enjeux à ne pas limiter à Israël, qui concerne aussi l'Europe

Après les révélations du projet Pegasus, l'État hébreux devant le scandale international modifie sa législation sur les exportations de logiciels espions. Ce qui entraîne comme réaction immédiate, que bon nombre de sociétés de cyberespionnage installent des succursales à Chypre ou à Malte, voire que certains de leurs PDG achètent un passeport doré maltais afin d'échapper aux règles israéliennes, ou simplement pour pouvoir bénéficier du marché intérieur européen. C'est notamment le cas de la société Intellexa. Cet assemblage de plusieurs sociétés européennes (dont la française Nexa Technologies, WiSpear, Cytrox, & Senpai Technologies) a été fondé par Shahak Avraham Avni et Tal Dilian. Ce dernier est un ancien du renseignement israélien et s’est spécialisé dans les technologies de surveillance depuis une vingtaine d’années, et qui à décidé de s'installer en Europe afin de pouvoir développer son entreprise en dehors d'Israël.

Tout cela pose question d'une part sur la nature légale de Pegasus. Au vu de son utilisation diplomatique par le gouvernement Netanyahou, il est clair qu'il s'agit d'un système d'armes vendu dans le cadre d'un accord diplomatique, et non d'une simple exportation d'un bien à double usage. Si le but final, comme cela pourrait être le cas en Pologne, est la répression de son oppsition politique, ou du moins son espionnage par le parti au pouvoir, on peut se demander si même l'achat du gouvernement Polonais n'est pas illégal au vu des principes de la politique étrangère de l'UE. Deuxièmement, il faut rappeler que nous parlons ici de collecte massive de données, qui sont captées à l'aide d'un logiciel israélien. Nous n'avons aucune certitude si les contracts d'achat de licence de Pegasus comprennent une clause interdisant à NSO group de stocker ces données sur le sol israélien, et s'il existe une clause permettant une vérification de la part du gouvernement polonais. Dans le cas contraire, cela signifierait que certaines informations potentiellement sensibles, car pouvant faire l'objet d'un chantage à la révélation de la part d'Israël envers la Pologne, seraient collectées à grand frais par la Pologne pour tomber dans les mains d'Israël.

3. Contexte de l'affaire : l'ère "illibéral" polonaise

Depuis 2015 et le retour au pouvoir du Parti Droit et Justice (PIS), la Pologne vit au rythme des réformes du système de justice accusé d'être un vivier d'anciens communistes.

1. La pologne dans l'ère illibérale

Le PIS est un parti conservateur eurosceptique dont la politique est décrite comme influencée par l’illibéralisme, exactement comme en Hongrie. À la différence que, précisément contrairement au Fidesz de Viktor Orban, le PIS ne se revendique pas illibéral, mais simplement social conservateur. Néanmoins, sa politique envers les médias indépendants, et les institutions judiciaires, le rapproche de la Hongrie de Viktor Orban, les deux pays étant d'ailleurs très proches depuis la chute du bloc de l'Est (bien que, depuis la guerre russo ukrainienne, la situation ait complètement changé au vu de la politique obstinément pro russe de la Hongrie). Un an après sa prise de pouvoir, le PIS engage une série de réformes judiciaires, qui visent notamment à permettre au gouvernement de choisir les juges, et de confier certains rôles judiciaires au ministère de la Justice, ce qui va avoir des conséquences directe sur l'usage de Pegasus par le gouvernement à partir de 2017. Il commence par réformer la cour suprême polonaise, puis, en 2017, il émet des lois sur le Tribunal national, la plus haute instance judiciaire de Pologne. La loi permettait au ministre de la Justice de nommer et de révoquer les présidents des tribunaux.

2. La mise au pas du système judiciaire

Le Conseil national de la magistrature est un organe clé pour l'indépendance du pouvoir judiciaire, responsable de la nomination des juges. Une loi de 2017 a modifié la manière dont les membres du Conseil sont nommés, permettant au Parlement de choisir la majorité des membres au lieu de les laisser être choisis par leurs pairs au sein du système judiciaire. Ceci a été largement perçu comme une manière de politiser le processus de nomination des juges.

Une autre loi controversée a abaissé l'âge de la retraite des juges de 70 à 65 ans, ce qui a eu pour effet immédiat de mettre fin au mandat de plusieurs juges considérés comme « issu de l'ère communiste » , comprendre indépendants ou critiques vis-à-vis du gouvernement. Bien que le gouvernement ait affirmé que cela était destiné à moderniser le système judiciaire, les critiques ont vu cela comme une purge politique.

Le gouvernement a également introduit des chambres disciplinaires au sein de la Cour suprême, responsables de l'évaluation du comportement professionnel des juges. Les membres de ces chambres étaient nommés par le Conseil national de la magistrature, désormais contrôlé par le Parlement, ce qui a soulevé des questions quant à leur impartialité.

3. L'achat de Pegasus par le gouvernement Polonais

C'est dans ce contexte de délitement de l'indépendance de la justice qu'en juillet 2017 Mme Szydło, première ministre polonaise, et M. Netanyahou, premier ministre israélien se sont rencontrés dans le cadre d'une rencontre du groupe de Visegrad (Un groupe géopolitique de quatres pays d'Europe de l'Est autrefois créer pour s'entraider dans l'intégration européenne) Ils auraient discuté du « renforcement de la coopération dans le domaine de l’innovation et des technologies de pointe » et de « questions liées à la sécurité des citoyens au sens large ». C'est un peu après que les enquêteurs estiment que Pegasus à été acheté par le gouvernement polonais. Ce ne sera qu'en 2022 que le gouvernement reconnaîtra avoir acquis le logiciel.

4. Un achat problématique

Cet achat lui-même est problématique : Pegasus à été acquis par un financement issu du ministère de la Justice, au nom de la lutte contre la corruption, alors que ce genre d'achat ne peut être effectué que par le ministère de la Défense ou par le ministère de l'Intérieur. Il s'agit d'un usage détourné de ce pour quoi administrativement le logiciel a été utilisé. En outre, les factures d'acquisition du logiciel ne sont pas au nom de NSO group mais auprès d'une agence de couverture : Matic Sp. Z.O.O, fondée par des anciens des Służba Bezpieczeństwa, les services de renseignement intérieur de la République populaire polonaise. Cette société opaque a reçu des accréditations de la part de l'agence de sécurité intérieure pour garder certaines informations secrètes jusqu'en 2029, comme souvent dans ce mémoire, les informations dont on dispose sont parcellaires, et donc conditionnelles. Car on ne peut donc savoir précisément qui et quand le gouvernement a pu espionner. On ne dispose que de quelques listes de noms issues d'une fuite de NSO group, et de l'analyse du téléphone des personnes pensant avoir été ciblées. En juillet 2022, la commission d'enquête du parlement européen PEGA se rend en Israël et rencontre NSO group. Celui-ci annonce avoir effectué 14 ventes dans l'Union européenne, dont deux ont été annulées pour des problèmes d'utilisation illégale. Il s'agit probablement de la Pologne et de la Hongrie. Pegasus ne serait donc sans doute plus en activité sur le sol Polonais.

Maintenant que nous avons les éléments techniques, politiques et diplomatiques nécessaires à la compréhension du contexte de l'usage de Pegasus en Pologne entre 2017 et 2022, nous pouvons étudier le droit en usage en Pologne et le droit européen relatif à l'utilisation de logiciels espions tels que Pegasus sur le sol polonais.

Entre janvier 2016 et février 2017, le Sejm (Parlement polonais) a approuvé une série de mesures antiterroristes qui ont profondément affaibli les droits fondamentaux tels que la vie privée et les garanties d'une procédure régulière. En mars 2016, par exemple, d'importants amendements au Code de procédure pénale ont été introduits, notamment pour des raisons de lutte contre le terrorisme, qui ont permis d'utiliser des preuves obtenues illégalement dans tous les procès pénaux

II. La loi polonaise mise sous la coupe du PIS : cadre propice aux abus

1. Cadre juridique polonais de la surveilliance électronique 

Dans son rapport remis au parlement européen, la commission PEGA estime que l'État polonais doit urgamment s'assurer que les dispostifs d'espionnage déployés contre des individus vivant sur le sol polonais “doit faire l’objet d’un examen ex post par une autorité de contrôle indépendante qui doit s’assurer que toute activité de surveillance autorisée est exécutée dans le respect des droits fondamentaux et conformément aux conditions fixées par la CJUE, la Cour européenne des droits de l’homme (CEDH) et la Commission de Venise”. Si la commission précise que l'autorité de contrôle doit être indépendante, c'est bien parce que depuis les réformes judiciaires entamé par le PIS en 2016, on ne peut plus parler d'une justice indépendante en Pologne. 

1. La loi de police de 2016

En  2014, le Tribunal constitutionnel Polonais juge incompatible avec la Constitution polonaise un certain nombre de lois relatives à la surveillance des citoyens. Un an après, le PIS arrive au pouvoir et entreprend de modifier ces lois, comme le demande le tribunal constitutionnel. La loi du 15 janvier 2016 portant modification de la loi sur la police de 1990 et de certaines autres lois, au lieu de pallier aux faiblesses de la loi précédente, a encore affaibli les dispositifs de contrôle et de prévention des abus de la loi. D'autant plus que la loi de 2016 conserve sciemment le manque de précision en ce qui concerne le contrôle, les garanties contre les abus et les catégories de personnes et d’infractions susceptibles d’être ciblées. Enfin, la décision d'autoriser une surveillance secrète revient concrètement entièrement au ministère de l'Intérieur ou aux organes du pouvoir judiciaire contrôlé par l'exécutif, ce qui va à l'encontre du principe de la prééminence du droit. Les tribunaux peuvent prolonger la surveillance pour un maximum de 12 mois si de nouvelles circonstances permettant de prévenir ou de détecter un crime, ou d'identifier un auteur ou d'obtenir des preuves, sont apparues, sans qu'il soit nécessaire de tenir compte de la proportionnalité (Commissaire aux droits de l'Homme, 2016). Les métadonnées électroniques peuvent être consultées par la police et d'autres organismes chargés de l'application des lois et les tribunaux n'exerçant qu'un contrôle de suivi facultatif sur ces données, décrites par la Commission des droits de l'Homme et d'autres parties prenantes comme "illusoires". La confidentialité des informations couvertes par le secret professionnel est également menacée car la surveillance secrète des communications des avocats n'est plus interdite. La surveillance secrète des communications de l'avocat n'est pas interdite et peut être présentée comme preuve devant un tribunal chaque fois que cela est jugé nécessaire dans « l'intérêt de la justice », ce qui présente une violation grave du droit à un procès équitable. 

2. Une police de moins en moins contrôlée, des lanceurs d'alerte intimidés 

En outre, toujours selon cette loi, la police peut facultativement (car rien n'est prévu si cela n'est pas fait) soumettre aux tribunaux compétents des rapports semestriels concernant le nombre de collectes de données de télécommunications. Ces rapports ne sont pas rendus publics. Le tribunal ne peut ordonner la destruction d’aucune donnée, même s’il constate une illégalité.

La modification, toujours en 2016, de la loi sur les télécommunications de 2004, permet à la police d’accéder sans grande restriction aux métadonnées au motif d'une « prévention ou détection d’infractions » avec l'autorisation du procureur. Ce qui est problématique du fait de la fusion des fonctions de ministre de la Justice et de procureur général depuis la réforme du système judiciaire. 

La Diète a également adopté, en 2016, une loi antiterroriste. La loi antiterroriste de juin 2016 est un exemple paradigmatique de dispositions antiterroristes qui, bien qu'elles ciblent officiellement le terrorisme et les comportements liés au terrorisme, sont rédigées de manière très large et donc susceptibles d'abus. D'une part elle définit le terrorisme, entre autres, comme :

“Un acte passible d'une peine privative de liberté, avec la limite supérieure d'au moins cinq ans, commis en vue de : 

1. Intimider sérieusement de nombreuses personnes, ou ; 

2. Contraindre l'autorité publique de la République de Pologne [...]” 

Cette limite supérieure d'au moins 5 ans d'emprisonnement comme l'un des critères d'identification d'un acte terroriste, permet donc à la loi polonaise d'inclure des infractions qui ne figurent pas dans la définition classique du terrorisme de l'UE. Cela rentre dans notre périmètre d'étude car le code pénal polonais punit la divulgation d'informations désignées comme « top secret » ou « secret » d'une peine d'emprisonnement de trois mois à cinq ans, de sorte que, si le but de la divulgation fait partie de ceux énumérés à l'article 15 § 20 du code pénal polonais, l'acte pourrait potentiellement être considéré comme une infraction terroriste. Ces dispositions peuvent s'appliquer, par exemple, à une personne qui révèle un document secret sur l'utilisation de méthodes de surveillance illégales ou de torture par les autorités publiques, même si son seul but est de s'assurer que le public soit avertis de l'agissement illégal de ses collègues. Cette loi visant originellement à lutter contre le terrorisme en Pologne, permet donc également d'exercer une pression sur les lanceurs d'alerte voulant dénoncer la dérives autoritaires du gouvernement Polonais. 

La loi contre le terrorisme comprend également des dispositions très généreuses envers les pouvoirs de police, pour tout ce qui se rapporte à la surveillance des ressortissants étrangers sur le sol polonais. Cette loi permet à l'État de surveiller sans l’autorisation d’un tribunal pendant une période de trois mois les étrangers  si leur identité est « suspecte ». En vertu de l’article 9, de cette loi, le procureur général a le pouvoir d’ordonner la destruction des éléments estimés non pertinents. Étant donné que le procureur général, Zbigniew Ziobro, est en même temps ministre de la Justice, on ne peut le considérer comme indépendant et neutre par rapport au gouvernement polonais… dont il est membre. 

3. La question de l'usage de preuves collectés illégalement 

En outre, une modification du code de procédure pénal de mars 2016, permet via l’article 168 bis 41, que les éléments de preuve recueillis en violation de la loi, (par exemple certaines données collectées par Pegasus) peuvent être utilisées à charge dans les affaires criminelles. Ce qui peut s'avérer dangereusement utile pour le gouvernement afin de réduire au silence certains opposants politiques. Le danger de dérive autoritaire que fait courir cette loi à la Pologne est très important. Mais plusieurs arrêts récents du conseil constitutionnel polonais, tel que l’arrêt du 26 juin 2019, estime que cet article est en contradiction avec les dispositions de la Convention européenne des droits de l’Homme et de la constitution polonaise. Il n'a toutefois encore aujourd'hui toujours pas été retiré malgré la décision du conseil constitutionnel. 

Plus grave encore, les réformes du système judiciaire du PIS ont également réduit à néant les organes de contrôle de la force publique. 

4. Le contrôle ex ante de la police 

D'une manière générale, on peut estimer que la procédure judiciaire existante en Pologne pour encadrer l'espionnage des citoyens est plus que limitée, voire ne sert qu'à donner un vernis légal à un dispositif de surveillance politique de l'opposition. D'après la loi du 15 janvier 2016,  les demandes d’autorisation judiciaire d’une opération de surveillance présentées aux juges peuvent très bien ne contenir qu'un très bref résumé de la demande négligeant nombre d'informations fondamentales tel que le nom ou la profession de la nature ou la méthode demandant à être utilisé. On peut estimer qu'une telle demande vide de contenu ne garantit en rien la légalité de la mesure. Si la demande est rejetée par le juge, elle peut faire l'objet d'un recours, et le procureur qui, rappelons-le est dirigé par le ministre de la Justice, peut passer outre en cas d'urgence, à condition que le tribunal donne ensuite son autorisation dans un délai de 5 jours. 

Les demandes d’autorisation de surveillance sont présentées presque exclusivement au tribunal de district de Varsovie, la capitale du pays, ce qui est logique car c'est là que se trouvent le siège des agences de sécurité polonaise, et le siège de la police. D'après la commission PEGA ceux-ci ont trouvé une série de stratagèmes administratifs afin de biaiser le système de contrôle judiciaire. Ainsi les demandes d'espionnage sont présentées toutes en même temps, en grand nombre afin de saturer le travail des juges, et ainsi de réduire à néant la capacité du tribunal à procéder à un examen approfondi. 

Administrativement, le droit de la magistrature polonaise prévoit que ce genre de demande est attribuée aléatoirement à un des juges présents dans les bureaux de la magistrature, évitant ainsi qu'un juge allié aux services de police ne s'arroge toutes les demandes pour les valider sans examen. Cependant ce dispositif peut être aisément détourné. Les demandes sans doute les plus politiquement sensibles sont présentées durant le week-end ou la nuit, afin d'être automatiquement attribuées au juge de permanence. En effet, contrairement aux horaires normaux de jour, la nuit les services secrets savent qu'un seul juge est présent de nuit, et peuvent donc estimer quelles sont les nuits où un juge de permanence favorable au gouvernement sera présent. Ce qui leur permet en fin de compte de sélectionner un « juge accommodant » .

5. Le contrôle ex post de la police 

Pour ce qui est du contrôle par le parlement, chose pourtant plus que nécessaire dans un système politique parlementaire comme la Pologne. Avant 2016, la commission parlementaire du contrôle des services spéciaux (KSS) était présidée alternativement par les partis au pouvoir et les partis d’opposition. Ce n'est désormais plus le cas, le PIS contrôle la commission, ce qui réduit à néant la capacité du parlement à surveiller les activités de surveillance. Bien entendu, toutes les demandes de la part de l'opposition au sein de la diète d'ouvrir une enquête parlementaire ont été rejetées par la majorité gouvernementale. En revanche, au sein de la chambre haute, le Sénat où l'opposition domine, une commission d’enquête début 2022 a été nommée. Mais contrairement aux commissions d'enquête de la Diète, celles du Sénat ne peuvent convoquer des témoins et recevoir des témoignages sous serment. Et bien entendu, l'intégralité des services de renseignement et de police ont refusé de coopérer autant avec la commission d'enquête du Sénat qu'avec celle du Parlement européen. Un tel irrespect envers la chambre haute de la République en dit long sur la politisation des services de sécurité Polonais. 

La Cour des comptes polonaise (NIK) dispose elle de pouvoirs de contrôle effectifs, avec un vrai pouvoir d'enquête. D'autant plus que comme nous l'avons vu l'achat du logiciel Pegasus s'est fait sur des fonds du ministère de la Justice et non sur les fonds de l'État. Mais son fonctionnement est considérablement diminué par une habile guérilla administrative de la part du PIS. En effet, la Diète n’a toujours pas nommé 10 des 19 membres du conseil de la NIK, ce qui entrave gravement ses capacités. Toutefois, comme nous l'avons souvent vu ici même si elle parvient à prouver une violation de la loi, c'est au parquet d'engager une procédure judiciaire. Si le parquet ne réagit pas, la NIK est impuissante. En outre, le procureur général (le ministre de la Justice donc) dispose de moyens de pression sur le parquet permettant de gravement interférer dans ces décisions. Il peut à la fois faire cesser une enquête, ou engager une procédure disciplinaire contre des procureurs pour incompétence. Tout cela réduit considérablement tous les contre-pouvoirs traditionnels d'un État de droit.  

6. Les recours judiciaires (in)disponibles...

Il est possible pour un citoyen polonais de faire un recours devant un tribunal pour refus de traiter les affaires d'espionage illégal. Toutefois, les tribunaux sont dépendants du procureur qui peut refuser d'ouvrir une enquête. Et, dans les cas où un citoyen désire saisir un tribunal civil, celui-ci lui confie la charge de la preuve du fait de la surveillance par la puissance publique, ce qui est pratiquement impossible à prouver quand la police ou les services de renseignement refusent de collaborer. Quant aux recours devant la CEDH ou la CJUE, ils sont trop longs, et ne peuvent pas être totalement considérés comme efficients étant donné que la CJUE et Varsovie entretiennent des relations orageuses. Depuis 2015, Varsovie se permet de ne pas respecter ses arrêts, au mépris des traités européens. 

2. Cadre juridique existant à l'échelle de l'Union Européenne (UE) de la surveillance électronique

Comme nous allons souvent le répéter, l’article 4 au paragraphe 2, du traité de l'UE dispose que “la sécurité nationale relève de la seule responsabilité des États membres”. La sécurité intérieure, donc tout ce qui relève de la police et du renseignement intérieur, est donc relativement peu, voire pas du tout administrée au niveau européen comme peuvent l'être la légalisation commerciale ou la monnaie pour prendre les exemples les plus évidents. Toutefois, L'article 4, paragraphe 3, du traité sur l’Union européenne (TUE) dispose qu’«en vertu du principe de coopération loyale, l’Union et les États membres se respectent et s’assistent mutuellement dans l’accomplissement des missions découlant des traités», cet article vient donc assurer un garde fou : en vertu de la Charte européenne des droits fondamentaux, et des nombreux arrêts de la CJUE et de la CEDH relatifs à  la surveillance policière, Varsovie est tenue de respecter un certains nombre de principes, et les États membres ainsi que l'UE ont un droit limité, mais réel, à le lui rappeler. 

1. Le contrôle européen des achats de système d'armes ou de biens à double usage

Quatre traités ou règlements européens dont Varsovie est membre entrent en considération quand il s'agit d'encadrer les logiciels espions tel que Pegasus. Le premier est L’arrangement de Wassenaar (signé en 1996) relatif au contrôle des exportations des armes conventionnelles et des biens et technologies à double usage. La quasi intégralité des pays membres de l'UE en sont membres. Les pays membres de l'arrangement (qui n'est pas un traité) s'engagent à partager des informations et à établir des listes communes de technologies et d'équipements soumis à des contrôles à l'export. Ces listes incluent à la fois des armes conventionnelles et des biens à double usage. L'objectif principal est d'empêcher la vente ou le transfert de technologies qui pourraient contribuer à des programmes d'armement dans des zones de conflit ou à des régimes qui violent les droits de l'Homme. On peut noter qu'Israël, le pays vendeur, n'est pas membre de l'arrangement. 

Le second est la Directive 2009/81/CE du 13 juillet 2009 relative à la coordination des procédures de passation de certains marchés de travaux, de fournitures et de services par des pouvoirs adjudicateurs ou entités adjudicatrices dans les domaines de la défense et de la sécurité. Cette directive traite des marchés publics dans les domaines de la sécurité. Les achats dans ce domaine sont souvent exclus des règles standard de l'UE sur les marchés publics pour des raisons évidentes. Toutefois, cette directive vise à créer un cadre plus transparent pour ces marchés, en permettant notamment aux PME de plus facilement avoir accès aux appels publics d'offre et à encourager la concurrence transfrontalière. C'est un dossier très sensible, car c'est un domaine qui fait l'objet de rivalités acharnées en Europe, notamment entre l'Allemagne et la France dont les complexes militaro industrielles sont très développés. Selon cette directive, il est possible d'exclure certains marchés du champ d'application de la directive à condition de remplir certaines conditions précises. Il faut prouver que la divulgation d'informations liées à ces marchés reviendrait à mettre en danger la sécurité de l'État. Ce qui revient à permettre les achats secrets d'équipement de sécurité. Cela revient à répéter l'article 346 du Traité sur le fonctionnement de l'Union Européenne (TFUE) qui décrète la même chose. On peut estimer que la Pologne a donc effectué un achat légal, au regard du droit européen, en ne déclarant pas l'achat de Pegasus. Cependant un tel achat doit être justifié pour des raisons impérieuses liées à la sécurité nationale. Il n'est toutefois pas prouvé que la sécurité de la nation polonaise nécessite ce genre d'équipement. 

2. La directive du 12 juillet 2002

Le troisième est la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. Elle vise à protéger la vie privée des individus dans le secteur des communications électroniques. Bien que l'espionnage informatique ne soit pas son cœur de cible, la législation sur la surveillance numérique des États sur leurs citoyens rentre clairement dans son périmètre d'application notamment dans son article 15 qui stipule que les États peuvent prendre des mesures législatives visant à limiter la portée des droits [...]  lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - [...]. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire. Ainsi les lois relatives à la surveillance électronique doivent respecter la Convention européenne des droits de l'Homme, auquel l'union adhère par son article 6 paragraphe 2 du TUE, et la Charte européenne des droits fondamentaux. 

3. La convention 108 donne un cadre clair sur l'usage des logiciels espions 

Le troisième est la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention 108, ouverte à la ratification en 1981), qui a été mise à jour en 1999 puis à nouveau 2018 et s’appelle désormais Convention 108+. Bien que la Convention 108 offre une certaine latitude pour les mesures de sécurité intérieure, selon son article 9 dans sa version de 1999 ces mesures ne sont pas illimitées. Une loi de limitation des libertés numériques doit “respecter l’essence des droits et libertés fondamentales, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique : a à la protection de la sécurité nationale, [...] à l’impartialité et à l’indépendance de la justice…” 

Elles doivent être ainsi conformes aux principes de légalité, de nécessité et de proportionnalité et elles doivent être sous le contrôle d'une autorité indépendante pour garantir qu'elles ne portent pas atteinte aux droits fondamentaux. Bien évidemment, la Pologne est signataire de la convention 108.

Tout cela vient démontrer que, bien que le domaine de la sécurité intérieure soit bel et bien une compétence souveraine dans laquelle l'Union intervient peu, le droit européen et le droit du Conseil de l'Europe imposent un certain nombre de limites à l'usage des dispositifs tels que les logiciels espions. 

4. Jurisprudence européenne pertinente 

Plus d'une fois la CJUE ou la CEDH ont émis des arrêts ayant force contraignante sur la Pologne sur des sujets ayant trait à la surveillance numérique. Dans son arrêt du 6 octobre 2020, Privacy International contre Secretary of State for Foreign and Commonwealth Affairs la CJUE décrète que bien “qu’il appartienne aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure, le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union et dispenser les États membres du respect nécessaire de ce droit.”

Dans son arrêt du 21 décembre 2016, Tele2 Sverige AB contre Post- och telestyrelsen et Secretary of State for the Home Department contre Tom Watson, la CJUE estime que selon “l'article 15, paragraphe 1, [...] de la directive vie privée et communications électronique  [...], il n'est pas possible que  réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique. 

Dans son arrêt  de 2015 dans l’affaire Roman Zakharov c. Russie, la CEDH a estimé qu’en ce qui concerne la surveillance secrète des citoyens, il était nécessaire de définir des critères stricts, d’assurer un contrôle judiciaire en bonne et due forme, de détruire immédiatement les données non pertinentes, d’exercer un contrôle juridictionnel sur les procédures d’urgence et de mettre en place des obligations d’information des victimes.” Enfin, il “irait à l’encontre de la prééminence du droit que le pouvoir d’appréciation en matière de surveillance secrète soit entièrement accordé à l’exécutif”.

L'analyse de ces écoutes et de la législation permisive qui permet ces abus à finalité politique est nécessaire pour comprendre en quoi les deux sont imbriqués dans la logique ilébéralle dans laquelle s'obstine le gouvernement polonais depuis 2015.

Dans une prochaine partie, nous étudirons en quoi ces abus violent le droit européen, notamment la Charte européenne des droits de l'Homme, ce qui devrait enclencher potentiellement une réponse de Bruxelles. Car Pegasus  constitue une violation flagrante de l’État de droit, des valeurs de l’UE et des principes démocratiques les plus élémentaires d’élections libres et équitables”, assure Juan Ignacio Zoido, porte-parole du groupe du Parti populaire européen (PPE) au sein de la commission d’enquête. Ce qui ne fut pas le cas, en partie par respect de la part des institutions européennes du principe de sécurité intérieure invoqué par Varsovie. 

Bibliographie

Textes de loi et réglementations :

• Charte des droits fondamentaux de l'UE.

• Convention européenne des droits de l'Homme.

• Règlement général sur la protection des données (RGPD).

Ouvrages académiques et articles scientifiques :

• HOLEINDRE (J-V), OUDET (B). "Les études sur le renseignement en France : généalogie, structuration et propositions”, Note de recherche de l’IRSEM, n°67, 27 novembre 2018, disponible à : https://www.irsem.fr/media/5-publications/notes-de-recherche-research-papers/nr-irsem-67-holeindre-oudet-renseignement-web-v2.pdf 

Articles de presse : 

• DA SILVA (L), VERDES (J). “Etat de droit : chronologie du conflit entre l’Union européenne et la Pologne”, Toute l’Europe, 16 mai 2023, disponible à :  Etat de droit : chronologie du conflit entre l’Union européenne et la Pologne 

• JACQUÉ (P). “Logiciels espions : le Parlement européen demande aux Etats membres de mieux encadrer leur utilisation”, Le Monde, 8 mai 2023, disponible à :  Logiciels espions : le Parlement européen demande aux Etats membres de mieux encadrer leur utilisation

• UNTERSINGER (M). “ “Les logiciels espions sont des outils très dangereux, dévastateurs” : Guillaume Giraud, un ancien du renseignement se confie”, Le Monde, 29 septembre 2022, disponible à : Les logiciels espions sont des outils très dangereux, dévastateurs 

• LISSITZKY (T). “Ce que la loi sur le renseignement va finalement changer”, France Info, 24 juin 2015, disponible à : Ce que la loi sur le renseignement va finalement changer

Rapports et textes officiels : 

• Haut-Commissariat des Nations Unies aus droit de l’Homme, “Rapport sur le droit à la vie privée à l’ère du numérique”, Nations Unies, 3 août 2018, disponible à : Rapport sur le droit à la vie privée à l’ère du numérique

• IN’T VELD (S), Rapport relatif à l’enquête sur les allégations d’infraction et de mauvaise administration dans l’application du droit de l’Union lors de l’utilisation de Pegasus et de logiciels espions de surveillance équivalents, Parlement européen, 22 mai 2023, disponible à : 

https://www.europarl.europa.eu/doceo/document/PEGA-RD-740554_FR.pdf  

• KALDANI (T), PROKOPETS (Z). “Le logiciel espion Pegasus et ses répercussions sur les droits de l’Homme”, Rapport du service de la Société de l’Information du Conseil de l’Europe (DGI), juin 2022, disponible à :  LE LOGICIEL ESPION PEGASUS et ses répercussions sur les droits de l’homme, 

Documentaires : 

• “Pegasus, un espion dans votre poche” ARTE, Documentaire d'Anne Poiret (France, 1h33mn) 17 mai 2023, disponible à :Pegasus, un espion dans votre poche | ARTE 

Jean Desbois

Nonidi 19 Fructidor CCXXXI