Projet Pegasus

Garde-fou des institutions européennes concernant les questions liées à la vie privée et aux données personnelles, le Contrôleur européen de la protection des données (CEPD) vient de publier un rapport sur le logiciel espion Pegasus.

Si le CEPD ne remet pas en cause l'utilisation de logiciels espions dans des cas (vraiment) exceptionnels, il statue que Pegasus ne peut pas être compatible avec l'ordre juridique de l'Union européenne.

Pegasus dans le collimateur du Contrôleur européen de protection des données

Le Contrôleur européen de la protection des données vient de publier un rapport de 12 pages dans lequel il s'inquiète de la protection des données des Européennes et Européens. En cause, des logiciels espions tels que Pegasus, qui représentent, par leur caractère intrusif, « un risque sans précédent mettant en péril l'essence du droit à la vie privée ».

En effet, il s'agit dans le présent rapport de mettre à nouveau en lumière les enjeux autour de l'utilisation étatique d'un tel logiciel espion. Son caractère insidieux, selon la méthode d'attaque « zéro clic » , ainsi que la difficulté à le détecter sur les smartphones infectés, constituent autant de dangers au sein de l'UE. Il est donc indispensable d'imposer des limites à ces usages.

Plus encore, même si l'autorité de contrôle admet que certains enjeux majeurs, comme la lutte contre le terrorisme, peuvent nécessiter des moyens d'exception, c'est précisément le caractère exceptionnel qui est mis en question. Car, pour le CEPD, en plus de la puissance d'un tel spyware, son usage revêt plus de la norme que de l'exception.

Vers un bannissement des logiciels espions dans l'UE

Parmi ses recommandations, le CEPD invite donc les États membres de l'UE à renoncer à l'usage comme au développement sur le sol européen d'un logiciel tel que Pegasus. Le Contrôleur européen de la protection des données rappelle également qu'une jurisprudence à l'échelle européenne existe et peut être invoquée.

De même, la surveillance numérique employée par les États membres ne relève pas du droit national, mais tombe sous le coup du droit communautaire, et donc de la Cour européenne des droits de l'homme. La violation potentielle, par l'usage de logiciels espions, des libertés fondamentales des citoyennes et citoyens de l'UE, est donc en jeu. Il s'agirait, en conséquence, « d'entièrement repenser le système de précaution actuel » au sein de l'Union européenne.

Le CEPD conclut par huit mesures destinées à éviter un usage hors-la-loi de logiciels espions. Parmi elles, on compte des directives visant à « renforcer la surveillance démocratique à l'égard des mesures de surveillance », mais aussi « réduire le risque que ces données obtenues par des méthodes antidémocratiques et de surveillances abusives ne viennent enrichir les bases de données de l'UE comme des États membres » ou encore « stopper l'abus du motif de sécurité nationale pour légitimer politiquement la surveillance ».