Pegasus : quand la cybersécurité devient un enjeu légal

Avec l'avènement des technologies numériques et l'explosion des données personnelles stockées en ligne, la cybersurveillance est devenue une réalité omniprésente dans notre société contemporaine. C’est dans ce contexte que ces dernières années ont été marquées par une montée en puissance des technologies de cybersurveillance. Des États aux entreprises privées, nombreux sont ceux qui utilisent des outils sophistiqués pour espionner, collecter et analyser des informations sur des individus sans leur consentement. L'affaire Snowden a ainsi révélé en 2013 l'étendue des programmes de surveillance menés par les agences de renseignement. Ceci a souligné la nécessité de reconsidérer les cadres légaux et éthiques entourant ces pratiques, notamment celles liées à Internet. Le Règlement général de protection des données, aussi connu sous les initiales de RGPD a par exemple été établi en 2016 par l'Union Européenne suite à cette affaire afin de mieux définir les données personnelles et d'établir un cadre autour de leur partage.

En 2019, malgré les mesures prises suite à l'affaire Snowden, les inquiétudes vis à vis des technologies de surveillance ressurgissent suite aux révélations d’un consortium de journalistes sur l'utilisation du logiciel cyber espion Pegasus. Développé par la société israélienne NSO Group et commercialisé uniquement aux Etats et aux agences gouvernementales avec l’approbation du gouvernement israélien, ce cyber logiciel se distingue par sa capacité redoutable à infecter les téléphones de manière indétectable

Pourtant, alors que NSO Group présente Pegasus comme un outil destiné à aider les services de renseignements dans leur lutte contre les réseaux criminels et le terrorisme, les investigateurs du “Projet Pegasus” révèlent que le logiciel est utilisé pour espionner des populations clefs comme des chefs d’Etat, des journalistes, des militants pour n’en citer que quelques-uns. Pegasus repose en effet sur une technologie qui lui permet de s'infiltrer dans des appareils tels que les smartphones, qu'ils fonctionnent sous le système d'exploitation iOS d'Apple ou Android de Google. Il offre un accès complet et illimité à toutes les informations stockées sur l'appareil, y compris aux contacts, photos, mots de passe, emails, et conversations chiffrées. Il peut également transformer le téléphone en véritable dispositif d’écoute et de surveillance en activant les micros et les caméras de celui-ci. Son utilisation contre des journalistes, des chefs d’Etats, des militants, etc peut donc s’avérer très intéressante pour quiconque souhaiterait garder le contrôle sur sa population ou obtenir des avantages géopolitiques certains.

Les pays ayant acquis cet outil sont donc nombreux : quinze au total, le principal étant le Mexique.[1]

Carte représentant les différents clients de NSO Group

L’utilisation d’un tel logiciel pose de nombreux problèmes. Elle représente en particulier une réelle menace pour les droits individuels et la citoyenneté puisque Pegasus viole le droit à la vie privée et est utilisé principalement contre des acteurs essentiels de la démocratie tels que les journalistes. Par ailleurs, son utilisation a permis de mettre en valeur les très nombreuses failles du cadre légal et éthique relatif aux technologies de surveillance. C’est pourquoi nous avons décidé de réaliser notre projet exploratoire autour de ces questions.

Réaliser cette exploration a été un véritable défi en raison de la rareté des informations disponibles sur Pégasus. Pendant un mois et demi, nous avons tenté de contacter des salariés de NSO Group, des journalistes ayant participé au Projet Pegasus, des députés ayant participé aux rapports de l’Union Européenne sur le sujet ainsi que des experts dans le domaine des technologies de cyber-surveillance comme Steven Feldstein de The Carnegie Endowment for International Peace, qui a publié plusieurs articles sur la cybersécurité et les logiciels d'espionnage. Toutefois, sur les 24 personnes contactées, seule Jeanne Ohamo, attachée de presse du parlement européen nous a répondu, en nous indiquant qu’elle ne pourrait pas nous aider.

Pour réaliser nos recherches, nous avons donc dû nous contenter d’articles de journal et de rapports de sources fiables sur le sujet. Le travail d’Amnesty International sur le sujet nous a été particulièrement utile puisque l’ONG a joué un rôle majeur dans la dénonciation des abus d’utilisation de Pegasus en menant des enquêtes approfondies via son laboratoire de recherche appelé “Security Lab”. Nous nous sommes également beaucoup intéressées aux rapports produits par l’Union Européenne qui analysent l’impact des technologies de surveillance sur les droits humains et les évolutions nécessaires des cadres légaux et éthiques.

En nous appuyant sur ces sources, nous avons donc tenté de répondre à la question suivante : Comment le logiciel espion Pegasus, qui menace les droits individuels et la citoyenneté, souligne-t-il l’importance de faire évoluer le cadre légal et éthique autour des technologies de surveillance ?

Pegasus, une menace pour les droits fondamentaux et la démocratie

Une atteinte aux droits individuels et à la vie privée

L’entreprise NSO, fondatrice de Pegasus, ne cesse de défendre ses positions en réaffirmant que la vente de ce logiciel est exclusivement décernée à des entités gouvernementales. Au cours de l’affaire, le consortium de journalistes a relevé que onze États utilisaient Pegasus pour cibler les communications de journalistes, militants, dissidents ou politiques. Ainsi se pose la question de la légitimité de leur exploitation. Se cantonnent - elles réellement à la défense et prévention “des activités criminelles graves et terroristes.” ?

Bien que présenté comme un outil sécuritaire, Pegasus s’avère aujourd’hui être un instrument de surveillance massive, comme l’ont démontré journalistes et experts. Si son usage devait se cantonner à des cadres étatiques précis, les faits révèlent des objectifs bien plus divers. Chaque État-acheteur s’approprie ce logiciel pour des usages qui touchent à ses intérêts souverains, qu’ils soient nationaux ou internationaux.

La page d’accueil du site de NSO Group

En Espagne, par exemple, Pegasus a été utilisé dans un contexte de contrôle politique interne. Le 18 avril 2022, Citizen Lab, une organisation canadienne, publie un rapport révélant que les téléphones de plus de 60 indépendantistes catalans auraient été infectés par Pegasus entre 2017 et 2020. Parmi les victimes figurent des figures politiques de premier plan. Le Centre national du renseignement espagnol (CNI) est alors présenté comme l’auteur des faits. Finalement, la directrice des services secrets Paz Esteban admet le 5 mai 2022 que 18 personnes ont bien été visées par ces espionnages. Elle assure toutefois que ces opérations ont menées dans un cadre légal. Ce scandale conduit le gouvernement espagnol à réformer ses services de renseignement. Cet exemple met donc en lumière une contradiction fondamentale : l’usage de Pegasus, censé protéger l’État de droit, semble au contraire remettre en cause les principes mêmes de souveraineté interne.

Au-delà des affaires internes, l’affaire Pegasus révèle aussi l’utilisation du renseignement numérique comme un levier géopolitique. En effet, les rivalités interétatiques exploitent cet outil pour outrepasser la souveraineté d’autres nations. Le renseignement devient alors un moyen illégal de maintenir sa compétitivité en matière de hard power numérique, où la maîtrise des données et des communications constitue un enjeu central.

Les tensions entre le Liban et l’Arabie saoudite illustrent bien ces enjeux géopolitiques. Les monarchies du Golfe, profondément opposées à l’Iran – premier financeur du Hezbollah actif au Liban –, utilisent Pegasus pour cibler des personnalités proches de cette organisation. Entre 2018 et 2019, les Émirats arabes unis et l’Arabie saoudite auraient ainsi espionné plus de 300 cibles, parmi lesquelles le Premier ministre libanais Saad Hariri, le président Michel Aoun, des journalistes et plusieurs ministres. Ce cas montre comment le cyberespionnage dépasse les frontières nationales pour devenir un outil stratégique au service des ambitions régionales.

Les tensions opposant le Liban et l’Arabie saoudite sont en ce sens révélatrices des enjeux de pouvoirs sous-jacents à cette surveillance de masse. Effectivement, les monarchies du golf sont profondément opposées à l’Iran qui est l’un des premiers financeurs du Hezbollah présent au Liban. Ainsi, les Emirats Arabes Unis et l’Arabie saoudite ont ciblé plus de 300 noms proches de cette organisation militaire entre 2018 et 2019. On compte notamment dans cette liste, le premier ministre du Liban Saad Hariri, le président Michel Aoun, des journalistes et beaucoup de ministres.

Le premier ministre libanais Saad Hariri[2]

À l’échelle européenne, les problématiques de souveraineté face à l’enjeu du contrôle du cyberespace sont tout aussi préoccupantes. Après la découverte de l’infection téléphonique du commissaire européen à la justice, Didier Reynders, et de quatre autres fonctionnaires, une question majeure se pose : qui est l’auteur de cette attaque ? Pourtant, la Commission européenne se révéle incapable d’en déterminer l’origine. Elle a indique ne pas avoir de compétence en matière de contrôle sur les services de renseignement, renvoyant cette responsabilité aux États membres, censés mener leurs propres enquêtes. Les citoyens, quant à eux, sont invités à recourir à une justice indépendante du pouvoir pour défendre leurs droits.

Cette impuissance institutionnelle met en lumière une faille majeure : la souveraineté externe des États est menacée par l’usage massif de logiciels comme Pegasus. Ce principe repose sur l’idée qu’un État dispose d’une autorité exclusive sur son territoire et sur sa population, sans qu’aucune entité étrangère ne puisse interférer dans ses affaires internes. En théorie, l’État n’est subordonné à aucune autre entité, conformément au principe d’égalité souveraine énoncé à l’article 2, alinéa 1, de la Charte des Nations Unies. Pourtant, cet équilibre est bafoué, et la cybersurveillance montre à quel point ces principes sont fragiles dans un monde interconnecté.

Mais le principe d’égalité entre les Etats est bafoué alors que la Charte des Nations Unies parle “d’égalité souveraine” à l’article 2 alinéa 1.

Au-delà des relations interétatiques, les individus eux-mêmes deviennent des cibles privilégiées dans ces conflits numériques. Ces formes d’espionnage s’observent notamment entre le Rwanda et l’Afrique du Sud, ou encore entre l’Inde et le Pakistan. Par exemple le Premier ministre du Pakistan Imran Khan a été surveillé par les autorités indiennes via Pegasus, dans un contexte de tensions religieuses et géopolitiques entre les deux nations.

Les journalistes tirent un constat alarmant : les États exploitent Pegasus pour surveiller leurs opposants politiques, sans que les pays ciblés puissent s’en apercevoir. En France, par exemple, le président Emmanuel Macron a été espionné via son téléphone personnel. Les services de renseignement français n’en ont pris conscience qu’après les révélations de Forbidden Stories, l’un des instigateurs de ce scandale. Face à la gravité des faits, le gouvernement a demandé à Forbidden Stories de communiquer la liste des 50 000 cibles potentielles identifiées. Cet épisode souligne l’impuissance des États, même les plus puissants, face à des menaces numériques transnationales qui échappent au cadre traditionnel de la souveraineté nationale. Cette impuissance des États face aux intrusions numériques souligne une autre dimension cruciale de l’affaire Pegasus : au-delà des souverainetés nationales, ce sont les droits fondamentaux des individus, et notamment leur droit à la vie privée, qui se retrouvent gravement menacés.

Une stratégie de surveillance de masse menaçant les démocraties

Le logiciel espion Pegasus représente une menace directe et grave pour les libertés individuelles et le droit à la vie privée. [^3]

Ce droit à la vie privée est un droit fondamental inscrit dans les conventions internationales, telles que l’article 17 du Pacte international relatif aux droits civils et politiques ou l’article 8 de la Convention européenne des droits de l’homme (CEDH). Ces textes garantissent que nul ne peut faire l’objet d’atteintes arbitraires à sa vie privée, sauf dans des conditions strictes :

“ Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui.”[4]

Cependant, Pegasus viole ces principes fondamentaux. Il collecte des données personnelles en temps réel et de manière clandestine, en s’introduisant secrètement dans les appareils des individus sans leur consentement pour collecter en continu des données personnelles, incluant des appels, messages, photos, vidéos et courriels.

Outre les violations directes de la vie privée, l’utilisation de Pegasus restreint également d'autres droits fondamentaux tels que la liberté de réunion et la liberté d’expression. Les intrusions numériques limitent la possibilité pour les individus de s’exprimer librement, car ils craignent que leurs propos ou actions soient surveillés et potentiellement réprimés. Cette atmosphère oppressante évoque l’univers dystopique décrit dans 1984 de George Orwell, où la phrase “Big Brother is watching you” trouve un écho troublant dans l’affaire Pegasus.

Les répercussions de Pegasus sont particulièrement alarmantes dans des contextes où les libertés fondamentales sont déjà fragiles.

Au Mexique, où la liberté d’expression est déjà restreinte, Pegasus a été utilisé pour surveiller de nombreux membres de la société civile dont des journalistes, des militants et des défenseurs des droits humains. [5] Parmi eux, Cecilio Pineda Brito, un journaliste qui dénonçait les liens entre la police et les cartels locaux suite à son enquête sur le narcotrafic dans la région de Tierra Caliente. Le 2 mars 2017, il a été pris pour cible par un commando. Plus tard, on découvrira que son numéro de téléphone figurait parmi les 15 000 contacts surveillés au Mexique.

De même, l’affaire Jamal Khashoggi, journaliste ayant critiqué la monarchie saoudienne et assassiné à Istanbul, illustre les dérives extrêmes de ce logiciel. Quatre jours après sa mort, ses échanges et déplacements étaient déjà sous surveillance.

Ces cas montrent comment Pegasus peut être utilisé pour cibler des voix critiques et compromettre leur sécurité.

Le logiciel est aussi employé pour surveiller des familles et des militants engagés dans des luttes pour la justice.[6]

En Belgique, la fille de Paul Rusesabagina, opposant du président Kagame en prison au Rwanda qui s’était battue afin de libérer son père, a vu son téléphone infecté par Pegasus.Ses échanges et actions pour obtenir la libération de son père ont été interceptés, révélant l’ampleur des intrusions transnationales. La jeune femme a dénoncé l’absurdité de cette situation, où un pays comme le Rwanda consacre des millions à la surveillance numérique plutôt qu’au développement de sa population.

De même, les familles des 43 étudiants disparus d’Ayotzinapa au Mexique en 2014 ont été espionnées alors qu’elles cherchaient à obtenir des réponses sur le sort de leurs proches. Cette affaire illustre un phénomène plus large de harcèlement et d’intimidation à l’encontre des familles de disparus au Mexique, qui se battent pour obtenir justice. [7]

En ciblant ces populations vulnérables et en violant la vie privée des individus, Pegasus va bien au-delà de son objectif déclaré de lutte contre la criminalité et le terrorisme.Bien que NSO Group défende son produit comme un outil essentiel pour garantir la sécurité des États, les multiples abus rapportés montrent que cette justification ne respecte pas les principes de légalité, de nécessité et de proportionnalité.

Les rapporteurs spéciaux des Nations Unies rappellent d’ailleurs que la surveillance des communications, même pour des raisons de sécurité nationale, ne devrait être autorisée que dans des circonstances exceptionnelles et avec des garanties juridiques strictes pour éviter les abus:

« Leur utilisation ne peut être justifiée que dans dans le cadre d’enquêtes sur des crimes graves et des menaces graves pour la sécurité ».[8]

Il est urgent de mettre en place un cadre juridique et éthique pour réguler ces technologies de surveillance et protéger les droits individuels. Des institutions comme le Conseil des droits de l’homme des Nations Unies et des organisations telles qu’Amnesty International plaident pour des restrictions strictes et un contrôle transparent de ces outils. Ce cadre devrait inclure des mécanismes de transparence, de proportionnalité et de recours judiciaire pour les victimes de surveillance, afin de garantir que des outils comme Pegasus ne soient utilisés que dans des contextes véritablement justifiés et sous le contrôle d’une autorité indépendante.

Le Projet Pégasus : Révélateur des failles du cadre légal et nécessité d’une régulation internationale plus stricte

Une mise en lumière des lacunes juridiques face aux technologies de surveillance

En révélant les multiples atteintes au droit individuel et à la citoyenneté causées par le logiciel de cyber-espionnage Pegasus, les journalistes et laboratoires soulignent les nombreuses lacunes juridiques face aux technologies de surveillance. En effet, les outils juridiques en place jusqu’en 2021 n’ont pas permis de protéger les propriétaires des 50 000 téléphones potentiellement infectés par le logiciel. Le scandale lié à Pegasus révèle en particulier trois failles du cadre juridique.

Tout d’abord, Pegasus a permis de révéler l’absence de cadre juridique relatif au cyber-espionnage dans de nombreux pays, laissant les États libres d’espionner leurs citoyens sans risque d’être poursuivis.[13]

C’est le cas, par exemple, au Maroc, où le cadre juridique relatif au cyber-espionnage est inexistant. Le régime en place a ainsi pu espionner de nombreux journalistes, opposants politiques et activistes sans contrainte légale. Nombre de citoyens marocains visés par ce logiciel de cyber-espionnage ont ensuite été arrêtés, diffamés, ou ciblés par les services de renseignement de manière à les intimider ou à les réduire au silence. Certains d’entre eux, comme le rédacteur en chef Soulaiman Raissouni, sont toujours en prison. L’absence de cadre juridique national relatif au cyber-espionnage représente ainsi un danger majeur pour les personnes soupçonnées de menacer le régime marocain, qui peuvent être surveillées et persécutées sans recours possible.

Ensuite, l’exemple du Maroc illustre également une autre faille juridique face au cyber-espionnage : même lorsque des pays disposent d’un cadre juridique, ils n’ont pas forcément les outils pour protéger les droits de leurs citoyens face aux ingérences étrangères.

En effet, même les États dotés de législations strictes, comme la France, ne parviennent pas toujours à protéger efficacement leurs citoyens contre le cyber-espionnage extérieur. La France, par exemple, dispose d’un cadre juridique précis inscrit dans le Code pénal, qui protège la vie privée des citoyens et interdit le cyber-espionnage, sauf lorsqu’il est réalisé à des fins de sécurité nationale. Toutefois, elle n’a pas pu se protéger de l’ingérence marocaine. Selon des médias ayant participé au Projet Pegasus, une trentaine de journalistes français auraient été visés par les autorités marocaines, dont Edwy Plenel, fondateur de Mediapart. Son téléphone aurait, d’après Amnesty International, été infecté pendant au moins trois mois, suite à des prises de position critiques sur le mouvement de protestation du Hirak marocain et la répression des manifestations. Plus grave encore, le Maroc aurait espionné en 2019 Emmanuel Macron, alors président, ainsi que le Premier ministre Édouard Philippe et quatorze autres membres du gouvernement français. Bien que ces révélations aient affecté les relations franco-marocaines, aucun procès n’a été intenté contre le Maroc. Ces révélations ont toutefois conduit le Maroc à entamer des démarches judiciaires, mais pas pour se défendre face aux accusations de cyber-espionnage : le pays a cherché à poursuivre en diffamation les médias et associations françaises ayant révélé l’affaire.

Enfin, l’utilisation de Pegasus par des régimes autoritaires montre également les limites du droit international pour protéger les droits individuels et la vie privée.

En effet, selon le droit international des droits de l’homme, nul ne doit être soumis à des ingérences arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni à des atteintes à son honneur et à sa réputation. Malgré cette protection théorique, le Projet Pegasus a révélé que le droit international reste impuissant à protéger les citoyens, même dans les démocraties, contre des violations massives de la vie privée. Ainsi, il est peu surprenant que ce même cadre juridique n’ait pu protéger les citoyens de régimes autoritaires, comme l’entourage du journaliste saoudien Jamal Khashoggi, espionné dès 2017 par l’Arabie saoudite et les Émirats arabes unis. Ce cas souligne une limite inhérente du droit international : ce dernier repose sur la coopération des États, ce qui rend difficile l’imposition de sanctions ou d’enquêtes efficaces contre des pays peu coopératifs.

Ainsi, l’utilisation de Pegasus s’appuie sur trois failles majeures du cadre juridique : l’absence de lois protégeant les citoyens dans certains pays, l’incapacité à faire respecter le droit national face aux intrusions étrangères, et les limites du droit international dans la protection de la vie privée. En exploitant ces failles, les logiciels cyber-espions ne se contentent pas de bafouer le droit à la vie privée. Ils affectent également des libertés fondamentales telles que la liberté d’opinion et la liberté de la presse, et menacent ainsi des rouages essentiels des démocraties. Par exemple, au Mexique, le gouvernement utilise Pegasus depuis 2011 pour cibler les militants anti-corruption, limitant de facto la liberté d’action et d’expression des défenseurs des droits.

En outre, le Projet Pegasus lui-même souligne les lacunes du système actuel pour protéger les droits individuels et la citoyenneté. C’est uniquement grâce au travail d’un consortium de journalistes de Forbidden Stories et à l’expertise informatique du Citizen Lab d’Amnesty International que l’ampleur de l’utilisation de Pegasus a été révélée, permettant à la justice de se saisir de l’affaire. Ceci montre que pour garantir un cadre juridique réellement protecteur, il est essentiel non seulement de réformer les lois relatives au cyber-espionnage mais aussi de renforcer la protection des journalistes et des laboratoires indépendants. Leur travail compense, en partie, les défaillances étatiques et garantit la transparence nécessaire à la défense des droits fondamentaux.

Page d’accueil du Cyber-Security Lab d’Amnesty International, un des instigateurs du projet Pegasus

Vers un renforcement du droit international : encadrement juridique et protection des droits humains à l’ère numérique

Le scandale Pegasus, bien que lourd de conséquences pour ces 50 000 victimes potentielles, a eu des répercussions notables, notamment grâce au Projet Pegasus publié par Amnesty International en 2021. À la suite de ces révélations, le gouvernement américain a inscrit NSO Group sur liste noire, affaiblissant l’entreprise sans toutefois la faire disparaître. Cependant, si l’on observe les tendances globales de l’industrie des logiciels espions, cet événement n’a pas eu l’effet catalyseur espéré pour inciter les gouvernements à une régulation efficace.

Certains gouvernements ont pris des mesures importantes pour examiner la problématique du cyberespionnage. Comme mentionné,, le gouvernement américain a placé NSO Group sur liste noire. De son côté, le Parlement européen est allé encore plus loin en créant la PEGA (commission d'enquête sur l'utilisation de Pegasus et de logiciels espions de surveillance équivalents). Cette commission, qui s'est dissoute en 2023 avec un rapport final de 145 pages sur ce qu’elle a trouvé et ses recommandations, a enquêté sur les abus gouvernementaux spécifiques de Pegasus, et d’autres logiciels équivalents, dans les pays de l'UE et au-delà. À la suite de ces investigations, PEGA a dressé une liste de recommandations à l'intention de l'UE.

Bien qu’il existe déjà des lois visant à protéger les citoyens, notamment celles régissant l’utilisation proportionnée des logiciels espions, PEGA a constaté qu’elles n’étaient manifestement pas suffisantes. Ainsi, l’une des recommandations adoptées par l’UE a été de demander aux États membres qui autorisent encore l’usage des logiciels de cybersurveillance de mettre en place et d’appliquer rigoureusement « des lois claires et efficaces pour les encadrer en détail ». [9]

L'un des principaux problèmes mis en évidence par le rapport PEGA est la vitesse à laquelle les progrès technologiques en matière de logiciels espions ont été réalisés, laissant le vaste système bureaucratique loin derrière et permettant aux gouvernements et entreprises d'abuser des technologies les plus récentes en toute impunité.

Le projet Pegasus a souligné l’urgence d’instaurer une transparence gouvernementale et a mis en lumière les lacunes du cadre juridique actuel pour prévenir les violations des droits humains liées à la surveillance de masse par des logiciels espions. En réponse, le rapport PEGA 2023 a recommandé la création d’un organisme indépendant chargé de superviser l’utilisation de ces technologies. Pourtant, un an après cette proposition, peu de progrès concrets ont été réalisés pour concrétiser cette initiative.

L’inaction persistante de l’Union européenne face à ces technologies est d’autant plus préoccupante que, quelques mois après l’adoption de nombreuses recommandations du rapport PEGA, il a été révélé que des logiciels espions développés dans l’UE étaient largement utilisés en Afrique pour surveiller des citoyens. Pire encore, certaines agences européennes financent elles-mêmes, à hauteur de plusieurs milliards d’euros, des projets de surveillance aux frontières et d’identification biométrique en Afrique, sans évaluer convenablement les risques pour les droits humains.[10]

Ainsi, malgré les révélations du projet Pegasus, l’Union européenne semble toujours manquer de volonté politique pour s’attaquer efficacement aux dérives de la cybersurveillance.

En dehors de l’Union européenne, la réponse internationale aux problèmes révélés par le projet Pegasus reste tout aussi timide. Aux États-Unis, après avoir inscrit NSO Group sur leur liste noire, les autorités n'ont pris que des mesures limitées. Quelques avancées ont été réalisées en 2023, lorsque le président Biden a signé un décret imposant des restrictions à l’utilisation gouvernementale de logiciels espions commerciaux. De plus, les États-Unis ont collaboré avec d’autres nations lors des deux derniers Sommets pour la Démocratie afin d’élaborer une déclaration commune visant à freiner la prolifération et l’usage abusif de ces technologies. Cependant, comme dans le cas de l’UE, ces initiatives peinent à être suivies d’actions concrètes.

Le rapport de 2023, qui dénonçait l’implication des pays européens dans le cyberespionnage en Afrique, a également mis en lumière l’exportation de logiciels espions par des entreprises américaines. Bien que les États-Unis affichent une volonté claire de protéger leur propre cybersécurité, ils semblent bien moins préoccupés par la régulation de l’usage de technologies américaines à l’international, en dépit des engagements pris dans les déclarations conjointes.[11]

Enfin, même la cybersécurité intérieure des États-Unis reste un sujet de préoccupation. Avec la perspective d’un retour possible de Donald Trump à la présidence, l’avenir des efforts américains en matière de régulation des logiciels espions et de cybersurveillance demeure incertain, risquant de remettre en question les progrès réalisés jusqu’à présent.

**Offre de technologies de surveillance à destination de pays africains

Pour conclure sur l’Union européenne, il convient de souligner qu’elle reste l’un des acteurs ayant le plus œuvré pour la protection des droits de l’homme sur Internet et pour combler les lacunes du cadre juridique actuel. Cependant, le rapport PEGA souligne une ironie troublante : il identifie le travail des journalistes et des lanceurs d’alerte comme la protection la plus efficace contre les logiciels espions, alors même qu’ils figurent parmi les principales cibles de ces technologies. [12]

Cette réalité souligne l’incapacité persistante des gouvernements mondiaux, ainsi que des grandes institutions comme l’UE et l’ONU, à apporter une réponse adaptée et efficace à la menace croissante du cyberespionnage. En dépit des discours et des initiatives, le décalage entre les ambitions affichées et les actions concrètes demeure alarmant.

L’impact de Pegasus et d’autres logiciels espions similaires sur les droits de l’homme est considérable, comme cela a été démontré à plusieurs reprises. Toutefois, les rapports détaillés de l’UE, aussi approfondis soient-ils, ne devraient pas laisser entendre que la défense des droits humains repose uniquement sur les épaules des journalistes. Comme de nombreux experts l’ont souligné, un changement global s’impose. Le cadre juridique international doit être repensé et renforcé pour mieux protéger les citoyens non seulement contre Pegasus, mais également contre toutes les technologies menaçant leurs droits fondamentaux.

Conclusion

L’affaire Pegasus illustre avec force comment les logiciels espions menacent les droits fondamentaux et la citoyenneté, tout en mettant en lumière les lacunes des cadres légaux et éthiques existants. En permettant des intrusions massives dans la vie privée, ces technologies révèlent l’urgence de repenser les régulations pour garantir un usage strictement encadré et proportionné. Le décalage entre la rapidité des avancées technologiques et la lenteur des institutions à réagir expose les individus, notamment les journalistes et militants, à des abus graves.

Pour répondre à ces enjeux, il est essentiel de créer des mécanismes internationaux transparents et indépendants, capables de prévenir les dérives et de protéger les droits humains. À travers Pegasus, ce n’est pas seulement la cybersécurité qui est en question, mais la capacité des démocraties à adapter leur cadre juridique face aux défis numériques du XXIème siècle.

💡 Pour aller plus loin

Bibliographie

« Affaire Pegasus : quelles avancées depuis le scandale des révélations ? » Amnesty France, https://www.amnesty.fr/liberte-d-expression/actualites/pegasus-quelles-avancees-depuis-les-revelations-surveillance-logiciel-espion. Consulté le 9 novembre 2024.

Amnesty France. “Pegasus : révélations sur un système mondial de surveillance.” Accessed November 8, 2024. https://www.amnesty.fr/actualites/projet-pegasus-revelations-sur-un-systeme-mondial-de-surveillance.

Amnesty France. “Projet Pegasus : au Mexique, des milliers de personnes ciblées par le logiciel espion.” Accessed November 8, 2024. https://www.amnesty.fr/liberte-d-expression/actualites/projet-pegasus-revelations-mexique-logiciel-espion-nso-group.

Belga. “Affaire Pegasus: le téléphone de la fille de Paul Rusesabagina a été ciblé par un logiciel espion.” La Libre.be, November 8, 2024. https://www.lalibre.be/international/afrique/2021/07/20/affaire-pegasus-le-telephone-de-la-fille-de-paul-rusesabagina-a-ete-cible-par-un-logiciel-espion-46PDW4ILDFDQFOU3TWRBF76BOE/.

Epthinktank. “What Action Has Parliament Taken against Spyware Abuse?,” June 2, 2024. https://epthinktank.eu/2024/06/02/what-action-has-parliament-taken-against-spyware-abuse/.

European Parliament, “L’incidence de Pegasus sur les droits fondamentaux et les processus démocratiques,” Département thématique des droits des citoyens et des affaires constitutionnelles Direction générale des politiques internes - PE 740.514 – janvier 2023, 43.

Feldstein, Steven, and Brian Kot. “Why Does the Global Spyware Industry Continue to Thrive? Trends, Explanations, and Responses.” Carnegie Endowment for International Peace, 2023. https://www.jstor.org/stable/resrep48430.

Franceinfo. “ENQUÊTE. Le projet Pegasus : un logiciel espion utilisé par des États pour cibler des politiques, des journalistes, des avocats… y compris des Français,” July 18, 2021. https://www.francetvinfo.fr/monde/proche-orient/disparition-d-un-journaliste-saoudien/enquete-le-projet-pegasus-un-logiciel-espion-utilise-par-des-etats-pour-cibler-des-politiques-des-journalistes-des-avocats-y-compris-des-francais_4707199.html.

Froussard, Alice. « Affaire Pegasus : Israël pris à son propre piège ». Mediapart, 12 février 2022, https://www.mediapart.fr/journal/international/120222/affaire-pegasus-israel-pris-son-propre-piege.

https://www.vie-publique.fr/fiches/269787-la-notion-de-souverainete-dans-les-relations-internationales. Consulté le 9 novembre 2024.

https://www.vie-publique.fr/fiches/269787-la-notion-de-souverainete-dans-les-relations-internationales. Consulté le 9 novembre 2024.

https://www.vie-publique.fr/fiches/271187-quest-ce-que-le-principe-de-la-responsabilite-de-proteger. Consulté le 9 novembre 2024.

KALDANI Tamar, PROKOPETS Zeev, Pegasus et ses répercussions sur les droits de l’homme, Conseil de l’Europe, 2022 Pegasus spyware and its implications on human rights

“La fille d’un opposant rwandais espionnée par Pegasus en Belgique.” July 19, 2021. https://www.lemonde.fr/projet-pegasus/article/2021/07/19/la-fille-d-un-opposant-rwandais-espionnee-par-pegasus-en-belgique_6088774_6088648.html.

Lamant, Ludovic. « Pegasus : vers un nouveau front judiciaire pour les indépendantistes catalans ». Mediapart, 25 avril 2022, https://www.mediapart.fr/journal/international/250422/pegasus-vers-un-nouveau-front-judiciaire-pour-les-independantistes-catalans.

“Pegasus : des lois conformes aux droits de l’homme sont nécessaires pour réglementer les logiciels espions | ONU Info,” July 20, 2021. https://news.un.org/fr/story/2021/07/1100402.

Pegasus : la Catalogne demande des comptes à Madrid sur le possible espionnage de certains de ses élus. 20 avril 2022. Le Monde, https://www.lemonde.fr/projet-pegasus/article/2022/04/20/projet-pegasus-des-deputes-europeens-et-des-independantistes-catalans-cibles-par-le-logiciel-espion_6122902_6088648.html.

« Pegasus Project: 14 World Leaders in Leaked Database ». The Wire, https://thewire.in/world/pegasus-project-14-world-leaders-macron-ramaphosa-michel-imran. Consulté le 9 novembre 2024.

« Projet Pegasus : au Mexique, des milliers de personnes ciblées par le logiciel espion ». Amnesty France, https://www.amnesty.fr/liberte-d-expression/actualites/projet-pegasus-revelations-mexique-logiciel-espion-nso-group. Consulté le 9 novembre 2024.

« Projet Pegasus : le téléphone d’Emmanuel Macron pourrait avoir été espionné ». Amnesty France, https://www.amnesty.fr/liberte-d-expression/actualites/projet-pegasus-revelations-france-logiciel-espion-nso-group. Consulté le 9 novembre 2024.

« [Projet Pegasus] Révélations choc sur un logiciel espion israélien ». Amnesty France, https://www.amnesty.fr/liberte-d-expression/actualites/surveillance-revelations-sur-le-logiciel-espion-israelien-pegasus-nso-group. Consulté le 9 novembre 2024.

Roberts, T. et al. “Mapping the Supply of Surveillance Technologies to Africa: Case Studies from Nigeria, Ghana, Morocco, Malawi, and Zambia.” Institute of Development Studies. Accessed November 11, 2024. https://www.ids.ac.uk/publications/mapping-the-supply-of-surveillance-technologies-to-africa-case-studies-from-nigeria-ghana-morocco-malawi-and-zambia/.

UNGA79: Commercial Spyware and Freedom Online Ministerial. Accessed November 11, 2024. https://www.state.gov/briefings-foreign-press-centers/unga79/commercial-spyware-freedom-online-ministerial/.

United States Department of State. “Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware.” Accessed November 11, 2024. https://www.state.gov/joint-statement-on-efforts-to-counter-the-proliferation-and-misuse-of-commercial-spyware/.

webmaster. « À propos du projet Pegasus ». Forbidden Stories, 18 juillet 2021, https://forbiddenstories.org/fr/a-propos-du-projet-pegasus/.

---

[1]

“ENQUÊTE. Le projet Pegasus.”

[2]

The Time of Israël

[4]

Article 8 de la Convention Européenne des Droits de l’Homme

[5]

“Projet Pegasus : au Mexique, des milliers de personnes ciblées par le logiciel espion.”, Amnesty France

[6]

“La fille d’un opposant rwandais espionnée par Pegasus en Belgique.”, Le Monde

[7]

“Les familles des étudiants disparus d’Ayotzinapa suivies de près par Mexico”, Le Monde

[8]

“Pegasus : des lois conformes aux droits de l’homme sont nécessaires pour réglementer les logiciels espions | ONU Info”

[13]

KALDANI Tamar, PROKOPETS Zeev, Pegasus et ses répercussions sur les droits de l’homme, Conseil de l’Europe, 2022

[9]

European Parliament, The Use of Pegasus and Equivalent Surveillance Spyware: The Existing Legal Framework in EU Member States for the Acquisition and Use of Pegasus and Equivalent Surveillance Spyware, p. 76

[10]

Roberts et al., Mapping the Supply of Surveillance Technologies to Africa, p. 33.

[11]

Roberts et al., Mapping the Supply of Surveillance Technologies to Africa, p. 33.

[12]

European Parliament, The Use of Pegasus and Equivalent Surveillance Spyware: The Existing Legal Framework in EU Member States for the Acquisition and Use of Pegasus and Equivalent Surveillance Spyware, p. 76.