Alors que de nouveaux contrôles à l'exportation de l'UE entrent en vigueur le 9 septembre avec la refonte du règlement sur les doubles usage[1], nous, les organisations soussignées, appelons la Commission européenne ainsi que les 27 États membres de l'UE à donner suite à leur promesse de créer un marché transparent pour les technologies de cybersurveillance. Il faut agir immédiatement pour soumettre ces technologies à des garanties solides en matière de droits humains.
L’enquête dénommée « Projet Pegasus »[2] a révélé l’ampleur des violations des droits des nombreuses personnes ciblées par le logiciel Pegasus, en raison de leur travail en tant que défenseur·e·s des droits humains ou journalistes. Ce projet démontre l’urgence d’une réglementation internationale efficace en matière de vente, d’exportation, de maintenance et d’utilisation des technologies de surveillance. Les révélations ont mis en évidence les échecs à plusieurs niveaux de la prévention de graves violations des droits humains, ainsi que certaines failles significatives de la législation européenne.
Le ciblage de journalistes indépendants en Hongrie via le logiciel espion Pegasus de NSO Group et potentiellement aussi celui d’avocats et de responsables politiques de l’opposition rendent crédibles les allégations selon lesquelles le gouvernement de ce pays, un Etat membre de l’UE, a eu recours à une technologie de surveillance. S’ajoutant aux déclarations de NSO Group [3] selon lesquelles cette société détenait des licences d’exploitation de Chypre[4] et de Bulgarie, dans un contexte peu transparent, ces affaires soulèvent de sérieux doutes quant au régime de régulation de l’UE et au respect des droits humains.
Nous demandons donc à la Commission européenne d'enquêter sur les allégations d'abus de la technologie de surveillance numérique par les autorités hongroises et sur l’éventualité que d’autres Etats-membres de l’UE aient commis le même abus. Cette enquête doit aussi permettre de déterminer si d’autres autorités nationales ont accordé des licences pour l’exportation du logiciel espion de NSO Pegasus. Nous insistons tout particulièrement sur notre appel à un moratoire global sur la vente, le transfert et l’utilisation de technologies de surveillance numérique jusqu’à ce que des garanties adéquates en matière de droits humains soient mises en place, avec le soutien de plus de 150 organisations de défense des droits humains[5] et d’éminents spécialistes de l’ONU[6]. Une réforme à long terme de la politique internationale s’avère nécessaire, et tant qu’un cadre juridique contraignant n’est pas instauré, ce commerce échappant à tout contrôle doit être stoppé.
Outre ces actions urgentes, la Commission européenne et les 27 Etats-membres de l’UE doivent prendre des mesures pour assurer une application rigoureuse du règlement sur les biens et les technologies à double usage et pour élaborer une future réforme internationale.
Recommandations à la Commission concernant la mise en œuvre du règlement 2021 sur les technologies à double usage
Assurer la transparence des exportations : Le nouveau règlement prévoit que la Commission publie un rapport public annuel au Parlement et au Conseil détaillant par État membre le nombre de demandes reçues pour chaque type de technologie de surveillance, l'État membre émetteur et les destinations concernées. Si elle est correctement mise en œuvre, cela pourrait s'avérer le développement le plus important de cette réforme vers un marché dans lequel les entreprises sont tenues responsables de leurs ventes et dans lequel la société civile, les chercheurs et les journalistes peuvent suivre les exportations et alerter les autorités si de nouvelles ventes pourraient présenter de graves risques aux droits humains. Nous restons préoccupés par le fait que l'opacité de cette industrie, y compris autour de la délivrance possible de licences NSO par les autorités des États membres de l'UE, permette d'échapper à la surveillance et à la responsabilité, comme cela aurait été le cas jusqu'à présent dans l'affaire des licences européennes de NSO. Ni les entreprises ni les États concernés ne devraient être autorisés à retenir des informations critiques sous prétexte de secrets commerciaux ou de problèmes de sécurité nationale. Nous recommandons fortement un régime de transparence plus ambitieux comprenant de préférence des rapports mensuels pour contrer les risques liés aux technologies émergentes et à un marché en évolution rapide. Ces rapports doivent inclure au minimum le nombre de demandes de licence par article, le nom de l'exportateur, une description de l'utilisateur final, la destination et l'utilisation prévue, l'agence gouvernementale impliquée, la valeur de la licence et si la licence a été accordée ou refusée. et pourquoi. En outre, les rapports de transparence devraient inclure des informations sur les processus des entreprises afin de garantir la bonne mise en œuvre de leurs obligations de diligence raisonnable pour identifier, prévenir et atténuer les impacts négatifs potentiels et réels sur les droits humains.
Préciser ce qui doit être inclus dans la définition d’une technologie de cyber-surveillance : l’efficacité du nouveau règlement repose sur une interprétation suffisamment large du terme « technologie de cyber-surveillance ». Nous recommandons vivement que la Commission s’assure sans plus tarder que les systèmes spécialement conçus pour effectuer une identification biométrique de personnes naturelles pour des raisons de sécurité soient sujets à un contrôle au sein de la liste de contrôle de l’UE et au sein de l’Arrangement de Wassenaar, lors d’un processus transparent et consultatif, et d’interpréter ces éléments comme constituant une « cyber-surveillance ».
Assurer un échange continu d'informations avec les experts de la société civile : une mise en place efficace du nouveau règlement exige un réel engagement envers la société civile, dont l’expertise est nécessaire pour identifier les risques potentiels en matière de droits humains liés à l’exportation de technologies de surveillance, d’informer sur l’interprétation de la définition d’une « technologie de cyber-surveillance » et d’autres composants clés du règlement. À ce jour, l’engagement de l’UE et des Etats-membres envers la société civile se révèle mitigé et, dans l’ensemble, insuffisant, notamment face aux intérêts concurrents du secteur privé.
Recommandations aux Etats membres allant au-delà du règlement sur les biens et les technologies à double usage :
- Mener une enquête indépendante, impartiale et transparente sur toutes les affaires présumées d’abus de surveillance ciblée ;
- S’assurer de la présence de mécanismes efficaces, notamment au regard de la législation nationale, pour enquêter sur les violations de droits humains, dont les technologies de surveillance, et de demander des comptes aux responsables ;
- Face à l’évidente inadéquation de l’Arrangement de Wassenaar, sur lequel reposent les contrôles d’exportation de l’UE, et de son adhésion limitée, les Etats se doivent d’instaurer un cadre juridique contraignant, en consultation avec les parties prenantes pertinentes de la société civile, afin de gérer l’exportation de technologies de surveillance en prêtant une attention particulière à la prévention des violations des droits humains. Le régime de contrôle d’exportations se doit d’imposer des obligations de réactivité vérifiables aux sociétés quant aux atteintes potentielles et avérées aux droits humains. Cela doit inclure un processus de rapport efficace pour garantir la transparence et le devoir de responsabilité envers le public, les chercheurs, la société civile, les médias et les actionnaires. Le nouveau cadre est censé installer un mécanisme polyvalent efficace permettant aux autorités nationales d’intervenir, même lorsqu’une technologie émergente n’est pas encore répertoriée comme bien contrôlé afin de suivre un marché à évolution rapide ;
- Définir des normes internationales sur la surveillance des forces de l’ordre, du renseignement et de la sécurité comprenant des garanties nationales contre les atteintes disproportionnées et arbitraires aux droits à la vie privée et à la liberté d’expression, dont la liberté de la presse.
Organisations signataires
Access Now
Amnesty International
Comité pour la protection des journalistes
Human Rights Watch
Reporters sans frontières (RSF) (lettre sur RSF.org)
------------------------------
[1] Règlement (UE) 2021/821 du Parlement européen et du Conseil du 20 mai 2021 instituant un régime de l'Union pour le contrôle des exportations, du courtage, de l'assistance technique, du transit et du transfert des biens à double usage (refonte) PE /54/2020/REV/2
[2] Histoires interdites 2021. Projet Pegasus (consulté le 6 septembre 2021) https://forbiddenstories.org/fr/case/le-pegasus-project/
[3] NSO Group 2021. Rapport sur la transparence et la responsabilité (consulté le 6 septembre 2021). https://www.nsogroup.com/wp-content/uploads/2021/06/ReportBooklet.pdf
[4] Des questions ont été soulevées dans le passé au sujet d'éventuelles licences d'exportation accordées par les autorités chypriotes, par exemple par la députée européenne Eva Kaili en octobre 2020, à laquelle le vice-président exécutif Valdis Dombrovskis a répondu en janvier 2021. Une question prioritaire parlementaire actuelle de la députée européenne Sophia in t'Veld reste sans réponse au 6 septembre 2021.
[5] Amnesty International et al. 2021. Lettre ouverte conjointe d'organisations de la société civile et d'experts indépendants appelant les États à mettre en œuvre un moratoire immédiat sur la vente, le transfert et l'utilisation de technologies de surveillance.
[6] HCDH 2021. Scandale des logiciels espions : des experts de l'ONU appellent à un moratoire sur la vente de technologies de surveillance « mettant la vie en danger ». https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=27379&LangID=E
--------------------