Militants, journalistes, opposants politiques, mais aussi chefs d’Etat… L’affaire Pegasus, révélée par le consortium de journalistes Forbidden Stories, a mis au jour un système d’espionnage d’une ampleur inédite. L’utilisation d’un logiciel espion capable de s’infiltrer dans les téléphones portables et d’accéder à toutes les données (messages, photos, mails…), y compris celles contenues dans les messageries cryptées (Signal, WhatsApp ou encore Telegram), a provoqué un véritable scandale, et de nombreuses tensions diplomatiques.

Commercialisé par la société israélienne NSO Group, ce logiciel aurait servi à espionner plus de 50.000 téléphones dans des différents pays. Cette affaire, aux retombées mondiales, pose aujourd’hui de nombreuses questions juridiques sur la sécurité des données personnelles, l’utilisation de logiciels espions, et les poursuites judiciaires qui pourraient en découler. Me Etienne Drouard, avocat spécialiste des données personnelles chez Hogan Lovells, ancien membre de la Cnil et contributeur à l’élaboration du RGPD, décrypte pour 20 Minutes les enjeux que soulève aujourd’hui la révélation de cette affaire.

Quelles sont les conséquences d’une telle surveillance, à la fois au niveau de la sécurité des États et au niveau diplomatique ?

En termes de souveraineté, c’est un vrai sujet puisqu’on assiste à une démocratisation de l’espionnage. Pour vous donner un exemple un peu chiffré, lorsqu’une solution de piratage – une « faille » qui permet de pirater un système d’exploitation –, est vendue sur le dark web, cela coûte entre 2 et 3 millions d’euros. Et c’est quasiment un mouchoir à usage unique puisque si vous vous faites repérer, la faille sera comblée, et vous devrez à nouveau payer pour en trouver une nouvelle. Jusqu’à présent, seuls les grands Etats avaient les moyens de « s’acheter » des failles, et ils se satisfaisaient d’une forme d’équilibre entre eux, un peu comme la prolifération de l’arme nucléaire.

Avec sa plateforme de solution informatique d’espionnage, dont elle vendait des licences à de nombreux utilisateurs dans le monde, NSO Group a rebattu les cartes en proposant des prix très attractifs. Le marché auquel s’adressait la société israélienne, c’était en fait un marché de l’espionnage « du pauvre », incapable de s’acheter des failles sur le dark net. Avec un abonnement souscrit pour l’année, certains acteurs ont ainsi pu avoir accès à 10, 15, 20, ou 50 vulnérabilités informatiques. Tout cela a été rendu possible parce que la sécurité, et l’espionnage, sont devenus un véritable marché. Et lorsqu’on peut fournir des solutions sous couvert du secret des affaires – et puisque le piratage est considéré comme un service –, cela est très vite devenu rentable. Si on ne met pas le holà aujourd’hui à cette démocratisation de l’espionnage, on va au-devant d’une prolifération de menaces. Et du scandale d’aujourd’hui, on en déduira bientôt la normalité de demain…

Comment faire face à cette nouvelle menace ? Ces logiciels espions doivent-ils vraiment inquiéter les Etats ?

Soit on traite cette affaire dans l’immédiateté, sur le temps médiatique et politique, en condamnant ces pratiques, sans aller plus loin. Soit on la traite juridiquement en vertu du droit français et du droit européen. S’il n’y a pas de poursuites judiciaires alors que les infractions pénales sont caractérisées, n’importe qui pourra à l’avenir utiliser ce genre d’outils et de logiciels à des fins d’espionnage. Les enjeux de souveraineté qui se jouent autour de cette technologie dépassent largement les frontières. On sait aujourd’hui qu’avec l’utilisation de failles provenant de l’un des trois principaux systèmes d’exploitation ( Android, iOS et Windows Mobile), on peut potentiellement pirater le monde entier. La France doit avoir une réaction diplomatique et pénale.

Il y a de quoi susciter de véritables inquiétudes pour les Etats. Les négociations commerciales internationales, sous écoutes, on ne les conclut pas pareil ! Une vente de Rafale, ou une vente de centrale nucléaire, sous écoutes, ne se négocie pas de la même manière. C’est une vraie lutte de pouvoir sur tous les plans, économique, commerciale, militaire, stratégique, sanitaire… qui se joue à travers l’espionnage. Et plus ce marché se démocratisera sans que les Etats puissants ne le régulent par des sanctions, plus l’espionnage sera le fait de n’importe quel escroc, et donc plus seulement l’apanage de certains gouvernements autoritaires.

Quelles poursuites peuvent aujourd’hui être engagées contre NSO Group, la société éditrice du logiciel, et ses clients ?

Le procureur de la République de Paris a déjà apporté une première réponse en ouvrant mardi une information judiciaire. Il estime qu’on peut rechercher des responsabilités pénales sur le terrain de l’atteinte à la vie privée et dans le cadre du piratage informatique, c’est-à-dire la pénétration frauduleuse dans un système d’information ou l’extraction frauduleuse de données d’un système d’information. Mais il y a d’autres qualifications qui peuvent s’appliquer. Celles qui sont issues de la Loi informatique et libertés et du RGPD, sur la protection de la vie privée et des données personnelles. En particulier la collecte frauduleuse de données personnelles, le détournement de finalité, et le transfert de données illicites hors de l’Union européenne. Mais aussi la violation de données personnelles.

L’avantage de ces autres qualifications pénales, c’est qu’il suffit de constater que le logiciel est installé pour qu’elles se déclenchent. Et les peines encourues sont bien plus sévères : jusqu’à 5 ans de prison, et de 300.000 euros à 1.500.000 euros d’amende. L’éditeur du logiciel, NSO Group, qui peut être considéré comme « un pirate », et tous ses clients dans le monde, risquent donc gros selon le droit français. Ils ont commis des infractions à la fois à l’égard de personnes situées sur le sol français, quelle que soit leur nationalité, mais aussi à l’égard de Français établis un peu partout dans le monde. Face à ce nombre de qualifications pénales, il n’y a pas de doute que le droit français peut traverser les frontières…