Veille Juridique n°37 – Juillet 2021

Pegasus – un logiciel espion au défi du droit. Le projet Pegasus a révélé courant juillet l’impact inédit en matière de surveillance d’un logiciel espion israélien qui permet d’écouter et d’aspirer les données des smartphones tournant sous IOS ou Android.

C’est ce qui ressort de l’enquête internationale menée par l’ONG Forbidden Stories, avec l’aide d’Amnesty International et du Citizen Lab de l’université de Toronto ainsi que de 17 grands médias internationaux dont Le Monde et The Guardian.

Si le logiciel a déjà fait parler de lui par le passé, les informations récentes permettent de mieux cerner l’ampleur de la surveillance rendue possible à l’insu des utilisateurs de smartphones.

Environ 50 000 numéros de téléphone cibles auraient été sélectionnés, dont un millier en France, concernant des acteurs de la société civile, des journalistes et des hommes politiques.

Parmi les 55 états présentés comme clients de la société NSO qui commercialise le logiciel, on trouverait l’Arabie saoudite, les Émirats Arabes Unis, l’Inde, la Hongrie, le Rwanda, le Mexique ou encore le Kazakhstan.

La société NSO affirme suivre une politique stricte de déontologie et commercer uniquement avec des agences de renseignement et de police dans des objectifs de lutte contre la criminalité, le terrorisme, le trafic de drogue et la pédophilie.

Ces allégations ainsi que les assurances données par le propriétaire du logiciel soulèvent des questions d’ordre pratique et légal.

Même si des garanties sont prises en amont de la commercialisation, quels sont les véritables moyens de s’assurer du respect du cadre contractuel entre NSO et ses clients officiels, et de son utilisation par des parties non autorisées et à l’encontre de « cibles » politiques ou de la société civile par exemple ?

Le caractère particulièrement intrusif et indécelable de cette technologie suscite des interrogations quant à l’encadrement des techniques de surveillance dans le contexte international et européen.

En Europe, si les forces de l’ordre disposent de pouvoirs d’investigation spécifiques, ceux-ci sont strictement encadrés par le RGPD et par les lois nationales transposant la directive européenne « police-justice » du 27 avril 2016.

Il s’agit en France du chapitre XIII de la loi Informatique et Libertés.

Les traitements de données effectués plus spécifiquement par la sûreté de l’État ou la défense nationale sont exclus du champ d’application de la Directive européenne mais restent soumis en France à la Loi Informatique et Libertés.

L’introduction clandestine dans des systèmes informatiques de logiciels espions ne peut être autorisée qu’en vertu de dispositions légales précises.

La matière est réglementée par les lois n° 2015-912 du 24 juillet 2015 relative au renseignement et n° 2017-1510 du 30 octobre 2017 dite loi SILT.

La CNIL rappelle en outre qu’il doit exister des éléments présentant une menace concrète sur l’intégrité corporelle, la vie, la liberté des personnes, ou une atteinte aux intérêts fondamentaux de la nation.

Si les principes de la loi s’appliquent, en revanche, la CNIL n’a pas de compétence de contrôle sur la mise en œuvre des fichiers des services de renseignement.

Dans ses avis récents concernant le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement (désormais voté), elle a réitéré sa demande de pouvoir exercer ses compétences de contrôle de façon adaptée aux nouvelles techniques d’investigation.

Elle a également demandé le renforcement des pouvoirs de la Commission de Contrôle des Techniques de Renseignement (CNCTR).

Tant la CNIL que le Comité Européen de Protection des données insistent sur l’importance d’une supervision effective dans le domaine du renseignement et de la sûreté de l’état, particulièrement dans le contexte de traitements de plus en plus intrusifs, combinés au développement de technologies de pointe qui ignorent les frontières.

Ces exigences font partie des critères cités par le Comité dans ses récentes recommandations sur les garanties essentielles à apporter par les pays tiers à l’UE en matière de surveillance.

Elles visent à protéger les données européennes d’interférences disproportionnées en cas de transfert international.

Compte tenu de la facilité grandissante avec laquelle les données de communication peuvent être interceptées, des questions plus fondamentales se posent sur les mesures techniques à prendre afin de limiter ces risques.

Le Comité européen insiste dans son communiqué du 9 mars 2021 sur le Règlement « ePrivacy » sur la nécessité de maintenir la confidentialité des données d’un bout à l’autre de la communication, et sur le cryptage des données.

Dans la même perspective se pose la question de l’opportunité de maintenir des « portes dérobées » dans les terminaux de communication à des fins de renseignement, au risque de voir se multiplier les abus et les détournements de données hors de tout contrôle.

Et aussi

France :

La CNIL a publié sa position concernant l’extension obligatoire du « passe sanitaire » dans certains lieux.

Sans remettre son principe en question, elle rappelle la nécessité de circonscrire son utilisation dans un contexte d’urgence sanitaire démontrée, demande une évaluation du dispositif par le parlement à l’automne et souligne les aspects éthiques de la problématique, qui vont au-delà des questions de protection des données.

Elle demande la prise en considération par le législateur « du risque d’accoutumance et de banalisation de tels dispositifs attentatoires à la vie privée et de glissement, à l’avenir, et potentiellement pour d’autres considérations, vers une société où de tels contrôles seraient la norme et non l’exception ».

Également en lien avec la crise sanitaire, la CNIL a rappelé les principes à respecter pour communiquer aux médecins la liste de leurs patients non vaccinés.

Deux sanctions méritent d’être relevées, imposées par la CNIL les 22 et 28 juillet à l’encontre

• d’une part du groupe AG2R La Mondiale pour un montant de 1,75 millions d’euros pour non-respect des obligations du RGPD en matière de conservation des données et d’information des personnes,
• et d’autre part de la société Monsanto pour un montant de 400 000 euros, pour ne pas avoir informé les personnes reprises dans un fichier de lobbying.

L’ANSSI et la DINSIC publient un guide ayant pour objectif d’expliquer de manière pratique et concrète comment l’agilité et la sécurité concourent au développement sécurisé des projets et à la gestion du risque numérique.

Le guide propose un accompagnement progressif, atelier après atelier, des exemples concrets et des fiches méthodes.

Europe :

La société Amazon vient de se voir infliger une sanction record par l’autorité de protection des données du Luxembourg, pour un montant de 746 millions d’euros pour non-respect des principes du RGPD, et en particulier le ciblage publicitaire sans le consentement des intéressés.

Cette décision du 15 juillet dernier fait suite à la plainte collective initiée par l’association de libertés civiles

La Quadrature du Net auprès de la CNIL en France, plainte transmise à l’autorité luxembourgeoise en raison de la localisation du siège d’Amazon au Luxembourg. La société a annoncé faire appel de cette décision.

L’autorité néerlandaise de protection des données a sanctionné TikTok pour un montant de 750.000 euros, pour absence d’information claire sur ses traitements de données.

L’information, disponible uniquement en anglais, a été considérée comme non compréhensible par les enfants, principaux utilisateurs de l’application.

International :

Etats-Unis : le NIST (National Institute of Standards and Technology) publie un guide pour identifier et gérer les biais de l’intelligence artificielle : « a proposal for identifying and managing bias within artificial intelligence ».

La société Zoom a accepté de payer la somme de 85 millions de dollars pour mettre fin à une action en justice aux Etats-Unis.

Elle était accusée de partager les données de ses utilisateurs et de ne pas les protéger de certaines attaques informatique (« zoombombing »).

La société s’est engagée à former ses employés à la protection des données et à renforcer ses mesures de sécurité.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.