Le Contrôleur européen de la protection des données (Contrôleur), soit l’autorité indépendante chargée de la protection des données des données personnelles traitées par les institutions et organes de l’Union européenne (UE), vient de lancer un cri d’alarme sur les risques sans précédents que représentent certains outils de surveillance et l’atteinte portée à l’essence même du droit à la sphère privée. Dans ses Remarques préliminaires sur les logiciels espions modernes, il demande l’interdiction du développement et de l’utilisation de logiciels avec des capacités similaires à Pegasus.
Pegasus
Le logiciel Pegasus a été porté récemment à la connaissance du grand public par une enquête journalistique collaborative menée sous l’égide de Forbidden Stories et Amnesty International, mais il n’est pas nouveau.
Il s’agit d’un petit programme informatique très discret proposé par NSO Group et qui peut être installé dans le téléphone portable à l’insu de son propriétaire. La méthode zero-click ne demande aucune action de l’utilisateur (par exemple un message reçu qui va s’effacer tout seul après l’installation du logiciel). L’auteur de l’attaque a ensuite la maîtrise complète du téléphone (message, navigation sur Internet, appels, micro, appareil photo, position, contacts, etc.). Ce logiciel a été utilisé par certains États pour traquer des dissidents ou des journalistes, mais il est aussi régulièrement utilisé dans des pays démocratiques. L’autorité hongroise de protection des données a récemment considéré que toutes les utilisations du logiciel était conforme dans son pays.
En Suisse, l’Office fédéral de la police (fedpol) refuse pour l’instant d’indiquer quel est l’usage de Pegasus, malgré une recommandation claire du PFPDT. Pourtant tant le Code de procédure pénale que la Loi sur le renseignement permettent son utilisation, à des conditions précises (notamment une autorisation judiciaire). Il y en a eu douze en 2019 et treize en 2020. fedpol dispose de huit licences, facturées 13 750.- par mois aux cantons.
Le noyau dur est atteint
Le Contrôleur parle d’atteinte au noyau dur de la sphère privée. Cette notion de noyau dur ou d’essence d’un droit est bien connue en droit constitutionnel et correspond à la partie tellement fondamentale d’un droit qu’il ne peut pas y être dérogé, pour quelque raison que ce soit. C’est par exemple le cas du droit à la vie. Un logiciel comme Pegasus permettant, de manière non détectable, d’accéder à l’ensemble des (très nombreuses) données (y compris sensibles) contenues dans notre téléphone, le Contrôle considère qu’il est très improbable qu’une telle atteinte puisse être proportionnée par rapport au but visé par l’utilisation du logiciel.
Cela signifie que même si la loi autorise ces outils, cela est contraire à la Constitution et à la Convention européenne des droits de l’Homme que chaque autorité doit respecter, y compris en Suisse. Le Contrôleur évoque du bout des lèvres et sans grande conviction, qu’on ne peut pas complètement exclure qu’une telle atteinte puisse éventuellement être proportionnée et nécessaire dans des situations très particulières, comme une attaque terroriste imminente. Mais est-ce que ces quelques rares et hypothétiques cas justifient l’existence même d’un tel outil, avec tous les risques d’utilisations non contrôlées ?
Intelligence artificielle et reconnaissance faciale
La même réflexion doit s’appliquer à l’intelligence artificielle (IA) et à la reconnaissance faciale. À l’occasion de la journée internationale de la protection des données 2020, le Commissaire à la Protection des Données du Conseil de l’Europe avait déjà appelé à un moratoire sur le développement et le déploiement de technologies qui permettent de surveiller les faits et gestes de tout un chacun où qu’il soit et quelques soit ses activités ou sa position sociale. L’automne dernier, c’est le Haut-Commissariat de l’ONU aux droits de l’homme (HCDH) qui avait appelé la communauté internationale à imposer un moratoire sur certains systèmes d’intelligence artificielle comme la reconnaissance faciale, le temps de mettre en place un dispositif pour protéger les droits humains quant à leur utilisation.
Arrêter de faire des essais grandeur nature
Certains produits sont dangereux par nature; leur fabrication et leur utilisation sont interdites ou extrêmement contrôlées. C’est par exemple le cas de nombreux produits chimiques. D’autres produits sont moins dangereux, mais représentent néanmoins un risque, même si nous les côtoyons tous les jours : une voiture par exemple ne peut circuler que si elle a été homologuée et son propriétaire assume une responsabilité même s’il n’a pas commis de faute. De plus son véhicule doit être assuré et il doit être titulaire d’une autorisation spéciale vérifiant ses compétences et cette autorisation (le permis de conduire) peut lui être retirée s’il n’en a plus les compétences ou n’a pas respecté les règles. Pourtant une voiture est clairement moins dangereuse qu’un logiciel de surveillance secrète ou un outils de reconnaissance faciale.
Dans le monde numérique, cela semble différent et on tolère l’inacceptable. Le monde ressemble à un grand laboratoire ou les géants de l’Internet semblent intouchables et testent leurs produits en tant réel et à large échelle, pendant que le législateur regarde et se demande s’il faut réguler. Évidemment, tous ces outils auront une fois au moins une utilisation positive et permettront de sauver des vies, mais au prix de combien d’autres ?
N’est-ce pas le moment de tirer la prise et de choisir les outils qui doivent exister et ceux qu’il faut interdire, avant qu’il ne soit trop tard. Mais pour cela il faut accepter que même si le monde numérique laisse des traces, il n’est pas nécessaire de tout surveiller en permanence.
Merci beaucoup pour votre éclairage.
Il reste tellement à faire pour continuer à vivre avec le numérique!