[Questions à...] Le logiciel Pegasus - Questions à Maître Etienne Drouard

Le logiciel Pegasus, mis au point par la société israélienne NSO Group, inquiète de plus en plus le Gouvernement français à la suite de la révélation d'une surveillance de plusieurs ministres et du président de la République Emmanuel Macron. Cette actualité pose de nombreuses questions juridiques, concernant notamment la nature des données surveillées, la responsabilité de l'auteur du logiciel ou encore les sanctions.

Maître Etienne Drouard, avocat spécialiste des données personnelles chez Hogan Lovells, ancien membre de la CNIL et contributeur à l’élaboration du RGPD, a accepté de répondre à nos questions pour le Quotidien Lexbase au micro de Lexradio, sur les principales questions juridiques soulevées par ce sujet d'actualité.

Quotidien Lexbase : Qu'est-ce que le logiciel Pegasus ?

C'est un ensemble d'outils qui permettent, à partir de l'indication d'une ligne téléphonique ou de l'identifiant d'un téléphone, de pouvoir effectuer un certain nombre d'actions au sein de ce téléphone, qui sont autant de piratages informatiques, puisque tout ça se fait à l'insu de l'utilisateur. C'est une solution de surveillance ou d'écoute de terminaux mobiles. 

Quotidien Lexbase : Qui peut être détenteur de ce logiciel ? 

Ce logiciel est distribué auprès des sociétés ou gouvernements, clients de la société NSO Group. Elle n'a pas révélé la liste de ses clients aujourd'hui et n'aurait à le faire que dans le cas d'une procédure éventuelle. En revanche, on sait qu'il y a des gouvernements même si la liste de ces titulaires n'est pas officielle.

Quotidien Lexbase : Quelle est la nature des données surveillées ?

Il y a plusieurs types de données. Il y a d'abord les données qui permettent d'identifier un terminal pour pouvoir justement le surveiller à partir du numéro de téléphone ou d'autres identifiants. Votre carte SIM est associée à un numéro qui s'appelle un numéro IMEI, c'est-à-dire la carte réseau du téléphone. On va pouvoir traiter d'abord des données de trafic, c'est-à-dire toutes les informations entrantes et sortantes de ce téléphone, quand il est relié au réseau téléphonique. Ce sont donc les flux de données GSM.

Ensuite, il y a les données correspondant au trafic internet qui peut éventuellement entrer et sortir de ce téléphone à travers le logiciel de navigation qui est installé dedans et/ou les fonctionnalités qui peuvent être la donnée de géolocalisation ou encore la connexion internet en général, qui peut passer en wifi ou par votre carte téléphonique.

Enfin, il y a les données d'usage interne au téléphone : quelles applications ont été ouvertes, fermées, l'enregistrement des conversations téléphoniques, etc. Donc ce sont les données générées par l'usage du téléphone et les données qui peuvent être inscrites dans le téléphone, comme par exemple les contacts, le carnet d'adresses ou les réseaux des personnes avec lesquelles vous êtes en contact sur les réseaux sociaux, y compris via des applications cryptées. 

Quotidien Lexbase : De quelle nature sont les données qui ont été surveillées concernant le Gouvernement français ?

Pour l'instant, on ne le sait pas. Pour le savoir, il faudrait pouvoir auditer ce que produit ce logiciel et comment il fonctionne. Pour pouvoir l'auditer, il faut forcément exiger de la société NSO Group un certain nombre de collaborations qui permettraient d'auditer comment fonctionne ce logiciel.

Quotidien Lexbase : Quelle est la responsabilité de l'auteur du logiciel en cas de poursuites ?

L'auteur du logiciel ou de l'ensemble de solutions vulnérabilités que comporte ce logiciel, c'est l'éditeur de cette solution, en l'espèce la société NSO Group. La responsabilité en droit français, c'est celle de mettre à disposition un outil qui permet de faire du piratage. Le piratage a deux moyens d'être traité en droit français :

• soit il est illicite, parce qu'il permet une pénétration frauduleuse dans un système d'information. Il est passible de peines qui sont prévues par le Code pénal depuis 1988 ;
• soit il est licite, mais avec deux conditions. La première, c'est une autorisation ministérielle, et la seconde, c'est de faire un usage de ce type de logiciels pour des fins qui sont légales.

En l'occurrence, les infractions éventuellement commises par l'auteur du logiciel sont :

• la pénétration frauduleuse dans un système d'information ;
• la collecte frauduleuse de données ;
• la collecte déloyale de données ;
• la violation de données personnelles ;
• le détournement de finalité de données personnelles ; 
• l'atteinte à la vie privée.

Les peines vont de trois à cinq ans d'emprisonnement et de 300 000 euros d'amende pour le dirigeant, jusqu'à 1 500 000 euros d'amende pour l'entreprise. Il s'agit du plafond de responsabilité envisageable pour l'auteur du logiciel toutes peines confondues.

Quotidien Lexbase : Y a-t-il d'autres sanctions possibles que celles sur la responsabilité ?

Il y a les sanctions applicables en fonction des infractions qui ont été commises grâce au logiciel. Par exemple, s'il s'agit de pénétrer les secrets qui sont couverts par le secret de la défense nationale et de la sécurité nationale, tels que l'enregistrement ou l'écoute du président de la République, les sanctions sont encore différentes et elles peuvent être in fine beaucoup plus lourdes. Il y a jusqu'à trente ans de réclusion criminelle prévus pour des atteintes à des secrets de sécurité nationale ou de défense nationale.

Quotidien Lexbase : Comment sécuriser davantage les données visées par ce logiciel ?

Ce logiciel fonctionne sur des vulnérabilités qui ne sont pas connues. C'est tout le modèle économique de la société NSO Group. Lorsque vous achetez une vulnérabilité informatique sur le marché noir, lorsqu'elle est découverte, ce que vous avez acheté ne sert plus à rien puisqu'il va y avoir une correction qui sera apportée à cette vulnérabilité. Vous achetez une vulnérabilité un peu lourde et pénétrante qui peut coûter 2 à 3 millions d'euros sur le marché du piratage. Une fois que vous êtes découverts, il faudra réinvestir une somme équivalente. La spécificité de cette solution logicielle, c'est qu'elle couvre par le secret des affaires, un ensemble de vulnérabilités que des entreprises achètent en s'abonnant au logiciel. Donc, pour sécuriser davantage les données, il faut révéler les failles de sécurité. Tant qu'elles ne sont pas révélées, il y a des trous de sécurité. Ce sont aux fabricants des téléphones, des systèmes d'exploitation, des logiciels de navigation de toujours faire cette course entre sécuriser et découvrir des vulnérabilités. Les États sont assez démunis : ils ne peuvent qu'inciter les fabricants à corriger les failles qui sont découvertes mais toutes les failles secrètes sont les moyens par lesquels ces logiciels fonctionnent.

Quotidien Lexbase : Quelles vont être les suites ?

Pour l'instant, c'est un scandale dans lequel on indique que des journalistes, des activistes, ou des personnalités publiques ont été écoutées par des gouvernements étrangers. La réaction du Gouvernement français nous permettra de déterminer si nous sommes dépendants de ce logiciel, ou si au contraire, il ne faisait pas partie d'une liste de solutions que l'État français voudrait utiliser. Ce qui est certain, c'est que cela soulève des questions de souveraineté, pas seulement des questions de protection de personnalités particulières. Finalement, ce sont les données de n'importe qui qui peuvent se retrouver entre les mains de n'importe qui. Donc si la réponse est pénale, je pense qu'on aura un début de réponse efficace. Si la réponse est diplomatique ou politique, cela signifie que demain cela recommencera.

Propos recueillis par Joséphine Pasieczny,

Cette interview est également à écouter sur Lexradio en cliquant ici.

© Reproduction interdite, sauf autorisation écrite préalable