Sous l’impulsion de la France et du Royaume-Uni, le processus de Pall Mall franchit une nouvelle étape avec l’adoption d’un code de bonnes pratiques visant à mieux encadrer l’usage des logiciels espions.
Face à la prolifération des technologies d’intrusion numérique et à la multiplication des scandales liés à l’utilisation abusive de logiciels espions, vingt et un pays viennent de s’engager à renforcer leur coopération dans la lutte contre les dérives. Ce nouvel accord, bien que non contraignant juridiquement, marque une première prise de conscience politique autour d’un enjeu sensible mêlant cybersécurité, respect des droits fondamentaux et souveraineté numérique.
Initiée en février 2024 par la France et le Royaume-Uni, l’initiative baptisée processus de Pall Mall avait pour ambition de réunir États, chercheurs, ONG et entreprises technologiques autour d’un objectif commun : définir des règles du jeu pour encadrer la commercialisation et l’usage des outils d’intrusion numérique. Ces derniers incluent notamment les logiciels espions capables d’exploiter des failles dans les systèmes d’exploitation (iOS, Android, Windows, etc.) pour accéder à des données personnelles à l’insu de leurs propriétaires.
La première réunion, organisée à Londres, a jeté les bases d’un cadre de discussion international. Un an plus tard, les échanges ont abouti à la signature d’un code de bonnes pratiques composé de neuf pages d’engagements à l’attention des États signataires.
pour un meilleur encadrement des nouveaux outils
Le document invite notamment les États à s’assurer que l’usage de ces technologies s’inscrive dans un cadre légal clair et proportionné. Il recommande également une plus grande transparence vis-à-vis des entreprises qui développent ou commercialisent ces outils, ainsi que des garde-fous pour éviter leur utilisation à des fins de répression politique, de surveillance de journalistes ou de violation des droits humains.
Parmi les préoccupations figurent les logiciels dits tout-en-un capables de prendre le contrôle complet d’un appareil, les plateformes de revente de failles zero-day, ou encore les outils d’analyse forensique utilisés par certaines forces de l’ordre. Ces technologies, bien que parfois utiles dans le cadre d’enquêtes criminelles, peuvent aussi être détournées de leur usage initial.
Des dérives multiples, une absence de sanctions
Ces dernières années, plusieurs affaires ont mis en lumière l’usage abusif de logiciels espions contre des opposants politiques, des défenseurs des droits de l’homme ou encore des journalistes. Le plus célèbre reste le scandale Pegasus, développé par la société israélienne NSO Group, qui a révélé l’ampleur du phénomène à l’échelle mondiale. Plus récemment, le logiciel Paragon a été utilisé pour surveiller des activistes en Italie.
Mais le problème est que ce code de bonnes pratiques adopté vendredi 4 avril n’a pas de valeur juridique contraignante. Il s’agit plutôt d’un outil de soft law visant à instaurer une dynamique vertueuse entre les États. Il pourrait toutefois servir de base à de futures législations ou traités internationaux.
L'avenir dira si les pays les plus impliqués dans l’exportation ou l’usage controversé de ces technologies (et souvent absents de telles initiatives) seront un jour associés à ce type de processus. Pour les signataires actuels, c’est en tout cas une tentative d’instaurer un équilibre entre sécurité nationale et respect des libertés fondamentales.
