En juillet 2021, l’affaire « Pegasus » a révélé l’utilisation d’un logiciel de cybersurveillance par des gouvernements afin d’espionner des journalistes, des avocats ou encore des militants des droits humains. Ce logiciel, une fois installé sur un smartphone, permettait, à l’insu de son propriétaire, d’accéder aux fichiers, messages, photographies et mots de passe, d’écouter les appels, de déclencher l’enregistrement audio, la caméra ou encore le suivi de la géolocalisation.
Dans ce contexte, l’entrée en vigueur du Règlement européen (UE) 2021/821 du 20 mai 2021, qui modernise la réglementation européenne sur l’exportation de biens à double usage, dont les biens de cybersurveillance, était attendue.
Ce règlement est entré en vigueur le 9 septembre 2021 et a notamment pour objectif de :
- Renforcer les contrôles sur les technologies de surveillance, dont l’utilisation abusive porterait atteinte aux droits humains. A noter que ces atteintes étaient dénoncées par des associations, telles que Amnesty International.
- Responsabiliser les producteurs et les exportateurs en introduisant des obligations de diligence.
Précisons que le champ d’application du règlement ne couvre que les hypothèses d’exportation de biens de cybersurveillance depuis le territoire de l’Union européenne. A cet égard, l’efficacité de ce nouveau dispositif demeure limitée.
Qu’est-ce qu’un bien de cybersurveillance ?
Évolution majeure de cette refonte, les biens de cybersurveillance, dont les moyens de cryptologie, sont visés par le texte. Leur exportation est dès lors expressément contrôlée.
Ils sont définis à l’article 2.20 du règlement comme étant :
« les biens à double usage conçus spécifiquement pour permettre la surveillance discrète de personnes physiques par la surveillance, l’extraction, la collecte ou l’analyse de données provenant de systèmes d’information et de télécommunications ».
Le considérant 8 du règlement fait notamment référence aux :
« cas où des biens de cybersurveillance sont conçus spécifiquement pour permettre l’intrusion ou l’inspection approfondie des paquets dans des systèmes d’information et de télécommunication afin de procéder à une surveillance discrète de personnes physiques par la surveillance, l’extraction, la collecte et l’analyse des données provenant de ces systèmes, y compris des données biométriques. ».
Pour être soumis au règlement, ces biens de cybersurveillance doivent être à double usage, c’est-à-dire être « susceptibles d’avoir une utilisation tant civile que militaire ». Ainsi, le champ d’application du règlement est très large.
Dans quels cas une autorisation d’exportation est-elle nécessaire ?
Aux termes de l’article 5, l’exportation de biens de cybersurveillance est soumise à l’autorisation de l’autorité compétente lorsque :
-
Le bien en question est listé au sein de l’Annexe 1 du règlement ;
-
L’autorité compétente a informé l’exportateur de ce que les produits en question « sont ou peuvent être destinés, entièrement ou en partie, à une utilisation impliquant une répression interne et/ou la commission de violations graves et systématiques des droits de l’homme et du droit humanitaire international » ; ou
-
L’autorité compétente décide de soumettre l’exportation du bien en question à autorisation après avoir été avertie par l’exportateur de ce qu’il est ou peut être destiné à un usage impliquant une répression interne et/ou une violation des droits de l’homme.
En France, le Service des biens à double usage (SBDU) du ministère de l’Économie, des Finances et de la Relance est l’autorité compétente pour la délivrance des autorisations d’exportation. Il adopte notamment des arrêtés relatifs à l’octroi de licences générales nationales ou aux contrôles des exportations d’origine nationale.
Par ailleurs, le règlement prévoit un mécanisme incitatif de coordination et de coopération entre les États membres, notamment aux fins de mise à jour de la liste des biens soumis à contrôle.
Quelles obligations pour les exportateurs de biens à double usage ?
Le règlement introduit une clause « attrape-tout » ou « catch-all clause » interdisant l’exportation de biens non répertoriés. Il met ainsi à la charge de l’exportateur une obligation de vigilance.
En effet, l’article 5.2 du règlement prévoit que si un bien de cybersurveillance, qui ne figure pas en annexe 1 du texte ou qui n’a pas fait l’objet d’une autorisation par l’autorité compétente, apparait, au terme de procédures de vigilance, comme étant destiné à une utilisation impliquant une répression interne et/ou une violation grave et systématique des droits de l’homme, l’exportateur doit en informer le SBDU (autorité compétente en France). Ce dernier décide ensuite de soumettre ou non le bien à autorisation.
L’article 12 dispose que les exportateurs qui utilisent des autorisations globales d’exportations doivent mettre en œuvre un programme interne de conformité, sauf si le SBDU (pour la France) ne le juge pas utile.
Le programme interne de conformité s’entend des :
« politiques et procédures permanentes efficaces, appropriées et proportionnées, qui sont adoptées par les exportateurs pour favoriser le respect des dispositions et des objectifs du présent règlement ainsi que des conditions d’octroi des autorisations prévues par le présent règlement, et notamment les mesures de vigilance en ce qui concerne l’exportation des biens vers les utilisateurs finaux et aux fins des utilisations finales ».
En d’autres termes, il appartient aux entreprises exportatrices, quelle que soit leur taille, de mettre en place des procédures internes et de les documenter, afin de veiller à ce que l’utilisation des biens à double usage soit compatible avec le respect des droits humains. Les exportateurs devront également être attentifs à la conformité contractuelle (périmètre de la licence, etc.), ainsi qu’aux paramétrages susceptibles d’être effectués dans les technologies concernées.
Soulignons que la Commission européenne avait publié une recommandation le 30 juillet 2019 relative aux programmes internes de conformité aux fins du contrôle des échanges des biens à double usage.
Compte tenu de la dimension internationale de la vente et du transfert de technologies de cybersurveillance, un groupe d’experts nommés par l’Organisation des Nations unies a appelé à un moratoire mondial sur cette question et à la mise en place d’une meilleure réglementation, permettant d’« atténuer et réparer l’impact négatif des technologies de surveillance sur les droits de l’homme ».
Quelles sanctions ?
Le règlement n’octroie pas à l’autorité nationale compétente pour délivrer les autorisations de pouvoir de sanction, ni de contrôle des programmes de conformité définis par les entreprises.
En revanche, le règlement prévoit que chaque État membre définisse les sanctions applicables en cas de non-respect des dispositions du règlement.
A cet égard, il convient de souligner qu’en France des dispositions relatives à l’exportation de biens à double usage sont prévues dans le Code pénal ou encore dans le Code des douanes.