Ce document est extrait du site web EUR-Lex
Document 52023IP0244
European Parliament recommendation of 15 June 2023 to the Council and the Commission following the investigation of alleged contraventions and maladministration in the application of Union law in relation to the use of Pegasus and equivalent surveillance spyware (2023/2500(RSP))
Recommandation du Parlement européen du 15 juin 2023 à l'intention du Conseil et de la Commission à la suite de l’enquête sur les allégations d’infraction et de mauvaise administration dans l’application du droit de l’Union lors de l’utilisation de Pegasus et de logiciels espions de surveillance équivalents (2023/2500(RSP))
Recommandation du Parlement européen du 15 juin 2023 à l'intention du Conseil et de la Commission à la suite de l’enquête sur les allégations d’infraction et de mauvaise administration dans l’application du droit de l’Union lors de l’utilisation de Pegasus et de logiciels espions de surveillance équivalents (2023/2500(RSP))
JO C, C/2024/494, 23.1.2024, ELI: http://data.europa.eu/eli/C/2024/494/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Journal officiel |
FR Séries C |
C/2024/494 |
23.1.2024 |
P9_TA(2023)0244
Enquête sur l'utilisation de Pegasus et de logiciels espions de surveillance équivalents (recommandation)
Recommandation du Parlement européen du 15 juin 2023 à l'intention du Conseil et de la Commission à la suite de l’enquête sur les allégations d’infraction et de mauvaise administration dans l’application du droit de l’Union lors de l’utilisation de Pegasus et de logiciels espions de surveillance équivalents (2023/2500(RSP))
(C/2024/494)
Le Parlement européen,
— |
vu le traité sur l’Union européenne (traité UE), et notamment ses articles 2, 4, 6 et 21, |
— |
vu les articles 16, 223, 225 et 226 du traité sur le fonctionnement de l’Union européenne (traité FUE), |
— |
vu la charte des droits fondamentaux de l’Union européenne (ci-après dénommée «charte»), et notamment ses articles 7, 8, 11, 17, 21, 41, 42 et 47, |
— |
vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (1) (directive «vie privée et communications électroniques»), |
— |
vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (2), |
— |
vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (3), |
— |
vu la directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (4) (la «directive sur la cybercriminalité»), |
— |
vu le règlement (UE) 2021/821 du Parlement européen et du Conseil du 20 mai 2021 instituant un régime de l’Union de contrôle des exportations, du courtage, de l’assistance technique, du transit et des transferts en ce qui concerne les biens à double usage (5) (le «règlement sur les biens à double usage»), |
— |
vu la décision (PESC) 2019/797 du Conseil du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres (6), telle que modifiée par la décision (PESC) 2021/796 du Conseil du 17 mai 2021 (7), |
— |
vu l’acte portant élection des membres du Parlement européen au suffrage universel direct (8), |
— |
vu la décision 95/167/CE, Euratom, CECA du Parlement européen, du Conseil et de la Commission du 6 mars 1995 portant modalités d’exercice du droit d’enquête du Parlement européen (9), |
— |
vu la décision (UE) 2022/480 du Parlement européen du 10 mars 2022 sur la constitution, l’objet de l’enquête, les compétences, la composition numérique et la durée du mandat de la commission d’enquête chargée d’enquêter sur l’utilisation de Pegasus et de logiciels espions de surveillance équivalents (10), |
— |
vu la directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, ainsi que les directives 2009/138/CE et 2013/36/UE (11) (la «directive anti-blanchiment»), |
— |
vu la proposition de règlement du Parlement européen et du Conseil du 16 septembre 2022 établissant un cadre commun pour les services de médias dans le marché intérieur (législation européenne sur la liberté des médias) et modifiant la directive 2010/13/UE (COM(2022)0457), |
— |
vu l’article 12 de la déclaration universelle des droits de l’homme, |
— |
vu l’arrêt de la Cour de justice de l’Union européenne (CJUE) dans l’affaire C-37/20 (12) sur la directive anti-blanchiment établissant que la disposition prévoyant que les informations sur les bénéficiaires effectifs des sociétés constituées sur le territoire des États membres soient accessibles dans tous les cas à tout membre du grand public est invalide, |
— |
vu l’article 17 du pacte international relatif aux droits civils et politiques, |
— |
vu la charte des Nations unies et les principes directeurs relatifs aux entreprises et aux droits de l’homme des Nations unies (13), |
— |
vu la déclaration de la Haute-Commissaire des Nations unies aux droits de l’homme, Michelle Bachelet, du 19 juillet 2022 sur «l’utilisation de logiciels espions pour surveiller les journalistes et les défenseurs des droits de l’homme», |
— |
vu le commentaire de la Commissaire aux droits de l’homme du Conseil de l’Europe, Dunja Mijatovic, du 27 janvier 2023 intitulé «Des logiciels espions très intrusifs menacent l’essence des droits humains» (14), |
— |
vu les remarques préliminaires du 15 février 2022 du Contrôleur européen de la protection des données sur les logiciels espions modernes (15), |
— |
vu la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, et notamment ses articles 8, 10, 13, 14 et 17, ainsi que ses protocoles, |
— |
vu l’évaluation, réalisée par Europol pour 2021, de la menace que représente la grande criminalité organisée dans l’Union européenne et intitulée «A Corrupting Influence: The infiltration and undermining of Europe’s economy and society by organised crimes» (Économie et société européennes sous influence: l’insidieux travail de sape de la criminalité organisée), |
— |
vu le rapport 2017 de l’Agence des droits fondamentaux de l’Union européenne (FRA) intitulé «Surveillance par les services de renseignement: protection des droits fondamentaux et voies de recours dans l’Union européenne», et les mises à jour présentées le 28 février 2023 à la commission d’enquête chargée d’enquêter sur l’utilisation de Pegasus et de logiciels espions de surveillance équivalents (PEGA), |
— |
vu sa résolution du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d’affaires intérieures (16) et, en particulier, les recommandations qu’elle contient sur le renforcement de la sécurité informatique dans les institutions, organes et agences de l’Union, |
— |
vu l’avis 24/2022 du CEPD du 11 novembre 2022 sur la législation européenne sur la liberté des médias, |
— |
vu le glossaire relatif aux logiciels malveillants et aux logiciels espions élaboré par l’Agence de l’Union européenne pour la cybersécurité (ENISA), |
— |
vu la décision du Médiateur européen sur la manière dont la Commission européenne a évalué les incidences en matière de droits de l’homme avant d’aider les pays africains à développer leurs capacités de surveillance (affaire 1904/2021/MHZ), |
— |
vu la déclaration du 2 février 2023 de Mme Irene Kahn, rapporteure spéciale des Nations unies sur la promotion et la protection du droit à la liberté d’opinion et d’expression, et de M. Fernand de Varennes, rapporteur spécial des Nations unies sur les questions relatives aux minorités, exigeant une enquête sur les allégations relatives à un programme d’espionnage ciblant des dirigeants catalans (17), |
— |
vu le rapport de la Commission européenne pour la démocratie par le droit (Commission de Venise) sur le contrôle démocratique des services de sécurité (18) et à son avis intitulé «Pologne: avis relatif à la loi du 15 janvier 2016 portant modification de la loi sur la police et de certaines autres lois» (19), |
— |
vu le rapport de la commission d’enquête chargée d’enquêter sur l’utilisation de Pegasus et de logiciels espions de surveillance équivalents (A9-0189/2023), |
— |
vu l’article 208, paragraphe 12, de son règlement intérieur, |
A. |
considérant que, grâce aux efforts de CitizenLab et d’Amnesty Tech ainsi que de nombreux journalistes d’investigation, il a été démontré que les pouvoirs publics de plusieurs pays, des États membres comme des pays tiers, ont utilisé Pegasus et d’autres logiciels espions de surveillance équivalents contre des journalistes, des responsables politiques, des agents des services de répression, des diplomates, des avocats et des acteurs du monde des affaires et de la société civile, entre autres, à des fins politiques, voire criminelles; que de telles pratiques sont extrêmement préoccupantes et témoignent du risque d’utilisation abusive de technologies de surveillance en vue de porter atteinte aux droits de l’homme fondamentaux, aux processus électoraux et à la démocratie; |
B. |
considérant que chaque fois que le terme «logiciel espion» est mentionné dans le rapport, il signifie «Pegasus et logiciels espions de surveillance équivalents» au sens de la décision du Parlement instituant la commission PEGA; |
C. |
considérant qu’il a été constaté que des acteurs institutionnels ont délibérément utilisé des logiciels espions de manière trompeuse en ayant recours à des logiciels espions qui peuvent se faire passer pour un programme, un fichier ou un contenu inoffensif («cheval de Troie»), comme un faux message émanant d’institutions publiques; que, dans certains cas, les autorités publiques ont utilisé des opérateurs de téléphonie pour transférer des contenus malveillants sur l’appareil des personnes prises pour cible; que les logiciels espions peuvent être déployés en exploitant des vulnérabilités «jour zéro» sans interaction de la cible avec du contenu infecté, et qu’ils peuvent effacer toute trace de leur présence après avoir été désinstallés et anonymiser le lien entre des opérateurs à distance et un serveur; |
D. |
considérant qu’aux débuts des communications mobiles, l’écoute clandestine passait par l’interception d’appels et, plus tard, de SMS dans leur format brut; |
E. |
considérant que l’apparition des applications de communication mobile chiffrée a alimenté l’émergence d’une industrie du logiciel espion qui exploite les vulnérabilités des systèmes d’exploitation des smartphones pour y installer des logiciels capables d’importer des logiciels espions, notamment au moyen d’attaques dites «zéro clic», qui sont exécutées à l’insu de l’utilisateur et ne nécessitent aucune intervention de sa part, et pour permettre ainsi l’extraction de données avant le chiffrement; que, du fait même de la conception de tels logiciels espions «zéro clic», leur utilisation est extrêmement difficile à contrôler efficacement dans la pratique; |
F. |
considérant que l’échange d’informations sur les vulnérabilités de systèmes logiciels fait l’objet d’un commerce direct entre différentes parties ou est facilité par des intermédiaires; que ce commerce implique aussi des acteurs non étatiques et des organisations criminelles; |
G. |
considérant que l’acquisition, le commerce et l’accumulation de vulnérabilités «jour zéro» compromettent les fondements mêmes de l’intégrité et de la sécurité des communications des citoyens de l’Union et leur cybersécurité; |
H. |
considérant que la surveillance par logiciel espion devrait rester exceptionnelle et toujours être subordonnée à une autorisation judiciaire préalable effective, contraignante et pertinente accordée par une autorité judiciaire impartiale et indépendante, qui doit garantir que la mesure est nécessaire, proportionnée et strictement limitée aux cas touchant à la sécurité nationale, au terrorisme et aux formes graves de criminalité; que les techniques de surveillance risquent d’être utilisées de manière abusive dans les environnements dépourvus de réels contre-pouvoirs; |
I. |
considérant que toute surveillance par logiciel espion doit faire l’objet d’un examen ex post par une autorité de contrôle indépendante qui doit s’assurer que toute activité de surveillance autorisée est exécutée dans le respect des droits fondamentaux et conformément aux conditions fixées par la CJUE, la Cour européenne des droits de l’homme (CEDH) et la Commission de Venise; que cette autorité de contrôle chargée de l’examen ex post devrait immédiatement mettre fin à la surveillance s’il est établi que celle-ci est incompatible avec les droits et les conditions susmentionnés; |
J. |
considérant que toute surveillance par logiciel espion non conforme aux conditions fixées par le droit de l’Union et la jurisprudence de la CJUE et de la CEDH est contraire aux valeurs consacrées par l’article 2 du traité UE et aux droits fondamentaux consacrés par la charte, notamment par ses articles 7, 8, 11, 17, 21 et 47, qui soulignent les droits, qui reconnaissent des droits, libertés et principes spécifiques tels que le respect de la vie privée et familiale, la protection des données à caractère personnel, la liberté d’expression et d’information, le droit à la propriété, le droit à la non-discrimination, ainsi que le droit à un recours effectif et le droit d’accéder à un tribunal impartial, et la présomption d’innocence; |
K. |
considérant que les droits des personnes prises pour cible sont inscrits dans la charte et les conventions internationales, notamment le droit à la vie privée et le droit à accéder à un tribunal impartial, ainsi que dans les réglementations de l’Union relatives aux droits des suspects et des accusés; que ces droits ont été confirmés par la jurisprudence de la CJUE et de la Cour européenne des droits de l’homme; |
L. |
considérant que la surveillance ciblée des femmes peut avoir des répercussions particulièrement graves, car les autorités peuvent exploiter le contrôle social accru dont les femmes font l’objet pour transformer en armes les données privées et intimes extraites au moyen de logiciels espions à des fins de diffamation; |
M. |
considérant qu’il ressort des témoignages de personnes ciblées que même s’il existe des voies de recours et des droits civils en théorie, celles-ci sont généralement vidées de leur substance par le fait que des organes des pouvoirs publics font obstruction, que le droit des personnes ciblées d’être informées n’est pas appliqué et que les personnes ciblées doivent surmonter l’obstacle administratif que constitue l’obligation de prouver qu’ils ont été pris pour cible; que, même dans les systèmes dotés procédures rapides et transparentes, il est très difficile, en raison de la nature même des logiciels espions, de prouver qui est l’auteur de l’attaque et de déterminer la nature et l’ampleur de celle-ci; |
N. |
considérant que les tribunaux n’ont pas accepté les preuves scientifiques apportées par des experts indépendants, mais uniquement des preuves fondées sur un examen des autorités ou des services de sécurité ou de répression qui seraient à l’origine d’une attaque; que les personnes ciblées par une attaque se trouvent ainsi dans une situation paradoxale qui ne leur laisse aucune option effective pour prouver une infection par des logiciels espions; |
O. |
considérant que le gouvernement polonais a affaibli ou supprimé des garanties institutionnelles et juridiques, dont des procédures de contrôle et de surveillance appropriées, laissant de fait les personnes prises pour cible sans aucun moyen de recours effectif; que le logiciel espion de surveillance Pegasus a été déployé illégalement à des fins politiques pour espionner des journalistes, des responsables politiques, des avocats, des procureurs et des acteurs de la société civile; |
P. |
considérant que le gouvernement hongrois a affaibli ou supprimé des garanties institutionnelles et juridiques, dont des procédures de contrôle et de surveillance appropriées, laissant de fait les personnes prises pour cible sans aucun moyen de recours effectif; que le logiciel espion de surveillance Pegasus a été déployé illégalement à des fins politiques pour espionner des journalistes, des responsables de l’opposition, des avocats et des acteurs de la société civile; |
Q. |
considérant qu’il a été confirmé de source officielle qu’un député au Parlement européen pour la Grèce et un journaliste grec ont été mis sur écoute par le service de renseignement national grec (EYP) et ciblés par le logiciel espion Predator; qu’un ancien employé gréco-américain de Meta a été mis sur écoute par l’EYP et ciblé par le logiciel espion Predator, dont l’utilisation est illégale en vertu de la législation grecque; que, selon les médias, des députés de l’opposition et du parti au gouvernement, des militants politiques et des journalistes auraient également été la cible du logiciel espion Predator et/ou d’écoutes téléphoniques classiques par l’EYP; que le gouvernement grec nie avoir acheté ou utilisé le logiciel Predator, mais qu’il est très probable que ce dernier ait été utilisé par des personnes très proches du bureau du Premier ministre ou pour leur compte; que le gouvernement grec a admis avoir accordé des licences d’exportation à Intellexa pour la vente du logiciel espion Predator à des gouvernements répressifs, comme à Madagascar ou au Soudan; que le gouvernement a répondu au scandale par des modifications de la législation qui ont réduit davantage encore le droit des personnes ciblées d’être informées après le terme de la surveillance, et en entravant davantage encore le travail des autorités indépendantes; |
R. |
considérant les révélations concernant deux catégories de cibles de logiciels espions en Espagne; considérant que la première catégorie comprend le premier ministre et le ministre de la défense, le ministre de l’intérieur et d’autres hauts fonctionnaires qui seraient espionnés par le Maroc; que la seconde catégorie relève de ce que l’organisation Citizen Lab appelle le «CatalanGate» et comprend 65 personnes ciblées, dont des personnalités politiques du gouvernement régional de Catalogne, des membres du mouvement d’indépendance pro-catalan, des députés au Parlement européen, des juristes, des universitaires et des acteurs de la société civile; considérant qu’en mai 2022, les autorités espagnoles ont admis qu’elles surveillaient 18 personnes avec une autorisation judiciaire, bien qu’elles n’aient présenté aucun mandat ni d’autres informations, et que, sommées de s’expliquer sur l’utilisation de logiciels espions de surveillance en Espagne, elles ont invoqué la sécurité nationale; considérant que 47 autres personnes auraient également été ciblées, mais n’auraient reçu aucune information autre que celles provenant de Citizen Lab; |
S. |
considérant qu’aucune allégation d’infection par des logiciels espions n’a été confirmée à Chypre; que Chypre est un important pôle d’exportation à l’échelle européenne pour le secteur de la surveillance et jouit d’une situation attractive pour les entreprises qui vendent des technologies de surveillance; |
T. |
considérant que tout porte à croire que les gouvernements du Maroc et du Rwanda, entre autres, ont pris pour cible des personnalités de l’Union à l’aide de logiciels espions, notamment le président français, le premier ministre, le ministre de la défense et le ministre de l’intérieur espagnols, le premier ministre belge d’alors, l’ancien président de la Commission et l’ancien premier ministre italien, ainsi que Carine Kanimba, la fille de Paul Rusesabagina; |
U. |
considérant qu’il est permis de supposer sans risque que tous les États membres ont acheté ou utilisé au moins un système d’espionnage; que la plupart des gouvernements de l’Union européenne s’abstiennent d’utiliser des logiciels espions de manière illégale, mais que le risque d’abus est très concret en l’absence d’un cadre juridique solide assorti de garanties et de contrôles et compte tenu des difficultés techniques liées à la détection et à l’imputation des infections; |
V. |
considérant que les gouvernements et les parlements des États membres n’ont pas communiqué d’informations utiles au Parlement européen sur les cadres juridiques régissant l’utilisation de logiciels espions au-delà des informations déjà de notoriété publique, et ce en dépit de l’obligation qui leur incombe en vertu de l’article 3, paragraphe 4, de la décision du Parlement européen, du Conseil et de la Commission du 6 mars 1995 portant modalités d’exercice du droit d’enquête du Parlement européen; qu’il est difficile d’évaluer le respect de la législation de l’Union ainsi que la mise en œuvre des garanties, contrôles et voies de recours et que, partant, les droits fondamentaux des citoyens ne peuvent être protégés de manière satisfaisante; |
W. |
considérant que l’article 4, paragraphe 3, du traité sur l’Union européenne (TUE) dispose qu’«en vertu du principe de coopération loyale, l’Union et les États membres se respectent et s’assistent mutuellement dans l’accomplissement des missions découlant des traités»; |
X. |
considérant que plusieurs acteurs majeurs du secteur des logiciels espions ont obtenu la citoyenneté maltaise, ce qui facilite leurs activités dans et depuis l’Union; |
Y. |
considérant que de nombreux développeurs et fournisseurs de logiciels espions sont ou ont été enregistrés dans un ou plusieurs États membres; que l’on peut citer, par exemple, le groupe NSO, dont des entreprises sont implantées au Luxembourg, à Chypre, aux Pays-Bas et en Bulgarie, Thalestris Limited, la société mère d’Intellexa, implantée en Irlande, en Grèce, en Suisse et à Chypre, DSIRF, présente en Autriche, QuaDream à Chypre; Amesys et Nexa Technologies, en France, Tykelab et RCS Lab, en Italie; et FinFisher (aujourd’hui disparue) en Allemagne; |
Z. |
considérant que l’Union européenne ne participe pas à l’arrangement de Wassenaar relatif au contrôle des exportations des armes conventionnelles et des biens et technologies à double usage; que tous les États membres y participent, à l’exception de Chypre, qui a toutefois présenté une demande d’adhésion à l’arrangement il y a longtemps; que Chypre est liée par le règlement sur les biens à double usage; |
AA. |
considérant que le régime d’Israël en matière d’exportation (20) s’applique en principe à tous les citoyens israéliens, même lorsqu’ils opèrent depuis l’Union européenne; qu’Israël ne participe pas à l’arrangement de Wassenaar, mais affirme néanmoins en respecter les normes; |
AB. |
considérant que l’exportation de logiciels espions de l’Union vers des pays tiers est régie par le règlement sur les biens à double usage, révisé en 2021; que la Commission a publié son premier rapport sur l’application de celui-ci en septembre 2022 (21); |
AC. |
considérant que les éditeurs de logiciels espions exportant vers des pays tiers s’établissent au sein de l’Union afin d’acquérir une certaine respectabilité tout en faisant commerce de logiciels espions avec des régimes répressifs; que des exportations de l’Union vers des régimes répressifs ou des acteurs non étatiques ont lieu en violation des réglementations de l’Union en matière d’exportation; |
AD. |
considérant que les sociétés Amesys et Nexa Technologies sont actuellement poursuivies en France pour avoir exporté des technologies de surveillance vers la Libye, l’Égypte et l’Arabie Saoudite; que des sociétés d’Intellexa, implantées en Grèce, auraient exporté leurs produits vers le Bangladesh, le Soudan, Madagascar et au moins un pays arabe; que le logiciel de FinFisher est utilisé par des dizaines de pays dans le monde entier, dont l’Angola, l’Arabie saoudite, le Bahreïn, le Bangladesh, l’Égypte, l’Éthiopie, le Gabon, la Jordanie, le Kazakhstan, le Myanmar, Oman, le Qatar et la Turquie, ainsi que par les services de renseignement du Maroc, qui ont été accusés par Amnesty International et le consortium Forbidden Stories d’utiliser le logiciel espion Pegasus contre des journalistes, des défenseurs des droits de l’homme, des acteurs de la société civile et des responsables politiques; que l’on ignore si des licences d’exportation ont été accordées pour l’exportation de logiciels espions vers tous ces pays; que d’anciens dirigeants de FinFisher ont été inculpés par le ministère public de Munich pour avoir exporté des technologies de surveillance vers la Turquie sans licence d’exportation; |
AE. |
considérant que l’on constate, au regard du nombre de participants aux salons de l’armement et au salon ISS World commercialisant des logiciels espions, que les fournisseurs de logiciels espions et de produits et services connexes proviennent très majoritairement de pays tiers, que nombre d’entre eux ont leur siège en Israël (par exemple, NSO Group, Wintego, Quadream et Cellebrite), et que des acteurs majeurs du secteur sont implantés en Inde (ClearTrail), au Royaume-Uni (BAE Systems et Black Cube) et aux Émirats arabes unis (DarkMatter); que la liste noire des développeurs de logiciels espions dressée par les États-Unis («Entity list»), qui recense des entités en Israël (NSO Group et Candiru), en Russie (Positive Technologies) et à Singapour (Computer Security Initiative Consultancy PTE LTD.), met davantage encore l’accent sur la provenance diversifiée des éditeurs de logiciels espions; que le salon compte également parmi ses visiteurs un large éventail d’autorités publiques de l’Union, y compris les forces de police locales; |
AF. |
considérant que l’article 4, paragraphe 2, du traité UE dispose que la sécurité nationale relève de la seule responsabilité des États membres; |
AG. |
considérant que la CJUE a toutefois conclu, dans l’affaire C-623/17, que «bien qu’il appartienne aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure, le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union et dispenser les États membres du respect nécessaire de ce droit»; |
AH. |
considérant que la CJUE a conclu, dans l’affaire C-203/15, que «[l]’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique»; |
AI. |
considérant que la CJUE a conclu, dans l’affaire C-203/15, que «[l]’article 15, paragraphe 1, de la directive 2002/58/CE, telle que modifiée par la directive 2009/136/CE, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l’accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par un tribunal ou une autorité administrative indépendante, et sans demander à ce que les données en cause soient conservées sur le territoire de l’Union»; |
AJ. |
considérant que la jurisprudence de la CEDH dit clairement que toute surveillance doit respecter la législation, servir un objectif légitime et être nécessaire et proportionnée; qu’en outre, le cadre juridique doit prévoir des garanties précises, efficaces et complètes en ce qui concerne la prescription et l’exécution de mesures de surveillance ainsi que les moyens de recours y afférents, qui doivent faire l’objet d’un contrôle juridictionnel effectif (22); |
AK. |
considérant que la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention 108), qui a été récemment mise à jour et s’appelle désormais convention 108+, s’applique au traitement des données à caractère personnel à des fins de la sécurité de l’État (nationale), y compris la défense; que tous les États membres de l’UE sont parties à cette convention; |
AL. |
considérant que des aspects importants de l’utilisation de logiciels espions de surveillance pour la prévention et la détection d’infractions pénales, les enquêtes et les poursuites en la matière et l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, relèvent du droit de l’Union; |
AM. |
que la charte établit les conditions relatives à la limitation de l’exercice des droits fondamentaux, qui imposent que celle-ci doit être prévue par la loi, respecter le contenu essentiel des droits et libertés concernés, respecter le principe de proportionnalité et être imposée uniquement si elle est nécessaire et répond effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protéger les droits et libertés d’autrui; que, lorsque des logiciels espions sont utilisés, le niveau d’ingérence dans le droit à la vie privée peut être d’une gravité telle que la personne en est en réalité privée et que cette utilisation ne peut être considérée comme proportionnée, indépendamment du fait que la mesure puisse être jugée nécessaire afin de réaliser les objectifs légitimes d’un État démocratique; |
AN. |
considérant que la directive vie privée et communications électroniques prévoit que les États membres soient tenus de garantir la confidentialité des communications; que le déploiement d’outils de surveillance constitue une restriction du droit à la protection des équipements de terminaux prévu par la directive vie privée et communications électroniques; que de telles restrictions placeraient les législations nationales relatives aux logiciels espions dans le champ d’application de la directive vie privée et communications électroniques, à l’instar des législations nationales sur la conservation des données; que le déploiement régulier de technologies d’espionnage intrusives serait incompatible avec l’ordre juridique de l’Union; |
AO. |
considérant qu’en vertu du droit international, un État peut uniquement enquêter sur des infractions potentielles relevant de sa compétence et doit s’en remettre à l’assistance d’autres États pour enquêter sur le territoire de ces derniers, sauf s’il peut invoquer pour ce faire un accord international ou, dans le cas des États membres, le droit de l’Union; |
AP. |
considérant que l’infection d’un appareil par des logiciels espions et la collecte ultérieure de données se font par l’intermédiaire des serveurs de fournisseurs de services mobiles; que, du fait qu’en raison de l’itinérance gratuite au sein de l’Union, des particuliers souscrivent parfois des contrats de téléphonie mobile dans des États membres autres que celui où ils résident, il n’existe actuellement aucune base juridique dans le droit de l’Union pour la collecte de données dans l’autre État membre au moyen de logiciels espions; |
AQ. |
considérant que David Kaye, l’ancien rapporteur spécial des Nations unies sur la promotion et la protection du droit à la liberté d’opinion et d’expression (23), et Irene Khan, l’actuelle titulaire de ce mandat (24), appellent de leurs vœux un moratoire immédiat sur l’utilisation, le transfert et la vente d’outils de surveillance jusqu’à ce que des mesures strictes de protection des droits de l’homme soient mises en place pour réglementer les pratiques et garantir que les gouvernements et les acteurs non étatiques utilisent ces outils de façon légitime; |
AR. |
considérant que, dans certains cas, des entreprises du secteur du logiciel espion, en particulier Intellexa, ont vendu non seulement la technologie d’interception et d’extraction elle-même, mais aussi l’ensemble du service, également appelé «piratage à la demande» ou «cyber-renseignement actif», qui englobe un arsenal de techniques de surveillance et d’interception, ainsi que la formation du personnel et un soutien technique, opérationnel et méthodologique; que ce service pourrait permettre à l’entreprise de contrôler l’ensemble de l’opération de surveillance et d’agréger les données de surveillance; que cette pratique est presque impossible à surveiller et à contrôler pour les autorités compétentes; que cela rend difficile le respect des principes de proportionnalité, de nécessité, de légitimité, de légalité et d’adéquation; que ce service n’est pas autorisé par l’agence israélienne des exportations dans le secteur de la défense (DECA); que Chypre a été utilisée pour contourner les limitations établies par la législation israélienne afin de fournir un service de piratage; |
AS. |
considérant que les États membres doivent se conformer à la directive 2014/24/UE et à la directive 2009/81/CE sur les marchés publics et les marchés dans le domaine de la défense, respectivement; que les États membres doivent dûment justifier les dérogations au titre de l’article 346, paragraphe 1, point b), du traité FUE, étant donné que la directive 2009/81/CE tient explicitement compte du caractère sensible de la passation de marchés dans le domaine de la défense, et respecter l’accord de l’Organisation mondiale du commerce (OMC) relatif aux marchés publics tel que modifié le 30 mars 2012 (25) s’ils y sont parties; |
AT. |
considérant que le CEPD a souligné que les États membres doivent respecter la convention européenne des droits de l’homme et la jurisprudence de la CEDH, qui fixe des limites aux activités de surveillance aux fins de la sécurité nationale; qu’en outre, lorsqu’elle est utilisée à des fins de répression, la surveillance doit être conforme au droit de l’Union, notamment à la charte ainsi qu’aux directives européennes telles que la directive relative à la vie privée et aux communications électroniques et la directive en matière de protection des données dans le domaine répressif; |
AU. |
considérant que, selon certaines sources, de grandes institutions financières ont tenté d’encourager les éditeurs de logiciels espions à ignorer les normes applicables en matière de droits de l’homme ainsi que le devoir de vigilance et à continuer de vendre des logiciels espions à des régimes répressifs; |
AV. |
considérant que, dans le programme Horizon 2020, Israël occupe le troisième rang parmi les pays associés au regard de la participation globale au programme; considérant que l’accord conclu avec Israël dans le cadre d’Horizon Europe est doté de 95,5 milliards d’euros (26) au total pour la période 2021-2027; que des fonds ont été mis à la disposition d’entreprises israéliennes intervenant dans le domaine militaire et le domaine de la sécurité par l’intermédiaire de ces programmes de l’Union (27); |
AW. |
considérant que le principal instrument législatif pour les politiques de développement de l’Union est le règlement (UE) 2021/947 (28) (le règlement «Europe dans le monde») et que l’Union peut apporter des financements par l’intermédiaire des types de financement prévus par le règlement financier; que l’aide peut être suspendue en cas de dégradation de la situation en matière de démocratie, de droits de l’homme ou d’état de droit dans les pays tiers; |
1. |
souligne l’importance incontestable de la protection de la vie privée, du droit à la dignité et à la vie privée et à la vie familiale, de la liberté d’expression et d’information, de la liberté de réunion et d’association, et du droit à accéder à un tribunal impartial, en particulier dans un monde de plus en plus numérique où une part croissante de nos activités sont dématérialisées; |
2. |
est fermement convaincu de la gravité des violations de ces libertés et droits fondamentaux dans la perspective du respect des principes juridiques communs énoncés dans les traités et dans d’autres sources, et fait observer que la démocratie elle-même est en jeu, car l’utilisation de logiciels espions contre des responsables politiques, des acteurs de la société civile et des journalistes a un effet dissuasif et porte gravement atteinte au droit de réunion pacifique et à la liberté d’expression et de participation à la vie publique; |
3. |
condamne fermement l’utilisation de logiciels espions par les pouvoirs publics d’États membres ou par des agents d’autorités ou d’institutions publiques en vue de surveiller, de faire chanter, d’intimider, de manipuler et de discréditer l’opposition, les voix discordantes et la société civile, de neutraliser le contrôle démocratique et la presse libre, de manipuler les élections et de compromettre l’état de droit en ciblant des juges, des procureurs et des avocats à des fins politiques; |
4. |
insiste sur le fait que ce recours illégitime à des logiciels espions par les pouvoirs publics d’États membres et de pays tiers a des répercussions directes et indirectes sur les institutions de l’Union ainsi que sur le processus de prise de décision, et porte ainsi atteinte à l’intégrité de la démocratie de l’Union européenne; |
5. |
observe avec une vive inquiétude que la structure de gouvernance actuelle de l’Union est fondamentalement inadaptée pour répondre aux attaques contre la démocratie, les droits fondamentaux et l’état de droit provenant de l’intérieur de l’Union, et que de nombreux États membres ne prennent aucune mesure; relève que lorsque ceux-ci sont menacés dans un État membre, c’est l’ensemble de l’Union qui est menacé; |
6. |
souligne que les normes numériques qui régissent les évolutions technologiques au sein de l’Union doivent respecter les droits fondamentaux; |
7. |
est résolument d’avis que l’exportation de logiciels espions de l’Union vers des dictatures et des régimes répressifs qui affichent un piètre bilan en matière de respect des droits de l’homme, où ces outils sont utilisés contre les militants des droits de l’homme, les journalistes et les opposants au gouvernement, constitue une violation grave des droits fondamentaux inscrits dans la charte ainsi qu’une violation flagrante des réglementations de l’Union en matière d’exportations; |
8. |
est en outre préoccupé par l’utilisation illégitime et le commerce illicite de logiciels espions pratiqués par des États membres qui, collectivement, font de l’Union une destination pour le secteur des logiciels espions; |
9. |
est préoccupé par le fait que des pays tiers ciblent des personnalités, des défenseurs des droits de l’homme et des journalistes dans l’Union au moyen de logiciels espions; |
10. |
est également préoccupé par l’apparente réticence à enquêter sur l’utilisation abusive de logiciels espions, que le suspect soit une institution publique de l’Union ou d’un pays tiers; relève la lente progression et l’opacité des enquêtes judiciaires concernant l’utilisation abusive de logiciels espions contre des chefs de gouvernement et des ministres d’États membres de l’Union et de membres de la Commission ainsi que des membres de la société civile, des journalistes et des opposants politiques; |
11. |
relève que le cadre juridique de certains États membres ne prévoit pas de garanties précises, efficaces et complètes pour ce qui est d’ordonner et de mettre en œuvre des mesures de surveillance ainsi que d’éventuels mécanismes de recours contre ces mesures; relève que de telles mesures doivent répondre à un objectif légitime et être nécessaires et proportionnées; |
12. |
déplore que les gouvernements des États membres, le Conseil et la Commission ne coopèrent pas pleinement dans le cadre de l’enquête et ne partagent pas toutes les informations pertinentes et utiles afin d’aider la commission d’enquête à mener à bien la mission définie dans son mandat; reconnaît que certaines de ces informations peuvent être soumises à des exigences juridiques strictes en matière de secret et de confidentialité; estime que la réponse collective du Conseil est totalement inappropriée et va à l’encontre du principe de coopération loyale consacré par l’article 4, paragraphe 3, du traité UE; |
13. |
conclut que ni les États membres, ni le Conseil, ni la Commission ne semblent vouloir tout mettre en œuvre pour faire toute la lumière sur le recours abusif à des logiciels espions, et qu’ils protègent ainsi sciemment des gouvernements de l’Union qui portent atteinte aux droits de l’homme à l’intérieur et à l’extérieur de l’Union; |
14. |
conclut à des infractions graves et à une mauvaise administration dans l’application du droit de l’Union en Pologne; |
15. |
invite la Pologne:
|
16. |
prie instamment la Commission d’analyser la compatibilité de la loi polonaise de 2018 sur la protection des données à caractère personnel traitées en lien avec la prévention de crimes et la lutte contre la criminalité avec la directive européenne en matière de protection des données dans le domaine répressif et, si nécessaire, d’engager une procédure d’infraction; |
17. |
conclut à des infractions graves et à une mauvaise administration dans l’application du droit de l’Union en Hongrie; |
18. |
invite la Hongrie:
|
19. |
conclut à des infractions et à une mauvaise administration dans l’application du droit de l’Union en Grèce; |
20. |
invite la Grèce:
|
21. |
conclut que, dans l’ensemble, le cadre réglementaire espagnol est conforme aux exigences fixées par les traités; souligne toutefois qu’il convient de le réformer à certains égards et que sa mise en œuvre doit être pleinement conforme aux droits fondamentaux et garantir la protection de la participation publique; |
22. |
invite donc l’Espagne:
|
23. |
conclut qu’il existe des preuves d’une mauvaise administration dans l’application du règlement de l’Union sur les biens à double usage à Chypre, lesquelles doivent être examinées de près; |
24. |
invite Chypre:
|
25. |
estime qu’il y a également lieu de s’inquiéter de la situation dans certains autres États membres, notamment en raison de l’existence d’un secteur des logiciels espions lucratif et en pleine expansion qui bénéficie de la solide réputation, du marché unique et de la libre circulation en place dans l’Union, permettant à des États membres comme Chypre et la Bulgarie de devenir des plateformes d’exportation de logiciels espions vers des régimes répressifs dans le monde entier; |
26. |
est d’avis que l’incapacité ou le refus de certaines autorités nationales de protéger dûment les citoyens de l’Union, à l’instar de lacunes juridiques et de l’absence d’instruments juridiques adéquats, témoignent incontestablement du fait qu’une action à l’échelle de l’Union est indispensable pour garantir le respect de la lettre des traités et de la législation de l’Union, ainsi que du droit des citoyens à vivre dans un environnement sûr où la dignité humaine, la vie privée, les données à caractère personnel et la propriété sont respectés, conformément à la directive 2012/29/UE, qui dispose que toute victime d’un crime a le droit de bénéficier d’un soutien et d’une protection en fonction de ses besoins particuliers; |
27. |
conclut à de graves défaillances dans la mise en œuvre du droit de l’Union au regard du fait que la Commission et le Service européen pour l’action extérieure (SEAE) ont soutenu des pays tiers, dont dix pays du Sahel, afin de leur permettre de mettre au point des capacités de surveillance (29); |
28. |
est d’avis que le commerce et l’utilisation de logiciels espions doivent être strictement réglementés; reconnaît toutefois que le processus législatif peut prendre du temps et qu’il convient de mettre fin immédiatement aux abus; préconise de définir les conditions applicables pour l’utilisation, la vente, l’acquisition et le transfert légaux de logiciels espions; insiste sur le fait que, pour pouvoir continuer à utiliser des logiciels espions, les États membres doivent remplir l’ensemble des conditions suivantes le 31 décembre 2023 au plus tard:
|
29. |
estime que le respect de ces conditions doit être évalué par la Commission d’ici le 30 novembre 2023; est en outre d’avis que les résultats de cette évaluation doivent être publiés dans un rapport public; |
30. |
souligne que s’il est indispensable pour les États membres d’avoir les moyens de lutter contre les formes graves de criminalité et le terrorisme, la protection des droits fondamentaux et de la démocratie est essentielle; estime en outre que l’utilisation de logiciels espions par les États membres doit être proportionnée et ne doit pas être arbitraire, et que la surveillance doit uniquement être autorisée dans des circonstances précises et prédéfinies; est d’avis que des mécanismes ex ante efficaces pour garantir un contrôle judiciaire sont essentiels à la protection des libertés individuelles; réaffirme que les droits individuels ne sauraient être menacés par l’autorisation d’un accès sans restriction à la surveillance; souligne que la capacité du pouvoir judiciaire à assurer un contrôle ex post effectif et pertinent sur les demandes de surveillance relatives à la sécurité nationale est également importante afin de pouvoir contester l’utilisation disproportionnée de logiciels espions par les gouvernements; |
31. |
souligne que l’utilisation de logiciels espions à des fins répressives devrait être directement réglementée par des mesures fondées sur le chapitre 4 du titre 5 du traité FUE sur la coopération judiciaire en matière pénale; précise que la configuration des logiciels espions importés dans l’Union et mis sur le marché par ailleurs devrait être réglementée au moyen d’une mesure fondée sur l’article 114 du traité FUE; relève que l’utilisation de logiciels espions à des fins de sécurité nationale ne peut être réglementée qu’indirectement, au regard, par exemple, des droits fondamentaux et des règles relatives à la protection des données; |
32. |
estime qu’en raison de la dimension transnationale et européenne de l’utilisation des logiciels espions, un contrôle coordonné et transparent au niveau de l’Union est nécessaire pour garantir non seulement la protection des citoyens de l’Union, mais aussi la validité des preuves recueillies au moyen de logiciels espions dans les affaires transfrontières, et qu’il est clairement nécessaire d’établir des normes européennes communes sur la base du chapitre 4 du titre 5 du traité FUE régissant l’utilisation de logiciels espions par les organes des États membres, en s’inspirant des normes établies par la CJUE, la Cour européenne des droits de l’homme, la Commission de Venise et l’Agence des droits fondamentaux (30); estime que ces normes de l’Union devraient au moins porter sur les éléments suivants:
|
33. |
invite les États membres à organiser des consultations publiques avec les parties prenantes, à garantir la transparence du processus législatif et à intégrer les normes et garanties de l’Union aux nouveaux textes législatifs relatifs à l’utilisation et à la vente de logiciels espions; |
34. |
insiste sur le fait que seuls les logiciels espions conçus de manière à permettre et à faciliter la fonctionnalité de logiciel espion dans le respect du cadre législatif défini au paragraphe 32 peuvent être commercialisés sur le marché intérieur, mis au point ou utilisés au sein de l’Union; affirme qu’un tel règlement relatif à la mise sur le marché de logiciels espions qui prévoit le respect de «l’état de droit dès la conception» sur la base de l’article 114 du traité FUE devrait offrir aux citoyens de l’Union un niveau élevé de protection; estime qu’il est injustifiable que, si le règlement sur les biens à double usage offre aux citoyens de pays tiers une protection contre les exportations de logiciels espions en provenance de l’Union depuis 2021, aucune protection équivalente n’est offerte aux citoyens de l’Union; |
35. |
estime que seules les technologies d’interception et d’extraction peuvent être vendues par les entreprises de l’Union et acquises par les États membres, mais pas le «piratage à la demande», qui inclut la fourniture d’un soutien technique, opérationnel et organisationnel aux technologies de surveillance, et permet au fournisseur d’accéder à une quantité disproportionnée de données incompatible avec les principes de proportionnalité, de nécessité, de légitimité, de légalité et d’adéquation; demande à la Commission de formuler des propositions législatives à cet égard; |
36. |
souligne que les logiciels espions ne peuvent être mis sur le marché qu’en vue d’être vendus à des autorités publiques, sur la base d’une liste fermée, dont les mandats comprennent des enquêtes sur des infractions ou la protection de la sécurité nationale, ce pour quoi l’utilisation de logiciels espions peut être autorisée, et utilisés par celles-ci; estime que les agences de sécurité ne devraient utiliser des logiciels espions qu’après avoir mis en œuvre toutes les recommandations formulées par l’Agence des droits fondamentaux (31); |
37. |
insiste sur l’obligation d’utiliser une version du logiciel espion conçue de manière à réduire au minimum l’accès à toutes les données stockées sur un appareil, mais devrait être conçue de manière à limiter l’accès aux données au strict minimum nécessaire aux fins de l’enquête autorisée; |
38. |
conclut que lorsqu’un État membre a acheté un logiciel espion, l’acquisition doit pouvoir être contrôlée par un organisme d’audit indépendant et impartial doté de l’habilitation adéquate; |
39. |
souligne que toute entité qui place des logiciels espions sur le marché intérieur devrait être soumise à des exigences strictes en matière de diligence et que les entreprises candidates à un marché public devraient faire l’objet d’une procédure d’examen approfondi portant notamment sur les mesures prises par l’entreprise en réponse aux violations des droits de l’homme commises à l’aide de ses logiciels et sur la question de savoir si la technologie repose sur des données collectées dans le cadre de pratiques de surveillance non démocratiques et abusives; souligne que les autorités nationales de surveillance compétentes devraient rendre compte chaque année à la Commission du respect de la législation; |
40. |
souligne que les entreprises qui proposent des technologies ou des services de surveillance aux opérateurs gouvernementaux doivent informer les autorités nationales de contrôle compétentes de la nature des autorisations d’exportation; |
41. |
souligne que les États membres devraient établir une période de battement pendant laquelle d’anciens salariés des organismes ou agences gouvernementaux ne peuvent pas travailler pour des entreprises de logiciels espions; |
Nécessité de délimiter le concept de sécurité nationale
42. |
se déclare préoccupé par l’invocation injustifiée de la «sécurité nationale» pour justifier le déploiement et l’utilisation de logiciels espions et pour garantir le secret absolu et s’affranchir de l’obligation de rendre compte; se félicite de la déclaration de la Commission, conformément à la jurisprudence de la CJUE (32), selon laquelle une simple référence à la sécurité nationale ne peut être interprétée comme donnant droit à une dérogation illimitée à l’application du droit de l’Union et doit nécessiter une justification claire, et invite la Commission à donner suite à cette déclaration lorsque des signes indiquent une utilisation abusive; estime que, dans une société démocratique transparente et respectueuse de l’état de droit, de telles limitations au nom de la sécurité nationale constitueront l’exception plutôt que la règle; |
43. |
estime que le concept de sécurité nationale doit être considéré à la lumière de celui, plus restreint, de la sécurité intérieure, en ce que cette dernière a une portée plus large, incluant la prévention des risques pour les citoyens, et notamment la mise en œuvre du droit pénal; |
44. |
regrette les difficultés découlant de l’absence de définition juridique commune de la sécurité nationale, établissant des critères permettant de déterminer le régime juridique qui peut s’appliquer en matière de sécurité nationale, ainsi qu’une délimitation précise du domaine dans lequel ce régime spécial peut s’appliquer; |
45. |
estime que l’utilisation de logiciels espions représente une limitation des droits fondamentaux; estime en outre que lorsqu’un concept est utilisé dans un contexte juridique impliquant le transfert de droits et l’imposition d’obligations (et, en particulier, de limitations des droits fondamentaux des personnes), il doit être clair et prévisible pour toutes les personnes concernées; rappelle que la charte des droits fondamentaux prévoit que toute limitation des droits fondamentaux selon l’article 52, paragraphe 1, doit être prévue par la loi; estime donc qu’il est nécessaire de définir clairement le terme de «sécurité nationale»; souligne que, indépendamment de la délimitation précise, le domaine de la sécurité nationale doit faire l’objet d’un contrôle indépendant, contraignant et efficace dans son intégralité; |
46. |
souligne que si les autorités invoquent des motifs liés à la sécurité nationale pour justifier l’utilisation de logiciels espions, elles devraient, outre le cadre prévu au paragraphe 29, prouver leur conformité au droit communautaire, y compris l’adhésion aux principes de proportionnalité, de nécessité, de légitimité, de légalité et d’adéquation; souligne que la justification devrait être facilement accessible et qu’un organe national de contrôle devrait y avoir accès pour l’évaluer; |
47. |
réitère, dans ce contexte, que tous les États membres ont signé la convention 108+, laquelle prévoit des normes et obligations relatives à la protection des personnes eu égard au traitement des données personnelles, y compris aux fins de sécurité nationale; rappelle que la convention 108 + est un cadre européen contraignant régissant le traitement des données par les services de renseignement et de sécurité; invite instamment tous les États membres à ratifier la convention sans plus tarder et à appliquer d’ores et déjà ses normes dans le droit national et à agir en conséquence en matière de sécurité nationale; |
48. |
souligne que les exceptions et les restrictions à un nombre limité de dispositions de la convention ne sont admises que lorsqu’elles respectent les exigences énoncées à l’article 11 de la convention, c’est-à-dire que chaque exception et restriction spécifique dans l’application de la convention 108+ doit être prévue par la loi, respecter l’essence des droits et libertés fondamentales et doit justifier qu’elle «constitue une mesure nécessaire et proportionnée dans une société démocratique» pour l’un des motifs légitimes énumérés à l’article 11 (33) et que ces exceptions et restrictions ne doivent pas interférer avec «le contrôle et la supervision indépendants effectifs selon la législation nationale de chaque partie»; |
49. |
relève en outre que la convention 108+ souligne que le contrôle «dispose de pouvoirs d’enquête et d’intervention»; estime qu’un contrôle et une supervision effectifs impliquent des pouvoirs contraignants là où l’impact sur les droits fondamentaux est le plus important, en particulier dans les phases d’accès, d’analyse et de stockage du traitement des données à caractère personnel; |
50. |
estime que l’absence de pouvoirs contraignants des organes de contrôle dans le domaine de la sécurité nationale est incompatible avec le critère énoncé dans la convention 108+ selon lequel cela «constitue une mesure nécessaire et proportionnée dans une société démocratique»; |
51. |
souligne que la convention 108+ prévoit un nombre très limité d’exceptions en ce qui concerne son article 15, mais qu’elle n’en prévoit pas en ce qui concerne le paragraphe 2 [obligations de sensibilisation], le paragraphe 3 [consultation sur toute proposition législative ou administrative], le paragraphe 4 [demandes et plaintes des personnes concernées], le paragraphe 5 [indépendance et impartialité], le paragraphe 6 [ressources nécessaires à l’accomplissement effectif des fonctions], le paragraphe 7 [rapports d’activités périodiques], le paragraphe 8 [confidentialité], le paragraphe 9 [possibilité de recours juridictionnel] et le paragraphe 10 [absence de compétences s’agissant des traitements effectués par des organes dans l’exercice de leurs fonctions juridictionnelles]; |
Amélioration de la mise en œuvre et de l’exécution de la législation en vigueur
52. |
souligne les lacunes des cadres juridiques nationaux ainsi que la nécessité d’un meilleur contrôle de l’application de la législation de l’Union en vigueur afin de contrebalancer ces insuffisances; recense les lois de l’Union suivantes comme étant pertinentes, mais trop souvent mises en œuvre et/ou appliquées de façon non convenable: la directive sur la lutte contre le blanchiment des capitaux, la directive en matière de protection des données dans le domaine répressif, les règles relatives aux marchés publics, le règlement sur les biens à double usage, la jurisprudence (décisions relatives à la surveillance et à la sécurité nationale) et la directive sur la protection des lanceurs d’alerte; invite la Commission à enquêter et à faire rapport sur les lacunes en matière d’application et de respect et à présenter une feuille de route en vue d’y remédier au plus tard au 1er août 2023; |
53. |
considère que la bonne application et le respect rigoureux du cadre juridique de l’Union en matière de protection des données, en particulier la directive en matière de protection des données dans le domaine répressif, le règlement général sur la protection des données et la directive vie privée et communications électroniques, sont cruciaux; place au même degré d’importance l’application intégrale des arrêts pertinents de la CJUE, qui fait encore défaut dans plusieurs États membres; rappelle que la Commission joue un rôle central de contrôle de l’application du droit de l’Union et de garantie de son application uniforme sur l’ensemble de son territoire et qu’elle devrait faire usage de l’ensemble des outils disponibles, notamment les procédures en manquement, en cas de non-conformité prolongée; |
54. |
demande que l’arrangement de Wassenaar évolue pour devenir un accord contraignant pour tous ses participants afin d’en faire un traité international; |
55. |
invite Chypre et Israël à participer à l’arrangement de Wassenaar; rappelle aux États membres que tout doit être fait afin de permettre à Chypre et à Israël de rejoindre l’arrangement de Wassenaar; |
56. |
attire l’attention sur le fait que l’arrangement de Wassenaar devrait inclure un cadre relatif aux droits de l’homme intégrant l’octroi d’autorisations pour les technologies de logiciels espions et prévoyant l’évaluation et la vérification de la conformité des entreprises qui produisent des technologies de logiciels espions, et que les participants devraient interdire l’achat de technologies de surveillance à des États ne participant pas à l’arrangement; |
57. |
souligne que, compte tenu des révélations relatives aux logiciels espions, la Commission et les États membres devraient mener une enquête approfondie sur les licences d’exportation accordées pour l’utilisation de logiciels espions en vertu du règlement sur les biens à double usage et que la Commission devrait partager les résultats de cette évaluation avec le Parlement; |
58. |
souligne la nécessité de traçabilité et d’obligation de rendre compte des exportations de logiciels espions et rappelle que les entreprises de l’Union devraient uniquement pouvoir exporter des logiciels espions dotés de caractéristiques suffisamment traçables pour faire en sorte que la responsabilité soit toujours attribuable; |
59. |
insiste sur le fait que la Commission doit contrôler régulièrement la refonte du règlement sur les biens à double usage et garantir sa bonne application afin d’éviter les «achats liés au régime d’exportation» dans l’ensemble de l’Union, comme c’est actuellement le cas en Bulgarie et à Chypre, et sur le fait que la Commission devrait disposer de ressources appropriées pour cette mission; |
60. |
invite la Commission à veiller à ce que les unités chargées de la surveillance et de l’application du règlement sur les biens à double usage disposent d’effectifs suffisants; |
61. |
demande l’élaboration d’amendements au règlement sur les biens à double usage afin de préciser, à l’article 15, que les permis d’exportation de biens à double usage ne doivent pas être accordés lorsque les biens sont ou peuvent être destinés à être utilisés dans le cadre de la répression interne et/ou de la perpétration de violations graves des droits de l’homme et du droit humanitaire international; demande la mise en œuvre intégrale des droits de l’homme et des vérifications au titre des obligations de vigilance au cours du processus d’octroi de licence, et d’autres améliorations comme des voies de recours pour les cibles de violations des droits de l’homme et la transparence des rapports relatifs à l’accomplissement du devoir de vigilance; |
62. |
demande que des modifications soient apportées au règlement sur les biens à double usage afin d’assurer l’interdiction du transit dans les cas où les biens sont ou peuvent être destinés à la répression interne et/ou à la perpétration de violations graves des droits de l’homme et du droit humanitaire international; |
63. |
souligne que, dans une future modification du règlement sur les biens à double usage, il devrait être prévu que les autorités nationales désignées chargées de l’approbation et du rejet des licences d’exportation de biens à double usage produisent des rapports détaillés comprenant des informations sur le bien à double usage en question, à savoir: le nombre de licences demandées; le nom du pays exportateur; une description de la société exportatrice, avec une mention spéciale si cette société est une filiale; une description de l’utilisateur final et de la destination; la valeur de la licence d’exportation; et la raison pour laquelle la licence d’exportation a été approuvée ou rejetée; insiste sur le fait que ces rapports devraient être rendus publics chaque trimestre; demande la création d’une commission parlementaire permanente spécifique, ayant accès à des informations classées secrètes par la Commission, à des fins de contrôle parlementaire; |
64. |
souligne que, dans une future modification du règlement sur les biens à double usage, l’exception à l’obligation de communiquer des informations à la Commission pour des raisons de sensibilité sur le plan commercial, de défense et de politique étrangère ou de sécurité nationale doit être supprimée; estime, en lieu et place, que pour éviter que des informations sensibles ne soient mises à la disposition de pays tiers, la Commission peut décider de classer secrètes certaines informations dans son rapport annuel; |
65. |
souligne que la définition des biens de cybersurveillance dans la refonte du règlement sur les biens à double usage ne peut pas faire l’objet d’une interprétation restrictive, mais devrait inclure toutes les technologies dans ce domaine, telles que les équipements d’interception ou de brouillage des télécommunications mobiles; les logiciels d’intrusion; les systèmes ou équipements de surveillance des communications sur réseau IP; les logiciels spécialement conçus ou modifiés pour la surveillance ou l’analyse par les services répressifs; les équipements de détection acoustique par laser; les outils de police scientifique qui extraient les données brutes d’un appareil informatique ou de communication et contournent les contrôles d’authentification ou d’autorisation de l’appareil; les systèmes ou équipements électroniques conçus soit pour la surveillance et le contrôle du spectre électromagnétique pour le renseignement d’intérêt militaire, soit à des fins de sécurité; et les aéronefs sans pilote capables d’effectuer une surveillance; |
66. |
demande l’adoption d’une législation européenne supplémentaire imposant aux entreprises qui produisent et/ou exportent des technologies de surveillance d’inclure des cadres relatifs aux droits de l’homme et au devoir de vigilance, conformément aux principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme (UNGP); |
Coopération internationale en vue de la protection des citoyens
67. |
demande l’adoption d’une stratégie commune UE-États-Unis en matière de logiciels espions, comprenant une liste blanche et/ou une liste noire commune(s) de fournisseurs de logiciels espions à risques dont les outils ont été utilisés de manière abusive ou risquent d’être utilisés de manière abusive par des gouvernements étrangers faisant état de piètres résultats en matière de droits de l’homme pour cibler dans une intention malveillante des agents d’État, des journalistes ou la société civile, et qui agissent contre la sécurité nationale et la politique étrangère de l’Union, autorisés ou non à vendre aux autorités publiques, des critères communs permettant d’inclure les fournisseurs dans l’une ou l’autre liste, des accords en vue de la création d’un rapport commun sur le secteur, un examen commun, des obligations communes en matière de devoir de vigilance des fournisseurs et la criminalisation de la vente de logiciels espions à des acteurs non étatiques; |
68. |
demande au Conseil du commerce et des technologies UE-États-Unis d’organiser de vastes consultations ouvertes avec la société civile pour l’élaboration de la stratégie et des normes communes UE-États-Unis, y compris de la liste blanche et/ou une liste noire commune(s); |
69. |
demande l’ouverture de débats avec d’autres pays, notamment Israël, afin de mettre en place un cadre pour la commercialisation et les licences d’exportation des logiciels espions, notamment des règles de transparence, une liste de pays remplissant les conditions nécessaires en ce qui concerne les normes en matière de droits de l’homme et des dispositions en matière de devoir de vigilance; |
70. |
constate que, contrairement aux États-Unis, où l’entreprise NSO a été rapidement mise sur liste noire et où le président américain a signé un décret présidentiel contre l’utilisation opérationnelle de logiciels espions commerciaux qui présentent des risques importants de contre-espionnage ou de sécurité pour le gouvernement des États-Unis ou des risques importants d’utilisation abusive par un gouvernement étranger ou une personne étrangère, aucune mesure suffisante n’a été prise au niveau de l’Union en ce qui concerne les importations de logiciels espions et l’application des règles en matière d’exportation; |
71. |
conclut que le régime d’exportation de l’Union et son application doivent être renforcés pour protéger les droits de l’homme dans les pays tiers, et qu’il convient d’équiper ce régime des outils nécessaires à la mise en œuvre effective de ses dispositions; rappelle que l’Union devrait chercher à collaborer avec les États-Unis et d’autres alliés afin de réglementer le commerce des logiciels espions et d’utiliser leur pouvoir de marché combiné pour imposer le changement et fixer des normes solides de transparence, de traçabilité et de responsabilité en ce qui concerne l’utilisation des technologies de surveillance, ce qui devrait aboutir à une initiative au niveau des Nations unies; |
Vulnérabilités jour zéro
72. |
demande la mise en place d’une réglementation de la découverte, du partage, de la correction et de l’exploitation des vulnérabilités, ainsi que des procédures de divulgation, complétant ainsi la base définie par la directive (UE) 2022/2555 (34) (directive NIS 2) et la proposition de législation sur la cyberrésilience (35); |
73. |
estime que les chercheurs doivent être en mesure de rechercher les vulnérabilités et de partager leurs résultats sans exposer leur responsabilité civile et pénale, notamment en vertu de la directive contre la cybercriminalité et de la directive sur le droit d’auteur; |
74. |
invite les principaux acteurs du secteur à inciter activement les chercheurs à participer à la recherche des vulnérabilités, en investissant dans des plans de traitement des vulnérabilités et des pratiques de communication au sein du secteur et avec la société civile, et à mettre en place des programmes de primes aux bogues; |
75. |
invite la Commission à intensifier le soutien et les financements apportés aux primes aux bogues et aux projets visant à rechercher et à corriger des vulnérabilités en matière de sécurité, et à adopter une approche coordonnée de la divulgation obligatoire des vulnérabilités parmi les États membres; |
76. |
demande l’interdiction de la vente de vulnérabilités dans un système à d’autres fins que le renforcement de la sécurité de ce système, ainsi que l’obligation de divulguer les résultats de toutes les recherches sur la vulnérabilité d’une manière coordonnée et responsable, afin de promouvoir la sécurité publique et de réduire au minimum le risque d’exploitation des vulnérabilités; |
77. |
demande aux entités publiques et privées de créer un point de contact accessible au public auquel les vulnérabilités pourront être signalées de manière coordonnée et responsable, et aux organisations recevant des informations concernant les vulnérabilités de leur système d’agir immédiatement afin de les corriger; estime que, lorsque des corrections sont disponibles, les organisations devraient avoir mandat pour mettre en place les mesures appropriées destinées à garantir un déploiement rapide et certain, dans le cadre d’un processus de divulgation coordonné et responsable; |
78. |
estime que les États membres devraient allouer des ressources financières, techniques et humaines suffisantes à la recherche en matière de sécurité et à la correction des vulnérabilités; |
79. |
invite les États membres à mettre en place des procédures de traitement des failles informatiques, fixées par la loi, qui prévoient que, par défaut, les vulnérabilités doivent être rendues publiques et ne pas être exploitées, et que toute décision de s’en écarter doit constituer une exception et être examinée au regard des exigences de nécessité et de proportionnalité, notamment en vérifiant si les infrastructures concernées par la vulnérabilité sont utilisées par une grande partie de la population, et faire l’objet d’un contrôle strict par un organe de supervision indépendant et de procédures et de décisions transparentes; |
Réseaux de télécommunications
80. |
attire l’attention sur le fait qu’il convient de retirer la licence de tout fournisseur de service qui facilite l’accès illégal à une infrastructure de signalisation mobile nationale et/ou internationale pour toutes les générations (actuellement 2G à 5G); |
81. |
souligne qu’il conviendrait de mieux réglementer les procédures qui permettent à des acteurs malveillants de créer de nouveaux numéros de téléphone dans le monde entier afin que les activités illicites soient plus difficiles à dissimuler; |
82. |
souligne la nécessité pour les fournisseurs de télécommunications de veiller à ce qu’ils soient en mesure de détecter d’éventuels abus d’accès, de contrôle ou d’utilisation finale effective des infrastructures de signalisation obtenues par des tiers dans le cadre d’accords commerciaux ou autres dans l’État membre dans lequel ils exercent leurs activités; |
83. |
invite les États membres à faire en sorte que les autorités nationales compétentes, conformément aux dispositions de la directive SRI 2, évaluent le niveau de résilience des fournisseurs de télécommunications face aux intrusions non autorisées; |
84. |
demande aux fournisseurs de services de télécommunication de prendre des mesures fermes et concrètes pour atténuer les diverses formes d’émulation sans autorisation de l’origine du trafic de télécommunications par un élément de réseau afin d’accéder aux données ou aux services destinés à l’utilisateur légitime, et les autres activités qui comprennent la manipulation d’opérations normales d’éléments et d’infrastructures de téléphonie mobile à des fins de surveillance par des acteurs malveillants dont des acteurs au niveau étatique ainsi que des groupes criminels; |
85. |
demande aux États membres de prendre des mesures de sorte que les acteurs étatiques de pays tiers qui ne respectent pas les droits fondamentaux ne contrôlent pas ou n’utilisent pas effectivement des infrastructures stratégiques, ou ne pèsent pas sur des décisions liées aux infrastructures stratégiques au sein de l’Union, y compris les infrastructures de télécommunications; |
86. |
invite les États membres à accorder la priorité à des investissements accrus dans la protection des infrastructures critiques, comme les systèmes nationaux de télécommunications, afin de combler les lacunes en matière de protection contre les atteintes à la vie privée, les fuites de données et les intrusions non autorisées, de manière à défendre les droits fondamentaux des citoyens; |
87. |
invite les autorités nationales compétentes à promouvoir activement le renforcement des capacités des fournisseurs, ainsi que des capacités de réaction, afin de mieux soutenir l’identification des personnes prises pour cible illégalement, la notification et le signalement des incidents, afin de fournir une assurance continue et mesurable et d’atténuer l’exploitation des failles de sécurité par des acteurs malveillants de pays tiers et nationaux; |
Vie privée et communications électroniques
88. |
demande l’adoption rapide du règlement «vie privée et communications électroniques» en tenant pleinement compte de la jurisprudence sur les restrictions aux fins de la sécurité nationale et de la nécessité de prévenir les utilisations abusives des technologies de surveillance, et de manière à renforcer le droit fondamental à la vie privée et à prévoir des garanties solides et une application efficace; insiste sur le fait que le champ d’application de l’interception légale ne devrait pas outrepasser la directive 2002/58/CE relative à la vie privée et aux communications électroniques; |
89. |
demande que tous les contenus, communications et métadonnées électroniques soient protégés de l’utilisation abusive des données à caractère personnel et des communications privées par les entreprises privées et les autorités étatiques; insiste sur le fait qu’il convient de ne pas affaiblir les outils numériques de sécurité dès le stade de la conception, comme le chiffrement de bout en bout; |
90. |
demande à la Commission d’évaluer dans l’ensemble de l’Union la mise en œuvre par les États membres de la directive vie privée et communications électroniques et d’engager des procédures d’infraction en cas de violation; |
Rôle d’Europol
91. |
fait remarquer qu’une lettre d’Europol adressée au président de la commission PEGA en avril 2023 informe la commission qu’Europol a contacté la Grèce, la Hongrie, la Bulgarie, l’Espagne et la Pologne pour établir si l’Agence pouvait apporter son soutien à une enquête judiciaire ou à toute autre enquête en cours ou prévue au titre des dispositions applicables du droit national; souligne que le fait de proposer de l’aide aux États membres ne revient pas à proposer d’ouvrir, de mener ou de coordonner une enquête judiciaire comme le prévoit l’article 6; |
92. |
demande à Europol de faire pleinement usage de ses pouvoirs nouvellement acquis en vertu de l’article 6, paragraphe 1, point a), du règlement (UE) 2022/991, qui lui permet de proposer aux autorités compétentes des États membres concernés d’ouvrir, de mener ou de coordonner une enquête le cas échéant; souligne qu’en vertu de l’article 6, il revient aux États membres de refuser une telle proposition; |
93. |
demande à tous les États membres de s’engager auprès du Parlement européen et du Conseil à faire participer Europol aux enquêtes sur des accusations d’utilisation illégitime de logiciels espions au niveau national, en particulier lorsqu’une proposition a été faite au titre de l’article 6, paragraphe 1 bis, du règlement (UE) 2022/991; |
94. |
demande aux États membres de mettre en place, au sein d’Europol, un registre des opérations répressives nationales impliquant l’utilisation de logiciels espions, dans lequel chaque opération devrait être mise en évidence par un code et afin que l’utilisation de logiciels espions par les gouvernements soit incluse dans le rapport annuel d’évaluation de la menace que représente la criminalité organisée sur l’internet par Europol; |
95. |
est d’avis qu’une réflexion devrait être engagée dans le cas où les autorités nationales ne parviennent pas à enquêter ou refusent d’enquêter et que les intérêts et la sécurité de l’Union font l’objet de menaces manifestes; |
Politiques de développement de l’Union
96. |
invite la Commission et le SEAE à mettre en place des mécanismes de contrôle plus rigoureux afin de veiller à ce que l’aide au développement de l’Union, y compris les dons de technologies de surveillance et la formation au déploiement de logiciels de surveillance, ne finance pas ou ne favorise pas des outils et des activités susceptibles de porter atteinte aux principes de démocratie, de bonne gouvernance, d’état de droit et de respect des droits de l’homme, ou de constituer une menace pour la sécurité internationale ou la sécurité essentielle de l’Union et de ses membres; souligne que les évaluations du respect du droit de l’Union réalisées par la Commission, en particulier du règlement financier, devraient comprendre des critères de contrôle et des mécanismes d’application spécifiques afin de prévenir de tels abus, y compris la suspension temporaire éventuelle de projets spécifiques si une violation de ces principes est détectée; |
97. |
invite la Commission et le SEAE à inclure dans chaque analyse d’impact sur les droits de l’homme et les droits fondamentaux une procédure de contrôle de l’abus potentiel de la surveillance, qui tienne pleinement compte de l’article 51 de la charte dans un délai de un an [après la publication des recommandations de la commission d’enquête PEGA]; souligne que cette procédure doit être présentée au Parlement et au Conseil et que cette analyse d’impact doit être réalisée avant tout soutien aux pays tiers; |
98. |
demande au SAEA de rendre compte de l’utilisation abusive des logiciels espions à l’encontre de défenseurs des droits de l’homme dans le rapport annuel de l’Union sur les droits de l’homme et la démocratie; |
Règlement financier de l’Union
99. |
insiste sur le fait que le respect des droits de l’homme par le secteur financier doit être renforcé; souligne que les recommandations du projet UNGPs 10+ doivent être transposées dans le droit de l’Union et que la directive sur le devoir de vigilance devrait s’appliquer pleinement au secteur financier, afin de garantir le respect de la démocratie, des droits de l’homme et de l’état de droit dans le secteur financier; |
100. |
se déclare préoccupé par les conséquences de l’arrêt de la CJUE concernant la directive (UE) 2018/843 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme (36), selon lequel les informations sur les bénéficiaires effectifs des sociétés et autres entités juridiques inscrites dans un Registre des bénéficiaires effectifs national et accessible au public sont invalides (37); souligne que la future directive devrait permettre un accès aussi large que possible au public, en tenant compte de la décision de la Cour de justice de l’Union européenne, de sorte qu’il soit plus difficile de dissimuler l’achat ou la vente de logiciels espions par l’intermédiaire de mandataires et de sociétés de courtage; |
Suivi des résolutions du Parlement
101. |
demande le suivi urgent de la résolution du Parlement du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens de l’Union et sur la coopération transatlantique en matière de justice et d’affaires intérieures; souligne qu’il convient d’appliquer de toute urgence les recommandations qui en ont résulté; |
102. |
souligne que, bien que le contrôle des activités des services de renseignement devrait être fondé à la fois sur la légitimité démocratique (cadre juridique solide, autorisation ex ante et vérification ex post) et sur des capacités ainsi qu’une expertise techniques appropriées, ces derniers font grandement défaut au sein de la majorité des organes de contrôle actuels de l’Union et des États-Unis, en particulier en ce qui concerne les capacités techniques; |
103. |
invite, comme il l’a fait dans le cas d’Echelon, l’ensemble des parlements nationaux qui ne l’ont pas encore fait à mettre en place un contrôle approprié des activités de renseignement assuré par les parlementaires ou des organes spécialisés, juridiquement habilités à enquêter; invite les parlements nationaux à s’assurer que ces comités/organes de contrôle disposent des ressources, de l’expertise technique et des moyens juridiques, notamment le droit d’effectuer des visites sur place, nécessaires pour pouvoir contrôler les services de renseignement de manière effective; |
104. |
demande la création d’un groupe de haut niveau qui proposerait, de manière transparente et en collaboration avec les parlements, des recommandations et des mesures pour améliorer le contrôle démocratique, y compris parlementaire, des services de renseignement et pour renforcer la collaboration dans l’Union en matière de contrôle, en particulier en ce qui concerne la dimension transfrontière de cette collaboration; |
105. |
estime que ce groupe de haut niveau devrait:
|
106. |
entend organiser une conférence avec les organes de contrôle nationaux, qu’ils soient parlementaires ou indépendants; |
107. |
invite les États membres à s’appuyer sur les bonnes pratiques en vue de permettre à leurs organes de contrôle d’accéder plus facilement aux informations sur les activités de renseignement (informations classées secrètes et informations d’autres services comprises) et de leur conférer le pouvoir d’effectuer des visites sur place, de les doter d’un ensemble solide de compétences en matière d’interrogation, de même que de l’expertise technique suffisante et des ressources nécessaires, de bénéficier d’une stricte indépendance vis-à-vis du pouvoir exécutif et de les obliger à rendre compte de la situation auprès de leurs parlements respectifs; |
108. |
invite les États membres à renforcer la coopération entre les organes de contrôle; |
109. |
invite la Commission à présenter une proposition concernant une procédure européenne d’habilitation de sécurité pour tous les titulaires d’une charge publique au sein de l’Union, étant donné que le système actuel, qui s’appuie sur l’habilitation de sécurité réalisée par l’État membre dont la personne est ressortissante, prévoit des conditions différentes et des procédures d’une durée variable selon les systèmes nationaux, ce qui se traduit par un traitement différent des députés et de leur personnel en fonction de leur nationalité; |
110. |
rappelle les dispositions de l’accord interinstitutionnel entre le Parlement européen et le Conseil relatif à la transmission au Parlement et au traitement par celui-ci des informations classées secrètes, détenues par le Conseil concernant des questions autres que celles relevant de la politique étrangère et de sécurité commune, qui doivent servir à améliorer le contrôle au niveau de l’Union; |
Programmes de recherche de l’Union
111. |
demande la mise en place de mécanismes de contrôle plus rigoureux et efficaces afin de garantir que les fonds de recherche de l’Union ne financent pas ou ne favorisent pas des outils qui portent atteinte à ses valeurs, y compris des logiciels espions et des outils de surveillance; fait remarquer que les évaluations du respect du droit de l’Union devraient intégrer des critères de contrôle spécifiques afin de prévenir de tels abus; demande que les fonds de recherche de l’Union ne soient plus attribués à des entités qui ont contribué, directement ou indirectement, à des violations des droits de l’homme par des outils de surveillance; |
112. |
insiste sur le fait qu’il convient de ne pas utiliser les fonds de recherche de l’Union, tels que les accords au titre d’Horizon Europe avec des pays tiers, pour participer à la conception de logiciels espions et de technologies équivalentes; |
Laboratoire technologique de l’Union
113. |
invite la Commission à entreprendre sans plus attendre la création d’un institut interdisciplinaire de recherche indépendant pour l’Union, axé sur la recherche et le développement relatifs aux enjeux liés aux technologies de l’information et de la communication, aux droits fondamentaux et à la sécurité; insiste pour que cet institut fonctionne en collaboration avec des experts, des universitaires et des représentants de la société civile, et soit ouvert aux experts et aux institutions des États membres; |
114. |
insiste pour cet institut contribue à l’amélioration de la sensibilisation, de l’imputation et de l’obligation de rendre compte en Europe et hors d’Europe, ainsi qu’à l’élargissement de la base de talents européens et à une compréhension approfondie de la façon dont les fournisseurs de logiciels espions élaborent, entretiennent, vendent et fournissent leurs services à des tiers; |
115. |
estime que cet institut devrait être chargé de détecter et de dénoncer l’utilisation illégale de logiciels à des fins de surveillance illicite, de fournir un soutien juridique et technologique accessible et gratuit, comme le dépistage des smartphones pour les personnes soupçonnées d’être prises pour cible par des logiciels espions et les outils nécessaires pour détecter ces logiciels, d’effectuer des recherches analytiques de police scientifique pour des enquêtes judiciaires et de rendre compte régulièrement de l’utilisation régulière et abusive de logiciels espions dans l’Union, en tenant compte des mises à jour technologiques; estime que ces rapports devraient être disponibles tous les ans et communiqués à la Commission, au Parlement et au Conseil; |
116. |
préconise que la Commission, au moment de créer le laboratoire technologique de l’Union afin d’apprendre des bonnes pratiques du domaine universitaire, le fasse en étroite coopération avec l’équipe d’intervention en cas d’urgence informatique pour les institutions, organes et agences de l’Union européenne (CERT-UE) et l’ENISA et qu’elle consulte des experts pertinents; |
117. |
insiste sur l’importance de faire en sorte que le laboratoire technologique de l’Union soit suffisamment financé; |
118. |
recommande que la Commission propose un système de certification pour l’analyse et l’authentification de matériel scientifique; |
119. |
demande à la Commission de renforcer les capacités de la société civile à l’échelle mondiale afin d’accroître la résilience face aux attaques par des logiciels espions et la fourniture d’une assistance et de services aux citoyens; |
L’état de droit
120. |
attire l’attention sur le fait que l’incidence de l’utilisation illégitime de logiciels espions est bien plus prononcée dans les États membres où les autorités qui seraient normalement chargées d’enquêter, de proposer des réparations aux personnes prises pour cible et de garantir la responsabilité sont sous la coupe de l’État et qu’en cas de crise de l’état de droit et que l’indépendance du pouvoir judiciaire est menacée, il n’est pas possible de faire confiance aux autorités nationales; |
121. |
invite par conséquent la Commission à assurer un déploiement effectif de sa boîte à outils relative à l’état de droit, notamment:
|
Fonds de l’Union pour le traitement des litiges
122. |
demande la mise en place, sans délai excessif, d’un fonds de l’Union pour le traitement des litiges afin d’assurer la prise en charge des coûts réels des litiges et de permettre aux personnes ciblées par des logiciels espions de demander une réparation appropriée, notamment des dommages et intérêts pour l’utilisation illicite de logiciels espions à leur encontre, conformément à l’action préparatoire adoptée par le Parlement en 2017, visant à créer un «Fonds européen de soutien financier en cas de litiges relatifs à des cas de violations de la démocratie, de l’état de droit et des droits fondamentaux»; |
Institutions de l’Union
123. |
se dit préoccupé par l’absence d’action de la Commission jusqu’à présent et invite instamment celle-ci à faire pleinement usage de l’ensemble de ses pouvoirs d’action en tant que gardienne des Traités, et à mener une enquête exhaustive et approfondie sur l’utilisation abusive et le commerce de logiciels espions dans l’Union; |
124. |
demande instamment à la Commission d’enquêter de manière approfondie sur toutes les allégations et suspicions d’utilisation de logiciels espions à l’encontre de ses fonctionnaires, et de faire rapport au Parlement, ainsi qu’aux autorités répressives compétentes, le cas échéant; |
125. |
demande à la Commission de créer une taskforce spéciale, impliquant les commissions électorales nationales, dédiée à la protection des élections parlementaires européennes de 2024 dans toute l’Union; rappelle que les ingérences non seulement étrangères, mais également intérieures, menacent l’ensemble des procédures électorales européennes; souligne que les élections pourraient pâtir d’un usage abusif d’outils de surveillance omniprésente, comme Pegasus; |
126. |
constate que la commission d’enquête sur l’utilisation de Pegasus et d’autres logiciels espions (commission PEGA) n’a obtenu une réponse collective du Conseil aux questions du Parlement européen à l’ensemble des États membres distincts que la veille de la publication du projet de rapport, soit près de quatre mois après les lettres du Parlement; fait part de sa consternation face à l’absence d’action du Conseil européen et du Conseil des ministres, et demande la tenue d’un sommet spécial du Conseil européen, étant donné l’ampleur de la menace pour la démocratie en Europe; |
127. |
demande au Conseil de l’Union européenne d’aborder les évolutions liées à l’utilisation de logiciels espions et leur incidence sur les valeurs inscrites à l’article 2 du traité UE pendant les auditions organisées au titre de l’article 7, paragraphe 1, du traité UE; |
128. |
demande au Conseil d’inviter de façon permanente le Parlement européen aux réunions du comité de sécurité du Conseil, comme le prévoit l’article 17, paragraphe 2, du règlement de sécurité du Conseil de 2013; |
129. |
est d’avis que le Parlement devrait disposer de pleins pouvoirs d’enquête, y compris un meilleur accès aux informations classées secrètes et à celles qui ne le sont pas, le pouvoir de convoquer des témoins et de demander formellement à ce qu’ils témoignent sous serment et communiquent les informations demandées dans des délais spécifiques; réitère la position du Parlement dans sa proposition du 23 mai 2012 relative aux modalités de l’exercice du droit d’enquête du Parlement européen et abrogeant la décision 95/167/CE, Euratom, CECA du Parlement européen, du Conseil et de la Commission (39); invite le Conseil à prendre immédiatement des mesures sur cette proposition de règlement afin de permettre au Parlement européen de disposer d’un droit d’enquête approprié; |
130. |
prend acte des efforts déployés par le Parlement pour détecter les infections par des logiciels espions; estime toutefois que la protection du personnel devrait être renforcée, compte tenu des privilèges et immunités de ceux qui ont été espionnés; rappelle que toute attaque contre les droits politiques des députés est une attaque à l’encontre de l’indépendance et de la souveraineté de l’institution, mais aussi une atteinte aux droits des électeurs; |
131. |
demande au Bureau du Parlement d’adopter un protocole pour les cas dans lesquels des députés ou le personnel de l’Assemblée ont été pris pour cible directe ou indirecte d’un logiciel espion et insiste sur le fait que tous les cas doivent être signalés par le Parlement aux autorités répressives compétentes; insiste pour que, dans de tels cas, le Parlement fournisse une assistance juridique et technique; |
132. |
décide de prendre l’initiative de mettre en route une conférence interinstitutionnelle dans le cadre de laquelle le Parlement, le Conseil et la Commission doivent avoir pour objectif de proposer des réformes en matière de gouvernance renforçant la capacité institutionnelle de l’Union à réagir de manière appropriée aux attaques de l’intérieur contre la démocratie et l’état de droit et à garantir qu’elle dispose de méthodes supranationales effectives pour faire appliquer les traités et le droit dérivé en cas de non-respect par les États membres; |
133. |
demande l’adoption rapide de la proposition de la Commission de règlement du Parlement européen et du Conseil établissant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l’Union (COM(2022)0122), suivie de sa mise en œuvre rapide et de son application stricte, afin de réduire le risque que les appareils et systèmes utilisés par le personnel des institutions et les hommes politiques de l’Union contiennent des logiciels espions; |
134. |
demande à l’Union d’adhérer à la convention 108+; |
135. |
demande au médiateur européen d’ouvrir des échanges au sein du Réseau européen des médiateurs à propos des conséquences de l’usage abusif d’une surveillance omniprésente sur les processus démocratiques et sur les droits des citoyens; invite le Réseau à formuler des recommandations relatives à des réparations effectives et pertinentes dans l’Union; |
Action législative
136. |
invite la Commission à présenter de toute urgence des propositions législatives sur la base de la présente recommandation, |
o
o o
137. |
charge sa Présidente de transmettre la présente recommandation aux États membres, au Conseil, à la Commission et à Europol. |
(1) JO L 201 du 31.7.2002, p. 37.
(2) JO L 119 du 4.5.2016, p. 1.
(3) JO L 119 du 4.5.2016, p. 89.
(4) JO L 218 du 14.8.2013, p. 8.
(5) JO L 206 du 11.6.2021, p. 1.
(6) JO L 129 I du 17.5.2019, p. 13.
(7) JO L 174 I du 18.5.2021, p. 1.
(8) JO L 278 du 8.10.1976, p. 5.
(9) JO L 113 du 19.5.1995, p. 1.
(10) JO L 98 du 25.3.2022, p. 72.
(11) JO L 156 du 19.6.2018, p. 43.
(12) Arrêt de la Cour (grande chambre) du 22 novembre 2022, C-37/20, WM et Sovim SA/Luxembourg Business Registers, EU:C:2022:912.
(13) https://www.ohchr.org/Documents/Publications/GuidingPrinciplesBusinessHR_FR.pdf
(14) https://www.coe.int/fr/web/commissioner/-/highly-intrusive-spyware-threatens-the-essence-of-human-rights
(15) https://edps.europa.eu/system/files/2022-02/22-02-15_edps_preliminary_remarks_on_modern_spyware_en_0.pdf
(16) JO C 378 du 9.11.2017, p. 104.
(17) https://news.un.org/fr/story/2023/02/1131912
(18) https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2015)010-f
(19) https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2016)012-f
(20) Loi 5766-2007 relative au contrôle des exportations de défense, ministère israélien de la défense.
(21) https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=COM%3A2022%3A434%3AFIN&qid=16620297502233
(22) https://www.echr.coe.int/documents/fs_mass_surveillance_fra.pdf
(23) «Surveillance et droits de l’homme», rapport du rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression, A/HRC/41/35, 2019.
(24) Haut-Commissariat des Nations unies aux droits de l’homme, «Spyware scandal: UN experts call for moratorium on sale of “life threatening” surveillance tech».
(25) https://www.wto.org/french/tratop_f/gproc_f/gpa_1994_f.htm
(26) https://research-and-innovation.ec.europa.eu/news/all-research-and-innovation-news/israel-joins-horizon-europe-research-and-innovation-programme-2021-12-06_en
(27) https://webgate.ec.europa.eu/dashboard/extensions/CountryProfile/CountryProfile.html?Country=Israel https://elbitsystems.com/products/comercial-aviation/innovation-rd/
(28) Règlement (UE) 2021/947 du Parlement européen et du Conseil du 9 juin 2021 établissant l’instrument de voisinage, de coopération au développement et de coopération internationale — Europe dans le monde, modifiant et abrogeant la décision no 466/2014/UE du Parlement européen et du Conseil et abrogeant le règlement (UE) 2017/1601 du Parlement européen et du Conseil et le règlement (CE, Euratom) no 480/2009 du Conseil, JO L 209 du 14.6.2021, p. 1.
(29) Décision du Médiateur affaire 1904/2021/MHZ (https://www.ombudsman.europa.eu/fr/decision/fr/163491).
(30) Agence des droits fondamentaux, Surveillance par les services de renseignement: protection des droits fondamentaux et voies de recours dans l’Union européenne — Volume II — Résumé, 2017,
https://fra.europa.eu/fr/publication/2017/surveillance-intelligence-services-fundamental-rights-safeguards-and-remedies-eu
(31) https://fra.europa.eu/sites/default/files/fra_uploads/fra-2017-surveillance-intelligence-services-vol-2-summary_en.pdf
(32) Arrêt du 6 octobre 2020, affaire C-623/17, Privacy International/Secretary of State for Foreign and Commonwealth Affairs e.a., ECLI:EU:C:2020:790, point 44, et arrêts du 6 octobre 2020, affaires jointes C-511/18, C-512/18 et C-520/18 La Quadrature du Net e.a./Premier ministre e.a., ECLI:EU:C:2020:791, point 99: «le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union et dispenser les États membres du respect nécessaire de ce droit».
(33) Cette évaluation figure dans la jurisprudence de la CEDH qui attribue la charge de la preuve à l’État/au législateur. La jurisprudence pertinente de la CEDH comprend: Roman Zakharov c. Russie, no 47143/06, 4 décembre 2015; Szabó et Vissy c. Hongrie, no 37138/14, 12 janvier 2016; Big Brother Watch et autres c. Royaume-Uni, ns 58170/13, 62322/14 et 24960/15, 25 mai 2021 et Centrum för Rättvisa c. Suède, no 35252/08, 25 mai 2021.
(34) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (JO L 333 du 27.12.2022, p. 80).
(35) Proposition de règlement du Parlement européen et du Conseil du 15 septembre 2022 relatif aux exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020 (COM(2022)0454).
(36) Arrêt du 22 novembre 2022, affaires jointes C-37/20 et C-601/20, ECLI:EU:C:2022:912.
(37) CJUE. Communiqué de presse no 188/22, arrêt de la Cour dans les affaires jointes C-37/20 et C-601/20.
(38) «Principes globaux sur la sécurité nationale et le droit à l’information», juin 2013.
ELI: http://data.europa.eu/eli/C/2024/494/oj
ISSN 1977-0936 (electronic edition)