Affaire sur le hacking pour l’État, de Privacy International

Data Rights (par la personne de sa fondatrice, Lori Roussey) a été admise à intervenir devant la Cour européenne des Droits de L’Homme (CEDH), au sujet des conséquences du recours par les services de renseignement au hacking d’équipements, du partage entre services de ces méthodes, et des effets négatifs d’un régime légal qui ne fournit pas de recours effectif aux victimes d’abus.

Contexte : Cette affaire est une conséquence directe des révélations Snowden, dans lesquelles on peut lire que GCHQ peut entre autre activer le micro ou la webcam d’un appareil, identifier avec une grande précision la géolocalisation d’un appareil, enregistrer les frappes sur les touches d’un appareil, enregistrer les codes d’accès et mots de passe de sites et l’historique de navigation, et cacher des malware sur un appareil, le tout sans garde-fou particulier. En 2014 Privacy International (PI) et 5 fournisseurs de service en ligne ont donc décidé de porter une affaire contre le hacking par les états devant la juridiction britannique chargé des question de renseignements, le Investigatory Powers Tribunal. En 2016, PI a ensuite pu porter l’affaire devant la CEDH.

En 2019 nous avons pu intervenir. Forts de notre analyse méticuleuse de l’impact de la réforme française de 2015 en matière de renseignement sur les pouvoirs de hacking, ainsi que notre expérience du contentieux en France, il nous a été possible de tirer des implications pratiques pour les droits citoyens et les entreprises. En particulier en matière de droit à un recours effectif. Le droit à un recours effectif est primordial dans le contexte du hacking par les services parce qu’il est crucial d’avoir accès à un procès équitable et la réparation des dommages subis (voir illustrations dans l’intervention, ci-dessous).

Hélas l’affaire a été close par la CEDH pour des raisons procédurales. Cela étant, dans sa décision la cour a tout de même indiqué que le hacking par les services est “particulièrement intrusif et qu’il y a un besoin de garde-fous dans ce domaine”.

Plus généralement, ce que nous chérissons dans les affaires touchant au hacking par les services est que les enjeux sont intrinsèquement au croisement de ce qui est techniquement possible et de quelles en sont les conséquences pour le droit des peuples et la démocracie. Ce point nous semble fidèlement illustré par the Rapporteur Spécial des Nations Unies pour la promotion et la protection de la liberté d’opinion et d’expression. Dans son rapport de 2013 ce dernier dénonçait que “[o]ffensive intrusion software such as Trojans, or mass interception capabilities, constitut[ing] such serious challenges to traditional notions of surveillance that they cannot be reconciled with existing laws on surveillance and access to private information. There are not just new methods for conducting surveillance; they are new forms of surveillance. From a human rights perspective, the use of such technologies is extremely disturbing. Trojans, for example, not only enable a State to access devices, but also enable them to alter – inadvertently or purposefully – the information contained therein. This threatens not only the right to privacy but also procedural fairness rights with respect to the use of such evidence in legal proceedings.”

• Voir le billet de Privacy International au sujet du contexte de cette affaire l’opposant à GCHQ
• Voir le billet de Privacy International de 2020 a propos de la décision finale de la CEDH

Notre intervention est téléchargeable en anglais ci-dessous.