La mise en œuvre d’un tel outil, qui aspire les données d’un téléphone mobile et intercepte communications et échanges numériques est explicitement contraire au droit pénal du numérique ainsi qu’à celui des données personnelles. Aux Etats-Unis, Facebook et sa filiale WhatsApp ont d’ailleurs porté plainte dès 2019 contre NSO qu’ils accusent d’avoir fait un usage illicite des serveurs de WhatsApp pour infecter les mobiles de certaines de leurs cibles.
Au-delà des droits nationaux intrinsèquement limités face au caractère transnational des attaques numériques, le droit et les pratiques internationales pourraient être sollicités utilement.
On peut penser déjà à poursuivre l’extension géographique de la Convention de Budapest sur la cybercriminalité de novembre 2001 qui harmonise le droit pénal du numérique. Si Israël (pays d’origine de Pegasus) ou le Maroc (qui en serait un grand utilisateur) en devenaient partie, cela permettrait de leur opposer les dispositions de la Convention (et notamment de son article 6 sur les outils numériques permettant de réaliser des attaques informatiques).
S’agissant des opérations de renseignement menées par les Etats démocratiques, il ne serait pas impossible que tout ou partie de ceux-ci (comme par exemple, les Etats membres de l’Union européenne entre eux, ou entre ceux de l’OTAN) s’entendent sur une interdiction des opérations de surveillance menées les uns contre les autres. S’agissant de Pegasus, les Américains auraient d’ailleurs convenu avec le gouvernement israélien que le logiciel ne pouvait pas cibler les numéros appartenant à leurs concitoyens (et d’autres Etats – dont la France – voudraient vraisemblablement obtenir des garanties de même niveau).
Mais ces « non-spying agreements » pourraient être plus institutionnalisés de telle sorte que les instances de contrôle nationales (comme la CNCTR française) puissent coopérer entre elles afin d’en vérifier le respect.
Sans attendre de telles évolutions, l’Union européenne vient de franchir un cap symbolique et politique en intégrant dans la nouvelle version de son règlement sur les biens à double usage des dispositions permettant un certain contrôle des exportations des « biens de cybersurveillance » lorsque qu’ils « sont ou peuvent être destinés, entièrement ou en partie, à une utilisation impliquant la répression interne et/ou la commission de violations graves et systématiques des droits de l’homme et du droit humanitaire international ».
moyen terme, ces préoccupations de respect des droits fondamentaux pourraient se croiser avec un autre objectif de la négociation internationale qui concerne le non-recours à la cyber-guerre, ou à tout le moins, l’encadrement d’éventuels futurs conflits cyber afin de sauvegarder la sécurité internationale et l’application du droit international humanitaire. De difficiles négociations sont engagées sur ces sujets dans le cadre de l’Assemblée générale des Nations-Unies et de son groupe d’experts gouvernementaux (GEC) depuis 2010. Comme face au risque de conflit nucléaire, une prise de conscience des menaces cyber tant sur la vie privée que sur la résilience de nos sociétés pourrait ouvrir la voie à des arrangements internationaux visant une « non-prolifération numérique ». A sa façon, le scandale Pegasus y contribuera peut-être.
