Déclaration conjointe d’organisations de défense des droits humains à la suite de l’adoption du nouveau règlement de l’Union européenne instituant un régime de contrôle des exportations de biens à double usage.
Nous, les organisations soussignées, saluons les éléments positifs du compromis annoncé entre les institutions de l’Union européenne pour réformer le règlement de l’Union européenne sur les exportations de biens à double usage, qui vise à prévenir les atteintes aux droits humains résultant de la surveillance numérique en établissant des contrôles à l’exportation pour les technologies de surveillance exportées par les entreprises basées dans l’Union. Cependant, ce compromis est une occasion manquée de mettre en place un règlement plus ambitieux, qui comprenne des protections renforcées, essentielles en vue de garantir le respect des droits humains et la sécurité.
Si certains éléments positifs de l’accord de compromis sont à saluer, et notamment l’obligation pour les autorités de l’Union de fournir publiquement des informations détaillées sur les licences d’exportation qui ont été approuvées ou refusées et sur les risques en matière de droits humains associés aux demandes de licences d’exportation des entreprises, l’accord ne prévoit pas de conditions explicites et strictes pour les autorités des États membres et les exportateurs. Ces conditions ont été énoncées à de nombreuses reprises devant le législateur de l’Union européenne. Il est évident que si certains parlementaires et États membres ont reconnu la nécessité d’une protection accrue tout au long des négociations, d’autres États membres ont donné la priorité aux intérêts exclusifs du secteur plutôt qu’à leurs obligations en matière de protection des droits humains.
Il n’aurait pas dû falloir près d’une décennie de négociations pour finaliser ce processus. Alors que les négociations se sont enlisées et que les dispositions les plus fortes de la proposition initiale de la Commission ont été édulcorées, les entreprises basées dans l’Union ont continué à porter atteinte aux droits humains en vendant et en exportant des technologies de surveillance dans le monde entier, y compris à des auteurs connus d’atteintes aux droits humains. En outre, certaines mesures essentielles, qui auraient imposé des contraintes significatives à l’exportation de technologies à double usage, n’ont pas été adoptées (voir notre analyse ci-dessous).
Cependant, il est maintenant essentiel que tous les États membres mettent en œuvre avec fermeté les éléments positifs de l’accord. Les États membres de l’Union et la Commission doivent également aller plus loin que le nouveau compromis afin de respecter leurs obligations internationales en matière de droits humains et de veiller à ce qu’en continuant d’exporter des outils de surveillance sophistiqués, les entreprises de l’Union européenne ne facilitent pas des violations des droits humains dans le monde entier. La Commission devrait rapidement élaborer, en consultation avec la société civile, des lignes directrices claires pour garantir l’adhésion aux nouvelles mesures et les diffuser auprès de toutes les parties prenantes au niveau des États et des entreprises. Plus important encore, la Commission devrait suivre de près la mise en œuvre du nouveau règlement par les États membres et adopter toutes les mesures nécessaires en vertu du droit européen pour prévenir et sanctionner toute infraction éventuelle et y remédier.
Complément d’information
Depuis nos premiers appels à une réforme du règlement de l’Union européenne sur les exportations des biens à double usage dans le contexte du Printemps arabe en 2011, le Parlement et quelques États membres appellent régulièrement la Commission à prendre des mesures urgentes en vue de réformer la réglementation en matière de contrôle de l’exportation des technologies de surveillance.
En septembre 2016, la Commission a proposé des ajouts en vue d’« empêcher de graves violations des droits de l’homme liées à certaines technologies de cybersurveillance » en promulguant des normes relatives aux droits humains adaptées. Le 23 novembre 2017, la Commission du commerce international (INTA) du Parlement européen a également adopté une proposition prometteuse visant à la mise en œuvre de règles plus strictes en matière de biens à double usage. Cependant, tous ces projets ont été systématiquement entravés par les initiatives de certains États membres et entreprises du secteur peu enclins à voir les entreprises et les autorités en charge du contrôle des exportations soumis à des engagements forts et contraignants. Ces nouvelles règles sont issues du compromis final entre le Parlement et les États membres.
Tout au long de l’élaboration du texte, les entreprises de surveillance basées dans l’Union européenne ont continué d’exporter des technologies de surveillance vers des pays dans lesquels des défenseurs des droits humains, des journalistes et des groupes minoritaires sont ciblés par la surveillance, et ce, en violation du droit international relatif aux droits humains. Depuis le début des négociations, les faits suivants ont été signalés :
- Trois entreprises basées en France, en Suède et aux Pays bas ont vendu des systèmes de surveillance numérique, tels que des technologies de reconnaissance faciale et des caméras réseau, à des acteurs clés du dispositif chinois de surveillance de masse ;
- le logiciel espion FinFisher vendu par un fabricant basé en Allemagne a été utilisé pour prendre pour cible le principal parti d’opposition en Turquie lors d’une manifestation. La présence de ce logiciel a également été observée au Myanmar et en Égypte ;
- l’armée colombienne a eu recours à une plateforme vendue par une entreprise espagnole, Mollitiam, pour espionner des juges de haut rang, des représentants politiques et des journalistes ;
- selon une enquête de The Correspondent, entre 2014 et 2017, les autorités de 17 États membres ont accordé au moins 317 licences d’exportation pour des technologies de surveillance contrôlées et n’en ont refusé que 14 ;
- selon la Commission européenne, rien que pour l’année 2017, 285 licences d’exportation de technologies de surveillance contrôlées ont été accordées à travers l’Union européenne pour seulement 34 refus. Aucune précision n’apparait quant aux États membres concernés car cette information n’est pas soumise aux mécanismes de transparence ;
- BAE Systems s’est vu accorder des licences d’exportation pour des systèmes de surveillance de masse sur Internet par les autorités danoises et britanniques, y compris à destination de pays présentant un bilan négatif en matière de droits humains et de surveillance tels que l’Arabie saoudite, les Émirats arabes unis, le Qatar et le Maroc ;
- deux entreprises françaises, Ercom et Nexa, ont vendu des équipements de surveillance sur Internet aux autorités égyptiennes, connues pour leur bilan désastreux en matière de violations des droits humains liées à la surveillance ;
- les autorités finlandaises ont accordé 80 licences pour l’exportation de matériels d’interception des télécommunications entre 2015 et 2017, notamment à destination du Maroc, de la Colombie, des Émirats arabes unis et de la Macédoine du Nord. Dans tous ces pays, il existe de nombreuses preuves de la surveillance exercée par les autorités sur des défenseurs des droits humains ;
- entre 2015 et 2019, les autorités allemandes ont accordé des licences pour l’exportation d’équipements de surveillance pour un montant supérieur à 26 millions d’euros, notamment à destination de l’Égypte, du Qatar, de l’Arabie saoudite et des Émirats arabes unis ;
- l’entreprise Hacking Team, basée en Italie, a vendu des logiciels espions à l’Éthiopie, à Bahreïn, à l’Égypte, au Kazakhstan, au Maroc, à la Russie, à l’Arabie saoudite, au Soudan, à l’Azerbaïdjan et à la Turquie ; et
- les autorités chypriotes et bulgares ont accordé des licences à l’entreprise NSO Group dont le logiciel espion a été lié à des violations des droits humains partout dans le monde à de nombreuses reprises.
Analyse du règlement final
Garantir la transparence des exportations : le compromis final dispose que la Commission devra soumettre un rapport annuel, rendu public, au Parlement et au Conseil dans lequel elle détaillera, pour chaque État membre, le nombre de demandes reçues pour chaque type de technologie de surveillance, l’État membre émetteur et la destination de l’exportation.
L’élargissement des obligations imposées aux États membres en matière de rendre compte constitue une avancée majeure qui permettra au public, à la société civile, aux journalistes et aux parlementaires d’exercer un contrôle sur les décisions d’octroi de licences en vue de veiller à leur conformité avec la législation. Ces éléments constitueront un ensemble d’informations extrêmement utiles sur le commerce de technologies de surveillance de l’Union européenne.
Actuellement, très peu d’États membres communiquent ce type d’informations de manière proactive. En 2017, 11 des 28 États membres ont refusé de fournir ces informations au site d’information The Correspondent en vertu de la législation relative à la liberté d’information. Parmi ces États figuraient la France et l’Italie, qui comptent de nombreuses entreprises du secteur de la surveillance.
Intégrer les risques en matière de droits humains en tant que critère d’appréciation des demandes de licences : le compromis final dispose que les États membres devraient « prendre en compte le risque d’une utilisation impliquant la répression interne et/ou la commission de violations graves des droits de l’homme et du droit humanitaire international. ». Cette norme est déjà appliquée aux technologies et matériels militaires. Cependant, l’accord ne prévoit pas de critères permettant d’identifier ce qui constitue une violation « grave » des droits humains. Le droit international relatif aux droits humains impose aux État de protéger les droits humains. Ainsi, dans les cas où il apparaît clairement que les biens exportés serviront à commettre des violations des droits humains ou des atteintes, la décision ne peut être prise à la discrétion des États membres, qui ont l’obligation de refuser l’exportation.
La Position commune 2008/944/PESC du Conseil, plus explicite, stipule que les autorités doivent « refuser l’autorisation d’exportation s’il existe un risque manifeste que la technologie ou les équipements militaires dont l’exportation est envisagée servent à la répression interne ; [et] font preuve, dans chaque cas et en tenant compte de la nature de la technologie ou des équipements militaires en question, d’une prudence toute particulière en ce qui concerne la délivrance d’autorisations [aux pays] où de graves violations des droits de l’homme ont été constatées par les organismes compétents des Nations unies, par l’Union européenne ou par le Conseil de l’Europe. »
Néanmoins, comme en témoigne le fait que certains États membres continuent de fournir des armes à des destinataires irrespectueux des droits humains partout dans le monde, les critères en place en matière de technologie et d’équipements militaires ne sont pas interprétés, appliqués et mis en œuvre de manière suffisamment stricte à travers l’Union.
La liste de contrôle et les contrôles « attrape-tout » de l’Union européenne : Actuellement, les restrictions en matière d’octroi de licences ne couvrent pas toutes les technologies de surveillance. La liste des technologies soumises à la délivrance d’une licence est définie à l’heure actuelle au sein des régimes de contrôle des exportations internationaux, tels que l’Arrangement de Wassenaar, dans lesquels les droits humains ne figurent pas parmi les principaux sujets de préoccupation et qui manquent de processus transparents et consultatifs.
Avec ce nouveau compromis, si une autorité chargée de contrôler les exportations ou un exportateur a connaissance du risque qu’une exportation puisse avoir pour but « une utilisation impliquant la répression interne et/ou la commission de violations graves des droits de l’homme et du droit humanitaire international » et si tous les autres États membres sont d’accord, le bien sera soumis à une restriction en matière d’octroi de licence, indépendamment du fait qu’il fasse l’objet ou non d’un contrôle au sein des régimes internationaux.
Cependant, si les États membres peuvent proposer que des technologies absentes de la liste fassent l’objet d’une restriction, dans les faits, l’unanimité est requise et aucune consultation du public ou des organisations de la société civile n’est prévue.
Diligence raisonnable : Le nouvel accord comprend un principe relatif à la diligence raisonnable dans le cadre des programmes internes de conformité que doivent mettre en œuvre les grands exportateurs en vue d’utiliser des autorisations globales d’exportation. L’accord fait également référence aux résultats des procédures de vigilance à propos du risque que l’exportation de biens de cybersurveillance ne figurant pas dans la liste puisse avoir pour but « une utilisation impliquant la répression interne et/ou la commission de violations graves des droits de l’homme et du droit humanitaire international ».
Cependant, cette formulation nuancée omet de faire référence explicitement au cadre de « diligence raisonnable en matière de droits humains » consacré au niveau international.
Une définition neutre de la « cybersurveillance » : Le compromis propose une nouvelle définition des éléments qui constituent une forme de « cybersurveillance » et qui sont, dès lors, couverts par plusieurs articles du règlement. L’adoption d’une définition de la « cybersurveillance » neutre sur le plan technologique est certes positive mais son efficacité dépendra de l’interprétation qu’en fera la Commission en vue de couvrir largement les technologies actuelles et à venir qui pourraient servir à commettre des violations des droits.
Recommandations
Le projet de réglementation nouvellement adopté doit être considéré comme une base de référence minimale. Pour remplir leurs obligations internationales en matière de protection des droits humains, et sous la surveillance étroite et des orientations claires de la Commission européenne, les États membres devraient, lors de la mise en œuvre de cet accord :
- Interpréter la « cybersurveillance » comme incluant les biens suivants qui sont déjà soumis à une licence d’exportation :
- Les matériels d’interception ou de brouillage des télécommunications mobiles ;
- les logiciels d’intrusion ;
- les systèmes ou équipements de surveillance des communications des réseaux IP ;
- les logiciels spécialement conçus ou modifiés pour la surveillance ou l’analyse par les forces de l’ordre ;
- les équipement de détection acoustique par laser ;
- les outils d’analyse qui extraient des données brutes d’un dispositif informatique ou de communication et contournent l’authentification ou les contrôles d’autorisation d’un appareil ;
- les systèmes ou équipements électroniques conçus pour la surveillance et le contrôle des fréquences du spectre électromagnétique à des fins de renseignement militaire ou de sécurité ;
- les véhicules aériens sans pilote capables de mener des opérations de surveillance ;
- veiller, dans les plus brefs délais, à ce que les systèmes spécialement conçus pour procéder à l’identification biométrique de personnes physiques à des fins de sécurité soient soumis à un contrôle dans le cadre de la liste de biens contrôlés établie par l’Union européenne et de l’Arrangement de Wassenaar, à travers un processus transparent et consultatif, et interpréter ces systèmes comme constituant une forme de « cybersurveillance » ;
- veiller à ce que des rapports détaillés décrivant les demandes de licences d’exportation présentées aux autorités concernant tous les biens à double usage soient mis à la disposition du public de manière régulière, de préférence tous les mois. Ces rapports doivent au minimum indiquer le nombre de demandes de licences par article, le nom de l’exportateur, une description de l’utilisateur final et de la destination, la valeur de la licence, et préciser si la licence a été accordée ou refusée et pour quelles raisons ;
- veiller à ce que la législation nationale régissant l’évaluation des licences d’exportation tienne compte des protections européennes pertinentes en matière de droits humains, telles que la Charte des droits fondamentaux de l’UE ainsi que celles élaborées par la Cour de justice de l’Union européenne et la Cour européenne des droits de l’homme, ainsi que des éléments de preuve fournis par la société civile et les experts en matière de droits humains ;
- veiller à l’adoption d’une législation européenne exigeant des entreprises qu’elles respectent les droits humains et qu’elles se conforment à leur devoir de diligence raisonnable en matière de droits humains, comme le prescrivent les Principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme. Les entreprises devraient être tenues d’identifier, de prévenir et d’atténuer les effets négatifs potentiels et réels de leurs activités et de leur chaîne de valeur sur les droits humains. Les mesures de contrôle des transactions prises par les États membres devraient comprendre une évaluation de la nature stratégique des biens et des risques qu’ils représentent en termes de violations des droits humains. Les autorités nationales devraient rendre compte des activités mises en place pour se conformer à leur devoir de vigilance et encourager les entreprises à informer le public sur la portée, la nature et les résultats des procédures de diligence raisonnable en matière de droits humains qu’elles ont mises en œuvre. Les États membres et les entreprises devraient également mettre en place des mécanismes de plaintes appropriés afin d’offrir un recours effectif en cas de violation des droits humains commise au moyen de la technologie exportée.
Signataires
Access Now
Amnesty International
Comité pour la protection des journalistes
(FIDH) Fédération internationale des Ligues des droits de l’homme
Human Rights Watch
Privacy International
Reporters sans frontières (RSF)