Mis en cause lors du printemps arabe, deux fabricants européens de logiciels de surveillance font l'objet d'une plainte devant l'OCDE, pour violation des principes de responsabilité des multinationales. En ligne de mire, le logiciel Finfisher, développé par un ancien hacker. En France, l'instruction judiciaire contre Amesys vient simultanément d'être relancée.

  Pour l'ancien hacker Martin J. Muench, il s'agit d'accusations infondées et même, d'une véritable « chasse aux sorcières ». “ Notre logiciel (Finfisher) aide à attrapper des criminels sérieux et à sauver des vies », se défendait-il lors d'une de ses rares interviews, en novembre dernier. A 31 ans, Martin J. Muench est patron et co-actionnaire de la filiale allemande de Gamma International, une grosse PME anglaise spécialisée dans les logiciels de surveillance. Mise en cause depuis 2012 pour avoir approvisionné les services de sécurité de Bahrein, cette entreprise est, avec l'allemande Trovicor, sous le coup d'une plainte inédite devant les Points de contact nationaux de l'OCDE en Angleterre et en Allemagne (sur ces instances de conciliation, voir notre article sur les principes de l'OCDE à l'intention des multinationales) « Il y a matière à investiguer si les produits de surveillance fournis par Gamma International et Trovicor ont été utilisés dans les nombreuses atteintes aux droits de l'homme à Bahrein », argumente Privacy International, une des cinq ONG à avoir déposé la plainte formelle, aux côtés d'associations de défense des droits de l'homme de Bahrein et de RSF Allemagne.
D'après elles, les deux sociétés ont violé les principes directeurs de l'OCDE, qui représentent un des principaux cadres légaux (non contraignants) sur la responsabilité des multinationales, avec celui de l'ONU. Leur dépôt intervient deux ans après le début du « printemps arabe » à Bahrein et alors que le régime en place s'oppose toujours aux défenseurs des droits humains, d'après le Bahrein Center for Human Rights.

Finfisher, un logiciel de surveillance créé par un hacker

Selon les cinq ONG, « il existe des preuves que les informations recueillies (avec les produits des deux entreprises) en espionnant des communications téléphoniques et sur Internet ont été utilisées pour détenir et torturer des activistes et opposants politiques » à Bahrein. La plupart des logiciels de surveillance, dont le marché est estimé à 5 milliards de dollars par an, sont vendus sous le sceau du secret, mais dans le cas de Bahrein, cette confidentialité a volé en éclat quand des opposants au régime ont pu faire expertiser des messages malveillants reçus sur leurs comptes email. D'après un laboratoire de recherche canadien rattaché à l'Université de Toronto, le Citizen Lab, ils étaient bien infectés par FinSpy, un composant de la suite Finfisher qui permet de prendre le contrôle d'un ordinateur ou d'un smartphone.

Points de contact OCDE : une procédure de conciliation

Si la plainte est acceptée par l'un des deux points de contact nationaux (PCN) de l'OCDE, une procédure de conciliation débutera entre les ONG et les entreprises, avec pour objectif d'arriver à un accord à l'amiable. Pour Eric King de Privacy International, cet accord doit passer par des mesures précises : « Gamma peut tout à fait désactiver Finfisher au niveau du serveur central de son client à Bahrein, ce qui rendrait la surveillance au niveau des chevaux de Troie déjà installés inopérante». Une telle désactivation serait d'ailleurs prévue dans le business model de Gamma, qui repose sur une grille de licences utilisateur dont le prix varie en fonction du nombre de personnes espionnables et du nombre de « surveillants ».

Interrogé par Bloomberg, Martin J. Muench a jugé prématuré de commenter la procédure, tout en se disant prêt à coopérer. De son côté Trovicor insiste sur le fait que la liste de ses clients est confidentielle, refusant ainsi par avance l'autre demande des ONG, de dévoiler les pays équipés. Et Trovicor d'ajouter qu'il respecte scrupuleusement la loi (il n'y a pas d'embargo sur Bahrein). Ce à quoi les ONG rétorquent que la responsabilité d'entreprise va au-delà de l'obligation légale et passe par le respect des principes de l'OCDE.

Suivant ces principes et le cadre onusien « Protéger – Respecter - Réparer », les entreprises responsables doivent notamment mettre en place une « diligence raisonnable », ce qui reviendrait, dans ce cas précis, à vérifier les antécédents de violations des droits de l'homme par les services de sécurité des pays et, en cas de passif « lourd », à ne pas leur vendre les logiciels, estime Eric King. Or sur les 250 entreprises opérant dans le secteur des technologies de surveillance, une soixantaine (dont Trovicor) ont établi une politique RSE et sont donc sensées s'intéresser aux principes de l'OCDE.

Réglementer l'export des logiciels de surveillance

Simultanément, les organisations des Droits de l'homme appellent à une régulation européenne sur l'exportation de ce qu'elles appellent les armes numériques (digital weapons), dont les logiciels de surveillance de masse font selon elles partie. En Europe, la réglementation ad hoc pourrait être le Règlement 428/2009 sur les technologies duales (d'usage civil et militaire), mais il est actuellement inadapté à ces logiciels, estiment les ONG. Cette position est aussi celle du Parlement européen. Les parlementaires ont adopté en octobre 2012 des amendements à ce règlement, destinés à prendre en compte ces nouvelles technologies. Pour l'eurodéputée Marrtije Schake, très impliquée sur ce dossier, « le commerce des armes numériques est dérégulé et il est temps que les politiques établissent un cadre pour l'encadrer». Les amendements sont pour l'instant bloqués au niveau de la Commission, d'après l'eurodéputée.

Assumer ou non le risque de réputation

Jusqu'en 2009, le logiciel phare de Trovicor était détenu par une filiale commune de Siemens et Nokia, mais ces entreprises l'ont ensuite revendu à un fonds d'investissement allemand, Perusa, peut-être pour se libérer du risque de réputation lié au logiciel. Quant aux nouveaux propriétaires, comme d'ailleurs ceux de Gamma International, la famille de William Nelson et Martin J. Muench, ils pourraient fort bien s'accommoder, eux, d'une mauvaise réputation.

En France, le groupe Bull a aussi été accusé de contribuer à des violations des Droits de l'homme, via le logiciel de surveillance Eagle de sa filiale Amesys, qu'il avait vendu à la Libye de Kadhafi. Bien que l'entreprise ait annoncé la revente du logiciel en mars 2012, Amesys fait toujours partie de Bull, d'après son site web.

Quant à la plainte contre Amesys déposée par la FIDH et la Ligue des droits de l'homme, pour « complicité d'actes de torture » en octobre 2011, elle sera finalement instruite, d'après une décision prise par la Chambre de l’instruction de la Cour d’appel de Paris, le 15 janvier dernier. Une décision saluée par Patrick Baudouin, Président d’honneur de la FIDH.

  Thibault Lescuyer
© 2013 Novethic - Tous droits réseevés