L'UE vend des logiciels espions aux dictatures

Six Etats membres de l'Union europeenne ont exporte des technologies de surveillance vers plus de deux douzaines de pays aux antecedents documentes de violations des droits humains, selon un rapport publie par Human Rights Watch le 12 mai 2026. Ces revelations mettent en evidence une defaillance systemique du principal cadre de controle des exportations de l'UE et soul event directement la question de savoir si des outils de surveillance europeens sont utilises pour traquer des militants, des journalistes et des utilisateurs de VPN dans des regimes autoritaires a travers le monde.

Le rapport : exportations de logiciels espions de l'UE vers des regimes autoritaires

Le rapport de HRW, intitule "Regarder ailleurs : l'echec de l'UE a empecher les exportations de technologies de surveillance vers des violateurs des droits", documente comment le reglement europeen sur les biens a double usage de 2021 - cense empecher les technologies de surveillance d'atteindre des gouvernements repressifs - a echoue dans la pratique. Les chercheurs n'ont pu obtenir des donnees d'exportation que de 7 des 27 Etats membres de l'UE, apres que 12 demandes d'acces a l'information avaient ete purement et simplement rejetees.

Parmi les cas confirmes : la Bulgarie a exporte des logiciels d'intrusion et des systemes d'interception des telecommunications entre 2020 et 2023 vers l'Azerbaidjan, la Bosnie-Herzegovine, le Bresil, la Cote d'Ivoire, la Republique dominicaine, El Salvador, le Ghana, le Guatemala, Israel, la Jordanie, la Malaisie, le Mexique, la Mongolie, le Maroc, le Panama, les Philippines, la Serbie, l'Ouganda, les Emirats arabes unis, l'Ukraine et le Vietnam. La Pologne a exporte des systemes d'interception des telecommunications vers le Rwanda en 2023. La societe suedoise MSAB a exporte des outils d'extraction de donnees forensiques vers l'Inde en exploitant une lacune de classification.

Pourquoi le reglement a echoue

Le reglement europeen sur les biens a double usage de 2021 avait ete presente comme une reforme majeure qui devait combler la lacune dans les exportations de technologies de surveillance - celle qui avait permis a des entreprises europeennes de vendre des logiciels espions a des gouvernements autoritaires pendant des annees. Le reglement oblige les Etats membres a rendre compte des decisions de licences, a evaluer les risques pour les droits humains et a empecher les exportations susceptibles de violer le droit international.

HRW a identifie cinq mecanismes de defaillance distincts :

• Manque de transparence : La Commission europeenne a reinterprete les obligations de reporting de maniere a separer le type de technologie du pays de destination dans ses rapports publics. Resultat : il est impossible de determiner quel pays a recu quel outil de surveillance de quel Etat de l'UE.
• Controles insuffisants : Les entreprises sont uniquement tenues de "prendre en consideration" les risques pour les droits humains - sans etre obligees d'agir en consequence ni de documenter l'evaluation. Ce n'est pas une norme contraignante.
• Exemptions de confidentialite : Les Etats membres ont invoque la securite nationale et le secret commercial pour dissimuler les donnees de licences d'exportation, rendant tout controle externe impossible.
• Lacunes de classification : La societe suedoise MSAB a exporte des outils d'extraction forensique vers l'Inde - un pays aux abus de logiciels espions documentes - en soutenant que ces outils n'etaient pas "specialement concus" pour la surveillance clandestine et echappaient donc a la clause generale du reglement.
• Sous-declaration : La Suede a officiellement signale zero demande de licence d'exportation a la Commission, malgre des exportations confirmees de MSAB au cours de la meme periode.

Les destinataires : des pays avec des antecedents documentes de repression

L'Azerbaidjan, l'une des destinations confirmees des exportations bulgares, a une longue histoire documentee de ciblage de journalistes, de militants et d'opposition politique par la surveillance numerique. Les chercheurs ont trouve des preuves substantielles que l'Azerbaidjan a utilise le logiciel espion Pegasus - developpe par NSO Group, une societe liee a Circles, elle-meme connectee aux exportations bulgares de technologies de surveillance - contre la societe civile armenienne durant le conflit de 2023.

Le Rwanda, qui a recu de Pologne des systemes d'interception des telecommunications, est documente comme utilisant Pegasus contre des dissidents et des membres de la diaspora depuis au moins 2017. Le pays a adopte en 2013 une loi de surveillance elargie qui donne aux autorites de larges pouvoirs de surveillance des communications.

La France, l'Allemagne, la Grece, l'Italie et l'Espagne - soupconnees d'etre de grands exportateurs en raison de leur taille - ont refuse ou ignore les demandes d'acces a l'information de HRW, si bien que leurs dossiers d'exportation demeurent completement opaques.

Ce que font reellement les "logiciels d'intrusion" et l'"interception des telecommunications"

Les categories de surveillance figurant dans les dossiers d'exportation ne sont pas abstraites. Les logiciels d'intrusion - decrits par les fournisseurs comme des outils d'"interception legale" - permettent un acces dissimule aux appareils, en extrayant messages, journaux d'appels, contacts, historiques de localisation et flux de microphone ou de camera a l'insu de la cible. Les systemes d'interception des telecommunications operent au niveau du reseau, permettant une surveillance en temps reel des appels, des SMS et du trafic internet sur l'ensemble de l'infrastructure d'un operateur.

Ce sont les outils que les gouvernements autoritaires utilisent pour identifier les utilisateurs de VPN, localiser les dissidents et surveiller les communications chiffrees. Lorsque de tels outils sont exportes depuis des Etats membres de l'UE dotant de systemes juridiques fonctionnels, ils conferent des capacites techniques a des gouvernements qui ne disposent d'aucun des mecanismes de controle ou de responsabilite qui, du moins nominalement, encadrent leur utilisation en Europe.

Recommandations de HRW

Human Rights Watch a appele la Commission europeenne a publier de nouvelles lignes directrices de mise en oeuvre conformes au texte reel du reglement sur les biens a double usage, a imposer des rapports publics granulaires reliant les categories de technologies aux pays de destination, a exiger des entreprises qu'elles conduisent et documentent un veritable controle prealable des droits humains - et ne se contentent pas de "prendre en compte" les risques - et a garantir aux organisations de la societe civile une participation formelle a l'evaluation continue de l'efficacite du reglement.

Le rapport recommande egalement que les Etats membres de l'UE refusent les licences d'exportation pour les technologies de surveillance vers tout pays dont le gouvernement a un historique documente d'utilisation de tels outils contre des journalistes, des militants, des opposants politiques ou des membres de la diaspora.

Le schema plus large

Les conclusions de HRW s'inscrivent dans un schema plus large documente par des chercheurs de Citizen Lab, d'Amnesty International et d'Access Now : des entreprises technologiques et des gouvernements europeens ont regulierement fourni des capacites de surveillance a des regimes autoritaires, en invoquant souvent des cas d'usage d'"interception legale" ou de "maintien de l'ordre legitime" qui ne resistent pas a l'examen dans les pays de destination.

Pour les personnes vivant sous des regimes qui ont recu ces outils, un VPN offre une couche de protection partielle contre la surveillance au niveau du reseau. Il ne peut pas proteger contre les logiciels d'intrusion au niveau des appareils - le genre que la Bulgarie a exporte vers l'Azerbaidjan -, mais il chiffre le trafic en transit et dissimule l'adresse IP reelle de l'utilisateur aupres de son fournisseur d'acces et des systemes de surveillance de masse installes dans l'infrastructure reseau.