Route de la surveillance Épisode 6 – Politiques, lois et réponses : qui régule la surveillance ? 

Loin d’être marginal, le marché de la surveillance commerciale est aujourd’hui profondément structuré. Une cartographie récente recense environ quarante entreprises actives dans le secteur des logiciels espions, pour plus de soixante-dix États clients identifiés (Spens, 2024). FinFisher, Hacking Team et NSO Group figurent parmi les fournisseurs les plus déployés, avec plusieurs dizaines de pays utilisateurs chacun.

Ce paysage est rendu encore plus difficile à appréhender par la complexité des structures juridiques et capitalistiques. Les entreprises de cybersurveillance opèrent via des filiales multiples, des sociétés écrans et des montages transnationaux qui fragmentent la chaîne de responsabilité. Cette opacité n’est pas un simple effet secondaire : elle est devenue l’une des conditions de fonctionnement du marché.

Sur le plan juridique, ces technologies sont le plus souvent classées comme des biens à double usage (civils et militaires), ce qui complique leur encadrement. Les mécanismes de contrôle existants peinent à suivre la vitesse d’innovation et l’évolution des modèles commerciaux, désormais fondés sur la modularité et la fragmentation des capacités.

L’Europe : ambition normative, application politique

L’Union européenne s’est pourtant dotée d’un cadre réglementaire parmi les plus avancés au monde. Avec le règlement (UE) 2021/821, elle a renforcé le contrôle des exportations de biens à double usage, en intégrant explicitement certaines technologies de cyber-surveillance. L’ENISA joue un rôle de coordination et d’expertise technique, tandis que l’AI Act introduit une approche fondée sur le risque pour les systèmes numériques les plus sensibles.

L’objectif affiché est d’empêcher que des entreprises européennes exportent des outils de surveillance intrusive vers des régimes susceptibles d’en faire un usage abusif et inscrire ces technologies dans un cadre compatible avec les droits fondamentaux.

Mais dans la pratique, l’application de ces règles reste largement nationale et profondément politique. Les autorisations d’exportation, les contrôles a posteriori et les sanctions relèvent toujours des États membres, qui arbitrent entre exigences juridiques, intérêts industriels et considérations diplomatiques. La régulation européenne se heurte ainsi à un principe central : la surveillance relève encore largement du domaine réservé de la souveraineté régalienne.

Italie : l’affaire Hacking Team, symptôme des failles du contrôle

L’Italie constitue un cas d’école. L’ascension puis la chute de l’entreprise milanaise Hacking Team ont mis en lumière les limites concrètes du contrôle des exportations de technologies de surveillance. En 2015, une fuite massive de données révèle que l’entreprise a vendu ses outils à des services de renseignement et ministères de la défense dans plusieurs pays à haut risque, dont l’Arabie saoudite, le Soudan ou encore la Russie, malgré les cadres juridiques existants (Le Monde, 2015).

Ces révélations montrent que des licences d’exportation ont été accordées en dépit de signaux d’alerte évidents. Si des poursuites judiciaires et des enquêtes administratives ont suivi, elles sont intervenues a posteriori, sans remettre en cause structurellement le régime d’autorisation. L’affaire Hacking Team illustre ainsi un problème récurrent : le droit intervient trop tard, et rarement de manière systémique.

Espagne : Pegasus et la zone grise de la “sécurité nationale”

En Espagne, l’usage de Pegasus contre des responsables indépendantistes catalans a mis en lumière une autre limite majeure de la régulation européenne. Le rapport CatalanGate, publié par Citizen Lab en avril 2022, affirme qu’au moins 65 personnes, dont responsables politiques, avocats et membres de la société civile, auraient été ciblées par des logiciels espions, notamment Pegasus et Candiru.

Selon l’enquête, ces intrusions pourraient être liées à des entités étatiques espagnoles, ce qui a déclenché une crise politique majeure et plusieurs enquêtes parlementaires. Toutefois, le rapport a également suscité des critiques importantes : absence de validation indépendante complète, méthodologie contestée et instrumentalisation politique du dossier dans le contexte du conflit catalan (Citizen Lab, 2023).

Au-delà de la controverse, l’affaire révèle une constante : même au sein de l’Union européenne, la notion de “sécurité nationale” constitue une zone de non-droit juridique, dans laquelle les mécanismes de contrôle et de transparence atteignent rapidement leurs limites. L’ENISA peut coordonner des réponses techniques, mais elle ne dispose d’aucune autorité sur les services de renseignement nationaux.

Le marché gris des zero-days : l’angle mort de la régulation

L’un des angles morts les plus persistants de la régulation concerne le marché des vulnérabilités logicielles et en particulier celui des zero-days. Ces failles inconnues des éditeurs sont devenues des actifs stratégiques, échangés sur des marchés opaques à la frontière entre recherche en sécurité, renseignement et surveillance commerciale.

Une étude de l’OCDE souligne l’extrême difficulté à encadrer ces marchés, en raison de la fragmentation des acteurs : chercheurs indépendants, brokers spécialisés, entreprises privées, agences étatiques (OCDE, 2022). Tant que ces vulnérabilités ne sont pas juridiquement qualifiées comme des biens contrôlés ou des armes, elles échappent largement aux mécanismes classiques de régulation.

Cette économie des failles alimente directement l’industrie de la surveillance commerciale, tout en rendant les chaînes de responsabilité presque impossibles à reconstruire.

Quand le droit rattrape (mal) la surveillance

Face à ces dérives, les réponses juridiques restent fragmentées. En Europe, les enquêtes parlementaires, notamment la commission PEGA du Parlement européen, ont permis de documenter les abus et les failles de gouvernance, sans déboucher sur un cadre contraignant harmonisé. Aux États-Unis, la mise sur liste noire de NSO Group et le décret exécutif 14093 signé par le président Biden en 2023 constituent des signaux politiques forts. Mais ces mesures relèvent avant tout de la politique étrangère et de la sécurité nationale, plus que d’un mécanisme global de régulation du marché.

Partout, le constat est similaire : le droit agit après coup, au cas par cas, sans capacité réelle à structurer durablement un écosystème déjà mondialisé et techniquement fragmenté.

La diplomatie du “poker menteur”

La régulation de la surveillance se heurte enfin à une réalité diplomatique que peu d’États assument publiquement : la cyber-intrusion est devenue un attribut central de la souveraineté numérique.

Dans ce jeu de “poker menteur”, les États condamnent les abus, appellent à des normes éthiques et soutiennent des initiatives multilatérales, tout en conservant, voire en renforçant,  leurs propres capacités offensives. La régulation devient alors un exercice d’équilibrisme : afficher des principes sans renoncer aux outils. 

Les tentatives de régulation ne se limitent pas à des déclarations générales : plusieurs États ont récemment engagé des démarches multilatérales pour structurer une norme de comportement concernant les capacités commerciales de cyber-intrusion. L’exemple le plus avancé est le Pall Mall Process, lancé conjointement par le Royaume-Uni et la France en février 2024 avec pour ambition de créer un cadre global de coopération entre États, entreprises, chercheurs et organisations de la société civile pour encadrer la prolifération et l’usage irresponsable de ces outils (RUSI, 2025).

Contrairement à un traité, ce processus n’est pas juridiquement contraignant . Ils’agit d’un dialogue multilatéral structuré, visant à rapprocher les définitions, bonnes pratiques et engagements politiques. Lors de la première réunion au Lancaster House, une déclaration multipartite a été adoptée, articulée autour de quatre principes : responsabilité, précision, supervision et transparence. Elle a ensuite été signée par plus de vingt-six gouvernements et organisations régionales, dont l’Union africaine et le Conseil de coopération du Golfe.

L’un des résultats concrets a été l’élaboration d’un Code of Practice for States, adopté lors de la deuxième conférence à Paris en avril 2025 : un ensemble d’engagements politiques et recommandations pratiques visant à combattre la prolifération incontrôlée et l’usage irresponsable des capacités de cyber-intrusion. Ce texte, soutenu par plus de vingt-sept États, se veut complémentaire aux cadres existants (comme le cadre des Nations Unies pour un comportement responsable dans le cyberespace et le Paris Call for Trust and Security in Cyberspace) et fixe des orientations sur la responsabilité des États, la diligence, l’évaluation des risques et le contrôle des exportations (RUSI, 2025). 

Pour autant, plusieurs défis persistent : le processus doit encore définir des définitions opérationnelles acceptées par tous, inclure davantage de pays, et passer du stade des bonnes pratiques à celui d’engagements effectifs suivis d’actions concrètes. À noter également que la dynamique internationale est aujourd’hui incertaine et que le succès du du processus de Pall Mall dépendra de la capacité des États à engager des normes communes dans un paysage géopolitique en mutation, tout en assurant la participation active des acteurs qui doivent changer de comportement pour que cela fasse une différence 

Dans une approche convergente, la Carnegie Endowment for International Peace plaide pour une régulation fondée sur une compréhension plus fine des outils de surveillance, une analyse géostratégique des exportations et une différenciation claire entre types de capacités offensives (Institut Montaigne, 2023).  Là encore, l’enjeu n’est pas tant l’absence de propositions que la difficulté à transformer ces cadres analytiques en contraintes politiques effectives.

La question de la régulation de la surveillance commerciale n’est donc pas seulement juridique ou technique : elle est profondément politique. Réguler implique d’assumer des arbitrages explicites entre sécurité, souveraineté et droits fondamentaux; arbitrages que peu d’États sont aujourd’hui prêts à trancher ouvertement.

Tant que la surveillance restera perçue comme un levier stratégique indispensable, la régulation demeurera partielle, fragmentée et réversible. L’enjeu n’est plus de produire de nouveaux textes, mais de savoir si les États sont disposés à limiter, y compris pour eux-mêmes, les capacités qu’ils jugent excessives chez les autres.

Sources : 

• Paris, Pall Mall and a Code of Practice for Cyber Capabilities, Ellis, Hurel, Mott, Pytlak, Rice and Sommer, 2025 (Source) 

• De la prolifération à la déstabilisation : l’industrie spyware, une spirale centrifuge, Institut Montaigne, 2023 (Source) 
• Le vendeur de logiciels espions Hacking Team victime d’un piratage massif, Le Monde, 2015 (Source)

• Règlement (UE) 2021/821 : Texte officiel du Parlement européen. C’est la base légale du contrôle des exportations de logiciels de surveillance.
• Rapport du Parlement Européen (Commission PEGA) : Le rapport final de la commission d’enquête sur Pegasus est une mine d’or sur les failles de régulation en Europe. Lien vers le rapport.
• Étude de l’OCDE (2022) : « Exploiting software vulnerabilities: The roles of government, industry and researchers ». Ce rapport explique pourquoi il est si difficile de réguler ce marché. Consulter sur le site de l’OCDE.
• The Citizen Lab (Université de Toronto) : C’est la source mondiale de référence pour le traçage des logiciels espions. citizenlab.ca.
• The Pegasus spyware scandal a critical review of Citizen Lab’s « CatalanGate », 2023 (lien)
•  Bringing Technology Back into Spyware Regulations, Sheniak, 2025 (Source)  
• The Spyware Industrial Complex, Spens, 2024 (Source
• Malgré les scandales d’espionnage, l’introuvable régulation des outils de piratage informatique, Libération, 2024 (Source)