Emploi australien des constructeurs de sous-marins français : à la recherche d’un bailleur de fonds

Cette histoire fait partie de la série Fuite : Le monde alternatif de la cybersurveillance. Lire le reste.

PARIS Lorsque les détails d’une conférence téléphonique d’entreprise divulgués menaçaient un accord de 56 milliards de sous-marins avec le gouvernement australien, le géant français de la défense Naval Group s’est tourné vers Eric Leandri, un entrepreneur réputé comme le champion européen de la confidentialité numérique.

Leandri s’est fait un nom en tant que directeur général du moteur de recherche Qwant. Mais il était désormais à la tête d’une nouvelle société, Altrnativ, une société de cybersurveillance qui compile des dossiers sur des particuliers pour certaines des plus grandes marques françaises et travaille sur des contrats de cyberarmes avec des régimes africains autoritaires comme le Tchad et le Cameroun. Naval Group a demandé à Altrnativ d’enquêter sur les participants à l’appel, ainsi que sur cinq autres personnes, dont un sénateur australien, un journaliste australien et le PDG australien d’une entreprise rivale, selon des documents vus par POLITICO.

L’objectif du projet : découvrir comment les discussions internes du constructeur de sous-marins ont fuité dans la presse australienne, et savoir qui est fidèle et qui ne l’est pas, d’après les notes d’une rencontre du 9 juin 2021 entre un employé d’Alternativ et Naval Responsable de la sécurité du groupe.

Résultat : aucune conclusion ferme sur la source de la fuite, mais un rapport de 40 pages répertoriant les numéros de téléphone des cibles, les connexions aux réseaux sociaux et, dans certains cas, des informations personnelles.

Quelques mois plus tard, l’accord sur les sous-marins était mort, les relations de la France avec l’Australie et l’Amérique s’étaient effondrées dans l’acrimonie et les dirigeants communistes chinois écumaient à la bouche une nouvelle alliance indo-pacifique connue sous le nom d’AUKUS.

Informé pour la première fois par POLITICO qu’il avait fait l’objet d’une enquête secrète, Rex Patrick, le sénateur australien, a déclaré trouver la pratique scandaleuse.

Je ne pense pas que quiconque en France apprécierait qu’une entreprise publique australienne enquête sur un sénateur français parce qu’il ou elle posait des questions difficiles au Parlement français sur la dépense de l’argent des contribuables français, a-t-il déclaré. Ils diraient à juste titre qu’un tel espionnage était choquant, scandaleux et scandaleux.

N’hésitez pas à réparer mon mauvais français, a-t-il ajouté.

Les détails du travail australien de Naval Groups figuraient parmi des milliers de documents internes Altrnativ vus par POLITICO. Ils mettent en lumière l’industrie de la cybersurveillance en croissance rapide, dans laquelle les entreprises parcourent Internet et d’autres sources de données accessibles au public pour compiler des dossiers sur les employés, les rivaux ou les critiques.

La pratique est couramment utilisée pour effectuer des contrôles de diligence raisonnable sur des contreparties ou des embauches potentielles, mais elle peut également être déployée contre des critiques externes ou des dissidents internes. Dans les deux cas, cela risque de violer les lois de l’Union européenne sur la protection de la vie privée, connues sous le nom de Règlement général sur la protection des données ou RGPD.

Suite à une fuite d’informations confidentielles et internes de Naval Group dans les médias australiens, nous avons engagé [Altrnativ] utiliser des sources ouvertes pour comprendre le contexte de cette fuite dommageable, a déclaré une porte-parole de Naval Group dans un communiqué à POLITICO. La société a refusé de commenter davantage.

A jailli une fuite

La fuite de Naval Group a eu lieu au printemps 2021, des mois avant que l’Australie ne torpille l’accord sur les sous-marins, déclenchant une crise diplomatique internationale. Mais les premières fissures dans l’accord commençaient déjà à apparaître.

Inquiet des dépassements de coûts et des retards de livraison, le gouvernement australien avait refusé de signer une nouvelle tranche de l’accord. Il négociait également secrètement une alliance anti-chinoise avec les États-Unis et le Royaume-Uni qui deviendrait connue sous le nom d’AUKUS et impliquait d’acheter des sous-marins à propulsion nucléaire aux États-Unis à la place.

Au lendemain de la débâcle, la France a temporairement rappelé son ambassadeur aux États-Unis pour la première fois. Paris a également rappelé son ambassadeur en Australie.

Toujours dans l’espoir d’éviter la catastrophe, Naval Group a réuni 30 personnes le 5 mai lors d’un appel téléphonique pour discuter de l’état de l’accord. Les détails de la discussion ont été divulgués à l’Australian Financial Review, un journal économique.

Un article du 14 mai du journaliste politique Andrew Tillett décrivait une entreprise inquiète pour l’avenir des transactions. Lors de l’appel, Fabrice Leduc, un cadre de Naval Group, a déclaré que l’entreprise gèlerait les embauches et ne dépenserait que ce qu’elle savait être remboursé par Canberra.

Tillett a rapporté à quel point les membres du personnel s’inquiétaient à haute voix de pouvoir respecter le calendrier. Un employé s’est plaint que répondre aux demandes des Australiens était un cauchemar, compte tenu des prochaines vacances d’été en France.

Leandri avait contacté Naval Group quelques mois avant la fuite, avec un argumentaire de 15 pages proposant une gamme de services, de l’évaluation des menaces à l’identification des principaux détracteurs.

Le 1er juillet, les deux sociétés ont conclu un accord destiné à identifier le bailleur. Selon un bon de commande signé par le chef adjoint de la sécurité de Naval Group, Arnaud de Pellegars, le 1er juillet, Altrnativ a été payé 9 600 pour cartographier les personnes qui, selon le fabricant du sous-marin, pourraient être impliquées dans la fuite.

Les documents suggèrent que Naval Group a transmis les noms et numéros de téléphone de ses employés et, dans un cas, a également partagé qu’un de ses employés était en couple avec une femme qui avait quitté Naval Group pour une entreprise rivale.

Les cibles comprenaient les personnes à l’appel, mais aussi la femme qui avait quitté l’entreprise ; Patrick, le sénateur australien et critique virulent de l’accord sur les sous-marins ; et Tillett, le journaliste. (Tillett a refusé une demande d’interview de POLITICO. En tant que journaliste, je ne crois pas aux commentaires sur les sources, a-t-il déclaré. « Jamais, jamais.)

Jim McDowell, PDG de la société de défense australienne Nova Systems, un concurrent, et Brent Clark, directeur général de l’Australian Industry and Defence Network, qui représente les petites et moyennes entreprises de défense locales, étaient également visés.

Dans une interview, Leandri a refusé de commenter le travail, mais a nié avoir reçu les numéros de l’employé par Naval Group. Les entreprises ne partagent jamais d’informations avec nous, a-t-il déclaré.

Non concluant

Le rapport alternatif de 40 pages, livré après plus d’un mois et parsemé de fautes d’orthographe, n’a pas identifié le bailleur.

Il a identifié cinq personnes Altrnativ considérées comme un risque pour Naval Group, marquant leurs profils avec un panneau d’avertissement en forme de triangle jaune. L’un avait travaillé aux États-Unis et au Japon. L’un d’eux était employé par la Qatar Foundation, propriété de l’État. L’une était une femme qui a quitté l’entreprise en mai.

Une femme a été répertoriée à risque en raison de sa visibilité sur les réseaux sociaux et de l’abondance d’informations susceptibles d’être collectées. Celles-ci, conclut le rapport, l’exposent au risque d’espionnage étranger.

Le rapport excluait la possibilité qu’un salarié basé en France contacte directement le journaliste et lui présente une série d’autres scénarios possibles, parfois sous forme de questions.

La femme qui a quitté l’entreprise en mai pourrait-elle essayer de s’attirer les bonnes grâces de son nouvel employeur ? Un autre employeur qui avait autrefois travaillé pour la Qatar Foundation pourrait-il tenter de déstabiliser Naval Group au nom du petrostate ?

Alors que le rapport était léger sur les conclusions, il était rempli de détails sur la vie personnelle de ses cibles.

Pour chaque personne, il a répertorié les numéros de téléphone, les profils de médias sociaux, les intitulés de poste, l’état civil et le nombre d’enfants, le cas échéant. Pour certains, c’est allé plus loin.

Dans la section concernant la femme qui avait quitté l’entreprise, il énumère ses hobbies, sa page Pinterest et le nom de son fils, et conclut : Son penchant pour le yoga, l’art et la joaillerie semble l’éloigner des grands axes industriels et géopolitiques. questions d’Australie.

Altrnativ a fourni à Naval Group un numéro de téléphone pour McDowell, le PDG de Nova Group, et un lien vers sa liste de souhaits Amazon. Il comprenait le CV de Patrick et cartographiait les comptes de médias sociaux des sénateurs australiens, soulignant ses liens avec Tillett, le journaliste, et incluant des captures d’écran de ses Tweets.

Atteinte à la vie privée

Les experts qui ont parlé à POLITICO ont déclaré qu’il n’était pas clair si l’enquête sur les fuites violait la réglementation australienne sur l’utilisation des données personnelles.

À première vue, cela pourrait constituer une violation de la loi sur la protection de la vie privée, a déclaré David Vaile, président de l’Australian Privacy Foundation. Mais les règles du pays prévoient une exemption pour les dossiers des employés, un terme qui a été ouvert à l’interprétation juridique.

Patrick a noté que toutes les entreprises cibles ne travaillaient pas pour Naval Group.

Je ne pense pas que ce soit l’affaire d’une entreprise française de mener une enquête sur un citoyen australien qui n’était pas employé par l’entreprise, a déclaré Patrick. Naval Group était sous contrat avec le gouvernement australien et aurait pu demander l’aide des autorités australiennes si elles pensaient que des citoyens australiens étaient impliqués dans une fuite.

Plusieurs experts ont déclaré que les activités de Naval Group et Altrnativs pourraient avoir enfreint les règles de confidentialité du GDPR européen, qui n’incluent pas d’exceptions pour les données des employés, en particulier si les cibles n’étaient pas informées de l’enquête. Les données personnelles, y compris les opinions politiques, les convictions religieuses et les origines raciales ou ethniques sont considérées comme sensibles, en vertu du RGPD, a déclaré Eric Delisle, chef du service emploi, solidarité, sport et logement à la CNIL, l’autorité française de protection des données. Le RGPD pose un principe d’interdiction d’utilisation sauf exceptions bien précises.

Le GDPR peut également être appliqué pour les cibles australiennes, puisque leurs données ont été collectées et traitées par une société française, Altrnativ. Si une entreprise est basée en Europe ou si les cibles sont des particuliers situés en Europe, le RGPD s’applique », a déclaré Delisle.

Le RGPD se serait appliqué même si les données étaient publiques, selon Valrie Aumage, avocate française et responsable du département traitant du droit du numérique et de la protection des données personnelles chez PWC Socit dAvocats. Quelle que soit l’origine des données, la personne doit être informée de ce qui va en être fait, a-t-elle déclaré. La notification peut être retardée, mais cela devrait être justifié par des intérêts légitimes, a ajouté Aumage. Les exigences en matière de protection des données ne s’arrêtent pas une fois que la personne est informée. Le traitement doit être justifié, notamment en citant une base légale pour le traitement et sa nécessité, a déclaré Ravi Naik, directeur juridique de l’agence AWO, spécialisée dans les affaires de protection des données. La nécessité implique de peser le but de l’enquête par rapport à l’impact sur les libertés et les droits des individus, a-t-il ajouté.

Contacté par POLITICO, Philip Benton, un ancien sous-traitant de Naval, a déclaré qu’il n’était pas au courant que ses données avaient été utilisées par Altrnativ. Il a déclaré avoir été interrogé par les ressources humaines et la sécurité de Naval Group mais n’avoir été informé des résultats d’aucune enquête.

Nous n’avons pas été informés si la source de la fuite avait été identifiée, a-t-il déclaré. Cela reste un mystère pour moi.

Naval Group n’a pas répondu à une demande de commentaire spécifiquement sur les allégations selon lesquelles la société aurait enfreint le RGPD. Lorsqu’on lui a demandé si Altrnativ avait enfreint le RGPD, Leandri n’a pas répondu.