Une surveillance potentielle de nos communications privées encore pour quelques mois : après de nombreux débats, la loi américaine qui permet à la CIA, au FBI et à la NSA d’accéder aux e-mails et aux appels téléphoniques des individus non américains, résidant à l’étranger – dont les Européens -, a finalement été prolongée pour quatre mois. La section 702 de la loi FISA, pour « Foreign Intelligence Surveillance Act », qui devait expirer le 31 décembre prochain, sera applicable jusqu’au 19 avril 2024. C’est la solution choisie le 14 décembre dernier par le Congrès américain, incapable de se mettre d’accord sur la façon de réformer cette loi.
Cela fait pourtant des mois que cette section est critiquée de toute part, tant du côté européen qu’américain. Non seulement elle permet d’espionner, à certaines conditions, toute personne qui n’est pas citoyen américain, en dehors des frontières américaines, et sans encadrement d’un juge – ce qui va à l’encontre des règles européennes. Mais différentes « affaires » ont montré qu’elle permettrait aussi d’espionner de nombreux Américains.
Qu’est-ce que cette loi ?
À l’origine, la section 702 de la loi FISA a été mise en place en 2008 par l’administration Bush pour lutter contre le terrorisme. Grâce à cet article, les services de renseignement seraient parvenus à remonter jusqu’au chef d’Al-Qaïda, Ayman al-Zawahiri.
Concrètement, ce texte permet aux agences de renseignement américaines d’accéder aux échanges téléphoniques, aux messages, aux courriels ou aux sauvegardes dans des Cloud d’individus qui ne sont pas américains, et qui résident à l’étranger. Ces données sont fournies par les « fournisseurs de communications électroniques » américains, à la demande des services secrets.
Selon les textes, il ne s’agit pas d’un accès massif : l’accès se fait de manière ciblée, dans le cadre d’enquêtes sur la sécurité nationale, sous l’égide du directeur du Renseignement ou du ministre de la Justice, et dans le respect du 4e amendement, qui interdit les perquisitions abusives, pour les citoyens américains. Cette loi était censée expirer le 31 décembre 2023.
Pourquoi pose-t-elle question ?
Les services secrets du monde entier rêveraient d’avoir un accès à ce genre de données, pour lutter par exemple contre le terrorisme. Et si les agences de renseignement bénéficient outre Atlantique d’un accès sans commune mesure à des communications privées, y compris à l’étranger – et en Europe, c’est en raison d’une combinaison de deux éléments :
- L’extraterritorialité du droit américain, un principe selon lequel certaines dispositions de leur droit s’appliquent à l’étranger, à certaines conditions
- Le fait que la majorité des géants du numérique (et du cloud) sont américains.
Au fil des années pourtant, cet accès ne s’est pas fait sans que différentes « affaires » n’éclatent dans la presse ; ce qui explique que cette section 702 est extrêmement critiquée aujourd’hui, y compris (et surtout) aux États-Unis.
Des citoyens américains aussi espionnés
Car si les données ne concernent en théorie que des étrangers vivant en dehors du pays, des data de citoyens américains peuvent aussi être concernées, par ricochet, lorsque ces derniers échangent avec des individus à l’étranger. Mais ce n’est pas tout : dans le passé, l’utilisation de cet article est parfois sortie de ce cadre limité. Des « incidents de conformité » ont même été officiellement reconnus par les autorités américaines, rapportait Bloomberg en mars dernier.
Les règles ont été ensuite modifiées pour éviter que de tels recours, hors cadre, ne se répétent, selon les agences de renseignement. Mais pour des associations, les « abus » ont continué. Les géants du numérique, qui recoivent les demandes des agences de renseignement, sont du même avis. Apple, Alphabet (la maison mère de Google et de YouTube) ou encore Meta ont, en mars dernier, publié une lettre, demandant à ne plus avoir à partager « les données personnelles de (leurs) utilisateurs avec les agences de renseignements ». Ces derniers souhaitaient conditionner le partage de ces données à l’existence d’un mandat d’un juge – ce qui signifierait qu’il y ait une procédure judiciaire et donc un certain nombre de garde-fous. Ils demandaient aussi à partager publiquement la fréquence à laquelle on leur demande des informations au titre de l’article 702, et le type de données qu’ils sont censés transmettre. Aucune communication à ce sujet n’est, à ce jour, possible.
Pour Matt Schruers, président de Computer & Communications Industry, une association dont font partie Apple, Google, Meta et Amazon, « des réformes sont nécessaires pour garantir que les programmes de surveillance fonctionnent dans les limites constitutionnelles et protègent les droits des utilisateurs américains, grâce à une transparence, un contrôle et une responsabilité appropriés ».
Huit mois plus tard, L’Electronic Frontier Foundation et d’autres ONG défendant la vie privée ont envoyé le même message au Congrès américain, exhortant les Parlementaires à ne pas renouveler la section 702. Selon ces derniers, le FBI aurait, par le biais de cet article, accédé aux communications « de dizaines de milliers de manifestants, d’activistes, de 19 000 donateurs à une campagne du Congrès, de journalistes et de membres du Congrès américain ».
Des critiques aussi en Europe, à l’occasion de la négociation du nouveau Privacy Shield
En Europe, la loi a été surtout décriée par les associations de défense des droits numériques – comme la Quadrature du Net ou Non of your business (NOYB), l’association de Max Schrems. Ce texte a aussi été dans le collimateur de la cour de justice de l’Union européenne (CJUE). C’est en partie la section 702 qui a incité la cour à annuler, en juillet 2020, l’accord transatlantique sur les données personnelles entre l’Europe et les États-Unis (le « Privacy Shield »), une action qui avait été initiée par NOYB. En permettant un accès massif et sans distinction aux données personnelles des Européens, les citoyens européens ne bénéficient pas de « garanties suffisantes », expliquait la Cour européenne.
Car en Europe, le Règlement sur les données personnelles (RGPD) impose un certain nombre de garde-fous lorsque des données sont consultées, comme une information préalable, un contrôle d’un juge, et la possibilité de faire appel. Or, ici, la section 702 permet un accès aux data des Européens, sans garantie de droit. La CJUE demandait donc en substance aux Américains de changer leur loi pour accorder plus de droits aux Européens.
A lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête
Et lors de la conclusion du « Data Privacy Framework » ou DPF, le nouvel accord transatlantique censé remplacer le « Privacy Shield », le débat avait ressurgi. A cette occasion, Max Schrems, le juriste autrichien, nous avait expliqué, en début d’été, à quel point il fallait changer cette loi qui donne un accès bien trop important aux données des Européens. Avec la section 702, tous les nouveaux garde-fous mis en place par le nouvel accord, le DPF, ne valent pas grand-chose, se cessait-il de répéter, en vain… puisque finalement, le DPF a fini par être adopté en juillet 2023. Et il sera certainement annulé par la même CJUE dans les prochaines années, pour les mêmes raisons : l’existence de l’article 702, et l’absence de garanties d’un niveau équivalent à celui offert par le droit européen en Europe.
Depuis, les débats qui ont eu lieu aux États-Unis sur la réforme de la section 702 sont passés quasi inaperçus dans l’Hexagone ou en Europe. Pourtant, cette loi, qui permet une surveillance à grande échelle, est particulièrement attentatoire à la vie privée et à la souveraineté (numérique) des Européens.
A lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
Quels étaient les termes du débat aux États-Unis ?
En quoi consistait le débat, outre Atlantique ? A ceux qui avançaient la protection de la vie privée des Américains – il a été très peu question des droits des Européens – les pro-section 702 ont objecté la sécurité nationale. Selon ses défenseurs, les agences de renseignement ne pourraient pas fonctionner efficacement sans ce précieux sésame. Le contrôle d’un juge ralentirait toute procédure. Et au lieu de discuter d’une possible limitation de cette section, un des projets de loi présenté, le FISA Reform and Reauthorization Act (FRRA), a même proposé d’étendre le champ d’action de la section 702.
L‘article 504 du FFRA, qui s’intitule “Définition du fournisseur de services de communications électroniques”, proposait, ni plus ni moins, d’élargir le type de société ou de personne devant répondre aux demandes des agences américaines – et donc devant communiquer des communications privées. Jusqu’à présent, « seuls » les fournisseurs de services de communication électronique sont concernés, ce qui implique : les opérateurs de télécommunications, les fournisseurs de services de communication électronique ou de services informatiques à distance, ainsi que les dirigeants, salariés ou agents de ces sociétés. Ce qui comprend bon nombre de géants du numérique américains (Google, Meta) que nous utilisons tous les jours.
L’article 504 y ajouterait :
- « tout fournisseur de services qui a accès à des communications électroniques ou par fil, soit au moment où ces communications sont transmises, soit au moment où ces communications sont stockées,
- ou (tout fournisseur de services) qui a accès à des équipements qui sont ou peuvent être utilisés pour transmettre ou stocker ces communications ».
Comprenez : tous les services qui mettent à disposition une connexion Internet comme les cafés, les espaces de coworking, les hôtels, les entreprises, mais aussi les centres de données situées à l’étranger et dont une filiale du groupe serait américaine, devraient en théorie se plier aux injonctions des agences de renseignement, selon cet article.
Qu’a finalement décidé le Congrès ?
Si cela ne semble avoir suscité aucun remous côté européen – aux États-Unis, des associations de défense de la vie privée s’en sont alarmées, et le Congrès a finalement laissé de côté sa réforme de la loi FISA. À la place, le législateur américain a voté, le 14 décembre dernier, sa « National Defense Authorization Act for Fiscal Year 2024 » (NDAA)- une loi qui autorise certains crédits et programmes militaires ou de sécurité nationale aux États-Unis. À sa toute fin, les Parlementaires ont ajouté une simple prolongation de la section 702 de la loi FISA jusqu’au 19 avril 2024, remettant à plus tard la question de sa réforme.
À la lecture de cette loi, nous n’avons trouvé aucune disposition semblable à l’article 504 – ce qui signifie que l’élargissement de cette section à d’autres types de société n’aurait pas été adoptée, pour l’instant. La NDAA est désormais sur le bureau de Joe Biden, qui doit y apposer sa signature. Sauf rebondissement, le système actuel, qui autorise un espionnage des Européens, semble bien parti pour durer jusqu’en avril 2024… au minimum.