Aux États-Unis, les fameuses National Security Letters viennent d’être déclarées tout à fait constitutionnelles. Ces courriers, émis notamment par le FBI, permettent de réclamer des données aux prestataires et autres opérateurs de téléphonie. Un coup dur pour l’EFF, qui cherchait à faire évoluer la législation.
Les NSL sont un vieux sujet de désaccord aux États-Unis. Ces lettres sont émises par les agences fédérales ayant besoin d’accéder à des données. Elles peuvent se trouver chez des sociétés de type GAFAM (Google, Apple, Facebook, Amazon et Microsoft), des fournisseurs d’accès, des opérateurs de téléphonie et globalement toute structure qui peuvent être amenées à stocker ces informations.
Elles ont largement été mises en avant depuis le passage d’Edward Snowden, plusieurs associations et entreprises essayant d’en atténuer la toute-puissance, en particulier quand elles sont accompagnées de « gag orders ». Ces derniers imposant en plus aux entreprises concernées de ne pas avertir leurs clients de ces demandes, alors même que le Quatrième amendement de la Constitution américaine garantit le droit d’en être informé.
Cependant, plusieurs lois ont changé depuis le passage de Snowden, particulièrement depuis l’année dernière. Un juge vient d’ailleurs de décider qu’en l’état, tout allait bien avec le système actuel.
Un peu de contexte autour des NSL
Pour bien situer les National Security Letters, il faut préciser quelques points importants. D’une part, les NSL sont émises directement par les agences qui en ont besoin, FBI en tête. Elles ne font l’objet d’aucune demande aux tribunaux et elles n’ont pas besoin d’être validées par un juge. Elles n’entrent donc pas dans le même domaine que les mandats de recherche.
D’autre part, le parcours juridique des NSL a été chaotique. Elles ont particulièrement été remises en cause après le passage de Snowden, la juge Susan Illston ayant décidé en 2013 qu’elles étaient inconstitutionnelles, enfreignant le sacro-saint Premier amendement sur la liberté d’expression (les entreprises ne pouvant pas parler précisément des NSL). Elle a depuis changé d’avis, pour tenir compte d’importantes modifications intervenues l’année dernière.
Le problème le plus souvent pointé pour les NSL est en effet le gag order, une sorte d’obligation de non-divulgation, qui l’accompagne régulièrement. L’entreprise peut faire l’objet de poursuites si elle décide de passer outre. Or, depuis l’année dernière justement, le FBI doit réviser le besoin d’une telle obligation trois ans après ouverture de l’enquête ou lors de sa fermeture. Le gag order doit ainsi être levé si les éléments n’imposent plus son utilisation, alors qu’il était considéré comme définitif quand il était émis sans limite de temps. On se souvient d’ailleurs que Microsoft combattait ce dernier point, avec l'aide de l'EFF.
Les NSL et leurs gag orders jugés parfaitement constitutionnels
Malheureusement pour l’Electronic Frontier Foundation qui avait déposé plainte contre les NSL, une cour d’appel a estimé hier qu’elles étaient tout à fait constitutionnelles. Certains doutes étaient permis avant, mais la révision des règles intervenue l’année dernière permet d’apporter désormais des garanties qui n’existaient pas précédemment.
Dans la pratique, le FBI va donc pouvoir continuer à émettre des NSL comme il le faisait jusqu’à présent, tout en continuant à appliquer ses nouvelles obligations, notamment la révision des gag orders au bout de trois ans. Les entreprises n’auront de leur côté toujours pas le droit d’évoquer ces NSL protégées dans leurs rapports de transparence, tout juste pourront-elles évoquer leur nombre… arrondi au millier.
La situation générale va donc ainsi rester inchangée dans l’avenir proche. L’EFF, dans une réponse donnée à Ars Technica, a indiqué cependant qu’elle étudiait ses options pour tenter de combattre la décision, pourquoi pas en relançant un appel.
Une activité normale
On rappellera qu’en dépit des très nombreux débats provoqués par les actions d’Edward Snowden et de la presse qui possédait tout ou partie des documents dérobés à la NSA, le cadre du renseignement et de la récupération des données n’a que peu changé dans le fond. Le Freedom Act de l’administration Obama a bien assoupli quelque peu les règles, mais la NSA a gardé ses opérations pratiquement intactes. Tout juste s’est-elle vu ajouter l’obligation de passer par des voies mieux encadrées pour ses demandes d’information.
Mais là où l’agence doit faire valider ces requêtes par un juge spécial membre de la FISC (Foreign Intelligence Surveillance Court), le FBI n’a pas ce type de problème avec les NSL. Les sociétés visées par ces requêtes continueront donc sans doute de pester officiellement contre l’impossibilité d’avertir les clients.
