Alors que les révélations d’Edward Snowden sur le programme PRISM n’en finissent plus de faire réagir, on en apprend davantage sur la manière dont une entreprise peut résister aux ordres qui lui sont fournis. Le New York Times s’est en effet procuré des documents montrant comment Yahoo s’est battu en 2008, avant de devoir finalement appliquer la loi.
Crédits : Chris Hardie, licence Creative Commons
Le programme PRISM, tel que présenté dans le document PowerPoint qui a déclenché le scandale, enrôle Microsoft, Google, Apple, Facebook et d’autres sociétés dans un réseau de partage d’informations sur les utilisateurs d’autres pays. Une obligation légale imposée par la loi FISA (Foreign Intelligence Surveillance Act), qu’une entreprise a tenté de combattre, en avançant ses arguments. C’est ce qu’a tenté de faire Yahoo il y a cinq ans.
Les efforts du gouvernement « ne devraient pas être ralentis par les cours »
Dans une décision de la FISC (Foreign Intelligence Surveillance Court), on apprend qu’une société, qui n’est pas nommée, tente de remettre en cause une demande formulée par la NSA, manifestement dans le cadre du programme PRISM, lui-même soutenu par la loi FISA. Selon les propres informations du New York Times, la société en question est Yahoo, et le document fournit un rare aperçu des coulisses de la surveillance américaine.
Yahoo a tenté de résister en arguant que les requêtes formulées n’étaient pas constitutionnelles. Le jugement de la FISC est sans appel : la réaction de Yahoo est décrite comme « exagérée » et la firme « n’a pas présenté la moindre preuve d’un dommage réel, d’un risque flagrant d’erreur ou d’un quelconque potentiel abus à large échelle ». Et non seulement Yahoo ferait mieux de faire ce qu’on lui demande, mais les efforts du gouvernement « pour protéger la sécurité nationale ne devraient pas être ralentis par les tribunaux ». À ce moment, Yahoo n’avait plus d’autre choix que d’obéir aux requêtes formulées par la NSA, à moins que l’entreprise elle-même n’entre dans l’illégalité.
Le bâillonnement des entreprises
Cette décision comporte plusieurs aspects intéressants. Premièrement, elle offre un aperçu de la mécanique interne du programme de surveillance. Deuxièmement, elle est liée à un autre aspect du renseignement aux États-Unis : l’interdiction pour les participants, volontaires ou non, de parler de ce qui lui a été demandé. Le simple fait de révéler que des éléments ont été demandés peut être illégal, à moins de rester très vague, comme Google le fait dans ses rapports de transparence.
Les entreprises américaines ont en effet une conception double de la protection de la vie privée. S’il s’agit de services internes, la lecture des données peut tout à fait alimenter par exemple un service de publicités personnalisées. Mais lorsqu’il s’agit de révéler ces mêmes données au gouvernement, il y a souvent barrage. De fait, communication, image et marketing oblige, ces entreprises aimeraient pouvoir en dire beaucoup plus long sur ce qui leur est demandé, afin de prouver aux clients qu’ils ont été contraints et forcés par nulle autre que la loi américaine. C’est précisément le sens de la lettre ouverte de Google dont nous parlions mercredi dans nos colonnes. Un courant « pro-libertés civiles » que l’on retrouve souvent dans la Silicon Valley selon l’ACLU (American Civil Liberties Union).
Car en plus des requêtes de type FISA, les entreprises peuvent faire face aux NSL (Lettres de sécurité nationale), envoyées par le FBI ou d’autres agences fédérales. Les NSL ont été créées en 1978, elles permettaient initialement d’accéder aux données personnelles financières des individus dans le cadre d’une enquête. En 1986, ces requêtes deviennent plus contraignantes pour le demandeur, avant qu’un amendement en 93 ne supprime la barrière concernant les puissances étrangères. Aujourd’hui, après le passage du Patriot Act et de sa version remaniée en 2006, les NSL peuvent concerner à peu près n’importe qui, personne physique ou morale, américain ou non, et imposent un ordre de bâillonnement interdisant formellement aux organismes ou entreprises de prévenir les personnes visées.
Entre NSL et requêtes FISA, une simple question de périmètre
Mais alors, quelle différence entre les requêtes FISA et les NSL ? Le périmètre de la demande. Les NSL visent toujours des individus, tandis que les requêtes FISA peuvent toucher des populations. Par exemple, la NSA peut demander une surveillance globale de tout ou partie des utilisateurs en Iran. Mais dans les deux cas, l’entreprise aura interdiction de révéler cette demande, ce qui explique pour le New York Times pourquoi il est si difficile de savoir quelles entreprises résistent, combien de fois et comment. Selon l’Electronic Privacy Information Center, on sait simplement qu’entre 2008 et 2012, deux requêtes à peine sur les 8591 formulées ont été rejetées. En outre, sur la seule année dernière, 1850 requêtes FISA ont été formulées, contre 15 000 NSL.
Mais se tourner vers la justice peut avoir des résultats totalement aléatoires. Le Times indique ainsi qu’une société, dont le nom n’est pas cité, a été sommée via une NSL de donner des informations sur un individu dans le cadre d’une enquête de terrorisme. Non seulement le dossier fut porté devant une cour fédérale, mais la juge Susan Illston a en plus déclaré la requête anticonstitutionnelle, de même que l’ordre de bâillonnement l’accompagnant. L’affaire étant en appel, les détails ne sont pas encore connus. Un défi qui ne fonctionne pas à chaque fois : Google a tenté cette année de s’opposer à 19 NSL dans la même cour, mais la même juge Illston a statué contre la firme.
