Données étrangères : la collecte continuera aux États-Unis, même après expiration de la loi

Faux danger, vraie urgence 2
Accès libre
image dediée
Crédits : Steve Rhodes (licence CC BY-NC-ND 2.0)
Securité
Vincent Hermann

Aux États-Unis, une loi essentielle à la surveillance des données étrangères arrivera à expiration le 31 décembre. Alors que l’urgence provoque un certain fatalisme au Congrès, conscient pourtant des débats nécessaires, la Maison Blanche a tranché : les programmes pourront continuer. Explications.

Au cœur de bon nombre des révélations d’Edward Snowden, on trouve la Section 702 de la loi FISAA. Cruciale aux programmes américains de surveillance administrative, elle pose le cadre juridique pour la collecte des données étrangères dès lors qu’elles sont stockées sur des serveurs situés physiquement aux États-Unis. Si vous stockez des données chez Apple, Google ou Microsoft, les sociétés ont l’obligation de les remettre en cas de demande.

La base juridique de ces programmes repose sur deux axes. D’un côté la loi FISAA (ou FISA Amendments Act), qui doit être renouvelée tous les cinq ans. De l’autre, une certification d’un an pour les programmes de surveillance, remise par la FISC (Foreign Intelligence Surveillance Court).

Problème, le dernier renouvellement de la loi FISAA prendra fin au 31 décembre, alors que la certification des programmes court jusqu’au 26 avril 2018.

Aucun problème pour la Maison Blanche

Il existe donc un « trou » d’environ quatre mois où les certifications des programmes sont toujours valides, mais sur la base d’une loi non renouvelée. Que se passerait-il si le Congrès ne tranchait pas la question avant le 1er janvier ?

L’avis de la Maison Blanche, rapporté par le New York Times, est on ne peut plus net : puisque les certifications des programmes vont jusqu’au 26 avril, ils resteront actifs jusqu’à cette date. Une position tranchée prenant appui sur un petit passage de l’Act : tous les mandats délivrés par la FISC dans le cadre de la Section 702 sont valides jusqu’à expiration. Autrement dit le 26 avril.

Selon le Times, les avocats de l’exécutif estiment « très clairement » donc que la validité des mandats a préséance sur celle de la loi. Difficile cependant d’y voir autre chose qu’un prétexte à la continuité des programmes, puisque dans le cas contraire, ils devraient s’interrompre le temps que la FISAA soit renouvelée.

Un vote dans l’urgence

Le danger d’un non-renouvellement est-il réel ? Assez peu. Les différents députés et sénateurs interrogés par nos confrères confirment tous qu’ils sont prêts à se lancer dans les débats nécessaires, car la loi FISAA aurait besoin d’un sérieux remaniement, ne serait-ce que pour la remettre en phase avec les problématiques d’aujourd’hui.

Cependant, le sénateur Ron Wyden se montre fataliste : « Nous avons déjà vu ce film ». Et d’expliquer que l’exécutif attend la dernière minute, argue d’un agenda bouché au Congrès et déclare qu’il « faudra faire avec ». Lui aussi se dit ouvert à toute opportunité qui permettrait d’ouvrir les débats.

Si la situation semble familière, c’est que le Congrès a vécu effectivement une situation très similaire au printemps 2015. Le choc du Freedom Act de Barack Obama et du Patriot Act voté peu après les attentats avait provoqué, pour ce dernier, un retard dans le renouvellement de ce certains points, notamment la collecte des métadonnées téléphoniques aux États-Unis (donc cette fois pour les citoyens américains). Pourtant, il n’avait fallu que quelques jours pour que la situation rentre dans l’ordre.

L’avenir de la loi FISAA

Il est donc très probable que la loi FISAA obtienne sa rallonge de cinq ans avant le 31 décembre. Si le Congrès ne parvenait pas à inscrire ce vote dans son agenda, la situation serait certainement réglée en quelques jours. La position de la Maison Blanche ne laisse non plus aucune ambiguïté sur l’avenir des programmes de surveillance.

Ce qui n’empêche pas le G29 (regroupement des CNIL européennes), dans un rapport sur le Privacy Shield, d’espérer un sursaut de réflexion outre-Atlantique : « Si la Section 702 devait être réautorisée, plusieurs améliorations devraient être introduites. Plutôt que d’autoriser des programmes de surveillance, la Section 702 devrait prévoir un ciblage précis, ainsi que l’utilisation de critères tels que le « soupçon raisonnable », pour déterminer si un individu ou un groupe devrait être visé par une surveillance ».

Mais en dépit d’une réflexion que le G29 appelle de tous ses vœux, de tels aménagements ne pourront en aucun cas prendre place avant le 31 décembre. Les travaux seraient d’une telle ampleur qu’une réflexion de plusieurs mois serait nécessaire, à condition que les députés et sénateurs américaines puissent s’accorder.

Or, selon le New York Times, l’ambiance est à la division. Il ne semble ressortir aucun consensus sur la question, pas même au sein des partis, rendu complexe une discussion sereine sur les nouvelles bases d’une telle loi. Pourtant, avec l’arrivée du RGPD et du Privacy Shield au printemps prochain, il y a plus que matière à réflexion, car les données européennes sont prises, comme les autres, dans les rets des programmes de surveillance.

Des questions sur les données américaines, mais pas étrangères

Parallèlement, les responsables américains du renseignement aimeraient faire voler en éclat cette obligation de renouvellement. Le travail de la NSA ou du FBI n’en serait-il pas facilité si la Section 702 devenait permanente ? Très certainement, puisqu’au cours des dernières années, plusieurs députés et sénateurs ont déposé des propositions de lois allant dans ce sens. Mais, là encore, aucun consensus n’a pu être prouvé.

Le principal écueil sur lequel viennent s’échouer les législateurs est la question des données américaines. Même si la Section 702 ne traite que des données étrangères, celles des citoyens des États-Unis peuvent se retrouver prises dans les filets. Les surveillances de masse produisent en effet des lots agrégés.

C’est un problème central pour le futur de la loi : l’accès à ces données se fait sans mandat, alors que toute recherche sur un citoyen américain en requiert un. Au Congrès, certains estiment donc qu’il faut imposer une barrière nette et donc une demande de mandat, tandis que d’autres préfèrent une solution plus poreuse.

Dans tous les cas, les États-Unis ne resteront pas sans programme de surveillance, même si la Section 702 n’en représente qu’une partie. Le document de présentation de la loi FISAA par le gouvernement est à ce titre très clair, puisqu’il la décrit comme une « priorité législative absolue », comme pour rappeler au Congrès que l’horloge tourne.


chargement
Chargement des commentaires...