FISAA : la collecte des données étrangères reconduite pour cinq ans aux États-Unis

Une fin prévisible, malgré un cliffhanger 4
Accès libre
image dediée
Crédits : Marco_Piunti/iStock
Loi
Vincent Hermann

Aux États-Unis, la loi FISAA a finalement été reconduite pour cinq ans. Un vote qui, s’il était attendu un peu plus tôt, a permis au gouvernement américain de ne pas perdre ses capacités d’espionnage sur les données étrangères. Même si Donald Trump avait averti que les programmes continueraient dans tous les cas.

La loi FISAA (Foreign Intelligence Surveillance Act), et plus particulièrement sa Section 702, jouent un rôle crucial dans l’appareil de surveillance américain. Largement révélée au reste du monde par Edward Snowden, elle autorise les agences de renseignement à puiser dans les données personnelles des internautes à deux conditions : qu’ils ne soient pas citoyens américains et que les serveurs soient situés au sein des frontières du pays.

Cette loi et ses implications ont été au cœur d’une vague de défiance pour les services du cloud, entrainant de nombreuses communications chez les grandes entreprises telles qu’Apple, Amazon, Google ou encore Microsoft, toutes soucieuses de préserver leur chiffre d’affaires.

La Section 702 n’étant autorisée que pour une période de cinq ans, son mandat devait être renouvelé avant le 31 décembre dernier. Il existait cependant une petite subtilité, et l’administration Trump avait clairement fait comprendre que les programmes de surveillance continueraient, même si le Congrès votait en retard. Dont acte.

D’un cheveu

Pour comprendre le calendrier très particulier qui s’offrait aux parlementaires américains, il faut rappeler que deux agendas se télescopaient. Au 31 décembre s’achevait le mandat d’autorisation de la loi FISAA. Mais les programmes qui prennent appui dessus ont besoin d’une certification annuelle. Dans le cas présent, elle courait jusqu’au 26 avril prochain. Que faire dans l’intervalle ? C’était justement l’objet de la réponse du gouvernement : aucune interruption des programmes.

En dépit de cette réponse claire, les parlementaires ont pris leur temps, signe d'une situation trouble. La semaine dernière, la nouvelle autorisation a été votée à la Chambre des députés sans trop de fanfares. Mardi soir, c’était au tour des sénateurs. Un second vote qui a réservé une grosse surprise.

60 voix se sont ainsi exprimées en faveur de l’autorisation, et 38 contre. Selon CNN, les sénateurs souhaitant mettre à l’arrêt l’application de la loi pour avoir tout le temps de la réviser avaient besoin d’être 40 pour entrainer un blocage. Il ne leur a donc manqué que deux voix pour y parvenir.

Les résultats du vote sénatorial sont en fait symptomatiques de profondes divisions autour du sujet chez les parlementaires, comme on pouvait déjà le voir début décembre. Dans le cas présent, l’histoire s’est enrichie d’un retournement de situation, que certains sénateurs comparent désormais à une « trahison ».

Des changements de camp à la dernière minute

Au cœur des divisions, on trouve une thématique précise : les données des citoyens américains. Les programmes de surveillance de type PRISM reposent en effet sur des collectes de masse. Cette aspiration massive d'informations capture souvent dans ses filets du contenu et des métadonnées américaines. Or, l’accès aux données par ces programmes se fait sans mandat, alors que le quatrième amendement de la Constitution américaine garantit le contraire pour les citoyens américains, avec requête obligatoire à un juge.

Au Congrès, qu’il s’agisse des députés ou des sénateurs, on trouve donc essentiellement deux camps. D’un côté, ceux qui apprécient le système actuel et ne souhaitent pas le changer. Certains aimeraient même le renforcer, en faisant voler en éclat le renouvellement de l’autorisation pour rendre la loi FISAA permanente. De l’autre, ceux qui estiment que des barrières beaucoup plus nettes doivent être mises en place pour garantir qu’aucun accès aux données américaines ne se fera sans un mandat en bonne et due forme.

Or, dans ce deuxième camp, on trouvait bon nombre de démocrates, dont la sénatrice Dianne Feinstein, qui avait présidé notamment des commissions d’enquête sur les programmes de surveillance à la lumière des révélations d’Edward Snowden. Selon le Los Angeles Times, elle faisait partie des meneurs dans une coalition bipartie comprenant notamment les républicains Rand Paul et Mike Lee, ainsi que le démocrate Ron Wyden. Des opposants notoires à la capture aveugle des données sur Internet.

Surprise, Dianne Feinstein et plusieurs autres sénateurs démocrates ont finalement voté en faveur d’une reconduction de la loi FISAA. Ce qui n’a pas manqué d’être souligné dans un tweet par Kevin de Leon, son adversaire politique en Californie. En oubliant au passage que l’administration Trump n’a pas créé ces lois. Le journaliste Dustin Volz, de Reuters, a publié hier dans un tweet la liste des sénateurs votants, surlignant en jaune ceux qui avaient changé de camp au dernier moment.

L’argument qui semble avoir été le plus efficace était l’urgence de la situation : renouveler l’autorisation était une question de sécurité nationale. On se souvient que dans le document de présentation de la loi, il était clairement mentionné qu’elle était une « priorité législative absolue ».

Une opportunité manquée

La reconduction de la loi entrainera nécessairement des remous. Le G29 (regroupement des CNIL européennes), dans un rapport sur le Privacy Shield, espérait début décembre un sursaut de réflexion avant le vote : « Si la Section 702 devait être réautorisée, plusieurs améliorations devraient être introduites. Plutôt que d’autoriser des programmes de surveillance, la Section 702 devrait prévoir un ciblage précis, ainsi que l’utilisation de critères tels que le « soupçon raisonnable », pour déterminer si un individu ou un groupe devrait être visé par une surveillance ».

Un vœu pieux ? Si l’on s’en tient au seul calendrier législatif, il était impossible que des travaux parlementaires aient le temps de prendre place avant le 31 décembre, et même avant la fin des programmes le 26 avril prochain. Il aurait fallu plus que quelques mois pour trouver les consensus nécessaires sur les aménagements à réaliser, sans même parler de la validation par la Chambre et le Sénat.

Par ailleurs, une telle réautorisation cadre particulièrement mal avec l’arrivée du RGPD et d’ePrivacy en mai prochain, puisque les données européennes seront immanquablement prises dans la nasse des programmes. En outre, les parlementaires américaines sont loin d’être d’accord sur l’étendue des mesures à prendre, comme en témoignait un article du New York Times le 6 décembre.

L’opportunité d’une révision profonde de la Section 702 est donc pour l’instant manquée. À moins d’une surprise, il faudra attendre début 2023 pour d’éventuels travaux. Quant au texte, il doit atterrir sur le bureau de Donald Trump avant la fin de la semaine pour sa ratification finale.


chargement
Chargement des commentaires...