Renouvelé jusqu’en avril 2024, le programme de surveillance massive des Européens FISA pourrait ensuite être élargi à toutes les entreprises en capacité d’intercepter des communications. Philippe Latombe alerte le ministère du Numérique sur « un vrai problème de souveraineté », et invite à revoir certaines mesures de protection.
Renouvellement du FISA jusqu’à avril 2024
Le 22 décembre dernier, Joe Biden signait la loi d’autorisation de la défense nationale (NDAA) pour 2024, à 886 milliards de dollars. Parmi les programmes renouvelés se trouve la section 702 contenant la loi sur la surveillance de l’intelligence étrangère (FISA). La FISA autorise l’administration américaine à espionner ouvertement les communications étrangères, et collecter les données sur les Américains. Les agences de renseignement américaines telles que la NSA, la CIA ou le FBI ont ainsi accès sans aucun mandat aux courriels, messages ou aux conversations téléphoniques des Européens. Ces informations s’ajoutent aux données stockées sur les serveurs de grandes sociétés informatiques, également accessibles avec le Cloud Act.
Instaurée en 1978, le FISA prévoit un usage théoriquement restreint aux personnes pouvant porter atteinte aux Etats-Unis dans le cadre de la lutte anti-terroriste. Néanmoins, la cour fédérale responsable du FISA (FISC) a révélé en mai 2023 les nombreux abus du FBI, reconnus par son directeur Christopher Wray en novembre dernier.
Et ensuite ? La réforme élargit le cadre du dispositif de surveillance
Fortement contesté en Amérique et en Europe, le FISA a été renouvelé faute d’un accord trouvé par le Congrès sur la réforme future du texte. Son potentiel successeur, le FISA Reform and Reauthorization Act (FRRA) prévoit un élargissement du dispositif de surveillance aux fournisseurs de services de communication électronique (section 504 du FRRA). En vertu du droit extraterritorial américain, toutes les communications électroniques sur les cross-connect des datacenters deviendraient interceptables. Le député Philippe Latombe alerte sur le « vrai problème de souveraineté », après avoir déposé une question écrite au ministère du Numérique le 2 janvier 2024 :
« La modification de la provision 504 prévoit maintenant l’extension du dispositif à toutes les entreprises en capacité d’interception. Sont donc concernées en France Equinix, Data4 et DRT / Interxion par exemple, qui sont régies par le droit états-unien. Inauguré il y a peu de jours à Bruges en Gironde, le câble sous-marin d’Equinix, baptisé « câble Amitié », – une appellation qui prend toute sa saveur dans ce nouveau contexte-, et qui permet aux informations numériques de circuler en 34 millièmes de seconde entre Le Porge, à 50 kilomètres de Bordeaux, et Lynn, près de Boston, constitue une illustration très concrète du problème qui se pose dorénavant. »
Question écrite du député Philippe Latombe au ministère du Numérique, publiée au Journal Officiel le 2 janvier 2024
Ce renforcement inattendu du FISA pourrait amener le comité européen pour la protection des données à revoir le Data Privacy Framework, adopté en 2022. La certification SecNumCloud par l’ANSSI pourrait également être amenée à évoluer. Pour le député, cette « évolution inquiétante de la législation américaine […] tend un peu plus à fragiliser une souveraineté nationale déjà très mal en point. »
Agathe Bodelot
Pour en savoir plus :