« La NSA n’est qu’à quelques jours de prendre le contrôle d’Internet, et cela ne fait la Une d’aucun journal ». C’est avec ce tweet provocateur qu’Edward Snowden a attiré l’attention, le 15 avril dernier, sur un projet de loi en train d’être étudié par le Congrès des États-Unis. Dix ans après ses révélations sur les programmes de surveillance de masse orchestrés par la National Security Agency, le lanceur d’alerte, naturalisé russe en 2022, joue ainsi de son aura pour faire parler de la nouvelle version de FISA.
Car la loi qui doit être votée vendredi 19 avril réforme et étend le « Foreign Intelligence Surveillance Act », notamment la partie connue sous le nom de Section 702. FISA fixe depuis 1978 le cadre d’action des agences de renseignement américaines vis-à-vis des pays étrangers, en matière de surveillance physique et électronique. La Section 702, créée après le 11 septembre 2001, avait été mise en lumière par l’affaire Snowden déclenchée en 2013. Dans le secteur du numérique français, elle avait fait réagir du fait de son impact sur le marché du cloud. Elle permet en effet au gouvernement américain de forcer la main aux fournisseurs pour accéder aux informations d’utilisateurs étrangers. D’où l’émergence de discours forts sur la nécessité de clouds de confiance ou souverains dans l’Hexagone et en Europe.
En décembre 2023, alors que le Congrès devait donner son agrément pour le renouvellement de ces dispositions, il avait botté en touche du fait des tensions politiques et repoussé le vote de quelques mois. Cette brève échéance arrive à son terme et le vote programmé du 19 avril ravive un vieux débat.
Des défenseurs des libertés civiles aux États-Unis, comme le Brennan Center for Justice, ont ainsi souligné que grâce à une « modification anodine » de la définition de « fournisseur de services de surveillance des communications électroniques », le gouvernement américain pourrait aller bien au-delà de son champ d’action actuel et contraindre presque toutes les entreprises et tous les particuliers qui fournissent des services liés à l’internet à participer à la surveillance de la NSA. Les spécialistes attirent l’attention sur le fait que les nouvelles dispositions pourraient impliquer que des prestataires de services informatiques qui ont accès aux ordinateurs portables et aux routeurs, ou qui fournissent des accès wifi par exemple, pourraient dès lors être obligés de servir « d’espions de substitution ». Le tout sans pouvoir le révéler publiquement, étant donné les lourdes sanctions et conditions dites de « gag order » prévues sur les sujets liés au renseignement.
Le gouvernement américain affirme que ces dispositions ont été pensées pour viser des cibles étrangères, à des fins de lutte contre le terrorisme, la criminalité cyber ou le trafic de drogues. Toutefois, pour plusieurs experts juridiques auditionnés lors des phases préparatoires, les formulations défendues intégreraient, cette fois, clairement les entreprises et citoyens américains dans l’équation. De quoi provoquer un débat beaucoup moins consensuel outre-Atlantique.
Le projet de loi a initialement été contesté par les représentants politiques, démocrates comme républicains, attentifs aux questions de vie privée et de droit constitutionnel. Il a toutefois été adopté par la Chambre des représentants des États-Unis le 13 avril avec peu de modifications, ouvrant la voie à un vote définitif. Les débats risquent d’être intenses à cette occasion, alors que le sujet provoque des tensions bipartisanes. Et ce contrairement aux autres affrontements beaucoup plus médiatisés sur l’immigration ou l’aide à l’Ukraine, qui seront votés le lendemain, samedi 20 avril, et pour lesquels les lignes de démarcation politiques sont plus claires. Ainsi, en amont des échanges, le sénateur démocrate Ron Wyden a déjà mis les pieds dans le plat en déclarant : « Ce projet de loi représente l’une des extensions les plus spectaculaires et les plus terrifiantes de l’autorité du gouvernement en matière de surveillance dans l’histoire ». Le sujet pourrait également capter une attention beaucoup plus forte dans le cadre de la campagne présidentielle, alors que, de manière opportuniste, Donald Trump a fait de « KILL FISA » l’un de ses récents slogans.
Vu de l’Europe, la situation est en tout cas une nouvelle évocation très claire des pratiques de renseignements de l’allié américain, et de son approche de l’extraterritorialité d’un point de vue juridique. Avec cette piqûre de rappel sur FISA, les préoccupations pour une plus grande maîtrise du champ numérique européen ne manqueront pas de se renforcer. Avec en arrière-plan, la nécessité de muscler les dispositifs réglementaires qui se multiplient ces dernières années. De quoi, d’ailleurs, inspirer Joe Biden à un autre niveau, si l’on en croit son « Executive Order » (décret exécutif) sur la protection des données, passé fin février. Celui-ci, prenant exemple sur les choix européens, vise à “empêcher le transfert à grande échelle de données personnelles d’Américains vers des pays qui suscitent des inquiétudes”, en particulier la Chine. De notre côté de l’Atlantique, il paraît évident qu’avec le vote sur FISA et à l’aune des prochaines élections présidentielles très tendues, les États-Unis se rangent dans cette liste.