C’est une signature qui n’est pas passée inaperçue. Ce week-end, Joe Biden a signé le prolongement pour 2 ans de la section 702 du Foreign Intelligence Surveillance Act (FISA). Ce texte autorise les agences américaines de renseignement à collecter sans mandat les communications électroniques de ressortissants étrangers en dehors des US auprès des entreprises américaines. La Maison Blanche a justifié cette extension en estimant que la loi prévenait les attaques terroristes et les cyberattaques et que l’arrêt de ce pouvoir nuirait à la capacité du gouvernement américain à collecter des renseignements.

Quelques heures avant la signature présidentielle, le texte a fait l’objet d’une âpre négociation entre les Républicains et les Démocrates au Sénat. Un amendement prévoyant l’obligation d’obtenir un mandat a été écarté, tout comme l’extension de la définition de fournisseur de communications électroniques. Au final, le document final a été voté par 60 sénateurs contre 34 s’y opposant.

Du grain à moudre pour les pros EUCS et les anti DPF

L’extension de le section 702 du FISA jusqu’en 2026 a ravivé en Europe les questions autour de l’extra-territorialité des lois américaines sur les données des citoyens et des entreprises européennes. Elle s’invite en particulier autour de deux sujets d’actualité. Le premier est relative au cloud et au schéma de certification (EUCS) qui se discute à Bruxelles. Pour les données les plus sensibles, la France et d’autres pays membres militent pour un niveau de certification équivalent à SecNumCloud qui comprend un critère de sécurité juridique. Celui-ci oblige les fournisseurs étrangers de créer une co-entreprise ou à coopérer avec une entreprise européenne s’ils veulent obtenir le niveau le plus élevé du schéma. D’autres Etats-membres souhaitent écarter cette obligation du schéma pour ne pas effrayer les fournisseurs de cloud (le marché est dominé à 70% par les entreprises américaines) et leurs investissements. 

L’autre sujet est le DPF (data privacy framework), un accord entre les Etats-Unis et l’Union européenne pour encadrer le transfert des données transatlantiques. Successeur du Safe Harbour et du Privacy Shield (après les révélations Snowden, ce texte a été entériné en juillet 2023. Il est contesté pour plusieurs raisons par Max Schrems, avocat et tombeur des deux premiers accords. Parmi les points de contentieux, il évoque le décret « Enhancing Safeguards for United States Signals Intelligence Activities », signé par Joe Biden en octobre dernier et qui prévoit une proportionnalité de la surveillance des données. Il conteste le caractère nébuleux et trop vague du caractère « proportionné » de la section 702 du FISA. La prolongation de ce permis de surveillance de masse sera sans aucun doute un élément à charge pour faire tomber le DPF auprès de la Cour de justice de l’Union européenne.