Data Privacy Framework : la porte ouverte au renseignement américain ?

À l’heure où les Américains s’inquiètent de possibles atteintes à leur vie privée que permettrait la reconduction du FISA, une loi sur le renseignement électronique, les Européens regardent ailleurs. Le Data Privacy Framework qu’ils ont récemment adopté ne limite pourtant qu’à la marge les pouvoirs inquisitoriaux des agences américaines de renseignement sur leurs données privées.

Une backdoor de la taille de la Grande Arche de la Défense ? Selon ses détracteurs, c’est en substance ce qu’offrirait aux services de renseignements américains le Data Privacy Framework, adopté en juillet 2023 par l’Union européenne.

Le règlement vise à protéger les données personnelles des citoyens européens des indiscrétions des services internet hébergés aux États-Unis, mais aussi des regards trop inquisiteurs des agences de renseignement de ce pays. Il remplace le « Privacy Shield » et le « Safe Harbor », respectivement retoqués par la Cour de justice de l’Union européenne (CJUE) dans les arrêts Schrems I et II. En cause : la protection des données personnelles des Européens transférées aux États-Unis, qui n’était pas au niveau.

Dans son arrêt Schrems II, la CJUE avait notamment estimé que la collecte et le traitement de données par les agences de renseignement américains, permises par l’article 702 du FISA (Foreign Intelligence Surveillance Act), étaient disproportionnés au regard des exigences de respect de la vie privée.

Et c’est précisément là où le bât blesse à nouveau. Alors que le RGPD est très protecteur des données personnelles et tend à devenir un modèle en la matière, le Data Privacy Framework (DPF) semble bien plus souple dès lors que les données des Européens sont transférées vers des entreprises américaines et qu’elles sont traitées par celles-ci ou par des agences gouvernementales de ce pays.

**Collecte « nécessaire et proportionnée », vraiment ?**

Concernant le volet « renseignement », la confiance est encore de mise a priori, puisque le DPF a pris acte du décret présidentiel EO 14086 signé le 3 juillet 2023 par le président Joe Biden et estime que la question est ainsi réglée. Ledit décret renforce les garanties contraignantes quant à l’utilisation et la collecte des données personnelles par les autorités de renseignement américaines. Celles-ci doivent assurer que leur collecte est « nécessaire et proportionnée ». Les résidents européens disposent désormais d’un mécanisme de recours indépendant contre toute collecte de données ne respectant pas leurs droits.

Or, qui décide si le traitement d’informations personnelles est « nécessaire et proportionné » ? Le gouvernement américain. Et pour la CIA, la NSA ou le FBI, l’article 702 du FISA, qui autorise la collecte d’informations sur des citoyens non américains en cas de menace sur la sécurité du pays (notion floue s’il en est), est tout à fait « proportionnée ».

Quant au mécanisme de recours, explique None Of Your Business (NOYB), une association autrichienne de défense de la vie privée sur internet, il serait opaque et pipé d’avance. Cette association souligne que tout se passe entre autorités de régulation nationale et instance de recours. Selon elle, le décret EO 14086 prévoit les réponses aux différents cas de figure.

Menaces sur le FISA

Hormis quelques ONG et collectifs, au premier rang desquelles figure NOYB, dont l’un des cofondateurs n’est autre que Max Schrems, celui des fameux arrêts déjà évoqués, le sujet est loin de passionner les foules, pourtant concernées au premier chef par ces potentielles violations de leur vie privée ou du secret des affaires.

Tel n’est en revanche pas le cas aux États-Unis, où le FISA vit peut-être ses derniers instants. La loi doit en effet à nouveau être approuvée par le Congrès d’ici la fin de l’année 2023, faute de quoi, elle sera abrogée. Si ce texte semble actuellement faire l’unanimité contre lui au Congrès, il conserve de nombreux partisans. « Je pense sincèrement qu’il est dans l’intérêt de notre nation de réautoriser cet outil vital étant donné les menaces qui planent », explique Glenn S. Gerstell. Ce membre du Comité permanent de l’ABA (American Bar Association, association américaine du barreau) sur le droit et la sécurité nationale et spécialiste de la Section 702, est cité dans un article de l’ABA Journal critiquant le FISA.

Réformer l’article controversé serait une option séduisante à la fois pour ses partisans et pour les défenseurs des libertés publiques. Dans le collimateur de ces derniers : le fameux article 702. Il permet de pratiquer l’espionnage électronique sur des individus étrangers, vivant hors des États-Unis, suspectés de disposer d’informations relatives à des actes de terrorisme ou de cyberattaques.

Les abus de l’article 702

Et comme de nombreuses personnes dans le monde utilisent des services américains de téléphonie mobile, de messagerie ou de mail, le gouvernement américain peut exiger la collaboration desdites entreprises. Ce n’est pas le fait que le texte permettait la surveillance électronique de quelque 246 000 étrangers en 2022 qui pose un problème, bien sûr, mais les potentiels abus envers les citoyens américains qu’elle peut – et a déjà – engendrés.

Principal argument des opposants à cet article : il n’est pas nécessaire d’obtenir un mandat de perquisition ou une décision de justice pour chaque mise sous surveillance. Au temps pour l’examen du caractère « nécessaire et proportionné » promis par Joe Biden. L’autorité judiciaire passe en revue une fois par an les renseignements collectés et les procédures employées afin de s’assurer de leur conformité avec le droit américain et notamment le 4^e amendement de la Constitution, qui protège contre les perquisitions abusives.

Un souci qui ne vise donc pas les étrangers, mais bien les citoyens américains qui auraient pu communiquer avec les cibles des écoutes effectuées au nom de l’article 702. « Ils ont certifié au tribunal de la FISA qu’ils n’avaient pas besoin d’obtenir de mandat parce qu’ils ne ciblaient que les étrangers, mais dès qu’ils ont l’information, ils la fouillent à la recherche des communications des Américains », explique Elizabeth Goitein, directeur principal du programme Brennan Center for Justice Liberty and National Security. En clair, l’article 702 peut servir aux agences à trois lettres (CIA, NSA, FBI) à contourner le 4^e amendement.

DPF, bientôt un arrêt Schrems III ?

Le 21 juillet 2023, l’agence Associated Press relayait un avis de justice selon lequel le FBI aurait indûment glané des informations sur deux sénateurs dans le cadre de l’article 702. On comprend mieux pourquoi Démocrates et Républicains souhaitent réformer le texte. L’option la plus évidente serait de soumettre chaque demande de surveillance à un juge pour approbation.

Arguant que cela entraverait et ralentirait les opérations des services de renseignement, les partisans de l’article 702 plaident pour la mise en place de procédures plus strictes au sein du FBI et d’autres agences dans la mise en œuvre de la mesure et l’exploitation des données ainsi récoltées.

D’autres options de réforme sont sur la table, qui visent toutes à mieux garantir les droits des citoyens américains. Il ne fait guère de doute qu’au vu des enjeux pour la communauté américaine du renseignement, un compromis finira par émerger pour sauver l’essentiel de l’article 702.

À la lumière de ces débats, la Commission européenne semble avoir été bien légère dans les garanties offertes aux citoyens des pays membres de l’UE. N’aurait-elle pu exiger de son partenaire étasunien les mêmes garanties que celui-ci offre à ses citoyens ? À défaut de l’avoir – une nouvelle fois – fait, elle s’expose à un arrêt Schrems III.