Le FISA est-il compatible avec la déclaration du G7 contre la coercition économique ?

Qu’on se souvienne des propos de James Woolsey, ancien directeur de la CIA, dans le Wall Street Journal du 17 mars 2000 : « C’est exact, mes amis européens, nous vous avons espionnés parce que vous pratiquez la corruption« . La suite de l’histoire est connue : le 11 septembre 2001 et la lutte contre le terrorisme international, puis l’émergence des cyber-menaces, la guerre économique et la lutte contre l’espionnage chinois, et maintenant le conflit ukrainien, prémices d’un conflit généralisé entre les démocraties et les régimes autoritaires.

C’est en tout cas ce que prédisent certains analystes, oubliant au passage que les « non alignés » (comprendre : « non alignés » sur les États-Unis) comptent aussi quelques grandes démocraties… Qu’elles soient perçues comme légitimes ou non, les raisons poussant les États à développer ces capacités ne manquent donc pas. Et comme nos réseaux et systèmes d’information sont la plupart du temps opérés par des acteurs privés, il est normal que les services de renseignement, tout comme les services de police judiciaire et, dans une moindre mesure, les agences de cybersécurité, aient besoin pour mener à bien leurs missions de recueillir des metadata, des données techniques ou des contenus auprès des grandes plateformes internet, des fournisseurs d’accès internet et hébergeurs cloud.

C’est d’ailleurs le sens de certaines dispositions du titre V de la Loi de Programmation Militaire (LPM) en cours d’examen par le Parlement français qui prévoit que l’Anssi puisse accéder à des données techniques lui permettant d’améliorer sa connaissance des menaces cyber. L’Anssi n’aurait pour cela pas besoin d’une décision de justice, mais un contrôle serait réalisé a posteriori par l’Arcep et ses décisions pourraient être contestées devant le tribunal administratif.

Il faut en revanche combattre avec la plus grande fermeté les législations qui n’accompagnent ces mesures d’aucun garde-fous et institutionnalisent une surveillance massive, y compris lorsque celles-ci sont le fait des États-Unis comme avec le Foreign Intelligence Surveillance Act et sa section 702, beaucoup plus utilisé et pernicieux que le Cloud Act. Il suffit pour s’en convaincre de consulter les rapports de transparence des « big techs », comme celui de Google.

Sur la dernière période semestrielle connue (juillet 2021-décembre 2021), les demandes de metadata émises au titre du FISA à Google étaient comprises entre 0 et 499 et concernaient un nombre de comptes situé entre 28 000 et 28 199 comptes quand celles relatives à des contenus étaient également comprises entre 0 et 499 et concernaient entre 95 500 et 95 999 comptes. Et il ne s’agit là que des demandes adressées à Google sur 6 mois au titre du FISA hors les demandes formulées par le FBI et via les autres instruments existants…

Or cette législation d’exception, véritable « Guantanamo du numérique », qui permet depuis 2008 aux services de renseignement américain de collecter du renseignement auprès des acteurs privés sur des citoyens non américains hors de tout contrôle, arrive à expiration le 31 décembre 2023 et doit donc faire l’objet d’une réautorisation par le Congrès américain.

L’issue du débat reste incertaine mais le front politique transpartisan qui s’est constitué contre cette disposition est une épine dans le pied du Gouvernement américain. Sont ainsi mobilisés aussi bien des libertariens conservateurs que des défenseurs de la vie privée, lesquels se soucient comme d’une guigne des collectes menées sur des citoyens étrangers (la raison d’être du texte) mais s’alarment, au nom du 4ème amendement, des opérations pouvant toucher de façon incidente des citoyens américains, comme a pu le révéler récemment le patron du FBI.

Sans surprise, la Computer & Communications Industry, dont font partie Apple, Google, Meta et Amazon, est également montée au créneau, soucieuse de préserver l’image des « big techs », déjà écornée par les révélations vite oubliées d’Edward Snowden sur la surveillance de masse mise en place par la NSA.

La déclaration sur la résilience et la sécurité économique que viennent de signer les chefs d’Etat du G7 réunis au Japon, et qui a pour objectif de lutter contre toute forme de coercition économique (entendre : de la part de la Chine), ne pouvait donc tomber au meilleur moment, d’autant que l’Europe est en train de négocier le Data Privacy Framework, successeur du défunt Privacy Shield, pour encadrer les échanges de données personnelles entre l’Europe et les États-Unis.