FISA Section 702 : la menace d'une cybersurveillance américaine accrue à l'ordre du jour
Controversée, la section 702 du FISA autorisant les agences de renseignements américaines à collecter des données basées à l'étranger depuis les infrastructures numériques, a été prolongée pour 2 ans.
En avril 2024, la loi sur le renseignement et la surveillance à l'étranger FISA 702 a été prolongée de deux ans et étendue pour couvrir non seulement les fournisseurs d'accès à Internet, mais aussi toutes les entreprises disposant de services ou d'infrastructures liés à Internet. Des critères qui concernent notamment un grand nombre d'organisations américaines.
À l’heure où cette loi est en contradiction avec la législation européenne, comme le règlement général de protection des données (RGPD) et où de nombreuses entreprises françaises utilisent des solutions et des produits américains, sa mise à jour rend la souveraineté numérique européenne plus importante que jamais.
Une surveillance sans protection juridique pour les Européens
La souveraineté numérique est essentielle pour garantir la protection des données et fait référence à la capacité, en particulier des entreprises, de contrôler leurs données, son infrastructure, sa technologie, ses services… Pourtant, 92 % des données provenant de l’Occident sont stockées aux États-Unis, un pays tiers qui ne garantit pas des niveaux adéquats de protection des données.
La mise à jour de la loi FISA 702 devrait donc inciter les organisations françaises qui dépendent des solutions américaines en matière de communications, d'informatique et de cybersécurité à reconsidérer leurs partenariats. D’abord pour protéger leurs propres activités, mais aussi pour protéger les clients, les partenaires et les citoyens qui ont confiance dans la protection de leurs données conformément aux lignes directrices européennes.
FISA 702, une législation à problèmes récurrents
La FISA 702 a été créée en réponse à l'attaque terroriste contre le World Trade Center en 2008. Elle était assortie d'une clause de caducité jusqu'en avril 2024 et a conféré aux agences de renseignement américaines des pouvoirs étendus pour surveiller les citoyens étrangers sans mandat. En outre, les services peuvent également contraindre les fournisseurs de communications électroniques à les aider dans leurs activités d'espionnage, par exemple en leur donnant accès à de grandes quantités de données d'utilisateurs.
Chez nos homologues danois, régis au même titre que nous par le RGPD, la législation FISA 702 a été la principale raison pour laquelle l'Agence de protection des données du pays a jugé illégale l'utilisation par les municipalités de Chromebooks dans les écoles publiques. Une décision prise compte tenue de la soumission de Google à la FISA et qui permettrait aux services d'espionnage américains d'exiger des données personnelles de la part des élèves dans les écoles primaires du pays.
Au-delà du géant Google, c’est l'utilisation de l’ensemble des dispositifs américains tels que le très répandu Microsoft qui sont également soumis à la FISA 702, et dont la légalité a été remises en question à plusieurs reprises. Il ne fait donc aucun doute qu'il sera difficile pour les organisations françaises soumises au RGPD de collaborer avec des fournisseurs américains soumis à FISA 702.
La FISA sous une nouvelle forme, une surveillance à la vitesse de l'éclair
Jusqu'à présent, les autorités américaines pouvaient contraindre les fournisseurs de communications électroniques à les aider dans leur surveillance en vertu de la loi FISA 702. Avec la nouvelle loi qui vient d'entrer en vigueur, toute entreprise ayant accès à des équipements et à des données de communication, tels que des routeurs, des serveurs et des réseaux Wi-Fi, peut être contrainte de mener des activités de surveillance pour le compte des services de surveillance gouvernementaux. Il ne s'agit donc pas seulement des entreprises de télécommunications, mais aussi des coiffeurs, des centres de fitness, des magasins de bricolage, des entreprises de nettoyage domestique, d'un plus grand nombre de fournisseurs de technologies de l'information, etc. De plus, les employés peuvent également être contraints d'espionner dans d'autres pays, y compris la France.
La souveraineté numérique européenne à l'ordre du jour
De nombreuses entreprises françaises utilisent des solutions et des produits américains. Avec FISA 702, elles risquent ainsi de compromettre leur propre protection des données, celle de leurs clients et celle des citoyens français, en violation du RGPD. Les entreprises françaises doivent pouvoir contrôler leurs données sans dépendre de pays tiers. Il s'agit de la souveraineté numérique, qui ne concerne pas seulement le droit de contrôler les données, mais aussi l'infrastructure, la technologie et la cybersécurité.
En mettant l'accent sur la souveraineté numérique lors de l'achat de services et de solutions, les entreprises seront en mesure de gérer plus efficacement les risques liés à la protection des données et à la réglementation. Face à l'incertitude géopolitique, cela n’a jamais été aussi important.