Les États-Unis viennent de renouveler pour deux ans la loi Fisa qui permet de surveiller n’importe quel citoyen étranger hors du sol américain et ce, malgré des débats houleux. Un nouvel amendement a même été adopté qui élargit le champ d’application.


au sommaire


    Le président américain Joe Biden vient de signer le prolongement d'une loi très controversée qui permet au gouvernement américain de collecter et partager les données personnelles des citoyens étrangers, y compris européens. Cette loi, appelée Fisa (Foreign IntelligenceIntelligence Surveillance Act), date de 1978 et doit être renouvelée tous les deux ans.

    Toutefois, ce qui fait le plus débat chez les défenseurs de la vie privée est la section 702, qui fait partie d'un amendement de 2008. Celui-ci oblige les fournisseurs de services de communications américains à fournir aux autorités américaines des données enregistrées sur leurs serveurs concernant les citoyens étrangers et situés à l'étranger, et ce, sans mandat. En clair, les États-Unis peuvent demander à des sociétés comme GoogleGoogle les e-mails, photos et fichiers de n'importe quel citoyen européen.

     Un nouvel amendement a été voté pour élargir le champ d’application de la loi Fisa.© Kaitlyn Baker, Unsplash
     Un nouvel amendement a été voté pour élargir le champ d’application de la loi Fisa.© Kaitlyn Baker, Unsplash

    Un champ d’application encore plus vaste

    De plus, un nouvel amendement a été voté qui élargit la portée de la loi. Selon une analyse de Marc Zwillinger, ainsi qu'un article de Fortune, elle ne s'applique plus seulement aux fournisseurs de services de communication. Elle concerne désormais les fournisseurs de services tout court, du moment qu'ils ont un accès physiquephysique aux serveurs. Tel qu'il a été écrit, cet amendement pourrait même s'appliquer à des services de ménage ou même des livreurs... Le champ est tellement vaste que les auteurs ont dû inclure des exceptions pour les hôtels, restaurants et centres sociaux.

    Ceci est bien entendu incompatible avec le RGPD (Règlement général sur la protection des donnéesRèglement général sur la protection des données) en Europe. Et il ne suffit pas que l'entreprise propose des serveurs en Europe. Toutes les entreprises américaines sont concernées, peu importe où se trouvent leurs serveurs. Cette évolution met l'accent sur l'importance de développer une offre complète européenne, et notamment le projet européen de certification cloud, l'European Union cybersecurity scheme for Cloud Services (EUCS).