Le débat sur la réautorisation de la section 702 de la FISA a des implications transatlantiques

Le second semestre de cette année sera important pour le Congrès américain, qui lutte pour réautoriser une législation clé sur le renseignement.

La législation en question fait partie de la loi sur le renseignement de surveillance étrangère (FISA), introduite pour la première fois en 1978. La FISA portait sur la collecte de renseignements étrangers sur le sol national. En vertu de cette loi, les agents du gouvernement devaient obtenir un mandat de la Cour de surveillance des renseignements étrangers (FISC) avant d'espionner des citoyens américains afin de découvrir des entités étrangères.

En 2008, le Congrès a introduit une nouvelle partie de la FISA appelée Titre VII. Le titre VII a initialement expiré en 2017, mais le Congrès l'a réautorisé. Le titre VII doit expirer le 31 décembre de cette année, à moins que les législateurs ne l’autorisent à nouveau.

La partie controversée du Titre VII a toujours été l'article 702, qui traite de la collecte de données sur les personnes non américaines situées en dehors des États-Unis. Il n'exige pas de mandats individuels pour mettre des cibles sur écoute en fonction d'une cause probable, de la même manière que le fait la FISA. Au lieu de cela, FISC peut pré-approuver des pans de requêtes. Cela représente un assouplissement des exigences initiales de la FISA.

L'article 702 autorise le FBI et plusieurs agences de renseignement à interroger les fournisseurs de services de télécommunications sur les conversations électroniques circulant sur leurs réseaux. Ils peuvent effectuer ces requêtes en fonction de l'expéditeur ou du destinataire du message.

Les requêtes sont censées se concentrer sur des conversations susceptibles de révéler des informations précieuses sur des personnes non américaines qui ne résident pas aux États-Unis. Cependant, il existe un risque de capter les communications impliquant des résidents américains nationaux dans ce que nous pourrions familièrement appeler « requêtes au volant ». .

Cela est particulièrement vrai pour un troisième vecteur de requête, plus controversé : les identifiants « à propos ». Ceux-ci apparaissent dans des communications dans lesquelles la cible n'est pas l'expéditeur ou le destinataire d'un message mais où ils apparaissent de manière fortuite dans le contenu de ce message. Ainsi, si deux personnes mentionnaient votre nom dans un e-mail lu par une communauté du renseignement, l’agence pourrait l’utiliser pour lancer une requête sur vos conversations avec d’autres.

L’utilisation abusive de l’article 702 suscite des inquiétudes

Un rapport de 2014 a révélé que la NSA collectait trop d'informations en utilisant ce vecteur de collecte « à propos », récupérant des dizaines de milliers de communications entièrement nationales. Néanmoins, après avoir évalué ce rapport, le FISC a continué à autoriser cette pratique.

En 2017, la NSA a déclaré qu'elle avait arrêté la collecte « à propos » au motif que les collectes « vers » et « depuis » étaient plus fructueuses. Lorsque le Congrès a réautorisé le titre VII en 2018, il a interdit la reprise de la collecte « environ » à moins que le procureur général et le ministère du renseignement national n'en informent au préalable le Congrès.

Néanmoins, les exigences de collecte de données « vers » et « de » sont des outils puissants qui peuvent s'avérer dangereux s'ils sont mal utilisés. Cette année, le Bureau du directeur du renseignement national (ODNI) a publié un rapport du tribunal FISC déclassifié mais fortement expurgé. rapport sur les procédures d'interrogation 702, et cela n'a pas l'air bien.

Le document a révélé que les analystes du FBI avaient utilisé 702 pour rechercher des individus soupçonnés d'être impliqués dans les émeutes du 6 janvier et d'autres impliqués dans des manifestations en mai et juin 2020 qui étaient probablement une réponse au meurtre de George Floyd par la police.

La FISA n'a trouvé aucune attente raisonnable d'implication d'une partie étrangère pour justifier ces questions. Dans l’ensemble, un audit du FBI a révélé 278,000 702 requêtes non conformes à l’article XNUMX portant sur les données brutes de la FISA par le personnel du Bureau en une seule année, dont au moins une était une requête groupée portant sur des dizaines de milliers de personnes à la fois.

Ces infractions inquiètent les législateurs des deux côtés du Sénat. Ils ont appelé à une réforme avant de réautoriser l'article 702 dans une décision du Congrès. grillage des services de renseignement et des forces de l'ordre sur les pratiques d'interrogation en juin.

Une réforme semble être en préparation. Le sénateur Ron Wyden (D-Ore) travaillerait sur un projet de loi de réforme de la surveillance qui résoudrait le problème. Le FBI a également publié un nouvel ensemble de lignes directrices en matière de responsabilité à l'intention du personnel. Il reste néanmoins à voir si cela apaisera un groupe de travail du Congrès qui s'occupe actuellement de la question de la réautorisation.

Ce que l'article 702 signifie pour l'Europe

Outre les implications pour les citoyens américains sur le sol national, l’article 702 a des implications en Europe. En juillet, la Commission européenne , le dernier cadre de protection des données (DPF), qui est la troisième tentative d'un accord d'adéquation entre l'UE et les États-Unis. Max Schrems, l'avocat autrichien qui a contesté avec succès les deux premières tentatives, est mécontent de l'état actuel de l'article 702. Le principal grief est que la législation ne protège pas les personnes non américaines, ce qui empêche un échange sécurisé de données confidentielles avec les États-Unis.

« Les États-Unis continuent d’insister sur le fait que les personnes non américaines n’ont pas de droits constitutionnels aux États-Unis. dit noyb (« ça ne vous regarde pas »), l'organisme à but non lucratif co-fondé par Schrems pour faire respecter la vie privée par des moyens légaux. "Par conséquent, une violation de leur droit à la vie privée n'est pas couverte par le 4e amendement."

La contestation probable par Noyb du DPF États-Unis-UE n'aidera pas les défenseurs de la vie privée dans le Royaume-Uni post-Brexit, qui devraient contester localement un accord d'adéquation de la confidentialité des données prévu avec les États-Unis. Conformément au DPF États-Unis-UE, les deux pays utilisent le décret 14086 du président Biden, adopté en 2022, pour aider à apaiser les inquiétudes concernant la collecte de données par les services de renseignement américains sur des personnes non américaines.

Intitulé « Renforcement des garanties pour les activités de renseignement électromagnétique des États-Unis », l'EO 14086 restreint la surveillance à un ensemble d'objectifs légitimes, en se concentrant sur la lutte contre l'espionnage et le terrorisme et sur l'intégrité des élections. Il ne peut pas être utilisé pour supprimer la dissidence ou la vie privée, ni pour cibler des individus sur la base de facteurs tels que la race, l’identité de genre ou la région.

L'EO a également créé le Tribunal de révision de la protection des données (DPRC) par l'intermédiaire du procureur général. Celui-ci entendra les plaintes des parties concernées soumises par l'intermédiaire du responsable de la protection des libertés civiles du bureau du directeur du renseignement national. Cependant, Noyb ne pense pas que le DPRC sera suffisamment responsable.

Bien qu'il existe une forte pression intérieure pour réformer l'article 702 afin de protéger les résidents américains, il semble peu probable que le Congrès américain accorde autant d'attention aux droits des non-résidents américains. C'est une préoccupation pour les défenseurs de la vie privée de l'autre côté de l'Atlantique, car dans une société mondiale connectée, ce qui se passe – ou ne se produit pas – dans une région a des répercussions dans le monde entier.