Veuillez entrer au moins trois caractères pour la recherche

Les enjeux réglementaires autour de la protection des données vont continuer, en 2024, à nourrir un intense débat entre l’Europe et les États-Unis.

Le prolongement de la loi FISA – un texte permettant aux agences de renseignement américaines d’accéder aux données personnelles de citoyens non américains vivant hors des États-Unis – en est une nouvelle illustration.

En pleine période d’incertitude concernant le prolongement de la loi FISA, Oodrive fait le point sur les enjeux soulevés par ce texte hautement stratégique, qui va à l’encontre de la législation européenne sur la protection des données.

Qu’est-ce que la loi FISA (Foreign Intelligence Surveillance Act) ?

Quel est le contenu de la loi FISA ?

La loi FISA existe depuis 1978 aux États-Unis et porte sur la surveillance – à la fois physique et électronique – des personnes physiques et morales étrangères.

Le texte a été amendé en 2008, pour y ajouter notamment la section 702. Celle-ci permet aux agences américaines de renseignement de collecter, utiliser et partager des données personnelles étrangères stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis. Une situation qualifiée de « surveillance de masse » selon certains.

Les fournisseurs de communications électroniques – dont font partie les services cloud – sont dans l’obligation de s’y conformer et de fournir, lorsqu’elles leur sont demandées, les données qu’ils hébergent.

SecNumCloud : label de confiance

Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.

Concrètement, avec le FISA, les États-Unis – via leurs agences fédérales de renseignement – s’autorisent à récupérer des données personnelles étrangères, et donc celles des citoyens européens.

Les demandes d’accès aux données formulées par les agences américaines ne concernent pas uniquement les seuls serveurs situés sur le sol américain, mais s’étendent bien à tous les serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis.

Le prolongement du FISA Act, source d’inquiétudes

La section 702 de la loi FISA fait l’objet de nombreuses critiques, puisqu’elle autorise l’espionnage massif et généralisé des individus qui ne sont pas citoyens américains, hors des frontières des États-Unis, et sans encadrement par un juge.

La loi FISA va donc à l’encontre des règles européennes en matière de protection des données personnelles. Elle est également critiquée aux États-Unis, puisqu’elle autorise l’espionnage de citoyens américains.

Alors que la section 702 de la loi FISA devait expirer le 31 décembre 2023, le Congrès américain – n’ayant pas trouvé d’accord sur les manières de réformer cette loi – a finalement décidé de la prolonger jusqu’au 19 avril 2024. Elle reste donc effective au moins jusqu’à cette date.

Prolongement de la loi FISA : quelles conséquences ?

La loi FISA, une menace pour la protection des données

En Europe, la protection des données personnelles des citoyens est encadrée par le RGPD, l’une des législations les plus strictes au monde sur le sujet. Or il n’existe pas d’équivalent au RGPD aux États-Unis.

Si certaines garanties existent au sujet des données de citoyens américains, elles ne s’appliquent pas aux citoyens européens, qui n’ont donc aucune garantie au sujet du traitement de leurs données sensibles par les autorités américaines. Le Cloud Act et la loi FISA ne sont pas compatibles avec le RGPD.

Le prolongement de la loi FISA est également en contradiction avec le projet de certification cloud européenne EUCS, dont les versions les plus exigeantes imposeraient aux fournisseurs de services cloud de démontrer leur immunité vis-à-vis des législations extra-européennes.

Le possible durcissement de la loi FISA, un danger pour notre souveraineté numérique

Les inquiétudes européennes autour de la loi FISA pourraient bien encore s’aggraver avec l’un des projets de réforme du texte (FISA Reform and Reauthorization / FRRA) et sa section 504, qui auraient pour effet d’étendre la portée de la loi et donc de la durcir.

Si cet article était voté, il pourrait étendre l’obligation de communication des données aux équipementiers, au-delà des seuls opérateurs de cloud. Un coup de plus porté aux ambitions européennes en matière de souveraineté numérique.

Comment l’Europe peut-elle protéger ses données sensibles de la loi FISA ?

SecNumCloud, une garantie de protection des données face à la loi FISA

Si le prolongement de la loi FISA renforce les inquiétudes des Européens concernant la protection de leurs données, il a également pour corollaire de mettre en lumière le référentiel français  SecNumCloud, une qualification délivrée par l’ANSSI.

Ce texte est aujourd’hui le plus exigeant à l’échelle européenne en matière de confiance cloud et sert d’ailleurs de modèle à l’élaboration d’une certification cloud européenne (projet EUCS).

Exigeante et protectrice en matière de sécurité, la qualification française SecNumCloud permet de contrer les effets de la loi FISA.

Dans sa version la plus récente (version 3.2), le référentiel SecNumCloud impose l’application exclusive du droit européen au fournisseur cloud et exclut toute loi extraterritoriale américaine.

SecNumCloud fait donc bouclier à la loi FISA en lui empêchant de s’appliquer. En revanche, le vote de la section 504 pourrait remettre en question cette exclusion.

Accélérer sur la création d’une certification cloud européenne exigeante et protectrice

Les réactions suscitées par le prolongement de la loi FISA et son éventuel durcissement avec le vote possible de l’article 504 remettent également en lumière la nécessité de trouver un accord sur le projet de certification cloud européenne (EUCS).

Pour Philippe Latombe, député de Vendée, le référentiel cloud européen devrait impérativement inclure une clause d’immunité aux règles extraterritoriales, de manière à protéger les données européennes des ingérences US.

Le projet de certification cloud européenne est actuellement toujours en discussion entre les différents États de l’UE.

Les 3 points à retenir sur le prolongement de la loi FISA (Foreign Intelligence Surveillance Act) :

  • La loi FISA – prolongée jusqu’en avril 2024 – impose aux fournisseurs de services cloud de transmettre aux agences de renseignement américaines des données concernant des citoyens non américains vivant hors des États-Unis, lorsque cela leur est demandé.
  • La loi FISA n’est pas compatible avec le règlement européen sur la protection des données (RGPD) et représente une menace pour la protection des données.
  • Le prolongement de la loi FISA remet au premier plan la nécessité, pour les États européens, d’avancer sur le projet de certification cloud européenne EUCS. Il est recommandé que le texte européen, aligné sur la qualification SecNumCloud, inclue une protection stricte des données européennes via une immunité vis-à-vis des législations extra-européennes.