Au nom de la lutte contre le terrorisme et les cyberattaques, le Sénat américain a prolongé de deux ans le FISA Act, dont la section 702 autorise le renseignement américain à accéder aux « communications de non-Américains à l’étranger ». Ou plus précisément, à collecter sans mandat des données de citoyens et entreprises européennes avec le concours d’un périmètre élargi d’entreprises fournisseurs de services informatiques et de communication électronique
Menace sur le Cloud européen
Une décision qui préoccupe- voire révolte d’autant plus les Européens qu’elle intervient en plein débat au sein de l’Union sur la certification uniformisée des services Cloud en Europe (EUCS) et le qualification pour les données hébergées dans le Cloud. Beaucoup s’inquiètent notamment du retrait du critère de sécurité juridique dans la dernière version du texte. Critère destiné à protéger de lois à portée extra-territoriales, comme le FISA, en exigeant des fournisseurs étrangers qu’ils traitent et hébergent les données localement en partenariat avec une entreprise européenne, pour satisfaire au plus haut critère de sécurité de l’EUCS. Une approche protectrice des données des citoyens et entreprises européennes, mais dont certaines craignent qu’ils ne découragent les fournisseurs et investisseurs étrangers, américains notamment. Dans une lettre ouverte à la Présidente de la Commission européenne Ursula Van Der Layen, le Cigref avait regretté que « dans sa dernière version, le projet d’EUCS semble s’éloigner de son objectif essentiel de garantir un niveau élevé de sécurité et d’immunité contre les législations extraterritoriales non européennes. » Le courrier évoquait notamment les pressions exercées par l’industrie américaine et concluait « la situation est inacceptable et va à l’encontre de l’ambition d’autonomie stratégique et technologique de l’Union européenne (…) » Une situation que la décision du Sénat américain ne fait qu’aggraver.
Vers un « Schrems III » ?
Le prolongement du FISA intervient aussi en pleine discussion entre l’UE et les Etats-Unis sur le Data Privacy Framework (DPF), énième tentative d’accord sur le transfert transatlantique de données amenée à succéder au Safe Harbour et au Privacy Shield, invalidés l’un après l’autre au motif qu’ils n’étaient pas conformes aux exigence européennes de protection des données. Le DPF fait déjà l’objet de vives critiques d’une partie de l’écosystème industriel et de la classe politique européenne, comme le député Philippe Latombe qui dès le 3 septembre 2023 avait saisi le Tribunal de l’Union européenne pour contester sa validité. « LE DPF de 2023 a été rédigé sur la base d’une version du FISA qui est désormais obsolète. La nouvelle version est encore plus intrusive et inquiète même les Américains, qui craignent d’être victimes par ricochet d’écoutes européennes. On ne tolérait pas un tel texte de la Russie ou de la Chine, il n’y a pas de raison de le tolérer des Etats-Unis. Ils utilisent ce texte à des fins d’espionnage et d’intelligence économique et nous ne pouvons pas l’accepter. » confie le député. Il a également alerté sur la forte probabilité d’une nouvelle procédure dite « Schrems » susceptible de conduire à l’invalidation de cet accord, lourde de conséquences pour les entreprises du secteur : « Avec le FISA les Etats-Unis nous donnent un argument pour faire tomber le DPF devant la Cour de Justice de l’UE. » Dans une lettre du 23 avril à Ursula Van Der Layen, Philippe Latombe a appelé à « lancer immédiatement une réévaluation du DPF, quitte à le dénoncer pour pouvoir entamer, le cas échéant, une nouvelle négociation. » « Nous ne pouvons pas attendre la revue prévue en juillet, il faut agir dès maintenant. Car pendant ce temps les Etats-Unis continuent d’accumuler nos données ! Si la Commission n’agit pas, nous utiliserons les procédures pour l’y contraindre. » a-t-il précisé.