L'essentiel
Définition
Qu'est-ce que FISA 702 ?
La Section 702 a été introduite en 2008 dans le Foreign Intelligence Surveillance Act, lui-même adopté en 1978 après les abus révélés par la commission Church. Elle autorise l'Attorney General et le Director of National Intelligence à conduire, sans mandat individualisé, la surveillance de personnes non-américaines raisonnablement présumées hors des États-Unis, à des fins de renseignement étranger.
Dans la pratique, la NSA et le FBI peuvent émettre des directives aux opérateurs de communications électroniques américains, en les obligeant à transmettre les communications correspondant à des sélecteurs (adresses email, numéros, identifiants). Les programmes PRISM (collecte auprès des fournisseurs) et Upstream (interception sur la dorsale Internet) reposent sur cette base légale.
La supervision est assurée par la FISA Court, juridiction spéciale dont les décisions sont longtemps restées entièrement secrètes. La loi a été renouvelée plusieurs fois, en dernier lieu en avril 2024 par le RISAA, avec des modifications mais sans remise en cause du dispositif fondamental.
Chronologie
De 2008 au Data Privacy Framework
Distinction
CLOUD Act et FISA 702, deux régimes différents
Les deux dispositifs visent des situations différentes mais peuvent concerner les mêmes fournisseurs. Les confondre conduit à sous-estimer le risque global.
Impact concret
Conséquences pour les organisations européennes
Cinq effets observés depuis Schrems II dans les démarches de mise en conformité des grandes organisations européennes.
Surveillance sans notification
FISA 702 vise par construction les personnes non-américaines à l'étranger. Le citoyen européen ou l'organisation européenne ne sera pas informé qu'une collecte le concerne, et ne dispose pas de voie de recours juridictionnel direct devant un juge américain.
Périmètre large
La loi vise tout fournisseur de communications électroniques soumis à la juridiction US. Cela inclut les hyperscalers, les éditeurs SaaS américains et les filiales européennes intégrées techniquement à leur maison-mère.
Risque RGPD documenté
Depuis Schrems II, le risque FISA 702 doit faire l'objet d'une évaluation d'impact sur les transferts (Transfer Impact Assessment). Cette analyse devient une obligation pour les DPO et les responsables de traitement.
Limites du DPF
Le Data Privacy Framework de 2023 introduit des garanties supplémentaires mais ne change pas FISA 702 lui-même. Des recours sont en cours devant la CJUE. Une éventuelle invalidation produirait un Schrems III avec des effets immédiats sur les transferts.
Choix d'architecture
Pour les données les plus sensibles, la seule réponse robuste consiste à éviter qu'elles entrent dans un système reposant sur une stack d'orchestration US, donc soumis à FISA 702. Les opérateurs réellement souverains (pile logicielle ouverte ou maîtrisée) et le chiffrement applicatif à clés détenues par le client réduisent le risque ; les coentreprises Bleu et S3NS l'atténuent sur le plan contractuel mais ne l'éliminent pas tant qu'elles embarquent du code éditeur non auditable (voir ci-dessous).
Le vrai déclencheur : la stack d'orchestration
FISA 702 ne dépend pas seulement de l'endroit où la donnée est stockée. Dès qu'un service repose sur une stack d'orchestration américaine - hyperviseur, plan de contrôle, services managés, télémétrie ou chaîne de mises à jour fournis par Google, AWS ou Microsoft - le fournisseur dépend d'un éditeur soumis au droit américain. Localiser les serveurs en France ne neutralise pas cette dépendance logicielle.
Or le cœur de ces plateformes est propriétaire et fermé. L'ANSSI ne peut pas auditer le code source de Google, AWS ou Microsoft : il n'est pas communiqué. Une qualification porte sur une architecture, des processus et des configurations observables - pas sur le binaire réellement exécuté au plus bas niveau, ni sur ce qu'une mise à jour distante pourrait y introduire.
Conséquence directe pour Bleu (Microsoft + Orange + Capgemini) et S3NS (Google + Thales) : la coentreprise française ne met pas ces offres à l'abri. Tant qu'elles embarquent du code non auditable de l'éditeur américain, rien ne garantit l'absence d'un composant dormant ou d'un canal de mise à jour par lequel les autorités américaines pourraient, en s'appuyant sur leur droit, contraindre l'éditeur à imposer une porte dérobée - chez n'importe quel opérateur, quelle que soit la structure juridique.
1. Données hébergées en France
La géolocalisation seule semble rassurante.
2. Mais une stack d'orchestration US
Hyperviseur, plan de contrôle, services managés, mises à jour : Google, AWS ou Microsoft.
3. Éditeur soumis au droit américain
Le fournisseur de la pile logicielle a un rattachement aux États-Unis.
4. FISA 702 & CLOUD Act s'appliquent
La loi américaine prime sur le contrat et la localisation des serveurs.
5. Code fermé, non auditable par l'ANSSI
L'ANSSI audite une architecture et des processus, pas le binaire de l'éditeur.
6. Porte dérobée imposable
Rien ne garantit l'absence d'un composant dormant ou d'un canal de mise à jour activable à distance.
Questions fréquentes
Cinq questions pour comprendre
Qu'est-ce que la Section 702 du FISA ?
La Section 702 a ete introduite en 2008 dans le Foreign Intelligence Surveillance Act. Elle autorise la surveillance ciblee, sans mandat individualise, de personnes non-americaines presumees situees hors des Etats-Unis, a des fins de renseignement etranger.
Quelle difference avec le CLOUD Act ?
Le CLOUD Act releve du droit penal et civil. FISA 702 releve du renseignement et de la securite nationale. Les deux peuvent concerner les memes fournisseurs mais selon des autorites differentes (procureur federal pour le CLOUD Act, FISA Court pour la Section 702).
Suis-je concerne en tant que citoyen europeen ?
FISA 702 vise par construction les personnes non-americaines a l'etranger. Un citoyen europeen utilisant un service soumis au droit US est potentiellement dans le champ. La collecte est confidentielle et ne donne pas lieu a notification.
Schrems II a-t-il invalide FISA 702 ?
Non. L'arret de juillet 2020 a invalide le Privacy Shield en citant FISA 702 comme incompatible avec les standards europeens, mais la loi americaine elle-meme reste en vigueur et a ete renouvelee en avril 2024 par le RISAA.
Le Data Privacy Framework de 2023 resout-il le probleme ?
Partiellement. L'Executive Order 14086 introduit la Data Protection Review Court et certaines garanties. Mais FISA 702 reste inchangee. Des recours sont en cours devant la CJUE ; une eventuelle invalidation produirait un Schrems III.
Sources et références
Pour aller plus loin
Sur NextHop