Le Patriot Act, prisme des inquiétudes des entreprises

//Le Patriot Act, prisme des inquiétudes des entreprises

Le Patriot Act, prisme des inquiétudes des entreprises

Par | 2015-04-10T16:19:24+02:00 avril 10th, 2015|Blog|

Les informations révélées par Edward Snowden, si elles n’ont rien appris aux professionnels de la sécurité, ont permis au grand public de prendre connaissance des importants moyens mis en œuvre par les services américains pour collecter, se faire transmettre puis traiter de nombreuses informations. Toute entreprise est en droit de s’inquiéter des risques d’espionnage industriel ou des fuites des données pouvant en découler. L’USA PATRIOT Act[1] est une loi anti-terroriste symbolisant l’extrême puissance des États-Unis dans la captation des données.


Sans titre

Présentation du PATRIOT Act

L’USA PATRIOT Act était initialement d’application limitée mais fait l’objet de prorogations. Son champ d’application est très vaste et les garde-fous paraissent illusoires. La prochaine prorogation devrait avoir lieu en juin 2015[2] et, malgré l’opposition de citoyens américains (les fameux USPER, pour US person), cette future extension semble assurée.[3]
Au PATRIOT Act, s’ajoutent les différents programmes américains de surveillance et d’intelligence, lesquels ne font pas tous l’objet de lois ou même de communication auprès du public (comme les programmes Echelon ou Prism)[4] . De même, il faut ajouter aux programmes américains les programmes des autres États. Il convient ainsi de rappeler que le législateur français est en train d’adopter une loi de renseignement, laquelle a d’abord été présentée comme l’équivalent du PATRIOT Act pour la France[5].
D’une manière générale, l’USA PATRIOT Act a modifié des lois états-uniennes existantes, notamment le FISA (Foreign Intelligence Surveillance Act). La section 501 du FISA[6] permet désormais aux autorités états-uniennes de demander communication de tout support[7].

Mécanismes du PATRIOT Act

Ainsi, toute donnée hébergée, conservée, transférée ou traitée par une société américaine, une société détenue par une société américaine ou par une société non-américaine mais dont l’activité ou les moyens informatiques se trouvent aux États-Unis d’Amérique est susceptible d’être interceptée et analysée par les autorités américaines. Le périmètre est très large et aucun de ces trois types de sociétés ne peut garantir la non-immixtion des autorités gouvernementales américaines par le biais du PATRIOT Act.
Les textes internationaux semblent ne pas pouvoir s’opposer à la puissance du PATRIOT Act. Le principe du Safe Harbor[8] , par exemple, ne protège pas les données personnelles des citoyens européens face aux prérogatives du PATRIOT Act[9]. Une société dans le périmètre de cette loi ne peut s’en soustraire ou promettre contractuellement qu’elle n’est pas soumise à une loi du même effet ; toute promesse commerciale contraire constituerait une manœuvre dolosive.
La requête d’interception doit être préalablement validée, mais la société dont les données d’un client sont requises n’est pas encore informée et la procédure n’est pas contradictoire[10]. Une fois validée par un juge ou un tribunal ad hoc, la requête est notifiée à la société, mais celle-ci ne peut en informer quiconque, pas mêmes les titulaires des données[11]. Le secret pourrait être levé si la société entendait combattre la requête en recourant à un avocat, mais rien ne l’y oblige (hors négociation contractuelle sur ce point).

Conclusion

Toute entreprise européenne qui requiert les services d’une société américaine, contrôlée par une société américaine ou utilisant des moyens sur le territoire états-unien pourrait voir ses données interceptées au titre de l’USA PATRIOT Act. Selon la sensibilité des données traitées ou hébergées, le recours à un prestataire situé hors des États-Unis et n’hébergeant aucune données sur le territoire américain est fortement conseillé.


ITrust organise jeudi 16 avril 2015 l’événement Cyber@Hack, durant lequel un débat aura lieu concernant les différentes lois de renseignement.


Benjamin Benifei





1: Uniting and Strenghtening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, 26 octobre 2011, Pub.L. 107-56, 115 Stat. 2
2: Voir notamment l’article de l’Electronic Frontier Foundation en suivant ce lien.
3: À noter que c’est le fait que des données concernant les citoyens et organisations américains puissent être interceptées par l’administration qui inquiète le plus les opposants. Cf. notamment la vidéo en fin d’article pour voir que seul le sort des USPER intéresse réellement les citoyens et organisations américains.
4: Sur ce point, voir notamment le rapport de Caspar Bowden, « Les programmes de surveillance des États-Unis et leurs effets sur les droits fondamentaux des citoyens de l’Union européenne », disponible en suivant ce lien.
5: D’épouvantail américain, l’USA PATRIOT Act est devenu un modèle pour le législateur français, bien que certains s’accordent à dire que certains aspects du droit positif français vont déjà plus loin que la loi états-unienne (voir notamment ce lien).
6: Foreign Intelligence Surveillance Act, 25 octobre 1978, Pub.L. 95-511, 92 Stat. 1783, 50 U.S.C. ch. 36
7: « Any tangible things », ce qui inclut les données informatiques ou stockées électroniquement.
8: Le Safe Harbor ou Sphère de Sécurité est un ensemble de principes de protection des données personnelles négociées entre les États-Unis et la Commission européennes pour assurer une protection des données personnelles des citoyens européens en application de la directive européenne 95/46/CE de 1995
9: Pourtant, la question de la protection des données personnelles est une question de souveraineté, à savoir que leur sort démontre la capacité d’un État à démontrer sa capacité à exercer son autorité sur sa population et son territoire, comme l’explique notamment l’article de Loïs Samain, disponible en suivant ce lien.
10: Voir notamment la description des procédures dans le New York Times, en suivant ce lien.
11: « No person shall disclose to any other person ».