Lexique > FISA

Lexique IT

FISA

Foreign Intelligence Surveillance Act (FISA), est une loi des Etats-Unis consacrant les procédures des surveillances physiques et électronique, des personnes physiques et morales étrangères.

Ce dernier a été amendé en 2008, en particulier avec l’introduction d’un article 702, afin de donner l’autorisation au gouvernement américain de surveiller les communications électroniques des étrangers à l’étranger, avec l’assistance imposée des fournisseurs de services de communication électronique.

Sont ainsi dans l’obligation de coopérer avec les autorités américaines et permettre l’accès de ces dernières aux informations en leur possession :

  • Les fournisseurs de services informatiques à distance;
  • Les fournisseurs de services de communication électronique;
  • Les entreprises de télécommunications;
  • Tout autre fournisseur de services de communication qui a accès à des communications par fil ou par voie électronique, soit au moment où ces communications sont transmises, soit au moment où elles sont stockées, et tout responsable, employé ou agent d’une telle entité.

L’accès aux informations sollicitées par les autorités américaines n’est pas limité aux seuls serveurs situés aux Etats-Unis mais à tous les serveurs exploités par des fournisseurs de services de communication électronique domiciliés aux Etats-Unis ou dont seulement certaines opérations sont sous-traitées à des fournisseurs de services de communication électronique domiciliés aux Etats-Unis.

Le FISA n’autorise pas des mesures de surveillance individuelle, mais des programmes de surveillance (comme PRISM ou UPSTREAM) ne contenant pas d’informations sur les personnes à cibler individuellement, mais sur les catégories d’information à collecter auprès des fournisseurs de services de communication électronique.

Avec l’Executive Order 12333, le FISA, et en particulier son article 702, est à l’origine de l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne (CJUE) en 2020.

Afin de limiter les risques d’utilisation par les autorités américaines des informations hébergées en tout ou partie par les fournisseurs de services de communication électronique soumis à l’article 702 du FISA et ainsi assurer la confidentialité des informations, il est recommandé de mettre en œuvre des mesures de sécurité techniques permettant le chiffrement des données hébergées dont la clé de déchiffrement n’est pas détenue par le fournisseur dudit service de communication électronique.

En tout état de cause, le FISA n’est pas compatible avec le droit de l’Union européenne, et notamment avec le RGPD car ne correspondant pas aux exigences minimales attachées au principe de proportionnalité, mais également avec la Charte des droits fondamentaux de l’Union européenne qui consacre le droit à un recours effectif et à accéder à un tribunal impartial.

Point législation

« (a)Autorisation
Nonobstant toute autre disposition de la loi, à la suite de la publication d’une ordonnance […], le procureur général et le directeur du renseignement national peuvent autoriser conjointement, pour une période maximale d’un an à compter de la date d’entrée en vigueur de l’autorisation, le ciblage de personnes dont on a des raisons de croire qu’elles se trouvent en dehors des États-Unis afin d’acquérir des renseignements étrangers.

(b)Limitations
Une acquisition autorisée en vertu du paragraphe (a)-
(1) ne peut pas cibler intentionnellement toute personne dont on sait, au moment de l’acquisition, qu’elle se trouve aux États-Unis ;
(2) ne peut pas cibler intentionnellement une personne dont on peut raisonnablement penser qu’elle se trouve en dehors des États-Unis si le but de cette acquisition est de cibler une personne particulière connue dont on peut raisonnablement penser qu’elle se trouve aux États-Unis ;
(3)ne peut pas cibler intentionnellement une personne des États-Unis dont on peut raisonnablement penser qu’elle est située en dehors des États-Unis ;
(4)ne peut acquérir intentionnellement toute communication dont l’expéditeur et tous les destinataires sont connus au moment de l’acquisition comme étant situés aux États-Unis ;
(5)ne peut pas acquérir intentionnellement des communications qui contiennent une référence à une cible d’une acquisition autorisée en vertu du paragraphe (a), mais qui ne sont pas destinées à ou provenant de cette cible, […]; et
(6)doit être menée d’une manière compatible avec le quatrième amendement à la Constitution des États-Unis. »

Article 702 a) et b) du Foreign Intelligence Surveillance Act

Point jurisprudence

La Cour de Justice de l’Union Européenne a pu relever que « L’article 702 du FISA ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre des programmes de surveillance aux fins du renseignement extérieur, pas plus que l’existence de garanties pour des personnes non-américaines potentiellement visées par ces programmes. Dans ces conditions, (…) cet article n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui garanti par la Charte, (…), selon laquelle une base légale qui permet des ingérences dans les droits fondamentaux doit, pour satisfaire au principe de proportionnalité, définir elle-même la portée de la limitation de l’exercice du droit concerné et prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales. « 

Cour de Justice de l’Union Européenne, 16 juillet 2020, N° C‑311/18

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.

Autres définitions

Marque

Une marque est un signe distinctif permettant à son titulaire (personne physique ou morale) de différencier ses produits et services…

RGPD

Le RGPD désigne Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes…

Marque notoire

Les notions de marque de renommée et de marque notoire ont été dégagées par la jurisprudence et désignent une marque largement connue du public…

OMPI

L’Organisation Mondiale de la Propriété Intellectuelle (OMPI), est une institution internationale des Nations Unies, située à Genève…

Voir le lexique