Cet acronyme signifie « Foreign Intelligence Surveillance Act », ce qui se traduit par « Loi sur la surveillance du renseignement étranger ». Il s’agit d’une loi fédérale américaine, qui aura 46 ans cette année : elle a été promulguée sous la présidence de Richard NIXON. A l’origine, ce texte a été créé pour assurer la surveillance d’entités et d’individus étrangers aux Etats-Unis, et ne concernait que l’utilisation de la surveillance électronique, domaine largement étendu depuis par le biais de modifications.
C’est via cette section 702 que les USA s’octroie un « permis de surveillance à l’étranger » . En effet, comme l’explique Monsieur Guillaume CHAMPEAU dans le podcast de revue d’actualité du 02/05/2024 par Olympe.legal : « la section 702 donne aux services de renseignements la possibilité d’accéder à des données de télécommunication à partir du moment où ça ne vise pas spécifiquement les données d’un américain. Mais concernant un européen, cette section 702 permet aux renseignements d’accéder à énormément de choses, notamment auprès des opérateurs Cloud américains et des fournisseurs d’accès américains, dès lors qu’ils ont une activité outre-Atlantique. Ce sont des collectes de données personnelles sans le contrôle d’un juge, ce qui est très différent d’une collecte de données dans le cadre d’une procédure, car il s’agit de défendre globalement les intérêts américains.».
En plus d’avoir été renouvelé jusqu’en 2026, le FISA a bénéficié au passage de deux modifications. D’abord, le texte voit son champ d’application étendu : il cible désormais toutes les personnes ayant accès à un équipement qui permet de faire transiter des données et des communications. Ensuite, le contrôle d’un juge n’est désormais plus prévu. Ces changements remettent en question le Data Privacy Framework (DPF), cet accord entre les USA et l’Union Européenne qui encadre le transfert des données transatlantiques. De plus, cette nouvelle mouture du FISA ouvre désormais la possibilité d’ espionnage par les USA des entreprises européennes au travers de leur outils IT : en effet, les données stockées dans des clouds américains sont visées par cette loi. En outre, d’un point de vue juridique, comme l’affirme Monsieur Henri d’AGRAIN, délégué général du CIGREF : « Les données stratégiques des entreprises et des administrations ne bénéficient en Europe d’aucun dispositif réglementaire pour les protéger contre les ingérences étrangères» .Enfin, quid de l’impact du FISA sur la validité du label « SecNumCloud », proposé par l’ANSSI pour distinguer les opérateurs cloud qui respectent les bonnes pratiques en matière de sécurité, délivré au visa de l’ancienne loi FISA ? Le FISA servira-t-il de catalyseur au projet européen de certification de Cloud (EUCS) ?