Glossaire · Loi américaine de surveillance FISA 702 (Foreign Intelligence Surveillance Act, Section 702)
Loi américaine de surveillance autorisant la collecte massive des données de communication des personnes non américaines auprès des fournisseurs domiciliés aux États-Unis. Avec la CLOUD Act, raison structurelle pour laquelle les transferts de données UE-États-Unis s'effondrent à répétition sous les contestations Schrems.
## Ce qu'est réellement FISA 702
La section 702 du **Foreign Intelligence Surveillance Act** (FISA) est une loi américaine, adoptée en 2008 et réautorisée périodiquement (la dernière fois en 2024), qui autorise le **directeur du renseignement national des États-Unis et l'Attorney General** à contraindre les fournisseurs de services de communications électroniques domiciliés aux États-Unis à remettre les communications de **personnes non américaines dont on peut raisonnablement supposer qu'elles se trouvent en dehors des États-Unis**.
Les données collectées sont utilisées à des fins de renseignement extérieur et peuvent être interrogées par le FBI, la CIA, la NSA et d'autres agences américaines.
## Pourquoi FISA 702 est structurellement importante
La propriété fondamentale de FISA 702 est qu'elle :
1. S'applique à **tous les fournisseurs de services de communications électroniques domiciliés aux États-Unis** — y compris les grandes entreprises technologiques (Google, Microsoft, Meta, Apple, etc.)
2. Cible les **personnes non américaines** — c'est-à-dire toute personne hors des États-Unis, y compris les citoyens et les entreprises de l'UE
3. Fonctionne sans norme de **cause probable** pour les cibles non américaines
4. Fonctionne avec un **contrôle judiciaire minimal** (la cour FISA approuve de larges programmes de ciblage, pas de la surveillance individuelle)
5. N'offre **aucun recours effectif** aux personnes non américaines concernées
C'est la raison structurelle pour laquelle les transferts de données UE-États-Unis sont régulièrement invalidés.
## Les programmes 'PRISM' et 'Upstream'
FISA 702 autorise deux principaux programmes de collecte :
### PRISM
Collecte directe auprès des fournisseurs américains. La NSA envoie un 'sélecteur' (adresse e-mail, numéro de téléphone, etc.) et le fournisseur livre les communications correspondant à ce sélecteur. Révélé par Edward Snowden en 2013.
### Upstream
Collecte depuis l'infrastructure backbone d'Internet. Permet la collecte de communications transitant par le territoire américain (y compris des communications entre deux parties non américaines qui touchent l'infrastructure américaine).
Les deux programmes sont opérés au titre de FISA 702.
## Comment FISA 702 entre en collision avec le RGPD
La jurisprudence de la Cour de justice de l'Union européenne (CJUE) — notamment [Schrems I](/fr/glossary/schrems-i/) (2015) et [Schrems II](/fr/glossary/schrems-ii/) (2020) — a jugé que :
1. Les données personnelles de l'UE ne peuvent être transférées vers des juridictions non européennes qu'à condition que celles-ci offrent une **protection essentiellement équivalente** au RGPD
2. Le droit américain au titre de FISA 702 ne fournit **pas** une telle protection parce que :
- Il autorise une collecte de masse sans cause probable individuelle
- Il cible des personnes non américaines sans limites de proportionnalité
- Il n'offre aucun recours judiciaire effectif pour les personnes non américaines
3. Par conséquent, tout mécanisme de transfert de données UE-États-Unis qui repose sur des protections juridiques américaines est structurellement vulnérable
C'est pour cette raison que **Safe Harbor → Privacy Shield → DPF UE-États-Unis** forme une chaîne de cadres successifs, chacun invalidé ou menacé sur le même problème sous-jacent.
## EO 14086 et le Data Privacy Framework
En 2022, le président Biden a signé le **décret exécutif 14086** établissant :
- De nouvelles limites au renseignement d'origine électromagnétique américain (proportionnalité, ciblage individuel)
- Un mécanisme de recours à deux niveaux pour les personnes non américaines (Civil Liberties Protection Officer + Data Protection Review Court)
- Des procédures américaines actualisées pour la surveillance FISA 702
La Commission européenne a utilisé l'EO 14086 comme base pour adopter la décision d'adéquation du **[Data Privacy Framework UE-États-Unis](/fr/glossary/data-privacy-framework/)** en juillet 2023.
Les critiques soutiennent que l'EO 14086 ne traite pas pleinement les préoccupations de Schrems II car :
- Il s'agit d'un décret exécutif (révocable par une future administration)
- La 'Data Protection Review Court' siège au sein de l'exécutif (pas véritablement indépendante)
- L'autorité de collecte en masse reste intacte
- Le déséquilibre fondamental entre la sécurité nationale américaine et les droits des personnes non américaines est inchangé
Schrems et noyb ont indiqué qu'ils contesteront le DPF UE-États-Unis sur le fondement de FISA 702. Un examen par la CJUE est anticipé pour 2026-2028.
## Pourquoi FISA 702 importe pour les entreprises européennes
### 1. Affecte tout SaaS domicilié aux États-Unis
Si vous utilisez Google Workspace, Microsoft 365, AWS, Slack ou pratiquement tout SaaS domicilié aux États-Unis, vos données se trouvent à portée de FISA 702.
### 2. Ne peut être résolu par contrat
Aucun CCT, BCR ou autre mécanisme contractuel ne peut prévaloir sur les obligations de droit de surveillance américain pesant sur les fournisseurs américains. Le fournisseur peut être légalement contraint de livrer des données et peut être soumis à des injonctions de non-divulgation.
### 3. Les opérations européennes n'aident pas
Les régions et filiales européennes des fournisseurs américains demeurent contrôlées par leurs sociétés mères américaines, soumises à FISA 702 (et à la CLOUD Act). Les régions UE aident pour la latence et la résidence des données, mais pas pour la juridiction.
### 4. Stimule la demande d'alternatives véritablement européennes
Le problème structurel FISA 702 est la principale raison pour laquelle les entreprises européennes ne peuvent obtenir une véritable conformité au RGPD avec des fournisseurs américains, et le principal moteur de demande pour des alternatives européennes.
## FISA 702 vs CLOUD Act
Ces deux lois sont complémentaires :
| | FISA 702 | CLOUD Act |
|--|----------|-----------|
| Objet | Collecte de renseignement extérieur | Collecte de preuves pénales |
| Cibles | Personnes non américaines à l'étranger | Toute personne (y compris dans l'UE) |
| Processus | Programmes de masse, ciblage large | Mandats et assignations spécifiques |
| Portée | Fournisseurs de communications | Tout fournisseur de services détenant des données |
| Notification au destinataire | Généralement non | Souvent soumis à gag orders |
| Recours effectif pour personne UE | Minime (DPRC au titre du DPF) | Minime |
Les deux constituent des freins à une véritable adéquation RGPD des fournisseurs américains.
## Ce qu'apportent 2026-2027
- **Examen par la CJUE** de nouvelles contestations Schrems contre le DPF UE-États-Unis
- **Batailles autour de la réautorisation de FISA** au Congrès américain
- **Escalade continue de la surveillance étatique** affectant le paysage des menaces
- **Poursuite du déploiement européen du cloud souverain** comme réponse structurelle
- **Aucune réforme américaine fondamentale de la surveillance** n'est anticipée
## Implications pratiques
Pour les acheteurs tech européens :
- **Pour les charges de travail sensibles** (juridique, santé, financier, secteur public) : considérez les fournisseurs américains comme structurellement exposés indépendamment du mécanisme contractuel
- **Pour les charges de travail générales** : pesez l'exposition à FISA 702 face à d'autres facteurs
- **Pour la stratégie long terme** : supposez que le DPF UE-États-Unis peut être invalidé et planifiez en conséquence
- **Les alternatives résidentes UE** contournent entièrement FISA 702
Pour les professionnels européens des politiques publiques :
- Une réforme de FISA 702 aux États-Unis est improbable à l'horizon prévisible
- Le problème structurel persistera en l'absence de changement législatif américain
- La réponse européenne consiste en une infrastructure souveraine, et non en correctifs contractuels
Cela vous a-t-il été utile ?
Merci pour votre retour !