par Jules BEATTIE, étudiant du Master 2 Droit des médias électroniques

Le 22 décembre dernier, le président des États-Unis, Joe Biden, signait un prolongement de l’effectivité de l’article 702 du Foreign Intelligence Surveillance Act (ci-après FISA), faisant suite à l’impossibilité pour le législateur de trouver un accord sur le prolongement et la réforme du FISA. L’article 702 reste alors effectif jusqu’au 19 avril 2024, date à laquelle le mandat sera revu. Nous aborderons dans un premier temps en quoi cet article contrevient au droit de l’Union européenne puis dans un second temps, en quoi l’article est caractéristique de l’extraterritorialité du droit américain ?

Qu’est-ce que le FISA ?

Le Foreign Intelligence Surveillance Act est une loi américaine votée en 1978 relatifs aux procédures de surveillance physique et électronique ainsi que la collecte d’informations sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères.

Cette loi a été amendée en 2001, à la suite des attentats du 11 septembre, par le célèbre et controversé Patriot Act. Ce dernier renforce grandement les pouvoirs des différentes agences gouvernementales des États-Unis (FBI, CIA, NSA) et de l’armée américaine. Dans les faits, cette loi autorise les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs. Le Patriot Act a notamment été mis en cause dans le scandale de surveillance globale de la NSA révélé par Edward Snowden en 2013.

L’affaire avait révélé un espionnage économique et politique des pays étrangers notamment les pays membres l’UE de la part des autorités américaines. Cet espionnage a pu se faire grâce à la collecte de métadonnées, le piratage de boites mails, la géolocalisation de téléphones ou encore la surveillance des paiements financiers. Cette affaire rappelle le principe de l’extraterritorialité du droit américain sur lequel nous reviendrons postérieurement.

En quoi l’article 702 est-il controversé ?

L’article 702 introduit par l’amendement de 2008 du FISA vient créer un nouveau chapitre : les activités de surveillances électroniques hors USA. Cet article permet dès lors au Procureur général des États-Unis ainsi qu’au Directeur du renseignement national d’autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l’extérieur des États-Unis, et l’article se limite au ciblage des citoyens non-américains. Une fois autorisées, ces acquisitions de données peuvent durer pendant des périodes allant jusqu’à douze mois.

Cet article oblige à la coopération avec les autorités américaines et permet l’accès de ces dernières aux informations des :

• Fournisseurs de services informatiques à distance ;
• Fournisseurs de services de communications électroniques ;
• Entreprises de télécommunications ;
• Tout autre fournisseur de services de communication qui a accès à des communications par fil ou par voie électronique, soit au moment où ces communications sont transmises, soit au moment où elles sont stockées, et tout responsable, employé ou agent d’une telle entité.

De telles dispositions sont évidemment incompatibles avec les règlements en vigueur au sein de l’UE. Par exemple, nous pouvons évoquer l’article 6 du RGPD imposant une proportionnalité du traitement des données au vu des objectifs poursuivis. Ledit article 702 ne respecte pas ce principe du point de vue de l’UE, d’autant que la question de la souveraineté de la justice de l’UE semble remise en cause par la justice américaine.

De plus, l’article 702 porte vraisemblablement atteinte aux droits et libertés fondamentales reconnus par la Charte des droit fondamentaux de l’UE en ce qu’il empêche le droit à un recours effectif et à accéder à un tribunal impartial. La Cour de Justice de l’Union européenne avait d’ailleurs jugé, dans un arrêt du 10 juillet 2020, que l’article 702 du FISA n’était pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui garanti par la Charte.

Quelle application de l’extraterritorialité américaine sur le sol européen ?

Le FISA s’inscrit en réalité dans un principe particulièrement consacré dans le droit américain à savoir l’extraterritorialité du droit. Ce principe comprend la capacité des autorités juridiques américaines à appliquer leurs lois au-delà des frontières nationales des États-Unis. Autrement dit, les tribunaux américains peuvent avoir compétence sur des affaires impliquant des actes commis en dehors du territoire des États-Unis.

Cette notion est particulièrement pertinente dans le contexte des entreprises internationales et des transactions commerciales mondiales. Les lois américaines, telles que le Foreign Corrupt Practices Act (FCPA) ou les sanctions économiques, peuvent être appliquées à des entités étrangères ou à des individus agissant en dehors des frontières américaines si ces actions entraînent des répercussions sur les intérêts américains. A titre d’exemple, l’usage même du dollar comme devise est suffisant à la compétence des tribunaux américains. Plus qu’un principe juridique, cette extraterritorialité est en réalité un réel outil de guerre économique ou, dans le cas du FISA, un excellent outil d’espionnage et de renseignement.

Face à ce principe, l’UE se retrouve dans une situation complexe, elle doit faire la balance entre le respect de sa souveraineté, en protégeant les acteurs européens des autorités américaines, mais doit aussi se borner à ne pas agir à l’encontre des autorités américaines au risque de porter atteinte à l’économie en rendant les investisseurs américains plus frileux en cas de durcissement des règles.

Toutefois, depuis plusieurs années, on voit se développer une extraterritorialité du droit européen, répondant de fait au principe du droit américain (arrêt CJUE Google c/ Espagne du 13 mai 2014, dans lequel la Cour avait estimé que le droit de l’UE en matière de protection des données s’appliquait aux activités hors-UE de la branche espagnole de Google).