Le programme Prism de surveillance récolte pour la NSA les données personnelles en provenance de plusieurs grands noms du cloud. On ne savait pas toutefois comment les entreprises concernées avaient été amenées à participer à cette opération. Selon de nouveaux documents, tout porte à croire que le gouvernement américain a utilisé de fortes pressions pour casser les résistances.

Prism est la première grande révélation issue des documents d’Edward Snowden. Il est celui par lequel le scandale de la surveillance massive et aveugle est arrivé. Il s’agit pour rappel d’une vaste collecte des informations stockées chez plusieurs grandes entreprises américaines, dont Microsoft, Yahoo, Google, Apple, LinkedIn et autres.

Ce programme est l’émanation directe d’une loi cruciale aux États-Unis pour cette surveillance. Nommée FISA, pour Foreign Intelligence Surveillance Act, elle autorise expressément les agences américaines de sécurité à récupérer de manière automatisée ou non les données provenant des utilisateurs étrangers, à la condition qu’elles soient stockées sur des serveurs situés physiquement aux États-Unis.

Yahoo a combattu la demande faite en 2007 par la NSA 

Il restait toutefois une question importante à laquelle personne n’avait apporté la moindre réponse claire : comment ces entreprises avaient été amenées à participer au programme ? La réponse a fini par arriver, et ce n’est pas du fait cette fois d’un lanceur d’alertes, mais d’une décision gouvernementale ayant mené à la déclassification de plusieurs documents. La logique était d’ailleurs de montrer ce qui avait motivé les instances à conduire les programmes de la NSA et la logique qui se trouvait derrière certaines réflexions.

Or, ces documents montrent qu’en 2007 a commencé le grand tour des entreprises par la NSA afin qu’elles acceptent de donner les informations des utilisateurs étrangers. Ils montrent notamment comment Yahoo a d’abord refusé de donner ces informations, malgré les demandes répétées. La décision a fini par être contestée par la firme directement devant la FISC-R (Foreign Intelligence Surveillance Court of Review), extension de la FISC chargée d’examiner notamment ce type d’opposition.

« Dura lex sed lex »

Mais pour quel résultat ? En essence, la loi devait être appliquée. Yahoo s’est ainsi vu contrainte d’accepter le programme sous peine d’être condamnée à une astreinte de 250 000 dollars par jour de retard. Il s’agit donc bien d’une obligation légale. On imagine sans peine que cette importante décision du tribunal secret a largement servi les représentants de la NSA pour les acquiescements suivants.

La question qui se pose évidemment est de savoir pourquoi Yahoo n’a pas communiqué sur le sujet. Les entreprises du cloud ont en effet ouvert très largement leurs vannes pour expliquer qu’elles n’étaient au courant d’aucun programme Prism, qu’elles ne donnaient pas volontairement leurs données et qu’elles réclamaient une plus grande transparence sur ce thème. D’après les documents, il apparait que Yahoo a tout simplement eu l’interdiction d’aborder le déroulement des évènements.

Une loi tout à fait constitutionnelle 

Par ailleurs, il est intéressant de noter que Yahoo, pour se débarrasser de cette obligation, avait tenté en premier lieu de s’en prendre directement à la constitutionnalité de la loi Protect America Act (PAA), arrivée justement en 2007, peu avant les premières demandes de la NSA.

Pour la firme, le danger résidait dans la possibilité d’obtenir des informations sans passer par un mandat traditionnel. Mais non seulement le tribunal validera les demandes de la NSA, mais la PAA servira de base l’année suivante à la loi FISA, fortement amendée pour tenir compte des nouvelles problématiques de surveillance. Le tribunal notera par ailleurs qu’il n’y avait pas entorse à la Constitution américaine (en particulier le Quatrième amendement) puisque les citoyens américains ne faisaient pas partie de l’équation.

La vérité toute nue 

Évidemment, avec la déclassification des documents, Yahoo semble particulièrement soulagée de pouvoir donner enfin sa version des faits, tout en prouvant qu’il n’y avait jamais eu de base volontaire à ces transmissions de données. Cependant, la firme démontre que ses dénégations d’un tel accord ou de la connaissance de programmes de collecte de données n’étaient que pure opération de communication.

La déclassification reste dans tous les cas un élément important de la compréhension du processus qui a mené à la mise en place de ces programmes de surveillance. Comme l’indique le Washington Post, l’ACLU (American Civil Liberties Union) a particulièrement bien accueilli la publication : « Le public ne peut pas comprendre ce que signifie une loi s’il ne sait pas comment les tribunaux l’interprètent » a ainsi déclaré l’un de ses avocats, Patrick Tommey.