L’annonce en janvier d’une réforme de la NSA par Barack Obama avait laissé de l’espoir sur un possible resserrage de la politique de surveillance américaine. Mais le projet, adopté hier par la chambre des représentants, comporte des changements de dernière minute qui ont provoqué le retrait du support des grandes entreprises et des associations de défense des libertés civiles.

La réforme décevante annoncée en janvier 

Barack Obama avait dévoilé en janvier une réforme présentée comme importante de la NSA et de ses méthodes de travail. Parmi les mesures envisagées, et qui devaient ensuite être votées par la chambre des représentants, deux étaient particulièrement importantes. D’une part, les grandes entreprises telles que Microsoft, Apple, Google ou encore Facebook auraient plus de latitudes pour communiquer sur les demandes qui leurs sont faites. Ces sociétés réclament depuis des mois l’autorisation d’en dire davantage sur ce qu’on leur demande dans le cadre des enquêtes ou, plus globalement, de la protection du territoire et de la lutte antiterroriste.

D’autre part, et surtout, la NSA ne devrait plus assurer elle-même la collecte des métadonnées téléphoniques. Les opérateurs tels que Verizon et AT&T s’occuperaient de cette opération en gardant les informations pendant 18 mois. De là, la NSA devrait passer systématiquement devant la FISC (Foreign Intelligence Surveillance Court), le tribunal secret en charge de la validation des requêtes sur les données. La FISC devrait par ailleurs délivrer un mandat temporaire, à renouveler si nécessaire. Enfin, la NSA ne pourrait présenter que des termes très précis pour ses requêtes, et non plus des demandes vagues pouvant concerner un nombre trop important de personnes.

Les entreprises n'auront pas la transparence demandée 

Seulement voilà, le texte du « USA Freedom Act » accepté hier par la chambre des représentants est en fait une version édulcorée de l’originale, qui avait déjà déçu par son manque d’ampleur en janvier. Cela n’empêchait aucunement le texte d’être soutenu à ce moment-là par les grandes entreprises américaines du « Cloud », ou même encore par la plupart des associations de défense civile. Ce qui n’est maintenant plus le cas.

Les deux points principaux ont en effet été dilués. Concernant la transparence réclamée par les entreprises tout d’abord, elles ne pourront pas donner de chiffres plus précis sur les National Security Letters, dont il est strictement interdit de dévoiler le contenu. Ensuite, la loi ajoute un délai de six mois entre la réception générale des requêtes et le moment où l’entreprise peut communiquer à leur sujet à travers un rapport de transparence, désormais courant chez celles que nous avons nommées. Enfin, toute nouvelle entreprise a l’interdiction formelle de publier le moindre rapport de transparence durant les deux premières années.

La spécificité des requêtes devient plus vague 

La spécificité des termes engagés par la NSA auprès de la FISC est elle aussi revue. L’agence devait initialement employer des termes « utilisés pour décrire de manière unique une personne, une entité ou un compte ». Dans le texte adopté hier, on trouve maintenant la référence à « un terme distinct, tel qu’un terme identifiant spécifiquement une personne, une entité, un compte, une adresse ou un appareil ».

La disparition du mot « unique » provoque à nouveau les craintes des associations de défense civile, car le texte devient tout à coup vague sur une phrase cruciale. La perte de l’unicité des termes de sélection et l’ajout des adresses et appareils pourraient en fait permettre à la NSA de lancer à nouveau de vastes filets. Rien ne l’empêche par exemple de demander la liste des personnes possédant un certain code postal.

Le texte revoit en outre d’autres aspects de la surveillance. Par exemple, un procureur de la république devait initialement conduire les études visant à déclassifier des décisions importantes de la FISC, comme ce fut le cas plusieurs fois l’année dernière. Dans le texte final, c’est le directeur national du renseignement qui s’en chargera. Il y a donc perte de transparence publique. De même, des termes spécifiques ont été remplacés par d’autres, plus vagues, sur les mesures « appropriées » à mettre en place pour minimiser la collecte et la rétention des informations concernant des citoyens américains.

Nombreuses déceptions, mais pas d'opposition 

Évidemment, les réactions sont négatives. Le collectif Reform Government Surveillance, qui réunit la plupart des grandes entreprises du web et du « Cloud », estime que la version votée du texte « ouvre une faille inacceptable qui pourrait permettre la collecte de masse des données des internautes ». Même son de cloche chez plusieurs députés, dont le républicain Justin Amash : « La loi a été tellement affaiblie par des négociations secrètes durant la dernière semaine que le gouvernement peut toujours demander […] à un opérateur de lui fournir tous les enregistrements téléphoniques pour la zone 616 ou ceux réalisés à l’est du Mississippi ». Idem pour l'Electronic Frontier Foundation, dont la déception est grande.

Le comité en charge de l’élaboration du Freedom Act se félicite cependant de ce qui reste « un pas important dans la bonne direction ». Son président a par ailleurs indiqué hier soir après le vote que même si certaines entreprises et associations « avaient retiré leur soutien au texte, ils ne s’y opposent pas. C’est une différence importante ». Côté Maison Blanche, on indique simplement que le texte est en l’état très bon, puisqu’il permet « aux professionnels des autorités juridiques et du renseignement de disposer des pouvoirs dont ils ont besoin pour protéger la nation, tout en s’assurant que la vie privée des individus sera protégée de manière adéquate ». 

Mais le texte doit dans tous les cas encore passer l'étape du Sénat. Il a nécessité un consensus de la part des deux partis et ne devrait sans doute pas subir de changements majeurs. Rien n'empêche cependant des modifications surprises, notamment de la part des opposants au texte qui pourraient rétablir des termes plus précis.