Comment se protéger personnellement du FISA

Le Foreign Intelligence Surveillance Act pourrait conduire à des poursuites individuelles contre certains utilisateurs
  • Last Update:2024-06-18
  • Version:003
  • Language:fr

Le Foreign Intelligence Surveillance Act (FISA) permet un accès à distance par un État tiers à des logiciels ou à des services de cloud.

Utiliser un logiciel ou service de cloud soumis au FISA présente donc un risque pénal lorsqu'un tel logiciel ou service de cloud est utilisé avec des données relevant du secret des affaires ou des intérêts fondamentaux de la nation. L'affaire Pierucci démontre comment le simple échange de courriers électroniques sur une messagerie soumise au FISA a permis au département de la justice des États-Unis de violer le secret des affaires d'une entreprise française et de porter atteinte à des intérêts fondamentaux de la nation. Le FISA est ainsi au coeur des ingérences des Etats-Unis en Europe.

Le FISA peut également conduire à ne pas protéger des données personnelles comme l'exige le RGPD. Cela peut constituer un délit. Voir par exemple la décision de l'autorité européenne de protection des données concernant Microsoft 365.

Le FISA s'applique à tous les logiciels propriétaires et à tous les services de cloud fournis par des entreprises dont le siège social est aux États-Unis. Il a été conçu pour cela. Son application est donc extrêmement large. Et lorsque ces logiciels propriétaires ou services de cloud sont proposés par des entreprises dont le siège social est en Chine, c'est la même chose : le Cyber Security Law (CSL) s'applique selon des termes proches de ceux FISA.

Cela veut dire que si vous utilisez un logiciel ou un service de cloud soumis au FISA ou au CSL dans le cadre de vos activités professionnelles, votre responsabilité personnelle pourrait être mise en jeu dès que ces logiciels sont utilisés pour traiter certains types de données.

Il est donc important de vous protéger à titre personnel.

Cas général

Utilisez des logiciels libres, des logiciels européens ou des services des clouds européens fondés sur des logiciels ou sur des logiciels européens.

Si la messagerie de votre entreprise est soumise au FISA, utilisez un client de messagerie non soumis au FISA et capable de chiffrer systématiquement les données (ex. Delta.Chat). Si vos collègues refusent le chiffrement, utilisez le papier pour transmettre des informations.

Nous connaissons de nombreux fonctionnaires ou salariés d'entreprise qui ont fait cette démarche. Ils utilisent un ordinateur sous Linux avec des logiciels libres ou européens pour leur travail quotidien. Ils font appel à des services de cloud non soumis au FISA. Ils ne transmettent plus d'information non chiffrée sur la messagerie de leur entreprise.

Ils sont ainsi protégés. 

Cependant, certains employeurs n'autorisent pas cela. Que faire alors ?

Cas 1 : je suis fonctionnaire

L'article 40 du code de procédure pénale impose l'obligation, « pour toute autorité constituée, tout officier public ou fonctionnaire, dans l'exercice de leurs fonctions », de signaler des crimes ou délits dont il a connaissance.

La procédure donc simple : signalez, par exemple à votre supérieur, le délit constitué par l'usage de logiciels ou de services de clouds soumis à FISA ou CSL.

Notons que ce signalement est une obligation légale

Cas 2 : je suis contractuel dans un service de l'État

Pour vous protéger, écrivez simple un courrier à un fonctionnaire. Il sera alors obligé de signaler la situation.

Monsieur le Directeur,

L'environnement informatique qui m'a été fourni utilise de nombreux logiciels soumis au Foreign Intelligence Surveillance Act (FISA). Il existe donc un risque que des données personnelles, relevant du secret des affaires ou des intérêts fondamentaux de la nation, fassent l'objet d'un accès à distance par un Etat tiers, comme cela est déjà arrivé par exemple chez Alstom ou à l'Élysée. Ma responsabilité personnelle serait alors engagée.

Que me recommandez-vous d'utiliser comme environnement informatique pour traiter des données personnelles, relevant du secret des affaires ou des intérêts fondamentaux de la nation ?

Je vous prie d'agréer, Monsieur le Directeur, l'expression de mes considérations distinguées,

Vous pouvez également envisager de lancer une alerte.

Cas 3 : vous êtes salarié

Deux démarches sont envisageables. 

Si vous travaillez dans une entreprise capable de comprendre que ce qui est arrivé à Alstom (affaire Pierucci) peut aussi lui arriver, demandez par exemple la permission d'utiliser un environnement non soumis au FISA.

Cher Jean,

Je dois travailler sur des données relevant du secret des affaires. Or les logiciels que nous utilisons sont soumis au Foreign Intelligence Surveillance Act (FISA). Il existe donc un risque que des données fassent l'objet d'un accès à distance par un concurrent comme cela est déjà arrivé par exemple chez Alstom. Cela pourrait nous être reproché un jour. 

Vois-tu un inconvénient à ce que j'utilise mon ordinateur personnel sous Linux et un service de cloud européen non soumis au FISA pour traiter ces données ?

Si vous travaillez dans une entreprise incapable de comprendre que ce qui est arrivé à Alstom (affaire Pierucci) peut aussi lui arriver ou dont le management n'accepte pas d'entendre ce genre de demande, il faudra envisager de lancer une alerte.

Contact

  • Photo Jean-Paul Smets
  • Logo Nexedi
  • Jean-Paul Smets
  • jp (at) rapid (dot) space
  • Jean-Paul Smets is the founder and CEO of Nexedi. After graduating in mathematics and computer science at ENS (Paris), he started his career as a civil servant at the French Ministry of Economy. He then left government to start a small company called “Nexedi” where he developed his first Free Software, an Enterprise Resource Planning (ERP) designed to manage the production of swimsuits in the not-so-warm but friendly north of France. ERP5 was born. In parallel, he led with Hartmut Pilch (FFII) the successful campaign to protect software innovation against the dangers of software patents. The campaign eventually succeeeded by rallying more than 100.000 supporters and thousands of CEOs of European software companies (both open source and proprietary). The Proposed directive on the patentability of computer-implemented inventions was rejected on 6 July 2005 by the European Parliament by an overwhelming majority of 648 to 14 votes, showing how small companies can together in Europe defeat the powerful lobbying of large corporations. Since then, he has helped Nexedi to grow either organically or by investing in new ventures led by bright entrepreneurs.