Réponse publiée le 9 décembre 2025

Le Foreign Intelligence Surveillance Act(FISA) a été adopté en 1978 avec pour objectif de créer un cadre légal pour la surveillance des agents étrangers dans le but d'assurer la sécurité des Etats-Unis, tout en protégeant les droits des citoyens américains. Il a été voté dans un contexte de méfiance vis-à-vis du gouvernement de ce pays et après différents scandales (ex : Watergate). Il repose sur l'intervention d'une cour spéciale, la Foreign Intelligence Surveillance Court (FISC), qui autorise les opérations de surveillance à la demande des agences de renseignement. La section 702 du FISA, introduite en 2008, permet aux agences américaines de renseignement de collecter, sans mandat individuel, les communications électroniques (e-mails, messages, données cloud, etc.) de personnes étrangères situées hors des États-Unis. Pour être interceptées, les informations doivent transiter par des serveurs exploités par des fournisseurs de services de communication électronique domiciliés aux Etats-Unis. Ceci confère à ce dispositif une forte portée extraterritoriale à l'égard des entreprises et citoyens européens : du fait de l'importance des acteurs américains dans le monde du numérique, une grande partie du trafic internet mondial transite en effet par les Etats-Unis. Le FISA n'autorise cependant pas à cibler des personnes de manière individuelle mais des catégories d'informations à collecter auprès des fournisseurs de services de communication électronique. En avril 2024, la section 702 a été prorogée par la loi RISAA (Reforming Intelligence and Securing America Act) pour deux ans, jusqu'en 2026, malgré de vives oppositions au Congrès car il est notamment reproché à ce texte de pouvoir donner lieu à une surveillance des citoyens américains. La liste des prestataires techniques auxquels la loi s'applique a de plus été élargie, pour y inclure outre les fournisseurs de services de communication électronique les autres prestataires de services ayant accès à des équipements qui sont ou peuvent être utilisés pour transmettre ou stocker des communications filaires ou électroniques (cloud, datacenters), ce qui a attisé l'inquiétude des défenseurs des libertés publiques. Bien qu'elles soient encadrées, ces mesures peuvent potentiellement conduire à collecter des informations très sensibles pour la compétitivité des entreprises et couvertes à ce titre par le secret des affaires, voire considérées comme souveraines par l'Etat lorsqu'il s'agit d'entreprises stratégiques. La France et l'Europe souhaitent renforcer leur souveraineté numérique, en travaillant à l'émergence de solutions nationales et européennes, afin de garantir la protection des données sensibles des citoyens et des entreprises. C'est le sens des travaux sur la souveraineté numérique de l'Europe, portés par la Commission européenne et des travaux conduits à l'échelle nationale notamment par le soutien au développement d'une offre de services cloud de confiance. De plus, l'Etat soutient une doctrine cloud destinée à assurer une protection optimale des données sensibles détenues par les administrations. Cette doctrine, développée d'abord dans le cadre d'une circulaire du Premier ministre en 2021, puis actualisée en 2023, a été réaffirmée à l'article 31 de la loi n° 2024-449 du 21 mai 2024 « visant à sécuriser et réguler l'espace numérique ». Cette loi vise notamment à assurer la protection optimale des données les plus sensibles des administrations hébergées dans le cloud par des prestataires privés en imposant le respect des règles de sécurité établies par le référentiel national SecNumCloud, élaboré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), y compris en ce qui concerne les aspects organisationnels et juridiques permettant de prévenir les risques d'application extraterritoriale de législations non européennes. Ce référentiel SecNumCloud a vocation à évoluer à mesure des évolutions de la technologie ou de la menace. En l'occurrence, l'ANSSI n'identifie pas de nécessité présente de faire évoluer SecNumCloud en réponse à cette extension du cadre FISA, les exigences du référentiel apparaissant comme suffisantes à date. Pour ce qui concerne les entreprises utilisatrices de cloud, l'Etat soutient en outre, par le biais notamment de la stratégie nationale du cloud, et les investissements faits dans le cadre de France 2030, le développement d'un marché du cloud de confiance qui prend également en compte les enjeux liés à l'extraterritorialité du droit. Celui-ci apparaît de plus en plus indispensable au regard des évolutions géopolitiques actuelles. Ces mesures doivent permettre d'assurer une protection face à l'application, par des autorités de pays non-européens, de lois extraterritoriales à l'image du FISA ou encore du Cloud Act.