La loi pourrait classer les utilisateurs de VPN aux États-Unis comme « étrangers », soumis à une surveillance sans mandat

Alors que le Congrès s’apprête à renouveler l’Article 702 de la loi sur la surveillance du renseignement étranger (FISA), le débat commence à empiéter sur quelque chose de bien plus familier : les outils que les gens utilisent pour se protéger en ligne.

Les VPN(nouvelle fenêtre), utilisés par des millions de personnes pour garder leur activité sur Internet privée, routent le trafic à travers des serveurs dans le monde entier. Mais cette fonction basique soulève une question à laquelle les législateurs commencent seulement à être confrontés : que se passe-t-il lorsque protéger votre vie privée fait paraître votre activité étrangère ?

Une loi de surveillance qui ne vous était jamais destinée

L’Article 702 permet aux agences de renseignement américaines de collecter des communications d’étrangers à l’étranger sans mandat. En pratique, cette limite n’a jamais tenu.

Le système récupère régulièrement les e-mails, les messages et les appels des Américains lorsqu’ils interagissent avec des cibles étrangères ou passent par des infrastructures mondiales.

Des groupes de défense des libertés civiles, des législateurs et même des tribunaux soulèvent des inquiétudes depuis des années quant à la fréquence à laquelle ces données sont recherchées sans mandat. Maintenant, la loi est de nouveau soumise à renouvellement, avec une échéance en avril qui approche à grands pas. Et malgré des preuves répétées d’abus, il y a une pression à Washington pour étendre ces pouvoirs avec des changements minimes.

Le support à la surveillance est bipartisan, mais la réaction négative l’est tout autant. Jim Himes, le principal démocrate au sein du comité du renseignement de la Chambre, a récemment fait face à des manifestants lors d’une réunion publique(nouvelle fenêtre) soulevant des inquiétudes concernant l’Article 702.

Le problème des VPN que personne n’avait pris en compte

Une nouvelle lettre(nouvelle fenêtre) de sénateurs, dont Ron Wyden, soulève un risque différent — un risque qui n’existait pas lorsque l’Article 702 a été rédigé.

Les VPN masquent l’emplacement d’un utilisateur(nouvelle fenêtre) en routant le trafic à travers des serveurs dans le monde entier(nouvelle fenêtre). Mais selon les règles de surveillance actuelles, ce même comportement peut faire passer un Américain pour un étranger.

Les législateurs demandent si les agences de renseignement traitent le trafic VPN comme « étranger » par défaut — une classification qui pourrait priver les utilisateurs de leurs protections constitutionnelles et les placer dans le pipeline de surveillance de l’Article 702.

Un renouvellement sans réforme accroît le risque

Il y a des propositions sur la table pour résoudre ce problème. Mark Warner, qui préside la commission du renseignement du Sénat, a déclaré que les législateurs répondront aux préoccupations concernant la définition élargie des « fournisseurs de services de communications électroniques » (ECSP).

Cette expansion a élargi le nombre de personnes pouvant être contraintes de participer à la surveillance. Cela ne s’arrête plus aux entreprises de télécommunications ou aux fournisseurs de messagerie électronique. Cela peut inclure toute personne ayant la possibilité d’accéder aux systèmes par lesquels transitent vos données, des services cloud aux réseaux wifi publics. La surveillance se rapproche de l’infrastructure d’Internet, augmentant le nombre d’endroits où des données peuvent être collectées en vertu de la section 702.

La loi bipartite Government Surveillance Reform Act(nouvelle fenêtre) irait plus loin. Soutenu par des législateurs tels que Ron Wyden et Mike Lee, le projet de loi exigerait un mandat avant que les agences ne puissent rechercher les données des Américains collectées en vertu de la section 702 et de fermer une faille qui permet au gouvernement d’acheter des données personnelles à des courtiers au lieu de s’adresser aux tribunaux.

Cette faille est importante car les informations qui nécessiteraient normalement un mandat, comme les données d’emplacement ou l’historique de navigation, peuvent être achetées sur le marché libre sans contrôle judiciaire.

Le projet de loi annulerait également certaines des modifications récentes les plus controversées, notamment la mesure dans laquelle le gouvernement peut forcer les entreprises ou les fournisseurs d’infrastructures à participer à la surveillance.

Ces modifications visent un problème connu : les systèmes de surveillance conçus pour le renseignement étranger ont été tournés vers l’intérieur en raison de failles techniques et d’interprétations larges. Comme l’a averti Ron Wyden, les Américains seraient « stupéfaits(nouvelle fenêtre) » d’apprendre comment ces autorités sont réellement utilisées.

Sans réforme, ces failles restent ouvertes. Et comme l’utilisation d’un VPN devient plus courante, des comportements plus ordinaires risquent d’être intégrés dans la collecte de renseignements étrangers.

La position de Proton

Chez Proton, nous concevons des outils qui donnent aux utilisateurs le contrôle de leurs données sans les exposer à des compromis cachés. Le respect de la vie privée ne devrait pas dépendre de la façon dont votre trafic est classé par un système de surveillance. Cela devrait être le cas par défaut.

L’utilisation d’un VPN vous protège toujours. Il permet de chiffrer votre trafic Internet et empêche votre fournisseur, l’opérateur de votre réseau ou toute personne utilisant la même connexion de voir ce que vous faites en ligne. Cette protection est importante et elle fonctionne. Mais le chiffrement seul ne résout pas la façon dont les lois sur la surveillance sont rédigées. Si votre activité n’est pas couverte par cette protection, ou si elle est collectée ailleurs, elle peut toujours être intégrée à des systèmes tels que la section 702.

Cela soulève également un problème plus large. Le respect de la vie privée ne devrait pas s’arrêter aux frontières nationales. Les personnes ne devraient pas faire l’objet d’une surveillance simplement parce qu’elles ne sont pas américaines. Les protections juridiques peuvent varier. Le principe, lui, ne varie pas.

Alors que les législateurs débattent de l’avenir de la section 702, les enjeux vont au-delà de la politique de renseignement. Ils façonnent ce que la protection signifie réellement dans la pratique et qui en bénéficie.