Valentin Boullier

Just another WordPress site

Meanwhile in the US… mars 23, 2015

Si les regards sont actuellement tournés vers le Gouvernement français et la loi sur le renseignement, il est judicieux d’analyser également les actualités en provenance des États-Unis. Le site de l’ACLU (American Civil LIberties Union) est en effet très riche, et le moindre communiqué de presse permet d’en apprendre un peu plus sur la surveillance des communications électroniques.

Parlons donc du CISA (Cybersecurity Information Sharing Act), parent du défunt CISPA.

Le CISA (cf. la version du 7 mai 2012, ici, la version du 10 juillet 2014, et la version de 2015) était jusqu’à présent une proposition de loi provenant de deux sénateurs, dont l’un est membre de la commission du renseignement du Sénat. L’objectif du CISA est simple :

To provide for the sharing of certain cyber threat intelligence and cyber threat information between the intelligence community and cybersecurity entitites, and for other purposes (2012)

To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats, and for other purposes (2014).

Or, le CISA a fait l’objet de nombreuses critiques, celui-ci, selon ses détracteurs, comportant un risque important de violation des libertés individuelles, que ce soit au niveau de la collecte d’informations ou au niveau du partage desdites informations avec les agences fédérales de renseignement. On peut par exemple relever que « en accord avec la protection des informations classifiées, des sources et méthodes de renseignement et la protection des libertés individuelles, le directeur national du renseignement, le secrétaire à la sécurité intérieure, le ministre de la défense et le ministre de la justice, après consultation des entités fédérales concernées, établiront et promulgueront des procédures en vue de faciliter et de promouvoir […] » le partage d’information relatives à la cybersécurité entre les acteurs privés et les agences fédérales. Ainsi, une entité privée pourra notamment contrôler les informations stockées ou traitées par ses systèmes. En revanche, l’entité devra notamment supprimer les informations permettant d’identifier une personne non liée à une « cyber menace ». Des lignes directrices visant à la protection des libertés individuelles devront être mises en place par le ministre de la justice. Pourtant présenté comme une évolution législative visant à davantage protéger les droits et libertés fondamentaux (le CISA fonctionnerait sur le volontariat), le CISA contient des dispositions alarmantes, notamment au niveau de la protection des acteurs privés partageant des informations avec les agences fédérales : ainsi,  les actions judiciaires intentées contre des acteurs ayant transmis des informations aux agences fédérales ne pourront être favorablement accueillies si le contrôle des systèmes d’informations est conforme aux dispositions du CISA. Des rapports d’informations doivent également être rendus au Congrès un an après l’entrée en vigueur du CISA, et tous les deux ans par la suite. Il est également intéressant de noter que le CISA ne peut permettre à l’entité privée d’empêcher un employé de devenir un lanceur d’alerte.

Le site de la sénatrice ayant participé à l’élaboration de cette proposition de loi mentionne notamment que le CISA a pour objet d’instaurer un cadre légal plus respectueux des libertés individuelles.

Devant l’opposition engendrée par le CISA, des amendements ont été adoptés afin de mieux protéger les libertés individuelles. L’opposition reste toutefois vive. En effet, le 12 mars 2015, le texte a été largement adopté par la commission du renseignement du Sénat, et n’a rencontré aucune opposition dans la commission. Comme le remarque le communiqué de presse du 12 mars 2015 en provenance du Sénat (trouvé sur le site web.archive.org par eff.org), le CISA a réussi à réunir les républicains et les démocrates. Les partisans du CISA soulignent notamment la nécessité de moderniser le cadre juridique afin de mieux protéger les acteurs publics et privés  contre la cybercriminalité. A ce titre, il  est utile de rappeler que le CISA autorise les acteurs du privé à mettre en place des contre-mesures afn d’assurer une protection de leurs systèmes et donc de leurs intérêts, notamment économiques.

Il est également intéressant de noter que les conseillers de Barack Obama s’étaient opposés à CISPA, parent de CISA, en 2012. Vous pouvez lire la déclaration de l’Administration ici. Celle-ci indique notamment que :

The American people expect their Government to enhance security without undermining their privacy and civil liberties.  Without clear legal protections and independent oversight, information sharing legislation will undermine the public’s trust in the Government as well as in the Internet by undermining fundamental privacy, confidentiality, civil liberties, and consumer protections.  

[…]

Legislation should address core critical infrastructure vulnerabilities without sacrificing the fundamental values of privacy and civil liberties for our citizens, especially at a time our Nation is facing challenges to our economic well-being and national security.  The Administration looks forward to continuing to engage with the Congress in a bipartisan, bicameral fashion to enact cybersecurity legislation to address these critical issues.

Le CISA 2015 a été adopté par la commission du renseignement du Sénat par une majorité écrasante (seul un sénateur a voté contre), et le président de la commission s’est félicité d’un texte bipartisan :

This bipartisan legislation is critical to securing our nation against escalating cyber threats.

SOURCES :

Il est également judicieux de lire la lettre de contestation envoyée par l’ACLU au président et au vice-président (co-auteur du CISA) de la commission du renseignement du Sénat.