M. Aurélien Saintoul interroge Mme la secrétaire d'État auprès du ministre de l'enseignement supérieur et de la recherche, chargée de l'intelligence artificielle et du numérique, sur le renouvellement du Foreign Intelligence Surveillance Act (FISA) et de sa section 702, impactant la souveraineté numérique de la France. Le 19 avril 2024, le Congrès américain a voté pour le prolongement de deux ans de la section 702 du FISA, législation qui autorise les agences de renseignement américaines à collecter des données de citoyens et d'entreprises, en dehors du territoire des États-Unis d'Amérique. Plus précisément, des agences telles que la NSA ou le FBI sont autorisées à surveiller la messagerie des citoyens étrangers et potentiellement celle des citoyens américains en relation avec eux, sans nécessité de mandat. Ce texte prévoit également un élargissement de son champ d'application et s'étend désormais aux centres de données et aux entreprises qui ont « simplement accès à des équipements de communication dans leur espace physique ». Le renouvellement de ce texte et l'élargissement du champ d'application de la section 702 menacent sérieusement la souveraineté numérique de la France et la garantie des libertés publiques. Alors que le Gouvernement revendique sans cesse donner priorité à la lutte contre les ingérences étrangères, cette décision est très inquiétante. Dans ce contexte, M. le député souhaiterait ainsi obtenir des éclaircissements sur la position du Gouvernement concernant le renouvellement de la section 702 du FISA. Il lui demande quelles sont les mesures qu'il envisage de prendre pour protéger les entreprises et citoyens français des influences extérieures indésirables.

Le Foreign Intelligence Surveillance Act(FISA) a été adopté en 1978 avec pour objectif de créer un cadre légal pour la surveillance des agents étrangers dans le but d'assurer la sécurité des Etats-Unis, tout en protégeant les droits des citoyens américains. Il a été voté dans un contexte de méfiance vis-à-vis du gouvernement de ce pays et après différents scandales (ex : Watergate). Il repose sur l'intervention d'une cour spéciale, la Foreign Intelligence Surveillance Court (FISC), qui autorise les opérations de surveillance à la demande des agences de renseignement. La section 702 du FISA, introduite en 2008, permet aux agences américaines de renseignement de collecter, sans mandat individuel, les communications électroniques (e-mails, messages, données cloud, etc.) de personnes étrangères situées hors des États-Unis. Pour être interceptées, les informations doivent transiter par des serveurs exploités par des fournisseurs de services de communication électronique domiciliés aux Etats-Unis. Ceci confère à ce dispositif une forte portée extraterritoriale à l'égard des entreprises et citoyens européens : du fait de l'importance des acteurs américains dans le monde du numérique, une grande partie du trafic internet mondial transite en effet par les Etats-Unis. Le FISA n'autorise cependant pas à cibler des personnes de manière individuelle mais des catégories d'informations à collecter auprès des fournisseurs de services de communication électronique. En avril 2024, la section 702 a été prorogée par la loi RISAA (Reforming Intelligence and Securing America Act) pour deux ans, jusqu'en 2026, malgré de vives oppositions au Congrès car il est notamment reproché à ce texte de pouvoir donner lieu à une surveillance des citoyens américains. La liste des prestataires techniques auxquels la loi s'applique a de plus été élargie, pour y inclure outre les fournisseurs de services de communication électronique les autres prestataires de services ayant accès à des équipements qui sont ou peuvent être utilisés pour transmettre ou stocker des communications filaires ou électroniques (cloud, datacenters), ce qui a attisé l'inquiétude des défenseurs des libertés publiques. Bien qu'elles soient encadrées, ces mesures peuvent potentiellement conduire à collecter des informations très sensibles pour la compétitivité des entreprises et couvertes à ce titre par le secret des affaires, voire considérées comme souveraines par l'Etat lorsqu'il s'agit d'entreprises stratégiques. La France et l'Europe souhaitent renforcer leur souveraineté numérique, en travaillant à l'émergence de solutions nationales et européennes, afin de garantir la protection des données sensibles des citoyens et des entreprises. C'est le sens des travaux sur la souveraineté numérique de l'Europe, portés par la Commission européenne et des travaux conduits à l'échelle nationale notamment par le soutien au développement d'une offre de services cloud de confiance. De plus, l'Etat soutient une doctrine cloud destinée à assurer une protection optimale des données sensibles détenues par les administrations. Cette doctrine, développée d'abord dans le cadre d'une circulaire du Premier ministre en 2021, puis actualisée en 2023, a été réaffirmée à l'article 31 de la loi n° 2024-449 du 21 mai 2024 « visant à sécuriser et réguler l'espace numérique ». Cette loi vise notamment à assurer la protection optimale des données les plus sensibles des administrations hébergées dans le cloud par des prestataires privés en imposant le respect des règles de sécurité établies par le référentiel national SecNumCloud, élaboré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), y compris en ce qui concerne les aspects organisationnels et juridiques permettant de prévenir les risques d'application extraterritoriale de législations non européennes. Ce référentiel SecNumCloud a vocation à évoluer à mesure des évolutions de la technologie ou de la menace. En l'occurrence, l'ANSSI n'identifie pas de nécessité présente de faire évoluer SecNumCloud en réponse à cette extension du cadre FISA, les exigences du référentiel apparaissant comme suffisantes à date. Pour ce qui concerne les entreprises utilisatrices de cloud, l'Etat soutient en outre, par le biais notamment de la stratégie nationale du cloud, et les investissements faits dans le cadre de France 2030, le développement d'un marché du cloud de confiance qui prend également en compte les enjeux liés à l'extraterritorialité du droit. Celui-ci apparaît de plus en plus indispensable au regard des évolutions géopolitiques actuelles. Ces mesures doivent permettre d'assurer une protection face à l'application, par des autorités de pays non-européens, de lois extraterritoriales à l'image du FISA ou encore du Cloud Act.