La Chambre des représentants des États-Unis, l’un des deux organes du pouvoir législatif américain (le second étant le Sénat), a approuvé le Email Privacy Act (H.R. 699) de façon unanime hier. Ce projet de loi vient apporter une modification à une loi (Electronic Communications Privacy Act ou encore ECPA) datant de l’ère du président américain Ronald Reagan (président de 1981 à 1989) et qui permet aux autorités d’avoir accès aux courriels et données directement chez les fournisseurs de services internet comme Google, Facebook et Dropbox sans mandat si le message ou les données sont vieilles d’au moins 180 jours. Selon les nouvelles dispositions, le gouvernement devra également disposer d’un mandat s’il souhaite avoir accès à ces données comme cela est déjà le cas avec du matériel physique comme des perquisitions de lettres, d’effets, etc. Les lettres de sécurité nationale (National Security Letters : NSL), qui ont été émises par dizaines de milliers, ne sont pas concernées par cette mesure. Pour rappel, les NSLs, qui sont des requêtes contraignantes émises par des agences fédérales américaines comme le FBI, leur permettent d'obtenir d'organismes, publics ou privés, toute information nominative à des fins de surveillance, et ce, sans aucune supervision judiciaire.
Ce sera donc désormais au Sénat de décider si le projet de loi doit entrer en vigueur. À l'heure actuelle, des organismes tels que le ministère de la Justice des États-Unis ou encore la Securities and Exchange Commission (SEC, l'organisme fédéral américain de réglementation et de contrôle des marchés financiers) n’ont besoin que d’une requête contraignante pour obtenir ces données d’un fournisseur de services.
« Bien que nous applaudissons l’adoption de de H.R. 699, le projet de loi est pas parfait. En particulier, le Email Privacy Act ne nécessite pas que le gouvernement informe les utilisateurs lorsqu’il demande leurs données en ligne auprès des fournisseurs de services, une protection essentielle qui permet d’assurer aux utilisateurs d’obtenir un avocat qui se batta pour leurs droits. Toutefois, les entreprises peuvent continuer à fournir des alertes aux utilisateurs lorsque le gouvernement fait une telle demande - avant de s’y conformer - ce à quoi plusieurs entreprises se sont engagées dans notre rapport annuel Who Has Your Back », a estimé Sophia Pope, un avocat faisant partie de l’Electronic Frontier Foundation.
Et de poursuivre en disant que « le gouvernement devrait également être tenu d’obtenir un mandat lorsqu'il demande des données de géolocalisation d'une personne. Et si le gouvernement obtient des données de communication en violation de la loi, les tribunaux devraient avoir la capacité de supprimer ces éléments de preuve dans les poursuites pénales », a-t-elle poursuivit.
Les entreprises technologiques et certains défenseurs de la vie privé ont avancé que l’ECPA a été rédigé avant l’avènement d’internet (l’ECPA a été mis en application en 1986) et est donc par conséquent dépassé. Plus tôt ce mois, Microsoft avait porté plainte contre le département de la justice, avançant que le gouvernement se sert de l’ECPA d’une manière qui viole la constitution des États-Unis. Selon Microsoft, l’ECPA est trop souvent utilisé pour l’empêcher de prévenir ses utilisateurs lorsque les enquêteurs cherchent à obtenir des courriels et d’autres données stockées sur ses serveurs distants.
Source : Congrès, EFF
