Selon Wikipédia, le Foreign Intelligence Surveillance Act (FISA) est une loi du Congrès des États-Unis de 1978 décrivant les procédures des surveillances physiques et électronique, ainsi que la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères
Bien moins connue que d’autres dispositions législatives américaines telles que le (défunt) Patriot Act, son successeur le Freedom Act ou le Cloud Act, cette loi FISA n’en est pas moins ravageuse. Elle est peu connue, au point de susciter des questions au sein même du parlement européen. Or, selon seald.io (qui propose un SDK de chiffrement), ses implications peuvent être critiques :
L’article 50 USC § 1881a (introduit par la section 702 de FISA ajoutée par l’amendement de 2008) force les hébergeurs Cloud à fournir aux services de renseignement américains les données qu’ils contrôlent, stockent ou gèrent, ainsi que les clés de chiffrement permettant leur déchiffrement, concernant les personnes à surveiller (non américaines et non résidentes aux États-Unis).
Le FISA section 702 n’a pas de visée extra-territoriale, c’est-à-dire qu’il n’est applicable qu’auprès d’entreprises opérant sur le territoire américain.
En revanche, si ces entreprises ont la capacité d’accéder à distance à des serveurs hébergés dans l’EEE, alors les données qui y sont stockées peuvent être saisies au titre de FISA section 702. C’est pourquoi la définition de « transfert » couvre cette éventualité.
Cloud Act, FISA, … pourquoi le Privacy Shield a été invalidé ? (seald.io)