Le département de la Sécurité intérieure américain (DHS) utilise depuis plusieurs mois un outil juridique discret pour identifier des internautes critiques envers l'administration Trump. Ces demandes de données ciblent Meta, Google et d'autres plateformes. Surtout, elles ne passent pas par un juge.
TechCrunch, Bloomberg et le Washington Post ont révélé que le DHS multiplie les demandes visant des comptes anonymes sur Instagram ou des citoyens ayant simplement envoyé des emails critiques à des responsables fédéraux.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des subpoenas administratifs sans contrôle judiciaire
Le DHS s'appuie sur les "subpoenas administratifs", c'est-à-dire, des demandes de données signées directement par l'agence fédérale, sans autorisation préalable d'un juge. Cet outil existe depuis des décennies, mais son utilisation pour cibler des critiques politiques inquiète les organisations de défense des libertés civiles. Contrairement à un mandat judiciaire classique, le subpoena administratif ne permet pas d'obtenir le contenu des messages ou des emails. En revanche, il donne accès à toutes les métadonnées d'un compte : heures et lieux de connexion, adresses IP, types d'appareils, emails associés, parfois même des numéros de cartes bancaires ou de sécurité sociale.
C'est ce qui est arrivé à l'utilisateur derrière le compte Instagram @montcowatch. Celui-ci partage des informations sur les raids de l'agence d'immigration ICE. Le DHS a envoyé un subpoena à Meta pour identifier la personne derrière ce compte, en invoquant un signalement pour le moins ironique selon lequel des agents ICE seraient eux-mêmes "traqués". L'ACLU (American Civil Liberties Union), l'organisation américaine de défense des libertés civiles, qui représente l'administrateur du compte, a répondu qu'aucune preuve d'infraction n'existait et que filmer la police, diffuser ces images et le faire anonymement relevaient du Premier Amendement. Face au recours juridique, le DHS a finalement retiré sa demande sans explication, comme pour au moins quatre autres comptes Instagram critiques des opérations gouvernementales.
Le Washington Post a également documenté le cas d'un retraité américain. Ce dernier a envoyé un email à un avocat du DHS au sujet de l'expulsion d'un Afghan ayant soutenu les États-Unis. Cinq heures plus tard, il recevait une notification de Google : ses données avaient été réclamées par subpoena administratif. Mais l'affaire ne s'arrête pas là. Deux semaines après, des agents fédéraux se sont présentés à son domicile pour l'interroger sur cet email, tout en reconnaissant qu'il ne violait aucune loi. Le subpoena demandait l'historique complet de ses sessions en ligne, ses adresses IP et physiques, la liste des services utilisés, ainsi que tout identifiant lié à son compte.
La souveraineté européenne prend tout son sens, pour l'instant
Ces affaires ne fonctionnent que parce que le DHS peut s'adresser directement à quelques acteurs centralisés disposant d'une base de milliards d'utilisateurs comme Meta, Google, ou encore les opérateurs télécoms américains. Si Google et Meta repoussent ou questionnent ces demandes, cela ne change pas la situation. Les plateformes publient des rapports de transparence qui agrègent tous les types de demandes gouvernementales. Google a ainsi reçu 28 622 subpoenas au premier semestre 2025 (une hausse de 15%), mais ce chiffre mélange mandats judiciaires et subpoenas administratifs. Impossible, donc, de mesurer l'ampleur réelle de ces procédures sans contrôle judiciaire.
Cette concentration des données chez quelques géants américains pose forcément un problème de souveraineté pour l'Europe. Un gouvernement étranger peut, dans certains cas, solliciter des informations sur des utilisateurs européens sans passer par les canaux judiciaires classiques. C'est le propre du Cloud Act. Reste que nous avons là des cas concrets montrant jusqu'où un exécutif peut aller quand il dispose d'un accès rapide aux données. Et lorsque ces dernières sont utilisées pour surveiller ou intimider des citoyens en désaccord avec le gouvernement en place, on s'interroge forcément sur les menaces pesant sur la liberté d'expression.
Opter pour un service européen hébergeant les données au sein de l'UE devient tout de suite plus rassurant. À l'heure actuelle, les citoyens sont supervisés par le RGPD, mais il y a aussi la directive ePrivacy qui protège la confidentialité des communications électroniques, le Digital Services Act qui limite drastiquement la publicité ciblée basée sur des données sensibles, et la directive NIS2 qui impose des obligations de chiffrement et de cybersécurité aux secteurs critiques. Reste que brandir la souveraineté devient de plus en plus un argument commercial. Pendant qu'on cherche à s'émanciper des pratiques de surveillance américaines, Bruxelles envisage ses propres mesures d'affaiblissement du chiffrement au nom de la lutte contre la criminalité. Et on le sait, la directrice d'Europol Catherine De Bolle adorerait certainement mettre la main sur des outils de surveillance comparables à ceux des Américains.
