Êtes-vous prêt à sacrifier votre vie privée pour voyager aux États-Unis ?
Le service des douanes et de la protection des frontières des Etats-Unis (CBP) a publié un document sur les mises à jour concernant la collecte de données pour la délivrance des autorisations de voyage électroniques (ESTA). À partir de début 2026, les demandeurs d’ESTA devront obligatoirement fournir leurs profils sur les réseaux sociaux des cinq dernières années, ainsi que les numéros de téléphone et adresses email utilisés au cours des cinq et dix dernières années respectivement.
Mercredi, le service des douanes et de la protection des frontières des États-Unis (CBP) a publié un document détaillant les mises à jour qu’il recommande concernant la collecte de données pour la délivrance des autorisations de voyage électroniques (ESTA). Sous prétexte de protéger le pays « contre les terroristes étrangers et autres menaces à la sécurité nationale », les touristes devront bientôt fournir à l’administration Trump des informations personnelles que même leur propre gouvernement ne détient pas.
Les ressortissants de certains pays, y compris la France, n’ont pas besoin de visa pour se rendre aux États-Unis s’ils prévoient d’y passer moins de 90 jours à des fins touristiques et possèdent un passeport biométrique. Il suffit de remplir une demande d’ESTA en ligne en répondant à quelques questions standard, telles que l’adresse, le numéro de téléphone, un contact en cas d’urgence, et éventuellement le nom et l’adresse de l’employeur. En 2016, une question a été ajoutée, demandant des « renseignements associés à votre présence en ligne », notamment les « identifiants aux médias sociaux ». Cette question est « marquée comme optionnelle », et le manque de réponse ne bloque pas la considération de la demande d’ESTA.
Cela et bien d’autres éléments vont évoluer au début de 2026. Le CBP a ainsi présenté un projet visant à étendre les données collectées pour obtenir un ESTA ou un visa, précisant que l’objectif est de se « conformer au décret présidentiel 14161 de janvier 2025 ». Ce décret, supposé « protéger les États-Unis contre les terroristes étrangers et autres menaces à la sécurité nationale et à la sécurité publique », a des implications plus larges et confère de nombreuses libertés à l’administration Trump. En somme, au-delà de vérifier que vous n’êtes pas un terroriste, les États-Unis s’assureront que vous n’avez « pas d’attitude hostile envers leurs citoyens, leur culture, leur gouvernement, leurs institutions ou leurs principes fondateurs ».
Pour ce faire, le CBP adoptera une approche beaucoup plus intrusive, en commençant par remplacer le site web de demande d’ESTA par une application mobile. La raison évoquée ? Elle « offre des méthodes de vérification d’identité avancées, notamment la détection de présence, la reconnaissance faciale et la vérification de la puce électronique du passeport par la technologie NFC ».
De plus, les demandeurs d’ESTA seront désormais tenus de « fournir leurs profils sur les réseaux sociaux des cinq dernières années ». Par « profils », le CBP entend « identifiants » et non pas un historique détaillé des publications. Cela implique cependant de soumettre une liste complète des comptes actifs ou inactifs sur cinq ans. En revanche, l’administration américaine n’a pas encore précisé ce qu’elle considère comme « médias sociaux ».
Malheureusement, des exigences encore plus préoccupantes en matière de données privées sont à prévoir. En plus des données « de base », le CBP compte introduire ce qu’il appelle des « champs de données à forte valeur ajoutée ». Au total, il y en a onze, et les défenseurs du RGPD pourraient être alarmés par ces demandes. Cela inclut, entre autres, les numéros de téléphone utilisés au cours des cinq dernières années, les adresses mail utilisées durant les dix dernières années, les noms de membres de la famille et leurs numéros de téléphone sur les cinq dernières années, ainsi que les dates et lieux de naissance et adresses des membres de la famille, la biométrie complète, les empreintes digitales, l’ADN, les numéros de téléphone professionnels sur cinq ans et les adresses mail professionnelles sur dix ans.
Démocratie oblige, le CBP doit soumettre toutes ces modifications « au Bureau de la gestion et du budget pour examen et approbation ». Le public et « d’autres agences fédérales » sont également invités à donner leur avis sur ces nouvelles mesures, « au plus tard le 9 février 2026 ». Il demeure cependant incertain si ces avis seront susceptibles d’influer sur le contenu du texte ou s’ils resteront simplement consultatifs.
