Une enqute du Dpartement de la scurit intrieure (DHS) a rvl que trois de ses agences, lImmigration and Customs Enforcement (ICE), le Customs and Border Enforcement (CBP) et le Secret Service, ont achet et utilis des donnes de localisation commerciales en violation de leurs politiques de confidentialit. Ces donnes provenaient dapplications ordinaires installes sur les smartphones des utilisateurs, sans leur consentement ni leur connaissance. Le rapport recommande que lICE cesse toute utilisation de ces donnes jusqu ce quelle obtienne les approbations ncessaires, une demande que lICE a refuse.Depuis des annes, les agences gouvernementales amricaines achtent l'accs aux donnes de localisation par l'intermdiaire de vendeurs commerciaux, une pratique qui, selon les critiques, contourne l'exigence d'un mandat du quatrime amendement. Pendant cette priode, les agences ont gnralement refus dexpliquer publiquement la base juridique sur laquelle elles fondaient leur achat et leur utilisation des donnes. Aujourdhui, un rapport montre que trois des principaux clients de donnes de localisation commerciales ont enfreint la loi en agissant ainsi et nont fait lobjet daucun contrle de surveillance pour garantir une utilisation approprie de la technologie. Le rapport recommande galement l'ICE de cesser toute utilisation de ces donnes jusqu' ce qu'elle obtienne les approbations ncessaires, une demande que l'ICE a refuse.
Selon le rapport du DHS, les agences ont utilis ces donnes pour diverses raisons, allant de la lutte contre le trafic dtres humains la protection du prsident. Toutefois, elles nont pas respect les exigences lgales et rglementaires en matire de protection des donnes personnelles, telles que la ralisation dune valuation dimpact sur la vie prive, lobtention de lautorisation du Congrs ou la notification au public.
Le rapport a galement rvl quun responsable du CBP a utilis les donnes de localisation pour suivre ses collgues sans aucun motif denqute, ce qui constitue un abus de pouvoir et une violation de la confiance.
Il est inquitant que ces agences aient allgrement ignor la loi fdrale qui exige une valuation srieuse des impacts sur la vie prive de ce type daccs aux informations prives des personnes. Si ces agences avaient suivi le processus appropri avant d'acheter ces donnes sensibles, elles n'auraient pu parvenir qu' une seule conclusion raisonnable*: l'impact sur la vie prive est extrme , a dclar Nate Wessler, directeur adjoint du projet Speech, Privacy, and Technology l'American Civil Liberties Union (ACLU),
Des donnes parfois utilises des fins personnelles
Le rapport est intitul Le CBP, l'ICE et les services secrets n'ont pas adhr aux politiques de confidentialit ou n'ont pas dvelopp de politiques suffisantes avant d'acqurir et d'utiliser des donnes de tlmtrie commerciales, est dat du 28 septembre 2023 et provient de Joseph V. Cuffari, inspecteur gnral du DHS. Le rapport tait initialement marqu comme sensible aux forces de lordre , mais linspecteur gnral la maintenant rendu public.
Les donnes de tlmtrie commerciale, ou CTD, sont le terme interne utilis par le DHS pour dcrire les donnes de localisation de source commerciale. Dans une section, le rapport indique qu'un employ du CBP a utilis ces donnes pour espionner ses collgues. L'individu a dit ses collgues qu'il avait suivi sa position l'aide du CTD , indique le rapport. Une plainte a suivi et le rapport indique que le problme a t rsolu administrativement .
Concernant les questions juridiques plus larges, le rapport indique que les agences n'ont pas suivi la loi sur l'administration lectronique de 2002, qui exige que les agences reoivent une valuation des impacts sur la vie prive (PIA) avant d'acheter l'accs des outils comme celui-ci. Cela s'est produit parce que les composants ne disposaient pas de contrles internes suffisants pour garantir la conformit aux politiques de confidentialit du DHS, et parce que le bureau de confidentialit du DHS n'a pas suivi ou appliqu ses propres politiques et directives de confidentialit , indique le rapport.
Au-del de cela, le rapport indique galement que les diffrentes parties du DHS ne disposaient pas de politiques et de procdures suffisantes pour garantir que les donnes de localisation taient utilises de manire approprie. Les rgles du CBP taient des politiques provisoires et navaient pas de versions compltes, selon le rapport. Entre-temps, lICE et les services secrets navaient aucune politique spcifique pour les donnes. De plus, le DHS navait pas de politique globale pour rgir lutilisation des donnes de localisation par ses diffrentes composantes.
En dautres termes, lICE, le CBP et les services secrets ont tous achet laccs aux donnes de localisation, qui sont gnralement siphonnes partir dapplications apparemment inoffensives sur les tlphones, souvent linsu des utilisateurs ou sans leur consentement clair, sans avoir mis en place suffisamment de garde-fous formels pour dicter comment ces donnes pourraient tre utilises. Encore une fois, cela nest pas conforme la loi.
Le rapport montre clairement que les agences du DHS ont jou la carte de la rapidit et de la libert en acqurant les donnes de localisation des Amricains. Le Congrs doit interdire explicitement aux forces de lordre et aux agences de renseignement dacheter des donnes auprs dentreprises prives pour lesquelles elles auraient autrement eu besoin dun mandat , a dclar Josh Richman, porte-parole de lorganisation militante Electronic Frontier Foundation, dans un communiqu. Le projet de loi Fourth Amendment is Not for Sale Act, adopte par le comit judiciaire de la Chambre en juillet, comblerait cette lacune.
Cette affaire soulve des questions sur la surveillance de masse exerce par le gouvernement amricain et sur le respect des droits fondamentaux des citoyens. Les critiques affirment que lachat et lutilisation de donnes de localisation commerciales contournent lexigence constitutionnelle dun mandat judiciaire pour accder aux informations prives des individus. Ils appellent une plus grande transparence et un contrle plus strict de ces pratiques.
Lutilisation des donnes de localisation commerciales par les agences du DHS nest pas un cas isol
En mars, cinq responsables des services de renseignement des tats-Unis ont particip une audition du Snat sur les menaces mondiales. Lors de l'audience, le snateur Ron Wyden (D - OR) a pos la question au directeur du FBI, Christopher Wray : le FBI achte-t-il des informations sur la golocalisation des tlphones des citoyens amricains ? Le directeur du FBI a rpondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le pass. Il a limit sa rponse aux donnes que les entreprises recueillent spcifiquement des fins publicitaires.
ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de donnes commerciales comprenant des donnes de localisation drives de la publicit sur Internet. Je crois savoir que nous avons dj achet de telles informations dans le cadre d'un projet pilote spcifique de scurit nationale, mais ce projet n'est plus actif depuis un certain temps , a dclar Wray. Et d'ajouter que l'agence s'appuyait dsormais sur une procdure autorise par un tribunal pour obtenir des donnes de localisation auprs des entreprises. La rponse est imprcise et l'on ignore s'il faisait rfrence un mandat ou un autre outil juridique.
Pour rappel, un mandat est une ordonnance signe par un juge fermement convaincu qu'un dlit a t commis. Le directeur du FBI n'a pas non plus expliqu pourquoi le FBI a dcid de mettre fin cette pratique. Le rapport souligne que le FBI n'avait jamais reconnu avoir achet des donnes de localisation, bien que cette pratique se soit gnralise depuis que la Cour suprme des tats-Unis a restreint la capacit du gouvernement suivre les tlphones des citoyens sans mandat, il y a prs de cinq ans. Cette restriction est intervenue dans l'arrt historique pris en 2018 par la Cour suprme des tats-Unis dans l'affaire Carpenter v. United States.
La Cour suprme des tats-Unis a statu que lorsque des organisations gouvernementales accdent aux donnes de localisation sans mandat, elles violaient le principe des perquisitions injustifies. Mais cette dcision aurait t interprte de manire restrictive. Les groupes de dfense de la vie prive affirment que l'arrt a laiss une lacune vidente qui permet au gouvernement d'acheter tout ce qu'il n'est pas en mesure d'obtenir lgalement. L'agence de renseignement militaire et le service des douanes et de la protection des frontires des tats-Unis (CBP) figureraient parmi les organisations fdrales connues pour avoir exploit cette faiblesse.
Par exemple, le ministre de la Scurit intrieure aurait achet les donnes de golocalisation de millions d'Amricains des socits de marketing prives. Dans ce cas, les donnes provenaient d'une srie de sources faussement inoffensives, telles que des jeux mobiles et des applications mtorologiques. Outre le gouvernement fdral, les autorits locales et tatiques sont connues pour acqurir des logiciels qui se nourrissent des donnes de pistage des tlphones portables , peut-on lire dans le rapport. Les rponses du directeur du FBI aux questions des snateurs montrent qu'il a fait preuve de trs peu de clart lors de l'audition
Source : rapport
Et vous ?
Que pensez-vous de la loi Fourth Amendment Is Not For Sale Act, qui interdit aux agences fdrales dacheter des donnes personnelles sans mandat judiciaire ou sans le consentement explicite des individus? Est-elle suffisante pour protger la vie prive des citoyens?
Que pensez-vous du fait que des agences du DHS ont utilis les donnes de localisation commerciales pour mener leurs missions? Quelles sont les consquences potentielles de cette pratique sur les droits humains et la dmocratie?
Quel est le rle des courtiers en donnes, qui collectent et vendent les donnes de localisation des utilisateurs dapplications? Ont-ils une obligation de transparence et de respect de la vie prive des individus? Comment les rguler et les contrler?
Quelles sont les mesures que vous prenez pour protger votre vie prive numrique? Utilisez-vous des applications qui partagent votre localisation? Si oui, pourquoi? Si non, pourquoi pas? Quels sont les avantages et les inconvnients de partager votre localisation avec des tiers?
