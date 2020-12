Les agences fédérales achètent régulièrement des données de localisation de téléphones portables à des entreprises privées. | Andrew Caballero-Reynolds / AFP via Getty Images

Les entreprises privées collectent des données de localisation sur des millions d’Américains et les fournissent au DHS, à l’IRS, au FBI et à la DEA – aucun mandat n’est nécessaire.





Le Département de la sécurité intérieure (DHS) enquêtera sur sa propre utilisation des données de localisation après qu’il ait été révélé que la douane et la protection des frontières (CBP) achetait des données de localisation de téléphones portables auprès de fournisseurs commerciaux pour les utiliser dans son travail.

Le bureau de l’inspecteur général du DHS a récemment informé les sens. Sherrod Brown, Ed Markey, Brian Schatz, Elizabeth Warren et Ron Wyden – tous démocrates – qu’il vérifierait les politiques de l’agence concernant la surveillance des téléphones portables. La lettre du BIG fait suite à la demande d’enquête de ces sénateurs en octobre dernier. Le CBP a refusé de révéler grand-chose sur la façon dont il utilise les données achetées auprès de fournisseurs commerciaux, sauf pour confirmer les informations accessibles au public que de tels contrats avec ces fournisseurs existent.

Le type de données de localisation en question est collecté à partir de millions de téléphones, la plupart des gens ignorant que leurs mouvements sont suivis de cette manière et incapables de savoir qui a accès à ces informations. Il existe peu de lois réglementant les entreprises de données de localisation, et les agences gouvernementales ont utilisé cela à leur avantage, dépensant des millions pour accéder à ces informations. Les défenseurs de la protection de la vie privée dénoncent depuis longtemps cette pratique et les législateurs soucieux de la confidentialité ont fait pression pour que des enquêtes et des lois la réglementent.

Les données de localisation achetées à des entreprises privées permettent aux agences gouvernementales d’accéder à des quantités potentiellement énormes de données personnelles provenant de millions de personnes qui ne sont soupçonnées ou impliquées dans aucun crime. Bien qu’il existe peu de lois concernant la collecte et l’utilisation de ces données par les entreprises privées, les forces de l’ordre doivent généralement avoir un mandat et justifier d’un motif pour obtenir ces informations elles-mêmes. L’obtenir via un fournisseur privé sans de telles restrictions est un moyen de contourner ces contraintes, et actuellement une zone grise légale.

«Si les agences fédérales traquent les citoyens américains sans mandat, le public mérite des réponses et des responsabilités», a déclaré Wyden dans un communiqué envoyé à Recode. «Je n’accepterai rien de moins qu’une enquête approfondie et rapide de l’inspecteur général qui jette la lumière sur le programme de surveillance des données de localisation des téléphones du CBP.»

Le CBP est l’un des nombreux organismes d’application de la loi et du gouvernement qui achètent des données de localisation à des entreprises privées – des données auxquelles ils n’auraient autrement pas accès facilement et que leurs propres règles pourraient leur interdire d’obtenir. Le Wall Street Journal a rapporté en février que les bras CBP et Immigrations and Customs Enforcement (ICE) du DHS utilisaient les données de localisation d’une société appelée Venntel pour localiser les immigrants sans papiers et les itinéraires qu’ils utilisaient pour traverser la frontière. Les archives montrent que le CBP a donné à Venntel des centaines de milliers de dollars pour accéder à sa base de données de localisation.

«Le CBP n’est pas au-dessus des lois et a refusé de répondre aux questions sur l’achat de l’historique de localisation mobile des gens sans mandat – y compris auprès de courtiers de données louches comme Venntel», a ajouté Warren. «Je suis heureux que l’inspecteur général ait accepté notre demande d’enquêter sur cet abus de pouvoir potentiellement inconstitutionnel de la part du CBP, car nous devons protéger les droits du public au quatrième amendement d’être à l’abri des fouilles sans mandat.»

L’agence a soutenu qu’elle n’utilisait qu’une quantité limitée de données anonymisées conformément à ses politiques, mais les experts disent qu’il n’est pas difficile d’identifier le propriétaire d’un appareil en lui donnant suffisamment d’informations sur l’emplacement et le moment de cet appareil. Et il y a si peu de transparence dans la façon dont ces données sont collectées qu’il est peu probable que quiconque sache avec certitude si elles suivent même les politiques mises en place par les agences.

Pour ne pas être en reste, l’American Civil Liberties Union (ACLU) a annoncé mercredi qu’elle poursuivait le DHS pour forcer l’agence à rendre publics ses enregistrements par téléphone après que l’agence ait esquivé ses demandes du Freedom of Information Act.

«Il est essentiel que nous découvrions comment les agences fédérales accèdent aux bases de données en vrac des données de localisation des Américains et pourquoi», a déclaré Nathan Freed Wessler, avocat principal du projet Speech, Technology, and Privacy de l’ACLU, dans un communiqué envoyé à Recode. «Il ne peut y avoir de responsabilité sans transparence.»

Le DHS n’est pas la seule agence gouvernementale à acheter et utiliser les services de Venntel. Venntel a également des contrats avec le FBI et la DEA. L’Internal Revenue Service a également essayé Venntel en 2017 et 2018, mais n’a apparemment pas trouvé les données utiles dans son travail, a rapporté le Wall Street Journal. Et Venntel n’est pas la seule société de données de localisation qui travaille avec le gouvernement de cette manière: X-Mode et Babel Street ont également des accords avec des agences gouvernementales et leurs sous-traitants.

D’autres parties du gouvernement ripostent. En juin, le Comité de surveillance et de réforme de la Chambre des représentants a commencé à enquêter sur «la collecte et la vente de données sensibles de localisation de téléphones portables» à des organismes fédéraux à des fins d’application de la loi. L’IRS est également au milieu d’un audit de son utilisation de Venntel, à la suite d’une autre demande de Wyden et Warren.

En 2018, la Cour suprême a statué Carpenter c.États-Unis que les forces de l’ordre ne pouvaient pas acheter les données des tours de téléphonie cellulaire sans mandat, et la FCC a récemment infligé des centaines de millions de dollars d’amendes à Verizon, AT&T et Sprint / T-Mobile pour avoir vendu des données de tour à des entreprises privées sans que le client en ait connaissance ou sans son consentement.

Le type de données que Venntel vend, selon la société, provient d’autres moyens: généralement, des trackers placés dans des applications mobiles. Mais il existe également d’autres sources. Les entreprises de données de localisation travaillent également avec d’autres entreprises qui fournissent ces données ou les achètent directement auprès des développeurs d’applications, ce qui rend difficile pour quiconque – y compris leurs propres clients – de savoir exactement ce qu’ils ont et où ils les ont obtenus. Venntel, par exemple, est une filiale de Gravy Analytics, qui affirme disposer d’informations de localisation de données provenant de «dizaines de milliers d’applications» acquises via «de nombreux partenaires de données différents», ce qui lui donne accès à «des milliards de signaux de localisation quotidiens».

Venntel fournit aux propriétaires d’appareils un moyen de «refuser» que leurs données de localisation soient collectées par l’entreprise, mais il oblige les utilisateurs à connaître l’identifiant mobile de leur appareil (Venntel suggère de télécharger une application pour le savoir), puis de faire l’option. à chaque fois que cet identifiant est réinitialisé – ce que les appareils Apple et Android permettent désormais aux clients de faire en tant que mesure de protection de la vie privée. Les utilisateurs doivent également activer les cookies sur leur navigateur lors de la soumission de la demande.

Il reste à voir ce que l’enquête du DHS sur elle-même révélera ou fera, ou si le procès de l’ACLU sera couronné de succès. Quoi qu’il en soit, la collecte et la vente non réglementées et persistantes de nos données de localisation donnent aux courtiers en données une énorme quantité d’informations à notre sujet, qui, à leur tour, peuvent être utilisées de toutes sortes de façons par toutes sortes d’acheteurs – y compris le gouvernement. Vos options de confidentialité, en revanche, sont limitées.

