Une enquête du Département de la sécurité intérieure (DHS) a révélé que trois de ses agences, l’Immigration and Customs Enforcement (ICE), le Customs and Border Enforcement (CBP) et le Secret Service, ont acheté et utilisé des données de localisation commerciales en violation de leurs politiques de confidentialité. Ces données provenaient d’applications ordinaires installées sur les smartphones des utilisateurs, sans leur consentement ni leur connaissance. Le rapport recommande que l’ICE cesse toute utilisation de ces données jusqu’à ce qu’elle obtienne les approbations nécessaires, une demande que l’ICE a refusée.Depuis des années, les agences gouvernementales américaines achètent l'accès aux données de localisation par l'intermédiaire de vendeurs commerciaux, une pratique qui, selon les critiques, contourne l'exigence d'un mandat du quatrième amendement. Pendant cette période, les agences ont généralement refusé d’expliquer publiquement la base juridique sur laquelle elles fondaient leur achat et leur utilisation des données. Aujourd’hui, un rapport montre que trois des principaux clients de données de localisation commerciales ont enfreint la loi en agissant ainsi et n’ont fait l’objet d’aucun contrôle de surveillance pour garantir une utilisation appropriée de la technologie. Le rapport recommande également à l'ICE de cesser toute utilisation de ces données jusqu'à ce qu'elle obtienne les approbations nécessaires, une demande que l'ICE a refusée.
Selon le rapport du DHS, les agences ont utilisé ces données pour diverses raisons, allant de la lutte contre le trafic d’êtres humains à la protection du président. Toutefois, elles n’ont pas respecté les exigences légales et réglementaires en matière de protection des données personnelles, telles que la réalisation d’une évaluation d’impact sur la vie privée, l’obtention de l’autorisation du Congrès ou la notification au public.
Le rapport a également révélé qu’un responsable du CBP a utilisé les données de localisation pour suivre ses collègues sans aucun motif d’enquête, ce qui constitue un abus de pouvoir et une violation de la confiance.
« Il est inquiétant que ces agences aient allègrement ignoré la loi fédérale qui exige une évaluation sérieuse des impacts sur la vie privée de ce type d’accès aux informations privées des personnes. Si ces agences avaient suivi le processus approprié avant d'acheter ces données sensibles, elles n'auraient pu parvenir qu'à une seule conclusion raisonnable*: l'impact sur la vie privée est extrême », a déclaré Nate Wessler, directeur adjoint du projet Speech, Privacy, and Technology à l'American Civil Liberties Union (ACLU),
Des données parfois utilisées à des fins personnelles
Le rapport est intitulé Le CBP, l'ICE et les services secrets n'ont pas adhéré aux politiques de confidentialité ou n'ont pas développé de politiques suffisantes avant d'acquérir et d'utiliser des données de télémétrie commerciales, est daté du 28 septembre 2023 et provient de Joseph V. Cuffari, inspecteur général du DHS. Le rapport était initialement marqué comme « sensible aux forces de l’ordre », mais l’inspecteur général l’a maintenant rendu public.
Les données de télémétrie commerciale, ou CTD, sont le terme interne utilisé par le DHS pour décrire les données de localisation de source commerciale. Dans une section, le rapport indique qu'un employé du CBP a utilisé ces données pour espionner ses collègues. « L'individu a dit à ses collègues qu'il avait suivi sa position à l'aide du CTD », indique le rapport. Une plainte a suivi et le rapport indique que le problème a été « résolu administrativement ».
Concernant les questions juridiques plus larges, le rapport indique que les agences n'ont pas suivi la loi sur l'administration électronique de 2002, qui exige que les agences reçoivent une évaluation des impacts sur la vie privée (PIA) avant d'acheter l'accès à des outils comme celui-ci. « Cela s'est produit parce que les composants ne disposaient pas de contrôles internes suffisants pour garantir la conformité aux politiques de confidentialité du DHS, et parce que le bureau de confidentialité du DHS n'a pas suivi ou appliqué ses propres politiques et directives de confidentialité », indique le rapport.
Au-delà de cela, le rapport indique également que les différentes parties du DHS ne disposaient pas de politiques et de procédures suffisantes pour garantir que les données de localisation étaient utilisées de manière appropriée. Les règles du CBP étaient des politiques provisoires et n’avaient pas de versions complètes, selon le rapport. Entre-temps, l’ICE et les services secrets n’avaient aucune politique spécifique pour les données. De plus, le DHS n’avait pas de politique globale pour régir l’utilisation des données de localisation par ses différentes composantes.
En d’autres termes, l’ICE, le CBP et les services secrets ont tous acheté l’accès aux données de localisation, qui sont généralement siphonnées à partir d’applications apparemment inoffensives sur les téléphones, souvent à l’insu des utilisateurs ou sans leur consentement éclairé, sans avoir mis en place suffisamment de garde-fous formels pour dicter comment ces données pourraient être utilisées. Encore une fois, cela n’est pas conforme à la loi.
« Le rapport montre clairement que les agences du DHS ont joué la carte de la rapidité et de la liberté en acquérant les données de localisation des Américains. Le Congrès doit interdire explicitement aux forces de l’ordre et aux agences de renseignement d’acheter des données auprès d’entreprises privées pour lesquelles elles auraient autrement eu besoin d’un mandat », a déclaré Josh Richman, porte-parole de l’organisation militante Electronic Frontier Foundation, dans un communiqué. Le projet de loi Fourth Amendment is Not for Sale Act, adoptée par le comité judiciaire de la Chambre en juillet, comblerait cette lacune.
Cette affaire soulève des questions sur la surveillance de masse exercée par le gouvernement américain et sur le respect des droits fondamentaux des citoyens. Les critiques affirment que l’achat et l’utilisation de données de localisation commerciales contournent l’exigence constitutionnelle d’un mandat judiciaire pour accéder aux informations privées des individus. Ils appellent à une plus grande transparence et à un contrôle plus strict de ces pratiques.
L’utilisation des données de localisation commerciales par les agences du DHS n’est pas un cas isolé
En mars, cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) a posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il a limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.
« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », a déclaré Wray. Et d'ajouter que l'agence s'appuyait désormais sur une « procédure autorisée par un tribunal » pour obtenir des données de localisation auprès des entreprises. La réponse est imprécise et l'on ignore s'il faisait référence à un mandat ou à un autre outil juridique.
Pour rappel, un mandat est une ordonnance signée par un juge fermement convaincu qu'un délit a été commis. Le directeur du FBI n'a pas non plus expliqué pourquoi le FBI a décidé de mettre fin à cette pratique. Le rapport souligne que le FBI n'avait jamais reconnu avoir acheté des données de localisation, bien que cette pratique se soit généralisée depuis que la Cour suprême des États-Unis a restreint la capacité du gouvernement à suivre les téléphones des citoyens sans mandat, il y a près de cinq ans. Cette restriction est intervenue dans l'arrêt historique pris en 2018 par la Cour suprême des États-Unis dans l'affaire Carpenter v. United States.
La Cour suprême des États-Unis a statué que lorsque des organisations gouvernementales accèdent aux données de localisation sans mandat, elles violaient le principe des perquisitions injustifiées. Mais cette décision aurait été interprétée de manière restrictive. Les groupes de défense de la vie privée affirment que l'arrêt a laissé une lacune évidente qui permet au gouvernement d'acheter tout ce qu'il n'est pas en mesure d'obtenir légalement. L'agence de renseignement militaire et le service des douanes et de la protection des frontières des États-Unis (CBP) figureraient parmi les organisations fédérales connues pour avoir exploité cette faiblesse.
« Par exemple, le ministère de la Sécurité intérieure aurait acheté les données de géolocalisation de millions d'Américains à des sociétés de marketing privées. Dans ce cas, les données provenaient d'une série de sources faussement inoffensives, telles que des jeux mobiles et des applications météorologiques. Outre le gouvernement fédéral, les autorités locales et étatiques sont connues pour acquérir des logiciels qui se nourrissent des données de pistage des téléphones portables », peut-on lire dans le rapport. Les réponses du directeur du FBI aux questions des sénateurs montrent qu'il a fait preuve de très peu de clarté lors de l'audition
Source : rapport
Et vous ?
Que pensez-vous de la loi Fourth Amendment Is Not For Sale Act, qui interdit aux agences fédérales d’acheter des données personnelles sans mandat judiciaire ou sans le consentement explicite des individus? Est-elle suffisante pour protéger la vie privée des citoyens? Que pensez-vous du fait que des agences du DHS ont utilisé les données de localisation commerciales pour mener leurs missions? Quelles sont les conséquences potentielles de cette pratique sur les droits humains et la démocratie? Quel est le rôle des courtiers en données, qui collectent et vendent les données de localisation des utilisateurs d’applications? Ont-ils une obligation de transparence et de respect de la vie privée des individus? Comment les réguler et les contrôler? Quelles sont les mesures que vous prenez pour protéger votre vie privée numérique? Utilisez-vous des applications qui partagent votre localisation? Si oui, pourquoi? Si non, pourquoi pas? Quels sont les avantages et les inconvénients de partager votre localisation avec des tiers? 
Envoyé par chrtophe
