Des agences du Département de la sécurité intérieure ont illégalement utilisé les données de localisation des smartphones

Sans le consentement ni la connaissance des propriétaires

Une enquête du Département de la sécurité intérieure (DHS) a révélé que trois de ses agences, l’Immigration and Customs Enforcement (ICE), le Customs and Border Enforcement (CBP) et le Secret Service, ont acheté et utilisé des données de localisation commerciales en violation de leurs politiques de confidentialité. Ces données provenaient d’applications ordinaires installées sur les smartphones des utilisateurs, sans leur consentement ni leur connaissance. Le rapport recommande que l’ICE cesse toute utilisation de ces données jusqu’à ce qu’elle obtienne les approbations nécessaires, une demande que l’ICE a refusée.

Depuis des années, les agences gouvernementales américaines achètent l'accès aux données de localisation par l'intermédiaire de vendeurs commerciaux, une pratique qui, selon les critiques, contourne l'exigence d'un mandat du quatrième amendement. Pendant cette période, les agences ont généralement refusé d’expliquer publiquement la base juridique sur laquelle elles fondaient leur achat et leur utilisation des données. Aujourd’hui, un rapport montre que trois des principaux clients de données de localisation commerciales ont enfreint la loi en agissant ainsi et n’ont fait l’objet d’aucun contrôle de surveillance pour garantir une utilisation appropriée de la technologie. Le rapport recommande également à l'ICE de cesser toute utilisation de ces données jusqu'à ce qu'elle obtienne les approbations nécessaires, une demande que l'ICE a refusée.

Selon le rapport du DHS, les agences ont utilisé ces données pour diverses raisons, allant de la lutte contre le trafic d’êtres humains à la protection du président. Toutefois, elles n’ont pas respecté les exigences légales et réglementaires en matière de protection des données personnelles, telles que la réalisation d’une évaluation d’impact sur la vie privée, l’obtention de l’autorisation du Congrès ou la notification au public.

Le rapport a également révélé qu’un responsable du CBP a utilisé les données de localisation pour suivre ses collègues sans aucun motif d’enquête, ce qui constitue un abus de pouvoir et une violation de la confiance.

« Il est inquiétant que ces agences aient allègrement ignoré la loi fédérale qui exige une évaluation sérieuse des impacts sur la vie privée de ce type d’accès aux informations privées des personnes. Si ces agences avaient suivi le processus approprié avant d'acheter ces données sensibles, elles n'auraient pu parvenir qu'à une seule conclusion raisonnable*: l'impact sur la vie privée est extrême », a déclaré Nate Wessler, directeur adjoint du projet Speech, Privacy, and Technology à l'American Civil Liberties Union (ACLU),


Des données parfois utilisées à des fins personnelles

Le rapport est intitulé Le CBP, l'ICE et les services secrets n'ont pas adhéré aux politiques de confidentialité ou n'ont pas développé de politiques suffisantes avant d'acquérir et d'utiliser des données de télémétrie commerciales, est daté du 28 septembre 2023 et provient de Joseph V. Cuffari, inspecteur général du DHS. Le rapport était initialement marqué comme « sensible aux forces de l’ordre », mais l’inspecteur général l’a maintenant rendu public.

Les données de télémétrie commerciale, ou CTD, sont le terme interne utilisé par le DHS pour décrire les données de localisation de source commerciale. Dans une section, le rapport indique qu'un employé du CBP a utilisé ces données pour espionner ses collègues. « L'individu a dit à ses collègues qu'il avait suivi sa position à l'aide du CTD », indique le rapport. Une plainte a suivi et le rapport indique que le problème a été « résolu administrativement ».

Concernant les questions juridiques plus larges, le rapport indique que les agences n'ont pas suivi la loi sur l'administration électronique de 2002, qui exige que les agences reçoivent une évaluation des impacts sur la vie privée (PIA) avant d'acheter l'accès à des outils comme celui-ci. « Cela s'est produit parce que les composants ne disposaient pas de contrôles internes suffisants pour garantir la conformité aux politiques de confidentialité du DHS, et parce que le bureau de confidentialité du DHS n'a pas suivi ou appliqué ses propres politiques et directives de confidentialité », indique le rapport.

Au-delà de cela, le rapport indique également que les différentes parties du DHS ne disposaient pas de politiques et de procédures suffisantes pour garantir que les données de localisation étaient utilisées de manière appropriée. Les règles du CBP étaient des politiques provisoires et n’avaient pas de versions complètes, selon le rapport. Entre-temps, l’ICE et les services secrets n’avaient aucune politique spécifique pour les données. De plus, le DHS n’avait pas de politique globale pour régir l’utilisation des données de localisation par ses différentes composantes.

En d’autres termes, l’ICE, le CBP et les services secrets ont tous acheté l’accès aux données de localisation, qui sont généralement siphonnées à partir d’applications apparemment inoffensives sur les téléphones, souvent à l’insu des utilisateurs ou sans leur consentement éclairé, sans avoir mis en place suffisamment de garde-fous formels pour dicter comment ces données pourraient être utilisées. Encore une fois, cela n’est pas conforme à la loi.

« Le rapport montre clairement que les agences du DHS ont joué la carte de la rapidité et de la liberté en acquérant les données de localisation des Américains. Le Congrès doit interdire explicitement aux forces de l’ordre et aux agences de renseignement d’acheter des données auprès d’entreprises privées pour lesquelles elles auraient autrement eu besoin d’un mandat », a déclaré Josh Richman, porte-parole de l’organisation militante Electronic Frontier Foundation, dans un communiqué. Le projet de loi Fourth Amendment is Not for Sale Act, adoptée par le comité judiciaire de la Chambre en juillet, comblerait cette lacune.

Cette affaire soulève des questions sur la surveillance de masse exercée par le gouvernement américain et sur le respect des droits fondamentaux des citoyens. Les critiques affirment que l’achat et l’utilisation de données de localisation commerciales contournent l’exigence constitutionnelle d’un mandat judiciaire pour accéder aux informations privées des individus. Ils appellent à une plus grande transparence et à un contrôle plus strict de ces pratiques.


L’utilisation des données de localisation commerciales par les agences du DHS n’est pas un cas isolé

En mars, cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) a posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il a limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.

« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », a déclaré Wray. Et d'ajouter que l'agence s'appuyait désormais sur une « procédure autorisée par un tribunal » pour obtenir des données de...