Des agences du Département de la sécurité intérieure ont illégalement utilisé les données de localisation des smartphones

Sans le consentement ni la connaissance des propriétaires

Une enquête du Département de la sécurité intérieure (DHS) a révélé que trois de ses agences, l’Immigration and Customs Enforcement (ICE), le Customs and Border Enforcement (CBP) et le Secret Service, ont acheté et utilisé des données de localisation commerciales en violation de leurs politiques de confidentialité. Ces données provenaient d’applications ordinaires installées sur les smartphones des utilisateurs, sans leur consentement ni leur connaissance. Le rapport recommande que l’ICE cesse toute utilisation de ces données jusqu’à ce qu’elle obtienne les approbations nécessaires, une demande que l’ICE a refusée.

Depuis des années, les agences gouvernementales américaines achètent l'accès aux données de localisation par l'intermédiaire de vendeurs commerciaux, une pratique qui, selon les critiques, contourne l'exigence d'un mandat du quatrième amendement. Pendant cette période, les agences ont généralement refusé d’expliquer publiquement la base juridique sur laquelle elles fondaient leur achat et leur utilisation des données. Aujourd’hui, un rapport montre que trois des principaux clients de données de localisation commerciales ont enfreint la loi en agissant ainsi et n’ont fait l’objet d’aucun contrôle de surveillance pour garantir une utilisation appropriée de la technologie. Le rapport recommande également à l'ICE de cesser toute utilisation de ces données jusqu'à ce qu'elle obtienne les approbations nécessaires, une demande que l'ICE a refusée.

Selon le rapport du DHS, les agences ont utilisé ces données pour diverses raisons, allant de la lutte contre le trafic d’êtres humains à la protection du président. Toutefois, elles n’ont pas respecté les exigences légales et réglementaires en matière de protection des données personnelles, telles que la réalisation d’une évaluation d’impact sur la vie privée, l’obtention de l’autorisation du Congrès ou la notification au public.

Le rapport a également révélé qu’un responsable du CBP a utilisé les données de localisation pour suivre ses collègues sans aucun motif d’enquête, ce qui constitue un abus de pouvoir et une violation de la confiance.

« Il est inquiétant que ces agences aient allègrement ignoré la loi fédérale qui exige une évaluation sérieuse des impacts sur la vie privée de ce type d’accès aux informations privées des personnes. Si ces agences avaient suivi le processus approprié avant d'acheter ces données sensibles, elles n'auraient pu parvenir qu'à une seule conclusion raisonnable*: l'impact sur la vie privée est extrême », a déclaré Nate Wessler, directeur adjoint du projet Speech, Privacy, and Technology à l'American Civil Liberties Union (ACLU),


Des données parfois utilisées à des fins personnelles

Le rapport est intitulé Le CBP, l'ICE et les services secrets n'ont pas adhéré aux politiques de confidentialité ou n'ont pas développé de politiques suffisantes avant d'acquérir et d'utiliser des données de télémétrie commerciales, est daté du 28 septembre 2023 et provient de Joseph V. Cuffari, inspecteur général du DHS. Le rapport était initialement marqué comme « sensible aux forces de l’ordre », mais l’inspecteur général l’a maintenant rendu public.

Les données de télémétrie commerciale, ou CTD, sont le terme interne utilisé par le DHS pour décrire les données de localisation de source commerciale. Dans une section, le rapport indique qu'un employé du CBP a utilisé ces données pour espionner ses collègues. « L'individu a dit à ses collègues qu'il avait suivi sa position à l'aide du CTD », indique le rapport. Une plainte a suivi et le rapport indique que le problème a été « résolu administrativement ».

Concernant les questions juridiques plus larges, le rapport indique que les agences n'ont pas suivi la loi sur l'administration électronique de 2002, qui exige que les agences reçoivent une évaluation des impacts sur la vie privée (PIA) avant d'acheter l'accès à des outils comme celui-ci. « Cela s'est produit parce que les composants ne disposaient pas de contrôles internes suffisants pour garantir la conformité aux politiques de confidentialité du DHS, et parce que le bureau de confidentialité du DHS n'a pas suivi ou appliqué ses propres politiques et directives de confidentialité », indique le rapport.

Au-delà de cela, le rapport indique également que les différentes parties du DHS ne...