Une enquête sénatoriale révèle que les constructeurs automobiles mentent sur l'obligation d'obtenir un mandat avant de partager des données de localisation. Seuls cinq des quatorze constructeurs automobiles interrogés exigent un mandat ou une décision de justice avant de communiquer aux forces de l'ordre les données de localisation des propriétaires de voitures connectées, et un seul avertit les clients des demandes d'informations émanant des forces de l'ordre, ont constaté les enquêteurs.
Les constructeurs automobiles se sont tous engagés, par l'intermédiaire de leur principale association industrielle, à protéger les données de localisation des propriétaires de voitures et à exiger des mandats ou des ordonnances judiciaires avant de communiquer ces données aux forces de l'ordre - une promesse que les sénateurs ont qualifiée de trompeuse dans un communiqué de presse.
Le sénateur Ron Wyden (D-OR) a posé la question et le sénateur Ed Markey (D-MA) a joué un rôle de premier plan dans ce dossier. Ils ont envoyé conjointement une lettre à la Commission fédérale du commerce (FTC) mardi pour demander une enquête.
Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz et Kia ont tous reconnu qu'ils n'avaient besoin que de citations à comparaître, qui ne nécessitent pas l'approbation d'un juge, avant de partager les données de localisation avec les agences gouvernementales, ont déclaré les sénateurs. Les sénateurs ont noté que Volkswagen a déclaré qu'il insistait sur un mandat pour obtenir plus d'une semaine de données de localisation.
Le constructeur automobile Volvo n'a pas répondu à la demande d'information des sénateurs, formulée par l'intermédiaire d'une association de l'industrie automobile dont le nom n'a pas été révélé.
"Les constructeurs automobiles n'ont pas seulement tenu les consommateurs dans l'ignorance de leurs pratiques réelles, mais plusieurs entreprises ont trompé les consommateurs pendant plus d'une décennie en ne respectant pas les principes volontaires de protection de la vie privée de l'industrie", peut-on lire dans la lettre. "À cette fin, nous demandons instamment à la FTC d'enquêter sur les affirmations trompeuses de ces constructeurs automobiles ainsi que sur leurs pratiques néfastes en matière de conservation des données."
La seule association visible de l'industrie automobile mondiale, l'Alliance for Automotive Innovation, a publié une déclaration dans laquelle elle affirme que les constructeurs automobiles "s'engagent à protéger les informations sensibles relatives à la localisation des véhicules". "Il s'agit d'une question complexe", précise le communiqué. "Les informations relatives à la localisation des véhicules ne sont communiquées aux forces de l'ordre que dans des circonstances spécifiques et limitées, par exemple lorsque le constructeur automobile reçoit un mandat ou une décision de justice, ou en cas de menace imminente d'atteinte grave à la vie ou à l'intégrité physique d'une personne."
Cette déclaration semble réfuter les conclusions de M. Wyden, qu'il dit avoir obtenues des constructeurs automobiles par l'intermédiaire d'une association industrielle anonyme. La raison pour laquelle la déclaration de l'Alliance for Automotive Innovation semble contredire les aveux des constructeurs automobiles à M. Wyden n'est pas claire.
Lors d'un événement organisé en mars par le Future of Privacy Forum, Hilary Cain, première vice-présidente de l'association chargée de la politique, a fait référence à plusieurs reprises aux principes volontaires des constructeurs automobiles pour expliquer l'engagement de l'industrie en matière de protection de la vie privée, les qualifiant de "normes de l'industrie".
Selon les sénateurs, dans certains cas, les constructeurs automobiles conservent les données de localisation pendant une décennie ou plus, tandis que d'autres s'empressent de les effacer. Mercedes-Benz a déclaré aux sénateurs que la société "ne s'engage pas dans la collecte systématique de données historiques de localisation du véhicule". Elle a déclaré qu'elle ne stockait que l'endroit où un véhicule donné s'est garé le plus récemment et qu'elle effaçait ces données une fois que le véhicule était déplacé. Cependant, les sénateurs ont déclaré que Hyundai a reconnu qu'elle collectait et conservait "systématiquement" les données de localisation des véhicules pendant 15 ans, Toyota pendant 10 ans et Honda pendant 7 ans.
En 2014, un groupe d'associations de l'industrie automobile, aujourd'hui disparues, a écrit une lettre à la FTC pour promouvoir leur engagement selon lequel "les demandes d'informations de géolocalisation émanant d'entités gouvernementales doivent prendre la forme d'un mandat ou d'une ordonnance du tribunal", sauf en cas d'urgence ou avec le consentement du propriétaire du véhicule. L'Alliance automobile pour l'innovation a déclaré qu'elle réexaminait et mettait à jour ces engagements tous les deux ans et qu'elle s'engageait toujours à ne pas fournir de données de géolocalisation aux forces de l'ordre sans mandat ou décision de justice.
"Ces entreprises ne se contentent pas d'être moins protectrices de la vie privée de leurs clients", ont déclaré les sénateurs. "Leurs politiques contredisent directement l'engagement public qu'elles ont pris et qu'elles ont invité la FTC à faire respecter."
Les données des voitures connectées sont particulièrement vulnérables pour les forces de l'ordre, comme l'a rapporté Recorded Future News en décembre. Le contenu des courriels, les photos privées sauvegardées dans le nuage et les téléphones portables nécessitent tous un mandat pour que les forces de l'ordre puissent y accéder, conformément aux protections du quatrième amendement contre les perquisitions et les saisies abusives.
"Les consommateurs ne peuvent voter avec leur portefeuille que lorsque les entreprises - ou les régulateurs - mettent à la disposition du public des informations aussi importantes sur les produits", ont écrit les sénateurs à la FTC. "Dans le cas présent, les constructeurs automobiles n'ont pas seulement tenu les consommateurs dans l'ignorance de leurs pratiques réelles, mais plusieurs entreprises les ont trompés pendant plus de dix ans en ne respectant pas les principes volontaires de protection de la vie privée de l'industrie."
Voici la lettre des sénateurs Ron Wyden et Ed Markey :
Cher présidente Khan :
Nous vous écrivons pour demander à la Federal Trade Commission (FTC) d'enquêter sur plusieurs constructeurs automobiles - Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz et Kia - pour avoir trompé leurs clients en prétendant faussement qu'ils avaient besoin d'un mandat ou d'une ordonnance du tribunal avant de transmettre les données de localisation de leurs clients à des agences gouvernementales.
Au cours de la dernière décennie, l'industrie automobile a ajouté la connectivité internet à de nombreuses nouvelles voitures. Cette connexion est utilisée par les constructeurs automobiles pour fournir des mises à jour logicielles, collecter des données de diagnostic et suivre les déplacements du véhicule. Toutefois, selon les pratiques des constructeurs automobiles, ces connexions permanentes et les données de localisation collectées par les voitures et renvoyées au constructeur peuvent constituer une menace sérieuse pour la vie privée des Américains. Les données de localisation des véhicules peuvent être utilisées pour identifier les Américains qui ont voyagé pour se faire avorter dans un autre État, qui ont participé à des manifestations, à des groupes de soutien pour l'alcool, la drogue et d'autres types d'addiction, ou pour identifier ceux qui ont des croyances particulières, comme le révèlent les déplacements vers les lieux de culte.
Afin de répondre aux préoccupations exprimées par les législateurs, les défenseurs et les consommateurs, l'industrie automobile a adopté un ensemble volontaire de principes de protection de la vie privée en 2014. L'industrie a soumis ces principes à la FTC et a invité l'agence à les appliquer aux 19 entreprises signataires. Les principes ont été mis à jour en 2018 et en 2022.
Depuis 2014, le secteur s'est engagé à exiger un mandat ou une décision de justice avant de transmettre les données de localisation des véhicules aux autorités chargées de l'application de la loi, sauf en cas d'urgence ou avec le consentement du client. Cependant, de récentes enquêtes menées par nos bureaux ont confirmé que seules certaines entreprises automobiles respectent cet engagement. D'autres entreprises ont révélé qu'elles transmettaient les données de localisation des Américains au gouvernement sur simple assignation, ce qui ne nécessite pas l'examen et l'approbation d'un juge.
Nos enquêtes ont révélé que cinq constructeurs automobiles placent la vie privée de leurs clients au premier plan en exigeant un mandat pour les données de localisation, en l'absence d'une situation d'urgence ou du consentement du client : GM, Honda, Ford, Tesla et Stellantis. La politique de Ford en matière de mandat est récente ; l'entreprise a adopté cette norme plus stricte après s'être entretenue avec le bureau du sénateur Wyden. Bien que moins protectrice de la vie privée des clients, la politique de Hyundai consistant à accepter un mandat ou d'autres ordonnances judiciaires répond à la barre fixée par l'industrie dans ses principes volontaires en matière de protection de la vie privée.
En revanche, Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz et Kia ont tous confirmé qu'ils divulgueraient des données de localisation aux agences gouvernementales américaines en réponse à des citations à comparaître, qui ne nécessitent pas l'approbation d'un juge. Volkswagen a indiqué qu'elle exigerait un mandat pour plus de sept jours de données de localisation, mais qu'elle divulguerait six jours ou moins en réponse à une citation à comparaître. Ces entreprises ne se contentent pas de moins bien protéger la vie privée de leurs clients. Leurs politiques sont en contradiction directe avec l'engagement public qu'elles ont pris et qu'elles ont invité la FTC à faire respecter. En tant que telles, ces entreprises peuvent avoir eu un comportement trompeur, ce qui est interdit par la section 5 de la loi de la FTC.
Les différences significatives en matière de protection de la vie privée entre les différents constructeurs automobiles résultent de l'état actuel de la législation fédérale sur la protection de la vie privée. Le Congrès n'a pas agi pour protéger la vie privée des Américains, et la Cour suprême n'a pas encore donné d'indications claires sur la question de savoir si le quatrième amendement s'applique à toute surveillance gouvernementale des données de localisation des Américains. Bien que l'arrêt Carpenter rendu par la Cour suprême en 2018 ait confirmé que le quatrième amendement s'applique à certaines données de localisation, la Cour a refusé d'émettre une exigence claire et générale en matière de mandat, par exemple lorsque le gouvernement cherche à obtenir des données pour une période d'une semaine ou moins.
Les agences gouvernementales doivent déjà obtenir un mandat pour exiger le contenu des courriels des Américains, leurs photos privées sauvegardées dans le cloud, et pour fouiller leur téléphone. Les données de localisation sont tout aussi sensibles et méritent les mêmes protections solides. De plus, les politiques relatives aux mandats ne nuisent pas à la sécurité publique, car les entreprises sont autorisées, en vertu d'une loi fédérale de longue date, à communiquer des données immédiatement, en cas d'urgence, sans ordonnance du tribunal.
Les pratiques des entreprises en matière de collecte et de conservation des données varient également d'une manière qui a un impact significatif sur la vie privée des utilisateurs. Par exemple, Tesla a indiqué qu'elle ne reçoit actuellement des données de localisation que lorsqu'il y a « un événement de sécurité critique (tel qu'une collision, un déploiement d'airbag ou un freinage d'urgence automatique) ». De même, Mercedes-Benz a indiqué que l'entreprise « ne s'engage pas dans la collecte systématique de données de localisation historiques du véhicule » et ne stocke que l'emplacement le plus récent où un véhicule a été garé, qui est supprimé une fois que le véhicule est garé à un nouvel emplacement. En revanche, Hyundai a indiqué qu'elle collectait et conservait systématiquement les données de localisation des véhicules pendant une période pouvant aller jusqu'à 15 ans,Toyota jusqu'à 10 ans et Honda jusqu'à 7 ans. Ne pas recevoir ou stocker de données de localisation est de loin la mesure la plus importante que les entreprises peuvent prendre pour protéger la vie privée de leurs clients. Non seulement ces pratiques garantissent que les constructeurs automobiles ne peuvent pas être contraints de violer la vie privée de leurs clients, mais elles réduisent également les dommages potentiels lorsque des pirates informatiques ou des espions étrangers volent les données d'une entreprise.
Enfin, les constructeurs automobiles diffèrent également de manière significative sur la question importante de savoir si les clients sont informés qu'ils ont été espionnés. Parmi les constructeurs automobiles qui ont répondu au bureau du sénateur Wyden, seul Tesla a actuellement pour politique d'informer les clients des demandes légales, à moins que l'entreprise n'ait reçu une ordonnance de silence judiciaire. Les autres constructeurs automobiles n'informent pas leurs clients des demandes gouvernementales concernant leurs données, même s'ils sont autorisés à le faire. Les politiques de notification de la surveillance gouvernementale constituent une pratique exemplaire importante en matière de protection de la vie privée, suivie par de nombreuses entreprises technologiques. Alors que les personnes poursuivies en justice sont généralement informées par le gouvernement de la manière dont il a obtenu les preuves à leur encontre, les personnes qui sont prises dans les filets du gouvernement et qui ne sont jamais inculpées peuvent ne jamais être informées de cette surveillance. Les avis fournis par les entreprises technologiques ont également joué un rôle important dans la révélation des abus de la surveillance gouvernementale, y compris les enquêtes visant à identifier les sources des journalistes.
Nos enquêtes sur les pratiques des principaux constructeurs automobiles en matière de protection de la vie privée ont mis en évidence des différences significatives entre ces constructeurs, qui peuvent avoir une incidence sur la vie privée, la liberté et la sécurité des Américains. Mais les consommateurs ne peuvent voter avec leur portefeuille que lorsque les entreprises - ou les régulateurs - mettent à la disposition du public des informations aussi importantes sur les produits. Dans le cas présent, les constructeurs automobiles n'ont pas seulement tenu les consommateurs dans l'ignorance de leurs pratiques réelles, mais plusieurs entreprises les ont trompés pendant plus d'une décennie en ne respectant pas les principes volontaires du secteur en matière de protection de la vie privée. Étant donné le travail récent de la Federal Trade Commission (FTC) pour sévir contre l'utilisation trompeuse des données de localisation par les entreprises, nous demandons instamment à la FTC d'enquêter sur les affirmations trompeuses de ces constructeurs automobiles ainsi que sur leurs pratiques néfastes en matière de conservation des données. En outre, étant donné l'audace de la tromperie des constructeurs automobiles, nous vous demandons instamment, en plus de prendre des mesures appropriées à l'encontre des entreprises, d'envisager de tenir les cadres supérieurs de ces entreprises responsables de leurs actions.
Nous vous remercions de l'attention que vous porterez à cette question importante.
Je vous prie d'agréer, Madame la Présidente, l'expression de nos salutations distinguées,
Ron Wyden et Edward J. Markey
Nous vous écrivons pour demander à la Federal Trade Commission (FTC) d'enquêter sur plusieurs constructeurs automobiles - Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz et Kia - pour avoir trompé leurs clients en prétendant faussement qu'ils avaient besoin d'un mandat ou d'une ordonnance du tribunal avant de transmettre les données de localisation de leurs clients à des agences gouvernementales.
Au cours de la dernière décennie, l'industrie automobile a ajouté la connectivité internet à de nombreuses nouvelles voitures. Cette connexion est utilisée par les constructeurs automobiles pour fournir des mises à jour logicielles, collecter des données de diagnostic et suivre les déplacements du véhicule. Toutefois, selon les pratiques des constructeurs automobiles, ces connexions permanentes et les données de localisation collectées par les voitures et renvoyées au constructeur peuvent constituer une menace sérieuse pour la vie privée des Américains. Les données de localisation des véhicules peuvent être utilisées pour identifier les Américains qui ont voyagé pour se faire avorter dans un autre État, qui ont participé à des manifestations, à des groupes de soutien pour l'alcool, la drogue et d'autres types d'addiction, ou pour identifier ceux qui ont des croyances particulières, comme le révèlent les déplacements vers les lieux de culte.
Afin de répondre aux préoccupations exprimées par les législateurs, les défenseurs et les consommateurs, l'industrie automobile a adopté un ensemble volontaire de principes de protection de la vie privée en 2014. L'industrie a soumis ces principes à la FTC et a invité l'agence à les appliquer aux 19 entreprises signataires. Les principes ont été mis à jour en 2018 et en 2022.
Depuis 2014, le secteur s'est engagé à exiger un mandat ou une décision de justice avant de transmettre les données de localisation des véhicules aux autorités chargées de l'application de la loi, sauf en cas d'urgence ou avec le consentement du client. Cependant, de récentes enquêtes menées par nos bureaux ont confirmé que seules certaines entreprises automobiles respectent cet engagement. D'autres entreprises ont révélé qu'elles transmettaient les données de localisation des Américains au gouvernement sur simple assignation, ce qui ne nécessite pas l'examen et l'approbation d'un juge.
Nos enquêtes ont révélé que cinq constructeurs automobiles placent la vie privée de leurs clients au premier plan en exigeant un mandat pour les données de localisation, en l'absence d'une situation d'urgence ou du consentement du client : GM, Honda, Ford, Tesla et Stellantis. La politique de Ford en matière de mandat est récente ; l'entreprise a adopté cette norme plus stricte après s'être entretenue avec le bureau du sénateur Wyden. Bien que moins protectrice de la vie privée des clients, la politique de Hyundai consistant à accepter un mandat ou d'autres ordonnances judiciaires répond à la barre fixée par l'industrie dans ses principes volontaires en matière de protection de la vie privée.
En revanche, Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz et Kia ont tous confirmé qu'ils divulgueraient des données de localisation aux agences gouvernementales américaines en réponse à des citations à comparaître, qui ne nécessitent pas l'approbation d'un juge. Volkswagen a indiqué qu'elle exigerait un mandat pour plus de sept jours de données de localisation, mais qu'elle divulguerait six jours ou moins en réponse à une citation à comparaître. Ces entreprises ne se contentent pas de moins bien protéger la vie privée de leurs clients. Leurs politiques sont en contradiction directe avec l'engagement public qu'elles ont pris et qu'elles ont invité la FTC à faire respecter. En tant que telles, ces entreprises peuvent avoir eu un comportement trompeur, ce qui est interdit par la section 5 de la loi de la FTC.
Les différences significatives en matière de protection de la vie privée entre les différents constructeurs automobiles résultent de l'état actuel de la législation fédérale sur la protection de la vie privée. Le Congrès n'a pas agi pour protéger la vie privée des Américains, et la Cour suprême n'a pas encore donné d'indications claires sur la question de savoir si le quatrième amendement s'applique à toute surveillance gouvernementale des données de localisation des Américains. Bien que l'arrêt Carpenter rendu par la Cour suprême en 2018 ait confirmé que le quatrième amendement s'applique à certaines données de localisation, la Cour a refusé d'émettre une exigence claire et générale en matière de mandat, par exemple lorsque le gouvernement cherche à obtenir des données pour une période d'une semaine ou moins.
Les agences gouvernementales doivent déjà obtenir un mandat pour exiger le contenu des courriels des Américains, leurs photos privées sauvegardées dans le cloud, et pour fouiller leur téléphone. Les données de localisation sont tout aussi sensibles et méritent les mêmes protections solides. De plus, les politiques relatives aux mandats ne nuisent pas à la sécurité publique, car les entreprises sont autorisées, en vertu d'une loi fédérale de longue date, à communiquer des données immédiatement, en cas d'urgence, sans ordonnance du tribunal.
Les pratiques des entreprises en matière de collecte et de conservation des données varient également d'une manière qui a un impact significatif sur la vie privée des utilisateurs. Par exemple, Tesla a indiqué qu'elle ne reçoit actuellement des données de localisation que lorsqu'il y a « un événement de sécurité critique (tel qu'une collision, un déploiement d'airbag ou un freinage d'urgence automatique) ». De même, Mercedes-Benz a indiqué que l'entreprise « ne s'engage pas dans la collecte systématique de données de localisation historiques du véhicule » et ne stocke que l'emplacement le plus récent où un véhicule a été garé, qui est supprimé une fois que le véhicule est garé à un nouvel emplacement. En revanche, Hyundai a indiqué qu'elle collectait et conservait systématiquement les données de localisation des véhicules pendant une période pouvant aller jusqu'à 15 ans,Toyota jusqu'à 10 ans et Honda jusqu'à 7 ans. Ne pas recevoir ou stocker de données de localisation est de loin la mesure la plus importante que les entreprises peuvent prendre pour protéger la vie privée de leurs clients. Non seulement ces pratiques garantissent que les constructeurs automobiles ne peuvent pas être contraints de violer la vie privée de leurs clients, mais elles réduisent également les dommages potentiels lorsque des pirates informatiques ou des espions étrangers volent les données d'une entreprise.
Enfin, les constructeurs automobiles diffèrent également de manière significative sur la question importante de savoir si les clients sont informés qu'ils ont été espionnés. Parmi les constructeurs automobiles qui ont répondu au bureau du sénateur Wyden, seul Tesla a actuellement pour politique d'informer les clients des demandes légales, à moins que l'entreprise n'ait reçu une ordonnance de silence judiciaire. Les autres constructeurs automobiles n'informent pas leurs clients des demandes gouvernementales concernant leurs données, même s'ils sont autorisés à le faire. Les politiques de notification de la surveillance gouvernementale constituent une pratique exemplaire importante en matière de protection de la vie privée, suivie par de nombreuses entreprises technologiques. Alors que les personnes poursuivies en justice sont généralement informées par le gouvernement de la manière dont il a obtenu les preuves à leur encontre, les personnes qui sont prises dans les filets du gouvernement et qui ne sont jamais inculpées peuvent ne jamais être informées de cette surveillance. Les avis fournis par les entreprises technologiques ont également joué un rôle important dans la révélation des abus de la surveillance gouvernementale, y compris les enquêtes visant à identifier les sources des journalistes.
Nos enquêtes sur les pratiques des principaux constructeurs automobiles en matière de protection de la vie privée ont mis en évidence des différences significatives entre ces constructeurs, qui peuvent avoir une incidence sur la vie privée, la liberté et la sécurité des Américains. Mais les consommateurs ne peuvent voter avec leur portefeuille que lorsque les entreprises - ou les régulateurs - mettent à la disposition du public des informations aussi importantes sur les produits. Dans le cas présent, les constructeurs automobiles n'ont pas seulement tenu les consommateurs dans l'ignorance de leurs pratiques réelles, mais plusieurs entreprises les ont trompés pendant plus d'une décennie en ne respectant pas les principes volontaires du secteur en matière de protection de la vie privée. Étant donné le travail récent de la Federal Trade Commission (FTC) pour sévir contre l'utilisation trompeuse des données de localisation par les entreprises, nous demandons instamment à la FTC d'enquêter sur les affirmations trompeuses de ces constructeurs automobiles ainsi que sur leurs pratiques néfastes en matière de conservation des données. En outre, étant donné l'audace de la tromperie des constructeurs automobiles, nous vous demandons instamment, en plus de prendre des mesures appropriées à l'encontre des entreprises, d'envisager de tenir les cadres supérieurs de ces entreprises responsables de leurs actions.
Nous vous remercions de l'attention que vous porterez à cette question importante.
Je vous prie d'agréer, Madame la Présidente, l'expression de nos salutations distinguées,
Ron Wyden et Edward J. Markey
Et vous ?
Pensez-vous que cette enquête est crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
La police utilise des dispositifs GPS pour marquer les voitures en fuite, et éviter les courses-poursuites à grande vitesse
Les données des utilisateurs de Google sont devenues un raccourci favori de la police. Les enquêteurs ont de plus en plus recours à des mandats pour obtenir des données de localisation et de recherche
Comment la police sait-elle que vous étiez non loin d'une scène de crime ? C'est simple, Google le lui dit