Fog Reveal soulève d'énormes problèmes de confidentialité et de libertés civiles, écrit peut être autorisé parce que les États-Unis ne disposent pas d’une loi fédérale complète sur la confidentialité des données.
By Anne Toomey McKenna
Université de Richmond
GLes agences gouvernementales et les sociétés de sécurité privées aux États-Unis ont trouvé un moyen rentable de s'engager dans des activités sans mandat. surveillance d'individus, de groupes et de lieux: un outil web payant appelé Fog Reveal.
L’outil permet aux agents chargés de l’application des lois de connaître les « modes de vie » : où et quand les gens travaillent et vivent, avec qui ils fréquentent et quels endroits ils visitent. Le créateur de l'outil, Fog Data Science, prétend disposer de milliards de points de données provenant de plus de 250 millions d'appareils mobiles aux États-Unis.
Fog Reveal est apparu lorsque le Electronic Frontier Foundation (EFF), une organisation à but non lucratif qui défend les libertés civiles en ligne, enquêtait sur les courtiers en données de localisation et a découvert le programme grâce à une demande du Freedom of Information Act. EFF enquête a découvert que Fog Reveal permet aux forces de l'ordre et aux entreprises privées d'identifier et de suivre des personnes et de surveiller des lieux et des événements spécifiques, tels que des rassemblements, des manifestations, des lieux de culte et des cliniques de santé. L'Associated Press a découvert que près de deux douzaines d'agences gouvernementales à travers le pays ont passé un contrat avec Fog Data Science pour utiliser l'outil.
L'utilisation de Fog Reveal par le gouvernement met en évidence une différence problématique entre la loi sur la confidentialité des données et la loi sur la surveillance électronique aux États-Unis. C'est une différence qui crée une sorte de faille, permettant à d'énormes quantités de données personnelles d'être collectées, agrégées et utilisées de manière non transparente. à la plupart des personnes. Cette différence est bien plus importante à la suite de l'arrêt de la Cour suprême Dobbs c. Jackson Women's Health Organizationdécision, qui a révoqué le droit constitutionnel à l’avortement. Dobbs met en danger la confidentialité des informations sur la santé reproductive et des données associées, y compris les données de localisation pertinentes.
Le trésor de données personnelles que Fog Data Science vend et que les agences gouvernementales achètent existe parce que les technologies en constante évolution dans les appareils intelligents collectent des quantités de plus en plus grandes de données intimes. Sans choix ni contrôle significatifs de la part de l'utilisateur, les créateurs d'appareils intelligents et d'applications collectent, utilisent et vendent ces données. C'est un dilemme technologique et juridique qui menace la vie privée et la liberté individuelle, et c'est un problème j'ai travaillépendant des années en tant qu'avocat, chercheur et professeur de droit.
Surveillance gouvernementale
Les agences de renseignement américaines utilisent depuis longtemps la technologie pour s'engager dans des programmes de surveillance comme PRISM, collectant des données sur des individus auprès d'entreprises technologiques comme Google, surtout depuis le 9 septembre – apparemment pour des raisons de sécurité nationale. Ces programmes sont généralement autorisés par et soumis au Foreign Loi sur la surveillance des activités de renseignement et du acte patriote. Bien qu'il soit critique débat sur les mérites et les abus De ces lois et programmes, ils fonctionnent sous un minimum de contrôle des tribunaux et du Congrès.
Les forces de l’ordre nationales utilisent également la technologie à des fins de surveillance, mais généralement avec des restrictions plus strictes. La Cour suprême des États-Unis a statué que la Constitution Quatrième amendement, qui protège contre les perquisitions et saisies abusives, et la loi fédérale sur la surveillance électronique exige que les forces de l'ordre nationales obtiennent un mandat avant de localiser quelqu'un. en utilisant un appareil GPS or informations sur l'emplacement du site cellulaire.
Fog Reveal est tout autre chose. L’outil – rendu possible par la technologie des appareils intelligents et par cette différence entre les protections légales en matière de confidentialité des données et de surveillance électronique – permet aux forces de l’ordre nationales et aux entités privées d’acheter l’accès aux données compilées sur la plupart des téléphones mobiles américains, y compris les données de localisation. Il permet de suivre et de surveiller des personnes à grande échelle sans contrôle judiciaire ni transparence publique. La société a fait peu de commentaires publics, mais des détails sur sa technologie ont été révélés grâce aux enquêtes EFF et AP référencées.
Données de Fog Reveal
Chaque smartphone possède un identifiant publicitaire – une série de chiffres qui identifient de manière unique l'appareil. Il semblerait que les identifiants publicitaires soient anonymes et ne soient pas directement liés au nom de l'abonné. En réalité, ce n’est peut-être pas le cas.
Les entreprises et les applications privées exploitent les capacités GPS des smartphones, qui fournissent des données de localisation détaillées et des identifiants publicitaires, de sorte que partout où un smartphone va et chaque fois qu'un utilisateur télécharge une application ou visite un site Web, il crée une trace. Science des données sur le brouillard dit obtenir ces « données disponibles dans le commerce » auprès de courtiers en données, permettant à l'outil de suivre les appareils grâce à leurs identifiants publicitaires. Bien que ces numéros ne contiennent pas le nom de l'utilisateur du téléphone, ils peuvent facilement être retracés jusqu'au domicile et au lieu de travail pour aider la police à identifier l'utilisateur et à établir analyses du mode de vie.
L'utilisation de Fog Reveal par les forces de l'ordre met en lumière cette faille entre la loi américaine sur la confidentialité des données et la loi sur la surveillance électronique. Le trou est si grand que – malgré les décisions de la Cour suprême exigeant un mandat pour que les forces de l’ordre utilisent le GPS et les données des sites cellulaires pour suivre les personnes – il n’est pas clair si l’utilisation de Fog Reveal par les forces de l’ordre est illégale.
Surveillance électronique et confidentialité des données
Aux États-Unis, la protection des lois sur la surveillance électronique et la confidentialité des données signifient deux choses très différentes. Il existe de solides lois fédérales sur la surveillance électronique qui régissent la surveillance nationale. Le Loi sur la protection des renseignements personnels réglemente quand et comment Les forces de l'ordre nationales et les entités privées peuvent « mettre sur écoute », c'est-à-dire intercepter les communications d'une personne ou suivre sa localisation.
Couplée aux protections du quatrième amendement, l'ECPA exige généralement que les organismes d'application de la loi obtiennent un mandat basé sur une cause probable pour intercepter les communications d'une personne ou suivre sa position à l'aide du GPS et des informations de localisation du site cellulaire. En outre, la ECPA autorise un agent à obtenir un mandat uniquement lorsqu'il enquête sur certains crimes, de sorte que la loi limite sa propre autorité à autoriser la surveillance uniquement des crimes graves. La violation de la ECPA est un crime.
La grande majorité des États ont des lois qui reflètent la ECPA, bien que certains États, comme le Maryland, offrent à leurs citoyens davantage de protection contre la surveillance indésirable.
L'outil Fog Reveal soulève d'énormes problèmes en matière de vie privée et de libertés civiles, mais ce qu'il vend – la possibilité de suivre la plupart des personnes à tout moment – peut être autorisé car les États-Unis ne disposent pas d’une loi fédérale complète sur la confidentialité des données. L'ECPA autorise les interceptions et la surveillance électronique lorsqu'une personne consent à cette surveillance.
Avec peu de lois fédérales sur la confidentialité des données, une fois que quelqu'un clique sur « J'accepte » dans une boîte de dialogue contextuelle, il existe peu de limitations sur la collecte, l'utilisation et l'agrégation des données des utilisateurs par les entités privées, y compris les données de localisation. Il s’agit là de la faille entre les protections juridiques relatives à la confidentialité des données et à la surveillance électronique, et cela crée le cadre qui sous-tend la marché américain massif du partage de données.
La nécessité d’une loi sur la confidentialité des données
Sans mesures de protection fédérales solides en matière de confidentialité des données, les fabricants d'appareils intelligents, les créateurs d'applications et les courtiers en données continueront, sans entrave, à utiliser les technologies de détection sophistiquées et les capacités GPS des appareils intelligents pour collecter et regrouper commercialement de grandes quantités de données intimes et révélatrices. Dans l’état actuel des choses, cette mine de données n’est peut-être pas protégée des forces de l’ordre. Mais l'utilisation commerciale autorisée des identifiants publicitaires pour suivre les appareils et les utilisateurs sans préavis ni consentement pourrait changer si le Loi américaine sur la protection de la confidentialité des données, approuvé par le Comité de l'énergie et du commerce de la Chambre des représentants des États-Unis par un vote de 53-2 le 20 juillet 2022, passe.
L'avenir de l'ADPPA est incertain. L'industrie des applications résiste fermement à toute restriction de ses pratiques de collecte de données, et certains États s'opposent à la disposition fédérale de préemption de l'ADPPA, qui pourrait minimiser les protections accordées par les lois nationales sur la confidentialité des données. Par exemple, Nancy Pelosi, présidente de la Chambre des représentants des États-Unis, a déclaré que les législateurs devront répondre aux préoccupations de la Californie selon lesquelles le projet de loi outrepasse les protections plus strictes de l'État. avant qu'elle appelle au vote sur l'ADPPA.
Les enjeux sont élevés. Des enquêtes récentes des forces de l'ordre mettent en évidence le conséquences concrètes qui découlent du manque de protection solide de la confidentialité des données. Compte tenu de la décision Dobbs, ces situations proliféreront en l’absence d’action du Congrès.
Anne Toomey McKenna est professeur invité de droit, Université de Richmond.
Cet article est republié de The Conversation sous une licence Creative Commons. Lis le article original.
Les opinions exprimées sont uniquement celles de l'auteur et peuvent ou non refléter celles de Nouvelles du consortium.