Menu








Lisez la politique de confidentialité : la police peut facilement obtenir vos données de tiers

1 août 2021 - Technologies
Lisez la politique de confidentialité : la police peut facilement obtenir vos données de tiers


Si vous avez déjà lu une politique de confidentialité, vous avez peut-être remarqué une section qui explique comment vos données seront partagées avec les forces de l’ordre, ce qui signifie que si la police l’exige et dispose des documents nécessaires, elle l’obtiendra probablement. Mais peut-être, comme la plupart des adultes américains, vous ne lisez pas du tout les politiques de confidentialité très attentivement. Dans ce cas, vous pourriez être surpris d’apprendre combien de vos données sont entre les mains de tiers, quel accès les forces de l’ordre y ont accès, comment elles pourraient être utilisées contre vous ou quels sont vos droits, le cas échéant, de l’empêcher.

De nombreux insurgés du Capitole le découvrent peut-être maintenant, car les poursuites contre eux sont fondées sur des preuves tirées de services Internet comme Facebook et Google. Alors qu’ils ont laissé une trace de preuves numériques pour les enquêteurs (et l’Internet détectives) à suivre, toutes ces données n’étaient pas accessibles au public. Si vous lisez cas des personnes accusées de crimes liés aux événements de Washington le 6 janvier, vous constaterez que le FBI a également obtenu des dossiers internes de diverses plateformes de médias sociaux et opérateurs de téléphonie mobile.

Mais vous n’avez pas besoin d’être un insurrectionnel présumé pour que les forces de l’ordre obtiennent des données vous concernant d’une autre entreprise. En fait, vous n’avez pas du tout besoin d’être soupçonné d’un crime. La police utilise de plus en plus des tactiques comme les mandats de perquisition inversée pour récupérer les données de nombreuses personnes dans l’espoir de trouver leur suspect parmi elles. Vous pourriez être emporté par l’un simplement parce que vous étiez au mauvais endroit au mauvais moment ou parce que vous avez recherché le mauvais terme de recherche. Et vous ne saurez peut-être jamais que vous avez été pris dans le filet.

« Les enquêteurs s’adressent à ces fournisseurs sans suspect et demandent un large éventail d’informations qui ne sont pas ciblées afin d’identifier essentiellement des suspects qu’ils n’avaient pas déjà en tête », Jennifer Granick, conseil en surveillance et cybersécurité pour le discours de l’ACLU. , la confidentialité et le projet technologique, a déclaré Recode. « Ces techniques de surveillance plus massives sont de plus en plus courantes. »

Fondamentalement, si une entreprise collecte et stocke vos données, la police peut probablement mettre la main dessus. Et lorsqu’il s’agit de votre vie numérique, il y a beaucoup de vos données détenues par des tiers à obtenir. Voici comment ils l’obtiennent.

Comment les forces de l’ordre achètent vos données, aucun mandat n’est nécessaire

La bonne nouvelle est qu’il existe des lois sur la protection de la vie privée qui régissent si et comment le gouvernement peut obtenir vos données : la loi sur la protection des communications électroniques (ECPA), promulguée pour la première fois en 1986, a établi ces règles.

Mais la loi date de plusieurs décennies. Bien qu’il ait été mis à jour depuis 1986, bon nombre de ses principes ne reflètent pas vraiment la façon dont nous utilisons Internet aujourd’hui, ni la quantité de nos données qui restent entre les mains des entreprises qui nous fournissent ces services.

Cela signifie qu’il y a des zones grises et des échappatoires, et pour certaines choses, le gouvernement n’a pas du tout à suivre de processus juridiques. Les forces de l’ordre peuvent acheter et achètent des données de localisation auprès de courtiers en données, par exemple. Et tandis que les entreprises de données de localisation prétendent que leurs données ont été anonymisées, les experts disent qu’il est souvent possible de ré-identifier les individus.

« L’idée est que s’il est disponible à la vente, alors ce n’est pas grave », a déclaré Kurt Opsahl, directeur exécutif adjoint et avocat général de l’Electronic Frontier Foundation (EFF). « Bien sûr, l’un des problèmes est que beaucoup de ces courtiers en données obtiennent des informations sans passer par le processus de consentement que vous pourriez souhaiter. »

Et ce ne sont pas seulement des données de localisation. L’ensemble du modèle commercial de la société de reconnaissance faciale Clearview AI consiste à vendre aux organismes d’application de la loi l’accès à sa base de données de reconnaissance faciale, dont une grande partie a été extraite de photos accessibles au public que Clearview a récupérées sur Internet. À moins que vous ne viviez dans une ville ou un État qui a interdit la reconnaissance faciale, il est actuellement légal pour la police de payer pour vos données faciales, peu importe à quel point la technologie derrière cela peut être.

Cela pourrait changer si quelque chose comme le Loi sur le quatrième amendement n’est pas à vendre, qui interdit aux forces de l’ordre d’acheter des données disponibles dans le commerce, devaient devenir une loi. Mais pour l’instant, la faille est ouverte.

« L’un des défis de toute loi technologique est que la technologie évolue plus rapidement que la loi », a déclaré Opsahl. « C’est toujours un défi d’appliquer ces lois à un environnement moderne, mais [ECPA] a toujours, toutes ces décennies plus tard, fourni une solide protection de la vie privée. Il pourrait certainement y avoir des améliorations, mais il fait toujours du bon travail aujourd’hui.

Ce que les forces de l’ordre peuvent faire passer devant les tribunaux

Si vous êtes soupçonné d’un crime et que la police recherche des preuves dans votre vie numérique, l’ECPA dit qu’elle doit avoir une assignation à comparaître, une ordonnance du tribunal ou un mandat avant qu’une entreprise ne soit autorisée à fournir les données qu’elle demande. C’est-à-dire que l’entreprise ne peut pas simplement le remettre volontairement. Il existe quelques exceptions – par exemple, s’il y a des raisons de croire qu’il y a un danger imminent ou qu’un crime est en cours. Mais dans le cas d’enquêtes criminelles, ces exceptions ne s’appliquent pas.

De manière générale, le processus juridique que les enquêteurs doivent utiliser dépend des données qu’ils recherchent :

  • Citation à comparaître : cela donne aux enquêteurs ce que l’on appelle des informations sur les abonnés, telles que votre nom, votre adresse, la durée de votre service (depuis combien de temps vous avez votre profil Facebook, par exemple), les informations de connexion (lorsque vous avez passé des appels téléphoniques ou connecté et hors de votre compte Facebook) et les informations de carte de crédit.
  • Ordonnance du tribunal, ou ordonnance « D » : le D fait référence au 18 Code américain § 2703(d), qui stipule qu’un tribunal peut ordonner aux fournisseurs de services Internet de fournir aux forces de l’ordre tout enregistrement concernant l’abonné autre que le contenu de leurs communications. Cela pourrait donc inclure qui vous a envoyé un e-mail et quand, mais pas le contenu de l’e-mail réel.
  • Mandat de perquisition : cela permet aux forces de l’ordre d’accéder au contenu lui-même, en particulier au contenu stocké, qui comprend des e-mails, des photos, des vidéos, des publications, des messages directs et des informations de localisation. Alors que l’ECPA dit que les e-mails stockés pendant plus de 180 jours peuvent être obtenus avec une simple citation à comparaître, cette règle remonte à avant que les gens ne conservent systématiquement leurs e-mails sur le serveur d’une autre entreprise (jusqu’où remonte votre boîte de réception Gmail ?) sauvegarde. À ce stade, plusieurs tribunaux ont statué qu’un mandat est nécessaire pour le contenu des e-mails, quel que soit l’âge des e-mails, et les fournisseurs de services exigent généralement un mandat avant d’accepter de les remettre.

Si vous voulez avoir une idée de la fréquence à laquelle le gouvernement demande des données à ces entreprises, certaines d’entre elles publient des rapports de transparence qui donnent des détails de base sur le nombre de demandes qu’elles reçoivent, leur type et le nombre de ces demandes qu’elles répondent. Ils montrent également à quel point ces demandes ont augmenté au fil des ans. Voici Le rapport de transparence de Facebook, voici de Google, et voici celle d’Apple. L’EFF a également sortir un guide en 2017 montrant comment plusieurs entreprises technologiques répondent aux demandes du gouvernement.

Vous n’avez pas besoin d’être un suspect ou d’être impliqué dans un crime pour que les forces de l’ordre obtiennent vos données

Donc, disons que vous avez décidé que vous ne commettrez jamais de crime, donc l’obtention de vos données par les forces de l’ordre ne sera jamais un problème pour vous. Vous vous trompez.

Comme mentionné ci-dessus, vos données pourraient être incluses dans un achat auprès d’un courtier en données. Ou il peut être récupéré dans un filet numérique, également connu sous le nom de mandat de perquisition inversée, où la police demande des données sur un grand groupe de personnes dans l’espoir de trouver leur suspect en leur sein.

« Ce sont de nouvelles techniques pour découvrir des choses qui n’auraient jamais pu être découvertes dans le passé et qui ont la capacité d’attirer des innocents », a déclaré Granick, de l’ACLU.

Deux exemples : où vous êtes allé et ce que vous avez recherché. Dans un mandat de clôture géographique, les forces de l’ordre obtiennent des informations sur tous les appareils qui se trouvaient dans une certaine zone à un certain moment (par exemple, où un crime a eu lieu), puis les affinent et obtiennent des informations de compte pour le ou les appareils qu’elles pensent appartenir à leur(s) suspect(s) . Pour bons de mots clés, la police peut demander à un navigateur toutes les adresses IP qui ont recherché un certain terme lié à leur cas, puis identifier un suspect potentiel de ce groupe.

Ces situations représentent encore un zone grise légale. Alors que certains juges les ont qualifiées de violation du quatrième amendement et ont refusé les demandes de mandats du gouvernement, d’autres les ont autorisées. Et nous avons vu au moins un cas où des mandats de perquisition inversée ont conduit à la arrestation d’un innocent.

Il se peut qu’on ne vous dise pas pendant des années que vos données ont été obtenues – si on vous le dit du tout

Un autre aspect troublant est que, selon ce qui est demandé et pourquoi, vous ne saurez peut-être jamais si la police a demandé vos données à une entreprise ou si cette entreprise les leur a données. Si vous êtes accusé d’un crime et que ces données sont utilisées comme preuves contre vous, alors vous le saurez. Mais si vos données sont obtenues par le biais d’un achat auprès d’un courtier en données ou dans le cadre d’une demande groupée, il se peut que ce ne soit pas le cas. Si une entreprise vous dit que les forces de l’ordre veulent vos données et vous en avertit à l’avance, vous pouvez essayer de lutter vous-même contre sa demande. Mais les enquêteurs peuvent obtenir des bâillons qui empêchent les entreprises de dire quoi que ce soit aux utilisateurs, auquel cas vous n’êtes plus qu’à espérer que l’entreprise se bat pour vous.

Selon leurs rapports de transparence, Google, Apple et Facebook semblent parfois se battre ou repousser — par exemple, s’ils pensent qu’une demande est trop large ou lourd – donc toutes les demandes ne sont pas réussies. Mais c’est eux. Ce n’est pas forcément vrai pour tout le monde.

« Tous les fournisseurs ne sont pas un Google ou un Facebook qui dispose d’un service juridique approfondi avec une expertise sérieuse en droit fédéral de la surveillance », a déclaré Granick. « Certains fournisseurs, nous ne savons pas ce qu’ils font. Peut-être qu’ils ne font rien. C’est un vrai problème. »

La majorité des demandes gouvernementales, même adressées aux plus grandes entreprises du monde, entraînent la divulgation d’au moins certaines données d’utilisateurs, et nous avons vu des cas où les données de quelqu’un ont été transmises au gouvernement et que cette personne n’a pas su pendant des années. Par exemple, le ministère de la Justice a obtenu les dossiers d’abonnés des représentants démocrates Adam Schiff et Eric Swalwell (et ceux des membres de leur famille) d’Apple par le biais d’une assignation à comparaître devant un grand jury. Cela s’est produit en 2017 et 2018, mais les membres du Congrès ne l’ont découvert qu’en juin 2021, lorsque le bâillon a expiré.

Si vos informations sont balayées dans quelque chose comme un mandat de perquisition inversée mais que vous n’êtes jamais identifié comme suspect ou inculpé, vous ne le saurez peut-être jamais du tout si l’entreprise qui les a fournis ne vous le dit pas. Opsahl, de l’EFF, a déclaré que la plupart des grandes entreprises technologiques publient des rapports de transparence et que cela est considéré comme une bonne pratique de l’industrie. Cela ne veut pas dire qu’ils le suivent tous, et qu’ils n’y sont pas obligés.

Comment pouvez-vous empêcher cela

En ce qui concerne vos données détenues par des tiers, vous n’avez pas beaucoup de contrôle ou de dire si et ce qu’ils divulgueront. Vous vous appuyez sur des lois écrites avant l’existence d’Internet moderne, sur leur interprétation par un juge (en supposant qu’elles soient soumises à un juge, ce qui peut ne pas être le cas pour les citations à comparaître), et sur les entreprises qui disposent de vos données pour les combattre. Si vous êtes informé d’une commande en attente, vous pourrez peut-être la combattre vous-même. Ce n’est pas une garantie que vous gagnerez.

La meilleure façon de protéger vos données est d’utiliser des services qui ne les obtiennent pas en premier lieu. Les problèmes de confidentialité, y compris la possibilité de communiquer sans surveillance gouvernementale, ont fait des applications de messagerie cryptées comme Signal et les navigateurs privés comme CanardCanardAller populaire ces dernières années. Ils minimisent les données qu’ils collectent auprès des utilisateurs, ce qui signifie qu’ils n’ont pas grand-chose à donner si les enquêteurs tentent de les collecter. Vous pouvez également demander aux services de supprimer vos données de leurs serveurs ou de ne pas les télécharger sur eux en premier lieu (en supposant que ce soient des options). Le FBI ne peut pas obtenir grand-chose de l’iCloud d’Apple si vous n’y avez rien téléchargé.

À ce stade, les enquêteurs devront essayer d’obtenir les données qu’ils souhaitent à partir de votre appareil… ce qui est une toute autre boîte de vers légaux.