Trois ans. C’est le temps qu’il aura fallu au FBI pour revenir sur sa promesse. En 2023, l’ancien directeur Christopher Wray assurait devant le Sénat que l’agence n’achetait plus de données de localisation commerciales. Mercredi 18 mars, son successeur Kash Patel a balayé cet engagement d’un revers de main, confirmant que la police fédérale américaine puise de nouveau dans les fichiers des courtiers en données pour suivre les déplacements de millions de citoyens, le tout sans passer par un juge.
Vos jeux mobiles, leurs mouchards
Le principe est simple, et c’est ce qui le rend redoutable. Chaque fois qu’un utilisateur ouvre une application sur son téléphone, un jeu, un service météo, un tracker de fitness, celle-ci peut transmettre sa position géographique à des régies publicitaires. C’est le fonctionnement normal du ciblage publicitaire mobile, un système appelé RTB (enchères en temps réel) où des annonceurs se battent pour afficher la bonne publicité au bon endroit. Mais dans ce flux permanent de données, des entreprises spécialisées, les data brokers, captent les coordonnées GPS et les revendent. Parmi leurs clients : les agences fédérales américaines.
Selon des documents internes obtenus par 404 Media, les douanes américaines (CBP) ont déjà exploité ce système pour pister des individus à partir de données aspirées depuis des applications aussi banales que des jeux vidéo, des apps de rencontres ou des trackers d’activité physique. L’agence d’immigration ICE a de son côté acquis des outils capables de surveiller les mouvements de tous les téléphones présents dans un quartier entier, selon le même média.
Un directeur du FBI qui assume en pleine lumière
Interrogé par le sénateur démocrate Ron Wyden lors d’une audition au Sénat, Patel n’a pas cherché à minimiser. « Nous achetons des informations commercialement disponibles, conformes à la Constitution et aux lois sur la vie privée des communications électroniques, et cela a produit des renseignements précieux », a déclaré le directeur du FBI, selon Politico. À la question directe de Wyden, qui lui demandait si l’agence s’engageait à ne plus acheter les données de localisation des Américains, Patel a répondu que le FBI « utilise tous les outils à sa disposition pour remplir sa mission ».
La réaction du sénateur ne s’est pas fait attendre. Wyden a qualifié cette pratique de « contournement scandaleux du Quatrième Amendement », la disposition constitutionnelle qui protège les citoyens américains contre les fouilles et saisies sans mandat judiciaire. Le FBI, lui, affirme ne pas avoir besoin de mandat pour exploiter ces données. Cette interprétation juridique n’a jamais été testée devant un tribunal.
La faille béante de l’arrêt Carpenter
Pour comprendre comment on en est arrivé là, il faut remonter à 2018. Cette année-là, la Cour suprême des États-Unis rend un arrêt historique, Carpenter contre États-Unis. Les juges statuent que les agences gouvernementales ne peuvent pas accéder aux historiques de localisation d’un individu sans mandat. Victoire pour la vie privée ? En théorie. En pratique, la décision a été rédigée de manière si étroite qu’elle a laissé une brèche considérable : rien n’empêche le gouvernement d’acheter ces mêmes données sur le marché libre. L’arrêt visait les opérateurs téléphoniques contraints de fournir leurs fichiers. Il ne couvrait pas les courtiers en données qui vendent librement les informations collectées par les applications.
Résultat : depuis 2018, plusieurs agences fédérales se sont engouffrées dans cette faille. Le département de la Sécurité intérieure a acheté les géolocalisations de millions d’Américains auprès de sociétés de marketing, rapportait Wired. Les données provenaient de sources aussi anodines que des apps météo et des jeux sur smartphone. Quand la Cour suprême ferme la porte, les agences passent par la fenêtre du marché publicitaire.
Un projet de loi pour colmater la brèche
Six jours avant le témoignage de Patel, le 12 mars, un groupe bipartisan de parlementaires a présenté le Government Surveillance Reform Act. Le texte, porté par les sénateurs Ron Wyden (démocrate) et Mike Lee (républicain), ainsi que les représentants Warren Davidson (républicain) et Zoe Lofgren (démocrate), s’attaque directement au problème. Parmi ses dispositions clés : l’obligation pour toute agence fédérale d’obtenir un mandat avant d’acheter les données des citoyens auprès de courtiers, l’interdiction du ciblage inversé (surveiller un étranger pour espionner un Américain en contact avec lui), et de nouvelles protections couvrant les données de navigation web, de recherche, d’historique de chatbots et de véhicules connectés.
Le texte bénéficie du soutien d’organisations aussi différentes que l’ACLU (Union américaine pour les libertés civiles) et Americans for Prosperity, un groupe conservateur. « Les avancées technologiques, de l’IA à l’explosion des données personnelles disponibles à l’achat, ont largement dépassé les lois qui protègent la vie privée des Américains », a déclaré Wyden lors de la présentation du projet de loi.
70 parlementaires exigent des comptes
Le témoignage de Patel survient dans un contexte de pression croissante sur les agences fédérales. En début de mois, environ 70 parlementaires ont adressé une lettre à l’inspecteur général du département de la Sécurité intérieure, demandant une enquête sur les achats de données de localisation par ICE, rapporte 404 Media. L’agence d’immigration avait publié un appel d’offres pour acquérir davantage de données issues du système publicitaire (les fameuses « Ad Tech data »), suscitant l’indignation de législateurs des deux camps.
Johnny Ryan, directeur de l’Irish Council for Civil Liberties Enforce, une organisation qui suit de près le commerce des données publicitaires, a qualifié ces informations de « mine d’or pour suivre chaque personne et savoir ce qu’elle lit, regarde et écoute ».
Un problème qui dépasse les frontières américaines
Si le témoignage de Patel concerne les citoyens américains, le mécanisme sous-jacent, le RTB publicitaire, fonctionne de la même manière partout dans le monde. Chaque smartphone qui affiche une publicité ciblée participe à ce système d’enchères où les données de localisation circulent entre des dizaines d’intermédiaires. En Europe, le RGPD impose en théorie un consentement explicite pour la collecte de ces données. Mais les enquêtes de la CNIL et de ses homologues européens ont régulièrement montré que les pratiques réelles des régies publicitaires restent opaques, et que le consentement obtenu via les bandeaux de cookies relève souvent de la fiction juridique.
Le sénateur Wyden et ses alliés bipartisans ont quatre ans pour faire adopter le Government Surveillance Reform Act avant l’expiration de la Section 702 du FISA, l’outil de surveillance étrangère que le texte propose aussi de réformer. Le prochain round se jouera en commission au Sénat dans les semaines à venir.
