Le DHS a largement utilisé les données de localisation des appareils mobiles, les données montrent

L’American Civil Liberties Union a obtenu les dossiers du DHS dans le cadre d’un procès qu’elle a intenté en 2020. Il a remis les documents à POLITICO et les a publiés séparément lundi.

Les documents mettent en lumière les conversations et les contrats entre les agences fédérales et les sociétés de sécurité Babel Street et Venntel. Ils montrent également des employés temporaires menant des conversations internes sur les problèmes de confidentialité liés à l’utilisation des données de localisation téléphonique.

En seulement trois jours en 2018, les documents montrent que le CBP a collecté des données de plus de 113 000 emplacements téléphoniques dans le sud-ouest des États-Unis, ce qui représente plus de 26 points de données par minute, sans obtenir de mandat.

Les documents mettent en évidence la quantité massive de données de localisation que les agences gouvernementales, y compris le CBP et l’ICE, ont reçues, et comment les agences ont essayé de tirer parti de la richesse des données de l’industrie de la publicité.

« C’était un montant vraiment choquant », a déclaré Shreya Tewari, Brennan Fellow du projet Speech, Privacy and Technology de l’ACLU. « C’était une vue très détaillée de la façon dont ils peuvent se concentrer non seulement sur une zone géographique spécifique, mais aussi sur une période de temps, et combien ils collectent et à quelle vitesse. »

L’industrie des données de localisation représente un marché estimé à 12 milliards de dollars composé de centaines d’applications qui collectent des données de localisation, de courtiers en données qui échangent ces informations entre eux et d’acheteurs qui souhaitent utiliser ces données à des fins telles que la publicité et l’application de la loi.

Parce que les États-Unis n’ont pas de lois fédérales sur la confidentialité pour freiner l’industrie, les ventes de données de localisation sont restées largement incontrôlées au cours de la dernière décennie et les courtiers en données ont pu vendre la localisation d’un million de personnes à quiconque achète.

Les données de localisation ont toujours été vendues pour aider l’armée américaine identifiant les populations musulmanes et était disponible sur les visiteurs de Planned Parenthood. Un blog a également utilisé des données de localisation pour libérer un prêtre gay en 2021. En 2020, le Wall Street Journal a révélé que des agences fédérales telles que le DHS, l’ICE et le CBP utilisaient des données de localisation commerciale pour appliquer les lois sur l’immigration. Les documents publiés lundi par l’ACLU donnent un aperçu de la quantité de données de localisation obtenues par ces agences et de la manière dont elles ont utilisé ces informations.

« Venntel dispose d’une plate-forme d’intelligence de données de localisation mobile qui exploite l’écosystème de publicité mobile non classifié et disponible dans le commerce », a écrit un responsable du CBP dans un e-mail en mars 2018.

Surveillance à grande échelle

La plupart des données de localisation obtenues par le CBP provenaient du contrat avec Venntel, un courtier de données de localisation basé en Virginie. Venntel est une filiale de Gravy Analytics, une régie publicitaire spécialisée dans les données de localisation.

Les données, couvrant de 2017 à 2019, comprennent plus de 336 000 points de données de localisation qui ont atteint l’Amérique du Nord. Mais en réalité, la collecte de données de l’agence pourrait aller bien au-delà de ce que l’ACLU a obtenu grâce à ses demandes FOIA, car le CBP a continué à utiliser Venntel en 2021.

Dans les dossiers, l’APD néerlandaise a souligné qu’elle utilisait les données de localisation pour l’application des lois sur l’immigration, ainsi que pour les enquêtes sur la traite des êtres humains et les stupéfiants.

Lorsque Venntel a contacté pour la première fois les agences fédérales, il a proposé des supports marketing soulignant l’étendue de ses capacités de collecte de données. Dans un e-mail de février 2017 envoyé à ICE, le courtier en données s’est vanté d’avoir collecté des données de localisation à partir de plus de 250 millions d’appareils mobiles et traité plus de 15 milliards de points de données de localisation par jour.

Dans une autre brochure, Venntel a montré que ses données de localisation peuvent être utilisées pour suivre les appareils voyageant entre le Mexique et les États-Unis, ainsi que pour tracer l’itinéraire d’un véhicule spécifique. La page de la brochure indique également que les données de Venntel ont pu identifier les appareils mobiles impliqués dans l’émeute meurtrière de la suprématie blanche de 2017 à Charlottesville, en Virginie.

Une autre brochure marketing a déclaré au CBP que « tous les utilisateurs consentent à la collecte de données de localisation » et que les données personnelles n’ont jamais été collectées. Mais dans un autre e-mail entre Venntel et ICE, le courtier en données a noté qu ‘ »il existe des moyens déduits par lesquels les identifiants et l’emplacement pertinent peuvent être fusionnés », ce qui signifie que ces données peuvent être facilement liées pour identifier les individus, même s’il n’y a pas de données personnelles. des données leur sont associées. .

« La façon dont ils utilisent l’expression » opt-in « , ils parlent du fait que vous devez donner la permission sur votre téléphone pour qu’une application accède à l’emplacement », a déclaré Tewari de l’ACLU, « mais il est très clair que quand les gens le font, ils ne s’attendent pas à ce qu’il crée potentiellement cette énorme base de données de tout leur historique de localisation à la disposition du gouvernement à tout moment.

contraires

Les données obtenues par l’ACLU montrent comment ces agences savaient que la collecte de données de localisation par l’industrie de la technologie publicitaire était à la fois une aubaine pour la surveillance et un problème de confidentialité.

Dans des documents de présentation internes, le CBP a mis en avant le potentiel des données adtech, notamment avec des identifiants publicitaires attribués à chaque appareil. L’industrie de la publicité s’appuie sur ces identifiants publicitaires mobiles pour garder une trace de ce que les gens ont vu en ligne et pour en savoir plus sur leurs habitudes et leur comportement.

« Il y a actuellement plus de 350 millions d’appareils mobiles utilisés aux États-Unis, et ce nombre augmente de façon exponentielle à mesure que de plus en plus de personnes achètent des appareils mobiles chaque jour. Par conséquent, il n’est pas rare de rencontrer des individus impliqués dans des activités illégales utilisant la technologie mobile pour atteindre leurs objectifs criminels », selon un contrat entre le CBP et Venntel.

Mais dans les mêmes présentations où le CBP a souligné les avantages de l’utilisation des données publicitaires, l’agence a également montré à son personnel comment réinitialiser leurs propres identifiants publicitaires sur les appareils Android et iOS.

« Ces agences semblent pleinement conscientes qu’elles profitent d’un énorme désastre de confidentialité dans ce pays », a déclaré Nathan Freed Wessler, directeur adjoint du projet Discours, confidentialité et technologie de l’ACLU. « Ces agences comprennent que les mêmes décharges de données auxquelles elles peuvent acheter l’accès pour tout ce qu’elles veulent peuvent également être achetées par quelqu’un d’autre pour essayer de cibler leurs agents. »

Et en juin 2019, le responsable de la confidentialité par intérim du DHS a ordonné à l’agence « d’arrêter tous les projets impliquant des données de Venntel » en raison de problèmes juridiques et de confidentialité non résolus. On ne sait pas pourquoi la DPA néerlandaise et l’ICE ont continué à utiliser les données de localisation de Venntel après cette directive.

En utilisant des données de localisation disponibles dans le commerce, les agences ont pu éviter de demander des mandats pour suivre les gens, car elles pouvaient simplement acheter les données. Mais le responsable de la confidentialité du DHS 2019 savait qu’il s’agissait toujours d’un problème potentiel de confidentialité, citant la décision de la Cour suprême dans Carpenter c. États-Unisqui a dit que la police avait besoin de mandats pour accéder aux données de localisation du téléphone.

L’avenir des données de localisation

Malgré les problèmes de confidentialité soulevés au sein de l’agence, d’autres branches du DHS et des forces de l’ordre sont heureuses de continuer à utiliser les données de localisation des téléphones.

Les preuves montrent que le ministère de la Justice a également exprimé son intérêt à utiliser les données de Venntel, ainsi qu’un service de police de Cincinnati, Ohio, qui a tenté d’utiliser les données de localisation pour faire face à la crise des opioïdes.

Et les agences ne montrent aucun signe de ralentissement dans l’utilisation des données de localisation. ICE a signé un contrat avec Venntel en novembre, qui expire en juin 2023.

Wessler a appelé l’administration Biden à publier une note interne que le DHS utilise pour justifier l’achat et l’utilisation des données de localisation. L’existence du mémo a été signalée pour la première fois par BuzzFeed News.

Alors que les lois proposées sur la confidentialité visent à empêcher la collecte de données de localisation, la vente de données à des agences gouvernementales est exclue de la dernière version de la loi américaine sur la confidentialité et la protection des données, HR 8152un projet de loi qui rendrait plus difficile la collecte et la vente de données sensibles, y compris les données de localisation.

En avril 2021, sen. Ron Wyden (D-Ore.) a introduit le quatrième amendement n’est pas à vendre, S.1265qui tente d’empêcher les agences d’acheter des données américaines à des courtiers en données sans mandat.

« Malgré les affirmations des courtiers en données, personne qui télécharge une application ne pense qu’il leur donne la permission de renoncer à leurs droits au quatrième amendement et que le gouvernement suive chacun de leurs mouvements », a déclaré Wyden dans un e-mail. « L’inspecteur général du DHS a informé mon bureau qu’il avait ouvert une enquête sur l’acquisition de données de localisation par le Département, sur laquelle je serai heureux d’enquêter de près. »