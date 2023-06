Vie pas si privée

Un rapport de la Direction américaine du renseignement national, rendu public lundi, reconnaît l’importance pour les espions américains des informations vendues par des marchands de données. Des ressources qui permettent d’établir un réseau de surveillance des Américains très intrusif. Peut-être même trop pour les espions eux-mêmes.

Les espions américains croulent sous les informations personnelles sur les Américains. Telle est la conclusion d’un rapport remis fin janvier à Avril Haines, directrice du renseignement national, et qui vient d”être déclassifié.

Ce document d’une cinquantaine de pages détaille le très vaste réseau de surveillance que les agences américaines de renseignement ont pu mettre en place grâce aux informations mises en vente par les marchands de données.

Première enquête interne

C’est ce que les agences de renseignement appellent les "informations commerciales disponibles". Extraites d’applications et services utilisés quotidiennement par le commun des mortels – le GPS, les bracelets connectés ou encore les moteurs de recherche –, ces données constituent une montagne d’informations sans précédent donnant le vertige aux espions eux-mêmes.

Ils reconnaissent ainsi que leur utilisation peut gravement “"porter préjudice à la réputation, au bien-être émotionnel ou à la sécurité physique d'une personne", avertissent les auteurs du rapport, eux-mêmes issus de la communauté américaine du renseignement.

C’est la première fois qu’une enquête interne est menée et rendue publique sur les accords commerciaux secrets entre les agences américaines du renseignement et ces intermédiaires qui profitent de la revente de données personnelles, souligne le Wall Street Journal dans un article publié lundi 12 juin.

"Ce rapport confirme ce que nous avons toujours craint : les agences de renseignement contournent les lois [sur la collecte d’information] en achetant impunément ce qu’ils veulent savoir sur les Américains", affirme au site Wired Sean Vitka, un avocat qui travaille pour l’ONG de défense de la vie privée Demand Progress.

Avril Haines s’était engagée à enquêter sur ces pratiques lorsqu’elle a pris ses fonctions en 2021. Plusieurs médias américains avaient alors commencé à lever le voile sur l’utilisation de ces données commerciales par l’administration américaine durant la présidence de Donald Trump.

Les services de renseignement avaient notamment acheté les données de géolocalisation concernant des millions d’immigrants afin de permettre à la police des douanes et des contrôles à la frontière de le surveiller, avait révélé le Wall Street Journal en 2020.

Mais l’enquête démontre qu’il n’est pas seulement question de cas isolés. Ce recours aux "informations commerciales disponibles" est devenu systémique et particulièrement intrusif. "Peu d’Américains s’en rendent compte, et encore moins peuvent l’éviter, mais ces données commercialement disponibles ont offert [aux agences de renseignement] un niveau d’information sur tout le monde qu’on pouvait avoir auparavant uniquement dans le cas d’enquêtes très ciblées sur des individus précis", résument les auteurs du rapport. C’est devenu aussi efficace que du cyber-espionnage, assure le Wall Street Journal.

Des données pas si anonymes

"C’est un effet indirect de l’affaire Carpenter en 2018", assure Frans Imbert Vier, PDG d'Ubcom, agence de conseil spécialisée dans la protection des données. À l’époque, le FBI était parvenu à arrêter un gang de braqueurs en série en utilisant notamment des données de géolocalisation récupérées sur un téléphone. Mais la Cour Suprême avait annulé toute la procédure car les enquêteurs n’avaient pas obtenu l’autorisation de la justice pour utiliser les données de géolocalisation. "Je me souviens avoir lu, peu après cette affaire, un article dans lequel un agent du FBI disait que s’ils ne peuvent plus obtenir directement ce genre d’information sans passer par un tribunal, ils allaient tout simplement les acheter", souligne Frans Imber Vier.

Et c’est ainsi que les agences américaines de renseignement ont ouvert grand la porte du royaume enchanté des marchands de données. Une poignée d’acteurs qui possèdent dans leur besace toute la vie des utilisateurs de smartphones aux États-Unis (mais aussi dans le monde). Des données, en théorie, anonymes.

"En 2012 déjà, on avait démontré que ces métadonnées issues de la géolocalisation et de l’utilisation des applications d’un smartphone permettaient de reconstituer à 95 % le quotidien d’un habitant de New York", note Frans Imber Vier. Il ne manquait plus que les informations sur le sommeil. En effet, il n’y avait pas encore, alors, ces applications d’analyse de la qualité du sommeil qui sont dorénavant sur toutes les montres connectées.

Toutes ces données appartiennent aux fabricants des systèmes d’exploitation pour smartphone, soit Google et Apple. Ces derniers en mettent une partie à disposition des créateurs d’application tierce – comme Facebook, Twitter, les applications de calendrier ou les jeux vidéo, qui demandent si souvent l'accès à la géolocalisation.

En bout de chaîne, il y a ces grossistes en données qui les achètent en masse pour les revendre ensuite à des compagnies d’assurance, des experts en marketing ou encore… à des services de renseignement.

Ces intermédiaires défendent leur commerce en assurant que toutes ces données sont anonymes. Mais c’est un anonymat de pacotille, comme l’avait déjà démontré une enquête du New York Times publiée en 2018. Les métadonnées du GPS ne donnent peut-être pas l’identité de la personne qui se rend tous les soirs à une même adresse, mais il suffit de regarder dans l’annuaire pour avoir ensuite une liste des résidents. Si, ensuite, les données sur les recherches internet font ressortir, par exemple, un penchant pour les jeux vidéo, l’enquêteur peut imaginer qu’il a affaire à un(e) ado… etc.

La vraie protection pour la vie privée provenait du travail de titan qu’il fallait abattre pour trier ces immenses banques des données afin de les "désanonymiser". Impossible pour des administrations aux ressources limitées. Mais c’était avant… "Il y a quatre ou cinq ans, c’était encore vrai, mais aujourd’hui, avec les algorithmes, il y a des moteurs qui sont capables d’indexer toutes les informations que vous avez et les recouper”, affirme Frans Imbert Vier.

La vie privée, une marchandise comme les autres ?

Et les auteurs du rapport remis à la direction du renseignement national estiment que tout ça est parfaitement légal. "Il faut bien se rendre compte qu’aux États-Unis, la vie privée est protégée par la constitution dans le cadre des enquêtes judiciaires, mais qu’il n’y aucune protection dans le domaine commercial", fait remarquer Frans Imbert Vier.

Autrement dit, à partir du moment où la CIA ou le FBI se comportent comme des consommateurs de données, ils peuvent se passer d’une autorisation préalable d’un juge. Une spécificité très américaine car en théorie, les "services de renseignement européens ne peuvent pas faire de même", indique Frans Imbert Vier.

Une vision très capitaliste de la pêche aux informations dangereuse pour les défenseurs du droit à la vie privée. "S’il suffit d’utiliser une carte de crédit pour éviter de tomber sous le coup de la protection constitutionnelle du droit à la vie privée, tout le système de contrôle de la surveillance gouvernementale tombe à l’eau", prévient Ron Wyden, un sénateur démocrate interrogé par le site Wired. D’autant plus que les marchands de données ne "sont soumis à aucun contrôle particulier", ajoute Frans Imbert Vier.

Les auteurs du rapport comprennent que les espions américains sont peut-être allés un peu loin dans la collecte de données personnelles. Ils estiment urgent de mieux encadrer ces achats d’informations.

Mais l'un des arguments principaux avancés pour justifier ces restrictions a de quoi surprendre, voire choquer les plus fervents adeptes du contrôle démocratique des pouvoirs. En effet, les auteurs du rapport notent que "le public semble s’intéresser aux questions de protection de la vie privée [...] et il faudrait éviter que des révélations possibles sur des collectes d’information mal encadrées fassent peser le risque d’une importante attention des médias et des politiques, ce qui pourrait compromettre d'autres formes de collecte et d'utilisation de ces informations personnelles". Autrement dit, tout serait tellement plus simple sans les contre-pouvoirs.

