L’Agence nationale de sécurité des États-Unis (NSA) a admis avoir acheté des enregistrements de navigation sur Internet auprès de courtiers en données pour identifier les sites Web et les applications utilisés par les Américains, ce qui nécessiterait autrement une ordonnance du tribunal, a déclaré la semaine dernière le sénateur américain Ron Wyden.
« Le gouvernement américain ne devrait pas financer et légitimer une industrie douteuse dont les violations flagrantes de la vie privée des Américains sont non seulement contraires à l’éthique, mais illégales », a déclaré Wyden. dit dans une lettre adressée à la directrice du renseignement national (DNI), Avril Haines, en plus de prendre des mesures pour « garantir que les agences de renseignement américaines n’achètent que des données sur les Américains qui ont été obtenues de manière légale ».
Les métadonnées sur les habitudes de navigation des utilisateurs peuvent présenter un risque sérieux pour la vie privée, car les informations pourraient être utilisées pour glaner des détails personnels sur une personne en fonction des sites Web qu’elle fréquente.
Cela pourrait inclure des sites Web proposant des ressources liées à la santé mentale, une aide aux survivants d’agression sexuelle ou de violence domestique, ainsi que des prestataires de télésanté axés sur le contrôle des naissances ou les médicaments avortants.
En réponse aux questions de Wyden, la NSA a déclaré qu’elle avait développé des régimes de conformité et qu’elle « prenait des mesures pour minimiser la collecte d’informations sur les personnes américaines » et « continuait d’acquérir uniquement les données les plus utiles liées aux exigences de la mission ».
L’agence a toutefois déclaré qu’elle n’achetait ni n’utilisait les données de localisation collectées à partir de téléphones utilisés aux États-Unis sans ordonnance du tribunal. Il a également déclaré qu’il n’utilisait pas les informations de localisation obtenues à partir des systèmes télématiques automobiles des véhicules situés dans le pays.
Ronald S. Moultrie, sous-secrétaire à la Défense pour le renseignement et la sécurité (USDI&S), a déclaré que les composantes du ministère de la Défense (DoD) acquièrent et utilisent les informations disponibles dans le commerce (CAI) d’une manière qui « adhère à des normes élevées de protection de la vie privée et des libertés civiles ». en soutien à des missions licites de renseignement ou de cybersécurité.
Cette révélation est une autre indication que les agences de renseignement et d’application de la loi achètent des données potentiellement sensibles à des entreprises, ce qui nécessiterait une ordonnance du tribunal pour les acquérir directement auprès des entreprises de communication. Début 2021, c’était révélé la Defense Intelligence Agency (DIA) a été acheter et utiliser données de localisation nationales collectées à partir de smartphones via des courtiers de données commerciaux.
La divulgation de l’achat sans garantie de données personnelles intervient à la suite de l’interdiction par la Federal Trade Commission (FTC) d’Outlogic (anciennement X-Mode Social) et d’InMarket Media de vendre des informations de localisation précises à ses clients sans le consentement éclairé des utilisateurs.
Outlogic, dans le cadre de son accord avec la FTC, s’est également vu interdire de collecter des données de localisation qui pourraient être utilisées pour suivre les visites des personnes dans des lieux sensibles tels que les cliniques médicales et de santé reproductive, les refuges pour victimes de violence domestique et les lieux de culte religieux.
L’achat de données sensibles auprès de ces « sociétés louches » existe dans une zone grise juridique, a noté Wyden, ajoutant que les courtiers en données qui achètent et revendent ces données ne sont pas connus des consommateurs, qui ne savent souvent pas qui sont leurs données. avec lequel il est partagé ou l’endroit où il est utilisé.
Un autre aspect notable de ces pratiques obscures en matière de données est que les applications tierces intégrant des kits de développement logiciel (SDK) de ces courtiers en données et fournisseurs de technologies publicitaires n’informent pas les utilisateurs de la vente et du partage de données de localisation, que ce soit à des fins publicitaires ou nationales. sécurité.
« Selon la FTC, il ne suffit pas qu’un consommateur consente à ce qu’une application ou un site Web collecte de telles données, le consommateur doit être informé et accepter que ses données soient vendues à des ‘sous-traitants du gouvernement à des fins de sécurité nationale' », a déclaré le démocrate de l’Oregon. dit.
« Je ne connais aucune entreprise qui fournit de tels avertissements aux consommateurs avant que leurs données ne soient collectées. En tant que telle, l’infraction à la loi concerne probablement l’ensemble du secteur et ne se limite pas à ce courtier de données en particulier. »