Les agences gouvernementales et les sociétés de sécurité privées aux États-Unis ont trouvé un moyen rentable de s'engager dans la surveillance sans mandat d'individus, de groupes et de lieux :un outil Web payant appelé Fog Reveal.

L'outil permet aux agents chargés de l'application de la loi de voir des « modèles de vie » :où et quand les gens travaillent et vivent, avec qui ils s'associent et quels endroits ils visitent. Le fabricant de l'outil, Fog Data Science, affirme disposer de milliards de points de données provenant de plus de 250 millions d'appareils mobiles aux États-Unis.

Fog Reveal a été découvert lorsque l'Electronic Frontier Foundation (EFF), une organisation à but non lucratif qui défend les libertés civiles en ligne, enquêtait sur des courtiers en données de localisation et a découvert le programme par le biais d'une demande en vertu de la loi sur la liberté d'information. L'enquête de l'EFF a révélé que Fog Reveal permet aux forces de l'ordre et aux entreprises privées d'identifier et de suivre les personnes et de surveiller des lieux et des événements spécifiques, tels que des rassemblements, des manifestations, des lieux de culte et des cliniques de soins de santé. L'Associated Press a découvert que près de deux douzaines d'agences gouvernementales à travers le pays ont passé un contrat avec Fog Data Science pour utiliser l'outil.

L'utilisation de Fog Reveal par le gouvernement met en évidence une différence problématique entre la loi sur la confidentialité des données et la loi sur la surveillance électronique aux États-Unis. C'est une différence qui crée une sorte d'échappatoire, permettant la collecte, l'agrégation et l'utilisation d'énormes quantités de données personnelles de manière non transparente. à la plupart des personnes. Cette différence est bien plus importante à la suite de la décision de la Cour suprême Dobbs c. Jackson Women's Health Organization, qui a révoqué le droit constitutionnel à l'avortement. Dobbs met en péril la confidentialité des informations sur la santé reproductive et des points de données connexes, y compris les données de localisation pertinentes.

Le trésor de données personnelles que Fog Data Science vend et que les agences gouvernementales achètent existe parce que les technologies en constante évolution des appareils intelligents collectent des quantités de plus en plus importantes de données intimes. Sans choix ou contrôle significatif de la part de l'utilisateur, les fabricants d'appareils intelligents et d'applications collectent, utilisent et vendent ces données. Il s'agit d'un dilemme technologique et juridique qui menace la vie privée et la liberté individuelles, et c'est un problème sur lequel j'ai travaillé pendant des années en tant qu'avocat, chercheur et professeur de droit.

Surveillance gouvernementale

Les agences de renseignement américaines utilisent depuis longtemps la technologie pour s'engager dans des programmes de surveillance comme PRISM, collectant des données sur des individus auprès d'entreprises technologiques comme Google, en particulier depuis le 11 septembre, apparemment pour des raisons de sécurité nationale. Ces programmes sont généralement autorisés et soumis au Foreign Intelligence Surveillance Act et au Patriot Act. Bien qu'il y ait un débat critique sur les mérites et les abus de ces lois et programmes, ils fonctionnent sous un minimum de contrôle des tribunaux et du Congrès.

Les organismes nationaux chargés de l'application des lois utilisent également la technologie pour la surveillance, mais généralement avec des restrictions plus importantes. La Cour suprême des États-Unis a statué que le quatrième amendement de la Constitution, qui protège contre les perquisitions et saisies abusives, et la loi fédérale sur la surveillance électronique exigent que les forces de l'ordre nationales obtiennent un mandat avant de suivre l'emplacement d'une personne à l'aide d'un appareil GPS ou d'informations sur l'emplacement d'un site cellulaire.

Fog Reveal est tout autre chose. L'outil, rendu possible par la technologie des appareils intelligents et cette différence entre la confidentialité des données et les protections de la loi sur la surveillance électronique, permet aux forces de l'ordre nationales et aux entités privées d'acheter l'accès aux données compilées sur la plupart des téléphones mobiles américains, y compris les données de localisation. Il permet de suivre et de surveiller des personnes à grande échelle sans contrôle judiciaire ni transparence publique. L'entreprise a fait peu de commentaires publics, mais les détails de sa technologie sont ressortis des enquêtes EFF et AP référencées.

Données de Fog Reveal

Every smartphone has an advertising ID—a series of numbers that uniquely identifies the device. Supposedly, advertising IDs are anonymous and not linked directly to the subscriber's name. In reality, that may not be the case.

Private companies and apps harness smartphones' GPS capabilities, which provide detailed location data, and advertising IDs, so that wherever a smartphone goes and any time a user downloads an app or visits a website, it creates a trail. Fog Data Science says it obtains this "commercially available data" from data brokers, permitting the tool to follow devices through their advertising IDs. While these numbers do not contain the name of the phone's user, they can easily be traced to homes and workplaces to help police identify the user and establish pattern-of-life analyses.

Law enforcement use of Fog Reveal puts a spotlight on that loophole between U.S. data privacy law and electronic surveillance law. The hole is so large that—despite Supreme Court rulings requiring a warrant for law enforcement to use GPS and cell site data to track persons—it is not clear whether law enforcement use of Fog Reveal is unlawful.

Electronic surveillance vs. data privacy

Electronic surveillance law protections and data privacy mean two very different things in the U.S. There are robust federal electronic surveillance laws governing domestic surveillance. The Electronic Communications Privacy Act regulates when and how domestic law enforcement and private entities can "wiretap," i.e., intercept a person's communications, or track a person's location.

Coupled with Fourth Amendment protections, ECPA generally requires law enforcement agencies to get a warrant based on probable cause to intercept someone's communications or track someone's location using GPS and cell site location information. Also, ECPA permits an officer to get a warrant only when the officer is investigating certain crimes, so the law limits its own authority to permit surveillance of only serious crimes. Violation of ECPA is a crime.

The vast majority of states have laws that mirror ECPA, although some states, like Maryland, afford citizens more protections from unwanted surveillance.

The Fog Reveal tool raises enormous privacy and civil liberties concerns, yet what it is selling—the ability to track most persons at all times—may be permissible because the U.S. lacks a comprehensive federal data privacy law. ECPA permits interceptions and electronic surveillance when a person consents to that surveillance.

With little in the way of federal data privacy laws, once someone clicks "I agree" on a pop-up box, there are few limitations on private entities' collection, use and aggregation of user data, including location data. This is the loophole between data privacy and electronic surveillance law protections, and it creates the framework that underpins the massive U.S. data sharing market.

The need for data privacy law

Without robust federal data privacy safeguards, smart device manufacturers, app makers and data brokers will continue, unfettered, to utilize smart devices' sophisticated sensing technologies and GPS capabilities to collect and commercially aggregate vast quantities of intimate and revealing data. As it stands, that data trove may not be protected from law enforcement agencies. But the permitted commercial use of advertising IDs to track devices and users without meaningful notice and consent could change if the American Data Privacy Protection Act, approved by the U.S. House of Representatives Committee on Energy and Commerce by a vote of 53-2 on July 20, 2022, passes.

ADPPA's future is uncertain. The app industry is strongly resisting any curtailment of its data collection practices, and some states are resisting ADPPA's federal preemption provision, which could minimize the protections afforded via state data privacy laws. For example, Nancy Pelosi, speaker of the U.S. House of Representatives, has said lawmakers will need to address concerns from California that the bill overrides the state's stronger protections before she will call for a vote on ADPPA.

Les enjeux sont élevés. Recent law enforcement investigations highlight the real-world consequences that flow from the lack of robust data privacy protection. Given the Dobbs ruling, these situations will proliferate absent congressional action.