La National Security Agency (NSA) a admis avoir acheté des enregistrements auprès de courtiers en données détaillant les sites Web et les applications utilisés par les Américains, a révélé jeudi le sénateur américain Ron Wyden (Démocrate-Oregon).
Cette nouvelle fait suite aux efforts de Wyden l’année dernière qui ont forcé le FBI à admettre qu’il achetait également les données sensibles des Américains. Le sénateur appelle désormais toutes les agences de renseignement à « cesser d’acheter aux Américains des données personnelles obtenues illégalement par des courtiers en données ».
« Le gouvernement américain ne devrait pas financer et légitimer une industrie douteuse dont les violations flagrantes de la vie privée des Américains sont non seulement contraires à l’éthique mais illégales », a déclaré Wyden dans une lettre adressée à la directrice du renseignement national (DNI), Avril Haines. « À cette fin, je vous demande d’adopter une politique selon laquelle, à l’avenir, les « agences de renseignement » ne pourront acheter que des données sur les Américains qui répondent aux normes de vente de données légales établies par la FTC. »
Wyden a suggéré que la communauté du renseignement pourrait aider les courtiers en données à violer une ordonnance de la FTC exigeant que les Américains reçoivent des informations « claires et visibles » et donnent leur consentement éclairé avant que leurs données puissent être vendues à des tiers. Au cours des sept années pendant lesquelles Wyden a enquêté sur les courtiers en données, il a déclaré qu’il n’avait été informé « d’aucune entreprise qui fournit un tel avertissement aux utilisateurs avant de collecter leurs données ».
L’ordre de la FTC est intervenu après avoir conclu un accord avec un courtier de données appelé X-Mode, qui a admis avoir vendu des données de localisation sensibles sans le consentement de l’utilisateur et même avoir vendu des données après que les utilisateurs ont révoqué leur consentement.
Dans sa lettre, Wyden a qualifié cette ordonnance de « nouvelles règles » imposées par la FTC, mais ce n’est pas exactement ce qui s’est produit. Au lieu d’émettre des règles, les règlements de la FTC servent souvent de « common law », signalant aux marchés quelles pratiques violent des lois comme la loi FTC.
Selon l’analyse de la commande par la FTC sur son site, X-Mode a violé la loi FTC en « vendant injustement des données sensibles, en omettant injustement de respecter les choix des consommateurs en matière de confidentialité, en collectant et en utilisant injustement les données de localisation des consommateurs, en collectant et en utilisant injustement les données de localisation des consommateurs ». sans vérification du consentement, catégorisant injustement les consommateurs en fonction de caractéristiques sensibles à des fins de marketing, omettant de manière trompeuse de divulguer l’utilisation des données de localisation et fournissant les moyens et les instruments nécessaires pour se livrer à des actes ou des pratiques trompeuses.
La FTC a refusé de dire si cette ordonnance s’appliquait également aux achats de données par les agences de renseignement. En définissant les « données de localisation », l’ordonnance de la FTC semble prévoir des exceptions pour toutes les données collectées en dehors des États-Unis et utilisées soit à des « fins de sécurité », soit à des « fins de sécurité nationale menées par des agences fédérales ou d’autres entités fédérales ».
La NSA doit purger les données, dit Wyden
Les responsables de la NSA ont déclaré à Wyden que non seulement l’agence de renseignement achète des données sur les Américains situés aux États-Unis, mais qu’elle a également acheté les métadonnées Internet des Américains.
Wyden a averti que les premiers « peuvent révéler des informations sensibles et privées sur une personne en fonction de l’endroit où elle va sur Internet, notamment en visitant des sites Web liés à des ressources en santé mentale, des ressources pour les survivants d’agression sexuelle ou de violence domestique, ou en visitant un fournisseur de télésanté qui se concentre sur la santé mentale. sous contrôle des naissances ou sous traitement abortif. » Et ces derniers « peuvent être tout aussi sensibles ».
Pour résoudre le problème, Wyden souhaite que les communautés du renseignement acceptent de dresser un inventaire, puis de purger « rapidement » les données qu’elles auraient collectées illégalement sur les Américains sans mandat. Wyden a déclaré que ce processus a permis à des agences comme la NSA et le FBI « en fait » d’utiliser « leur carte de crédit pour contourner le Quatrième Amendement ».
Les pratiques de X-Mode, a déclaré la FTC, étaient susceptibles de causer « un préjudice important aux consommateurs qui ne serait pas compensé par des avantages compensateurs pour les consommateurs ou la concurrence et qui ne serait pas raisonnablement évitable par les consommateurs eux-mêmes ». Le porte-parole de Wyden, Keith Chu, a déclaré à Ars que « les courtiers en données vendant des enregistrements Internet au gouvernement semblent avoir un comportement presque identique » à celui de X-Mode.
L’ordonnance de la FTC indique également « que les Américains doivent être informés et accepter que leurs données soient vendues à des ‘sous-traitants du gouvernement à des fins de sécurité nationale’ pour que cette pratique soit autorisée », a déclaré Wyden.
Le DoD défend les transactions douteuses des courtiers en données
En réponse à la lettre de Wyden à Haines, le sous-secrétaire à la Défense chargé du renseignement et de la sécurité, Ronald Moultrie, a déclaré que le ministère de la Défense (DoD) « adhère à des normes élevées de protection de la vie privée et des libertés civiles » lors de l’achat de données de localisation des Américains. Il a également déclaré qu’il « n’était au courant d’aucune exigence dans la loi américaine ou dans l’opinion judiciaire » obligeant le DoD à « obtenir une ordonnance du tribunal afin d’acquérir, d’accéder ou d’utiliser » des informations disponibles dans le commerce qui « sont également disponibles à l’achat pour les étrangers ». adversaires, entreprises américaines et particuliers comme c’est le cas pour le gouvernement américain. »
Dans une autre réponse à Wyden, le chef de la NSA, le général Paul Nakasone, a déclaré à Wyden que « la NSA prend des mesures pour minimiser la collecte d’informations sur les personnes américaines » et « continue d’acquérir uniquement les données les plus utiles liées aux exigences de la mission ». Cela inclut certaines informations disponibles dans le commerce sur les Américains « où un côté des communications est une adresse de protocole Internet américaine et l’autre est située à l’étranger », des données qui, selon Nakasone, sont « essentielles à la protection de la base industrielle de défense américaine » qui alimente les systèmes d’armes militaires.
Alors que la FTC a jusqu’à présent réprimé quelques courtiers en données, Wyden estime que la pratique douteuse consistant à vendre des données sans le consentement éclairé des Américains est un problème « à l’échelle du secteur » qui nécessite une réglementation. Plutôt que d’être des clients sur ce marché fragmentaire, les agences de renseignement devraient cesser de financer des sociétés prétendument coupables de ce que la FTC a décrit comme une surveillance « intrusive » et « incontrôlée » des Américains, a déclaré Wyden.
Selon Moultrie, le DNI Haines décide quelles sources d’informations sont « pertinentes et appropriées » pour aider les agences de renseignement.
Mais Wyden estime que les Américains devraient avoir la possibilité de refuser de consentir à une collecte de données aussi invasive et secrète. Il a déclaré qu’en achetant des données auprès de courtiers louches, les agences de renseignement américaines ont contribué à créer un monde dans lequel les consommateurs n’ont aucune possibilité de consentir à un suivi intrusif.
« Le secret entourant les achats de données a été amplifié parce que les agences de renseignement ont cherché à garder le peuple américain dans l’ignorance », a déclaré Wyden à Haines.