Si vous avez déjà lu une politique de confidentialité, vous avez peut-être remarqué une section qui dit quelque chose sur la façon dont vos données seront partagées avec les forces de l’ordre, ce qui signifie que si la police l’exige et dispose des documents nécessaires, elle les obtiendra probablement. Mais peut-être, comme la plupart des adultes américains, vous ne lisez pas très attentivement les politiques de confidentialité, voire pas du tout. Dans ce cas, vous pourriez être surpris d’apprendre à quel point vos données sont entre les mains de tiers, à quel point les forces de l’ordre y ont accès, comment elles pourraient être utilisées contre vous ou quels sont vos droits — le cas échéant — pour les empêcher.

De nombreux insurrectionnistes du Capitole pourraient le découvrir maintenant, car les affaires contre eux sont construites avec des preuves tirées de services Internet tels que Facebook et Google. Bien qu’ils aient laissé une trace de preuves numériques à suivre pour les enquêteurs (et les détectives Internet), toutes ces données n’étaient pas accessibles au public. Si vous lisez des cas de personnes accusées de crimes liés aux événements survenus à Washington le 6 janvier, vous constaterez que le FBI a également obtenu des enregistrements internes de diverses plateformes de médias sociaux et de transporteurs de téléphones mobiles.

Mais vous n’avez pas besoin d’être un prétendu insurrectionnel pour que les forces de l’ordre obtiennent des données vous concernant d’une autre entreprise. En fait, vous n’avez pas du tout à être soupçonné d’un crime. La police utilise de plus en plus des tactiques comme les mandats de perquisition inversés pour saisir les données de nombreuses personnes dans l’espoir de trouver leur suspect parmi elles. Vous pourriez être emporté dans un seul simplement parce que vous étiez au mauvais endroit au mauvais moment ou que vous avez cherché le mauvais terme de recherche. Et vous ne saurez peut-être jamais que vous avez été pris dans le piège.

« Les enquêteurs se rendent chez ces fournisseurs sans suspect et demandent un large éventail d’informations qui ne sont pas ciblées afin d’identifier essentiellement des suspects qu’ils n’avaient pas déjà en tête », a déclaré Jennifer Granick, conseillère en surveillance et cybersécurité pour le projet speech, privacy and technology de l’ACLU, à Recode. « Ces techniques de surveillance de masse sont de plus en plus courantes. »

Fondamentalement, si une entreprise collecte et stocke vos données, la police peut probablement y mettre la main. Et quand il s’agit de votre vie numérique, il y a beaucoup de vos données détenues par des tiers à obtenir. Voici comment ils l’obtiennent.

Comment les forces de l’ordre achètent vos données, sans mandat nécessaire

La bonne nouvelle est qu’il existe des lois sur la protection de la vie privée qui régissent si et comment le gouvernement peut obtenir vos données: La Loi sur la protection de la vie privée des communications électroniques (ECPA), promulguée pour la première fois en 1986, a établi ces règles.

Mais la loi a plusieurs décennies. Bien qu’il ait été mis à jour depuis 1986, bon nombre de ses principes ne reflètent pas vraiment la façon dont nous utilisons Internet aujourd’hui, ni la quantité de nos données qui reste entre les mains des entreprises qui nous fournissent ces services.

Cela signifie qu’il y a des zones grises et des échappatoires, et pour certaines choses, le gouvernement n’a pas du tout à passer par des procédures juridiques. Les forces de l’ordre peuvent et achètent des données de localisation auprès de courtiers de données, par exemple. Et alors que les entreprises de données de localisation affirment que leurs données ont été anonymisées, les experts affirment qu’il est souvent possible de réidentifier les individus.

« La notion est que s’il est disponible à la vente, alors tout va bien », a déclaré Kurt Opsahl, directeur exécutif adjoint et avocat général de l’Electronic Frontier Foundation (EFF). « Bien sûr, l’un des problèmes est que beaucoup de ces courtiers en données obtiennent des informations sans passer par le processus de consentement que vous pourriez souhaiter. »

Et ce ne sont pas seulement des données de localisation. L’ensemble du modèle commercial de la société de reconnaissance faciale Clearview AI consiste à vendre aux organismes d’application de la loi l’accès à sa base de données de reconnaissance faciale, dont une grande partie a été extraite de photos accessibles au public Clearview extraites d’Internet. À moins que vous ne viviez dans une ville ou un État qui a interdit la reconnaissance faciale, il est actuellement légal pour la police de payer pour vos données faciales, quelle que soit la technologie qui les sous-tend.

Cela pourrait changer si quelque chose comme le Quatrième amendement N’est pas à vendre, qui interdit aux forces de l’ordre d’acheter des données disponibles dans le commerce, devenait une loi. Mais pour l’instant, la faille est ouverte.

« L’un des défis de toute loi technologique est que la technologie évolue plus vite que la loi », a déclaré Opsahl. « Il est toujours difficile d’appliquer ces lois dans un cadre moderne, mais a toujours fourni, toutes ces décennies plus tard, une protection solide de la vie privée. Il pourrait certainement y avoir des améliorations, mais il fait encore du bon travail aujourd’hui. »

Ce que les forces de l’ordre peuvent obtenir devant les tribunaux

Si vous êtes soupçonné d’un crime et que la police recherche des preuves dans votre vie numérique, l’ECPA dit qu’elle doit avoir une assignation à comparaître, une ordonnance du tribunal ou un mandat avant qu’une entreprise ne soit autorisée à fournir les données qu’elle demande. C’est-à-dire que l’entreprise ne peut pas simplement le remettre volontairement. Il y a quelques exceptions — par exemple, s’il y a des raisons de croire qu’il y a un danger imminent ou qu’un crime est en cours. Mais dans le cas d’enquêtes criminelles, ces exceptions ne s’appliquent pas.

De manière générale, le processus juridique que les enquêteurs doivent utiliser dépend des données qu’ils recherchent:

• Assign facebook : Cela donne aux enquêteurs ce qu’on appelle des informations sur les abonnés, telles que votre nom, votre adresse, la durée de service (depuis combien de temps vous avez votre profil Facebook, par exemple), les informations de journal (lorsque vous avez passé des appels téléphoniques ou que vous vous êtes connecté à votre compte Facebook) et les informations de carte de crédit.
• Ordonnance du tribunal, ou ordonnance « D « : Le D fait référence à l’article 18 du Code américain § 2703(d), qui stipule qu’un tribunal peut ordonner aux fournisseurs de services Internet de fournir aux forces de l’ordre tout enregistrement sur l’abonné autre que le contenu de leurs communications. Cela pourrait donc inclure qui vous a envoyé un e-mail et quand, mais pas le contenu de l’e-mail réel.
• Mandat de perquisition: Cela permet aux forces de l’ordre d’accéder au contenu lui-même, en particulier au contenu stocké, qui comprend des e-mails, des photos, des vidéos, des publications, des messages directs et des informations de localisation. Alors que l’ECPA dit que les e-mails stockés pendant plus de 180 jours peuvent être obtenus avec une simple citation à comparaître, cette règle remonte à avant que les gens ne conservent systématiquement leurs e-mails sur le serveur d’une autre entreprise (jusqu’où remonte votre boîte de réception Gmail?) ou l’a utilisé comme sauvegarde. À ce stade, plusieurs tribunaux ont statué qu’un mandat est nécessaire pour le contenu des e-mails, quel que soit l’âge des e-mails, et les fournisseurs de services exigent généralement un mandat avant d’accepter de les remettre.

Si vous souhaitez avoir une idée de la fréquence à laquelle le gouvernement demande des données à ces entreprises, certaines d’entre elles publient des rapports de transparence qui donnent des détails de base sur le nombre de demandes qu’elles reçoivent, le type et le nombre de ces demandes qu’elles remplissent. Ils montrent également à quel point ces demandes ont augmenté au fil des ans. Voici le rapport de transparence de Facebook, voici celui de Google et voici celui d’Apple.L’EFF a également publié un guide en 2017 montrant comment plusieurs entreprises technologiques répondent aux demandes du gouvernement.

Vous n’avez pas besoin d’être un suspect ou impliqué dans un crime pour que les forces de l’ordre obtiennent vos données

Alors, disons que vous avez décidé que vous ne commettrez jamais un crime, donc l’obtention de vos données par les forces de l’ordre ne sera jamais un problème pour vous. Tu as tort.

Comme mentionné ci-dessus, vos données peuvent être incluses dans un achat auprès d’un courtier en données. Ou il peut être récupéré dans un filet numérique, également connu sous le nom de mandat de perquisition inversé, où la police demande des données sur un grand groupe de personnes dans l’espoir de trouver leur suspect en leur sein.

« Ce sont de nouvelles techniques pour découvrir des choses qui n’auraient jamais pu être découvertes dans le passé, et qui ont la capacité de s’attacher à des innocents », a déclaré Granick, de l’ACLU.

Deux exemples de ceci: où vous êtes allé et ce que vous avez cherché. Dans un mandat de geofence, les forces de l’ordre obtiennent des informations sur tous les appareils qui se trouvaient dans une certaine zone à un certain moment — par exemple, où un crime a eu lieu — puis les réduisent et obtiennent des informations de compte pour le (s) appareil (s) qu’elles pensent appartenir à leur (s) suspect (s). Pour les mandats de mots clés, la police peut demander à un navigateur toutes les adresses IP qui ont recherché un certain terme lié à leur cas, puis identifier un suspect possible de ce groupe.

Ces situations représentent encore une zone grise juridique. Alors que certains juges les ont qualifiées de violation du Quatrième amendement et ont refusé les demandes de mandats du gouvernement, d’autres les ont acceptées. Et nous avons vu au moins un cas où des mandats de perquisition inversés ont conduit à l’arrestation d’une personne innocente.

On ne vous dira peut—être pas pendant des années que vos données ont été obtenues – si on vous le dit du tout

Un autre aspect troublant de cela est que, selon ce qui est demandé et pourquoi, vous ne saurez peut-être jamais si la police a demandé vos données à une entreprise ou si cette entreprise les leur a données. Si vous êtes accusé d’un crime et que ces données sont utilisées comme preuves contre vous, vous le saurez. Mais si vos données sont obtenues par achat auprès d’un courtier de données ou dans le cadre d’une demande groupée, vous pourriez ne pas le faire. Si une entreprise vous dit que les forces de l’ordre veulent vos données et vous en informent à l’avance, vous pouvez essayer de combattre vous-même leur demande. Mais les enquêteurs peuvent obtenir des ordres de bâillon qui empêchent les entreprises de dire quoi que ce soit aux utilisateurs, à quel point vous devez espérer que l’entreprise se bat pour vous.

Selon leurs rapports de transparence, Google, Apple et Facebook semblent parfois se battre ou repousser — par exemple, s’ils pensent qu’une demande est trop large ou trop lourde — donc toutes les demandes ne sont pas couronnées de succès. Mais c’est eux. Ce n’est pas nécessairement vrai pour tout le monde.

« Tous les fournisseurs ne sont pas des Google ou des Facebook qui disposent d’un service juridique approfondi avec une expertise sérieuse en droit fédéral de la surveillance », a déclaré Granick. « Certains fournisseurs, nous ne savons pas ce qu’ils font. Peut-être qu’ils ne font rien. C’est un vrai problème. »

La majorité des demandes du gouvernement, même aux plus grandes entreprises du monde, aboutissent à la divulgation d’au moins certaines données d’utilisateurs, et nous avons vu des cas où les données d’une personne ont été données au gouvernement et que cette personne ne savait pas depuis des années. Par exemple, le ministère de la Justice a obtenu des représentants démocrates. Les dossiers d’abonnés d’Adam Schiff et Eric Swalwell (et ceux des membres de leur famille) d’Apple via une assignation à comparaître devant un grand jury. Cela s’est produit en 2017 et 2018, mais les membres du Congrès ne l’ont découvert qu’en juin 2021, lorsque l’ordonnance de bâillon a expiré.

Si vos informations sont balayées dans quelque chose comme un mandat de perquisition inversé mais que vous n’êtes jamais identifié comme suspect ou inculpé, vous ne le saurez peut-être jamais du tout si l’entreprise qui les a fournies ne vous le dit pas. Opsahl, de l’EFF, a déclaré que la plupart des grandes entreprises technologiques publient des rapports de transparence et qu’il est considéré comme une meilleure pratique de l’industrie de le faire. Cela ne signifie pas qu’ils le suivent tous, ni qu’ils n’ont pas à le faire.

Comment vous pouvez empêcher cela

Lorsqu’il s’agit de vos données détenues par des tiers, vous n’avez pas beaucoup de contrôle ou ne dites pas si et ce qu’ils divulgueront. Vous vous fiez à des lois écrites avant l’existence de l’Internet moderne, à leur interprétation par un juge (en supposant que cela passe devant un juge, ce qui n’est peut-être pas le cas), et aux entreprises qui ont vos données pour les combattre. Si vous êtes informé d’une commande en attente, vous pourrez peut-être la combattre vous-même. Ce n’est pas une garantie que vous gagnerez.

La meilleure façon de protéger vos données est d’utiliser des services qui ne les obtiennent pas en premier lieu. Les préoccupations en matière de confidentialité, y compris la possibilité de communiquer sans surveillance gouvernementale, ont rendu populaires ces dernières années les applications de messagerie cryptées telles que Signal et les navigateurs privés tels que DuckDuckGo. Ils minimisent les données qu’ils collectent auprès des utilisateurs, ce qui signifie qu’ils n’ont pas grand-chose à donner si les enquêteurs tentent de les collecter. Vous pouvez également demander aux services de supprimer vos données de leurs serveurs ou de ne pas les télécharger en premier lieu (en supposant que ce soient des options). Le FBI ne peut pas obtenir grand-chose de l’iCloud d’Apple si vous n’y avez rien téléchargé.

À ce stade, les enquêteurs devront essayer d’obtenir les données qu’ils veulent de votre appareil… ce qui est une toute autre boîte de vers légaux.