La Customs and Border Protection (CBP) des États-Unis a suivi les déplacements des personnes en exploitant l’écosystème de la publicité en ligne

 (404media.co)
1 points par GN⁺ 2026-03-06 | 1 commentaires | Partager sur WhatsApp
  • Il a été confirmé, à travers des documents internes du Department of Homeland Security (DHS), que la CBP a acheté des données de localisation issues de l’industrie de la publicité en ligne pour suivre les déplacements d’individus
  • Ces données sont collectées par des applications courantes comme des jeux, des applis de rencontre et des trackers d’activité, ce qui permet d’observer sur une longue période les variations détaillées de localisation des utilisateurs
  • Les documents montrent le risque potentiel que ces données publicitaires soient utilisées comme outil de surveillance par des agences gouvernementales
  • L’ICE a lui aussi acheté un outil similaire pour surveiller les déplacements de téléphones mobiles à l’échelle d’une zone entière, et étudie l’acquisition de données supplémentaires issues de l’« Ad Tech »
  • Environ 70 élus ont demandé à l’inspecteur général du DHS d’enquêter sur l’achat de données de localisation par l’ICE, mettant en lumière le problème du manque de transparence dans l’usage gouvernemental des données

L’utilisation des données publicitaires par la CBP

  • Selon des documents internes du DHS, la CBP a acheté des données de localisation collectées dans l’écosystème de la publicité en ligne afin de suivre les déplacements des personnes
    • Les données sont recueillies via des applications courantes comme des jeux vidéo, des services de rencontre et des trackers d’activité
    • Cela permet de reconstituer avec précision, heure par heure, les changements de position et les trajets d’un individu
  • Les documents montrent que ces données constituent un outil puissant pouvant être utilisé à des fins de surveillance par des agences gouvernementales
    • Tout en laissant entrevoir un risque d’atteinte à la vie privée

Cas similaire d’achat de données par l’ICE

  • Il a également été confirmé que l’ICE (Immigration and Customs Enforcement) a acheté un outil similaire capable de surveiller les déplacements de téléphones mobiles sur l’ensemble d’une zone
    • L’ICE a récemment manifesté son intérêt pour l’acquisition de données supplémentaires issues des technologies publicitaires (Ad Tech)
  • Après un article de 404 Media, ces éléments ont été révélés par des documents publics de marchés publics

Réponse du Congrès

  • Environ 70 élus ont adressé une lettre à l’inspecteur général du DHS pour demander l’ouverture d’une nouvelle enquête sur l’achat de données de localisation par l’ICE
    • La lettre soulève des questions sur la légalité de ces achats de données et le risque d’abus de surveillance

Évaluation des experts

  • Johnny Ryan, de l’Irish Council for Civil Liberties (ICCL), a décrit les données publicitaires comme une « mine d’or permettant de suivre la localisation et les comportements de consommation de tout le monde »
    • Il a averti que la vente de données publicitaires pouvait constituer une menace grave pour la protection de la vie privée

Information sur l’accès limité à l’article

  • Le contenu intégral est réservé aux abonnés payants et nécessite un abonnement pour être consulté dans son ensemble
    • Un lien d’inscription gratuite ou de connexion est également proposé

À lire aussi

1 commentaires

 
GN⁺ 2026-03-06
Réactions sur Hacker News

  • Lien vers l’archive de l’article

  • Dans mon travail, je manipule souvent des données publicitaires, et les journalistes comprennent mal beaucoup de choses
    Les données de localisation sont en réalité très imprécises. Comme l’OS ou le navigateur bloquent assez bien l’accès à la position, les informations de localisation fournies par les réseaux publicitaires ne sont le plus souvent que des estimations grossières basées sur l’IP
    Les réseaux publicitaires ont intérêt à exagérer la qualité de leurs données. Et le suivi au niveau de l’utilisateur est bien plus difficile qu’on ne l’imagine. Même si le SDK de chaque app envoie des signaux, sans clé permettant de relier l’utilisateur entre les apps, tout est traité comme des données distinctes
    C’est pour cela qu’on voit parfois des pubs affichées sur la base de l’historique de recherche d’une autre personne ayant la même IP
    Les données de bidstream, en particulier, ne sont qu’un fragment d’information au moment de la diffusion publicitaire en temps réel, donc mal adaptées au suivi individuel. Des données comme celles de Mobilewalla servent davantage à analyser des tendances qu’à suivre des personnes
    En pratique, même les agences gouvernementales n’utilisent ces données que de façon limitée — par exemple, le CBP a cherché à détecter une activité anormale de téléphones près de la frontière, et l’IRS a essayé d’utiliser les données de Venntel, sans succès
    Au final, je pense que la seule solution est la disparition progressive de la publicité ciblée. En l’état actuel, le gouvernement n’est pas au niveau où il pourrait identifier des individus grâce à ces données

    • J’ai auparavant travaillé dans l’adtech, puis j’ai quitté le secteur. Une entreprise appelée Factual utilisait des géorepérages (geofences) bien plus petits que ce que ses propres règles autorisaient, et notre boîte a continué à les utiliser en le sachant
      Le CEO disait : « ce n’est pas nous qui les avons créés, donc ce n’est pas un problème », mais au final nous jouions le rôle d’intermédiaire dans un système qui suivait les gens en haute résolution. Il faut regarder en face ce que ce secteur a détruit
    • En fusionnant les sources de données, on peut faire bien plus qu’on ne le croit.
      Parmi les travaux pertinents : Large-Scale Online Deanonymization with LLMs et Robust De-anonymization of Large Sparse Datasets
    • Que ce soit le gouvernement ou les publicitaires, personne n’a besoin de connaître ma position. Même si les données sont « approximatives », c’est une atteinte à la vie privée
    • Entièrement d’accord

  • C’est regrettable que le Privacy Act prévoie une exception pour les objectifs de maintien de l’ordre. À l’époque, on n’imaginait sans doute pas que toutes les actions du gouvernement seraient qualifiées de « law enforcement »
    Il existe un cadre éthique pour le traitement des données personnelles par le gouvernement américain, les Fair Information Practice Principles
    Mais dans la réalité, le standard de l’État revient plutôt à « c’est acceptable tant que c’est légal », donc on reste au minimum juridique plutôt que de viser l’intérêt public

    • Le problème, ce n’est pas la loi, c’est l’existence même des données. Dès qu’elles existent, que ce soit l’État ou des initiés, quelqu’un finit par en abuser

  • En ce moment, ma vision de la protection de la vie privée est en train de changer. On n’en est plus à simplement se défendre, j’ai l’impression qu’on est désormais activement attaqués
    Des gens perdent leurs moyens de subsistance ou leur réputation à cause des atteintes à la vie privée. Je ne peux quasiment rien faire, et des entreprises savent même quand je vais aux toilettes
    Elles s’en servent pour m’afficher de la pub, puis vendent les données pour que des institutions corrompues puissent en abuser légalement
    Au bout du compte, quand la seule option est de « continuer à encaisser », je ne sais pas qui nous protégera

    • Cela dit, on peut quand même améliorer un peu les choses. Il existe déjà des services de suppression de données personnelles qui gèrent les données déjà diffusées

  • Il y a quelque chose d’ironiquement absurde à voir l’argent du contribuable servir à surveiller les contribuables et à soutenir l’industrie publicitaire

  • Je n’ai installé que 26 apps sur mon téléphone. Parmi elles, 4 sont des extensions Safari, 1 est une PWA, et 1 est une app que j’ai développée moi-même
    Avec NextDNS, je bloque au maximum le pistage, et je n’utilise pas les réseaux sociaux. Je pense que c’est le mieux qu’on puisse faire de façon réaliste

    • Mais le téléphone lui-même envoie en continu des données de localisation à l’opérateur. Le gouvernement peut récupérer ces données sans mandat. Au final, tous ces efforts ne sont qu’un « théâtre de la vie privée »
    • En plus, le téléphone transmet 24 heures sur 24 sa position précise aux antennes-relais

  • On a l’impression que la nouvelle de Cory Doctorow, « Scroogled (2007) », est devenue réalité
    Lien vers le texte original

    • En 2007, cela ressemblait à une théorie du complot, mais c’était avant les révélations de Snowden (2013). Le directeur de la NSA a déclaré « nous tuons des gens grâce aux métadonnées » sept ans plus tard
      L’atteinte à la vie privée progresse lentement, mais sans relâche, et finit par ouvrir la porte au « Turnkey Tyrant » (une tyrannie prête à l’emploi)
    • Ce n’est plus de « l’imitation », on est désormais au stade de la mise en œuvre
    • C’était une bonne histoire

  • J’ai été surpris d’apprendre que le commentaire supprimé (octoclaw) était un LLM. Quoi qu’il en soit, le vrai problème, c’est à quel point ces données sont bon marché et faciles d’accès. Pas seulement pour le gouvernement : n’importe qui peut y accéder
    C’est pour ça qu’il ne faut emporter son téléphone qu’en cas de nécessité

    • Si ce commentaire a été supprimé, c’est justement parce que c’était un LLM
    • Mais du point de vue du consommateur moyen, ces données ne sont pas si bon marché

  • Je me demande si des lois de protection des données à l’européenne pourraient empêcher ce genre de choses. Mais vu la situation politique américaine, il y a peu de chances que de telles lois voient le jour

    • Même si on vote des lois, cela ne sert à rien si le gouvernement les ignore
    • En théorie, si on refuse le consentement dans les pop-ups et qu’on refuse aussi toutes les rubriques cachées de « l’intérêt légitime », les données ne devraient pas être collectées, mais en pratique, à cause des dark patterns et de systèmes d’audit opaques, les données de la plupart des gens continuent d’être collectées
      Et si c’est justement le gouvernement qui achète ces données, il n’aura aucune raison de sanctionner les violations commises par les entreprises
    • La question « des lois à l’européenne pourraient-elles empêcher ça ? » est trop simpliste. Le problème n’est pas seulement l’absence de loi, mais le fait que
      1. les apps collectent des données de localisation précises,
      2. l’infrastructure publicitaire les diffuse via le RTB,
      3. des brokers les revendent,
      4. le gouvernement contourne la collecte directe en les achetant,
      5. et les régulateurs sont structurellement incapables d’y mettre fin
        Le RGPD est plus strict, mais à cause des limites de son application, l’écosystème adtech existe toujours
        En fin de compte, l’essentiel n’est pas « des lois à l’européenne », mais une architecture réglementaire réelle intégrant limitation de la collecte, interdiction de la revente, interdiction des achats par l’État et obligations d’audit

  • J’ai déjà travaillé de près avec ce type de systèmes de données. Officiellement, la politique interne était de ne pas surveiller les citoyens américains, mais en pratique, le réseau de revente de données était beaucoup trop avide. Plus on vendait, plus on gagnait

    • Mais alors, comment détermine-t-on la citoyenneté ? Par exemple, je suis citoyen américain, mais j’ai créé mon compte Gmail en Australie, et selon les connexions je suis parfois redirigé vers un domaine australien. Dans ce cas, mes données pourraient très bien être classées comme celles d’un étranger et donc intégrées à la surveillance