Le FBI achète des données de localisation pour suivre les citoyens américains, confirme son directeur

 (techcrunch.com)
1 points par GN⁺ 2026-03-19 | 1 commentaires | Partager sur WhatsApp
  • Il est désormais officiellement confirmé que le FBI achète des données de localisation commercialisées pour suivre des citoyens américains
  • Ces données proviennent d’informations collectées via des applications et jeux mobiles grand public, puis fournies par des courtiers en données
  • Le FBI affirme que cette pratique est légale même sans mandat, et soutient qu’elle est conforme à la Constitution et à l’Electronic Communications Privacy Act (ECPA)
  • Le sénateur Ron Wyden dénonce une violation du quatrième amendement et demande l’interdiction de l’achat d’informations sans mandat
  • Au Congrès, la Government Surveillance Reform Act, qui vise notamment à combler les failles de supervision des courtiers en données, a été déposée

Reprise des achats de données par le FBI

  • Lors d’un témoignage devant le Congrès, il a été confirmé que le FBI avait recommencé à acheter des données et historiques de localisation d’Américains
    • Il s’agit de la première reconnaissance officielle de cette pratique depuis 2023
    • L’ancien directeur Christopher Wray avait déjà reconnu des achats passés, tout en affirmant alors que l’agence « n’en achetait pas actuellement »
  • Les données sont fournies par des courtiers en données, qui vendent principalement des informations collectées via des applications et jeux destinés aux consommateurs

Position du FBI et fondement juridique

  • Le directeur Kash Patel a déclaré que le FBI achetait des « informations commerciales conformes à la Constitution et à l’Electronic Communications Privacy Act (ECPA) »
    • Il a témoigné que ces informations avaient conduit à une « collecte de renseignements utile »
  • Interrogé davantage, un porte-parole du FBI a refusé de commenter au-delà des propos de Patel
    • Ni la fréquence des achats de données ni l’identité précise des courtiers concernés n’ont été révélées

Polémique sur l’achat de données sans mandat

  • Le sénateur Ron Wyden a dénoncé l’action du FBI comme une « manière de contourner le quatrième amendement »
    • Le quatrième amendement prévoit que le gouvernement doit obtenir un mandat délivré par un juge pour fouiller ou saisir les appareils ou données d’une personne
  • Ces dernières années, des agences gouvernementales américaines ont eu recours à l’achat de données commerciales pour éviter la procédure de mandat judiciaire

Cas similaires dans d’autres agences fédérales

  • Il a également été établi que Customs and Border Protection (CBP) avait acheté des données collectées via des services de real-time bidding (RTB)
    • Le RTB est une technologie clé de l’industrie publicitaire, utilisée pour collecter des données de localisation et d’identification à des fins de ciblage publicitaire
    • Des entreprises de surveillance peuvent s’appuyer sur ce processus pour déterminer la position d’un utilisateur et la revendre à des courtiers en données ou à des agences gouvernementales

Vide juridique et réponse législative

  • Le FBI soutient qu’aucun mandat n’est nécessaire pour utiliser ces données, mais ce fondement juridique n’a jamais été validé par les tribunaux
  • Le sénateur Wyden et d’autres élus ont présenté la Government Surveillance Reform Act, un texte bipartisan
    • Le projet de loi imposerait une obligation de mandat judiciaire lorsque des agences fédérales achètent auprès de courtiers en données des informations concernant des Américains

À lire aussi

1 commentaires

 
GN⁺ 2026-03-19
Réactions sur Hacker News

  • Le problème bien plus grave, c’est qui vend ces données
    Le schéma est le suivant : une app grand public intègre un SDK publicitaire → le SDK envoie des signaux de localisation à une place de marché publicitaire RTB → des entreprises à visée de surveillance récupèrent les données pendant le processus d’enchères → ces données finissent chez des courtiers en données sans lien direct avec le consommateur, puis sont revendues à des agences gouvernementales, entre autres
    À chaque étape, la responsabilité est diluée et personne ne vérifie réellement le consentement. Le vrai problème, au fond, c’est que ces données sont devenues un produit que n’importe qui peut acheter

    • Apple et Google encouragent eux aussi cette vente de données
      Dans un modèle où les apps gratuites monétisent les données personnelles, ces deux entreprises affirment effectuer des contrôles de sécurité en échange de commissions élevées, mais en pratique elles laissent faire en connaissance de cause
      Au niveau de l’OS, il n’est pas difficile d’identifier quelles apps se livrent à ce genre de pratiques
    • Il faut bloquer les deux extrémités du marché des données
      Il faut interdire la vente de données sans consentement explicite, et interdire aussi à l’État d’acheter ce type de données au regard du quatrième amendement
      Même s’il fallait obtenir un consentement pour l’usage par les pouvoirs publics, en pratique presque personne ne l’accorderait
    • Je ne garde que les apps strictement nécessaires et je supprime toutes les autres
      Avec le temps, on se rend compte à quel point il y a d’apps inutiles, c’en est presque surprenant
    • Le modèle RTB existe déjà depuis plus de dix ans
      Je sais que des constructeurs automobiles vendent des données à des assureurs, mais je me demande si l’État peut aussi acheter ces données sur le marché
    • Le résumé est exact
      Un simple jeu installé il y a un an peut être à l’origine du problème
      Il est important de toujours vérifier les réglages de localisation de son smartphone, et cela aide aussi à économiser la batterie

  • Je pense que les données de localisation devraient être réglementées au même niveau que les écoutes
    La transmission de mes données de localisation à des tiers devrait exiger un consentement explicite, et un consentement global ne devrait pas suffire
    Les données permettant d’identifier une personne en temps réel devraient être traitées avec une rigueur encore plus grande

    • Il ne faut pas créer de faille du type « présomption raisonnable de consentement de bonne foi »

  • Dans l’arrêt Carpenter v. United States (2018), il a été dit que l’État devait obtenir un mandat pour récupérer des données de localisation auprès d’un opérateur télécom
    Mais si l’utilisateur a accepté le suivi de localisation dans une app, le fait qu’une entreprise vende ensuite ces données relève d’une autre question
    La cause profonde, c’est qu’on abandonne trop facilement sa vie privée pour utiliser des technologies

    • La faille, c’est toujours la sécurité nationale. Même la Cour suprême ne l’applique pas correctement
    • L’administration Trump contournait les décisions qui ne lui plaisaient pas en les ignorant simplement

  • Il y avait autrefois au Chaos Computer Conference une présentation DIY d’un chercheur allemand qui suivait les déplacements de responsables politiques
    C’est difficile à retrouver aujourd’hui

  • Il faut abolir la Third Party Doctrine (doctrine du tiers)
    Il faut régler par la loi le problème fondamental de la collecte et du partage des données

    • Les développeurs devraient créer des produits qui ne manipulent pas du tout les données des utilisateurs et l’annoncer de manière transparente
      À qualité comparable, les gens choisiront des produits centrés sur la vie privée

  • Le rôle du FBI est d’enquêter sur les crimes commis sur le territoire national
    Je me demande donc pourquoi des entreprises privées participent aussi activement à cet écosystème de traçage
    Le problème, c’est cet état d’esprit du type : « si ce n’est pas illégal, il n’y a pas de raison de s’inquiéter »

    • C’est simplement un business lucratif. On achète des données bon marché pour les revendre plus cher, et la plupart des courtiers en données ont déjà une mauvaise réputation
    • La surveillance de l’ensemble de la population ne fait pas partie de la mission du FBI
    • Les entreprises n’y participent que pour une seule raison : l’argent. S’il y a du profit, elles feront n’importe quoi
    • Quand un acte nuisible est illégal, c’est déjà mauvais ; quand il devient légal, c’est pire ; et quand il devient obligatoire, c’est le pire
    • Les entreprises à but lucratif ont pour obligation légale de maximiser l’intérêt des actionnaires
      Le FBI utilise la doctrine du tiers pour contourner l’esprit du quatrième amendement
      Le Congrès évite d’en prendre la responsabilité en refusant de l’inscrire explicitement dans la loi

  • Je me demande comment les SDK publicitaires continuent à suivre les utilisateurs sur iOS alors que le GUID a disparu

    • Les seules données de localisation peuvent suffire à identifier une personne
      Par exemple, un schéma où quelqu’un se trouve la nuit dans un certain ensemble résidentiel et le jour dans un bureau précis est presque unique
    • Faire du fingerprinting d’un appareil qui a installé une app est presque aussi facile que dans un navigateur web
      Avec l’IP, la localisation, les habitudes d’usage des apps, la taille d’écran, la version de l’OS, etc., une identification probabiliste est tout à fait possible

  • Le texte est bien écrit, mais je ne suis pas d’accord avec la conclusion
    Les données peuvent donner lieu à plusieurs interprétations

  • C’est une manière de contourner le quatrième amendement

    • Oui. Mais ce n’est pas inconstitutionnel
      Le sénateur Wyden a lui aussi déclaré que le fait d’acheter des données sur les Américains sans mandat constituait un contournement révoltant du quatrième amendement
      C’est pour cela qu’il faut aux États-Unis une loi forte sur la vie privée. Il faut chercher, lors des élections, des candidats qui soutiennent cela

  • Les États-Unis ont des attentes à double standard vis-à-vis du gouvernement et des entreprises
    On attend du gouvernement qu’il respecte la loi et soit transparent, alors que les entreprises sont perçues comme des entités uniquement motivées par le profit
    Le FBI choisit donc de ne pas surveiller directement, mais d’acheter des données via des entreprises dont on admet déjà qu’elles sont « naturellement cupides »
    Cette structure est un exemple parfait d’évitement des responsabilités