Google a rompu sa promesse, et maintenant l’ICE a mes données

 (eff.org)
2 points par GN⁺ 15 일 전 | 1 commentaires | Partager sur WhatsApp
  • Les données du compte Google de l’étudiant étranger aux États-Unis Amandla Thomas-Johnson ont été transmises au gouvernement via une assignation administrative de l’ICE, en violation de la politique de notification préalable de Google
  • L’EFF a demandé aux procureurs généraux des États de vérifier si le fait, pour Google, d’avoir coopéré avec les forces de l’ordre sans en informer l’utilisateur constitue une pratique commerciale trompeuse
  • Les données transmises comprenaient des informations personnellement identifiables, comme l’adresse IP, l’adresse physique et la durée des sessions, à un niveau jugé suffisant pour établir un profil de surveillance
  • La notification de Google n’a été envoyée qu’après la transmission des données au département de la Sécurité intérieure, privant l’utilisateur de toute possibilité de contestation
  • L’affaire montre comment la combinaison du pouvoir étatique et des données détenues par les entreprises technologiques peut menacer la vie privée et la liberté d’expression

La promesse rompue de Google et l’accès de l’ICE aux données

  • En septembre 2024, Amandla Thomas-Johnson, alors étudiant aux États-Unis, a brièvement participé à une manifestation pro-palestinienne ; en avril 2025, l’Immigration and Customs Enforcement (ICE) a adressé à Google une assignation administrative exigeant ses données
    • Le mois suivant, Google a transmis les données à l’ICE sans en informer l’utilisateur
    • Il s’agit d’un cas où Google a enfreint sa politique indiquant explicitement qu’il notifierait l’utilisateur avant de fournir les données
  • L’Electronic Frontier Foundation (EFF) a déposé une plainte officielle auprès des procureurs généraux de Californie et de New York, leur demandant d’enquêter sur les agissements de Google en tant que pratique commerciale trompeuse
    • Selon l’EFF, Google a rompu sa promesse de notifier l’utilisateur et a coopéré à une enquête ciblée du gouvernement

Conflit avec les autorités migratoires américaines

  • Thomas-Johnson pensait l’affaire terminée après son départ pour le Canada, mais il a réalisé par la suite qu’il n’échappait toujours pas à l’influence du gouvernement américain
    • Sous l’administration Trump, le durcissement de la répression des activités politiques des étudiants étrangers l’a contraint à vivre caché pendant trois mois
    • Des agents fédéraux ont perquisitionné son domicile, et l’un de ses proches a été interrogé à l’aéroport sur l’endroit où il se trouvait
  • Titulaire de la double nationalité britannique et trinidadienne-tobagienne, sans aucune accusation pénale, il est devenu une cible de surveillance uniquement pour avoir participé à une manifestation politique

L’e-mail de notification de Google

  • Alors qu’il séjournait à Genève, en Suisse, il a reçu de Google un e-mail l’informant que ses données avaient déjà été transmises au Department of Homeland Security (DHS)
    • Dans d’autres affaires par le passé, Google et Facebook avaient notifié l’utilisateur à l’avance, ce qui avait conduit les forces de l’ordre à retirer leur demande
    • Mais dans ce cas, l’e-mail constituait une notification finale indiquant que « Google avait déjà fourni les informations conformément à une demande des forces de l’ordre »
    • Il a ainsi confirmé que ses données avaient été remises sans qu’aucune possibilité de contestation ne lui soit offerte

La promesse rompue de Google

  • Dans sa politique officielle, Google indique qu’en cas de demande légale, y compris une assignation administrative, l’utilisateur sera prévenu à l’avance
    • Cette notification est censée garantir à l’utilisateur la possibilité d’engager des démarches juridiques
    • Mais dans le cas de Thomas-Johnson, cette procédure a été omise et les données ont été transmises
  • L’assignation obtenue par l’EFF incluait des informations d’abonné comme l’adresse IP, l’adresse physique et la durée des sessions
    • Une telle combinaison de données permet de constituer un profil de surveillance capable de suivre les déplacements et d’analyser les schémas d’activité
    • Même sans contenu de messages, cela suffit à reconstituer en détail la vie quotidienne d’une personne et son réseau relationnel

La combinaison du pouvoir étatique et des données privées

  • Cette affaire montre que les forces de l’ordre peuvent cibler n’importe qui, et que l’immensité des données détenues par les entreprises technologiques rend cela possible
    • Lorsque se combinent pouvoir d’État, données d’entreprise et inférence fondée sur des algorithmes, le périmètre de la surveillance s’étend de manière invisible
    • Une telle structure rend difficile pour les personnes surveillées de s’en rendre compte ou d’y répondre
  • Thomas-Johnson a quitté les États-Unis, mais dit avoir toujours le sentiment de rester dans le champ de surveillance du gouvernement américain
    • Il dit craindre d’avoir été « classé comme individu ciblé », que son activité journalistique soit surveillée, ou encore de ne pas pouvoir se déplacer en sécurité pour rendre visite à sa famille
    • Il souligne enfin qu’il n’est même pas clair de savoir qui peut être tenu pour responsable

Sujets liés

  • Vie privée (Privacy), liberté d’expression (Free Speech), anonymat (Anonymity)

    • L’affaire montre comment l’expression politique individuelle et la vie privée numérique peuvent être menacées par la structure de surveillance issue de la coopération entre l’État et les entreprises

À lire aussi

1 commentaires

 
GN⁺ 15 일 전
Réactions sur Hacker News

  • La politique de Google contient la formule « nous ne notifions pas lorsque la loi l’interdit »
    Un avocat aurait examiné l’assignation, mais il n’est pas indiqué s’il y avait une ordonnance de non-divulgation (gag order). C’est le point clé si l’on veut soutenir que Google a violé sa politique

    • Selon la lettre ouverte de l’EFF, cette assignation ne comportait pas d’ordonnance de non-divulgation
    • Selon le document de l’ACLU, une ordonnance de non-divulgation jointe à une assignation administrative n’a pas de force juridique, et l’on peut en informer la personne visée ou la rendre publique. De plus, en l’absence d’une décision de justice, il n’existe aucune obligation d’y répondre
    • En pratique, une assignation administrative a une force contraignante limitée, et même si un agent de l’ICE dit « ne le divulguez pas », cela n’a pas d’effet juridique
    • Ce type d’action en justice et de couverture médiatique sert surtout à renforcer un récit militant. Il suffit de lire la politique de Google pour s’en rendre compte, et les bases pour accuser Google sont faibles

  • Cet incident m’a poussé à supprimer complètement mon compte Google, que j’utilisais depuis près de 20 ans
    J’ai vidé 10 ans de Google Photos, résilié Google One, et migré vers Proton Mail et le self-hosting. Je ne confierai pas mes données à une entreprise qui les transmet sur simple mandat administratif

    • La vraie solution consiste à conserver soi-même ses données chiffrées. L’idée qu’il faut tout mettre dans le cloud crée en soi une concentration du pouvoir
    • Il n’est pas nécessaire de migrer tous ses services d’un coup. J’ai basculé vers Fastmail sur plusieurs années, en transférant un compte à chaque fois que Google faisait quelque chose qui me déplaisait. C’était pénible, mais libérateur
    • Je recommande Immich. C’est une solution self-hosted qui remplace presque parfaitement Google Photos
    • Je me demande s’il existe des services d’hébergement qui refusent les demandes de données sans décision de justice. Le self-hosting est idéal, mais le temps manque
    • Je me demande quel workflow a été utilisé pour migrer tous les sites web liés à une adresse Gmail vers Proton Mail. J’aimerais aussi m’y mettre, même si cela prend plusieurs années

  • Beaucoup se focalisent sur les problèmes de confidentialité de Google, mais le vrai problème est que le gouvernement cible des personnes en situation régulière
    Il ne faut pas seulement chercher à échapper à la surveillance de l’État, il faut aussi être en colère contre le fait que cela soit possible

    • Mais interdire aux étrangers de mener des activités politiques est une condition de visa légale dans de nombreux pays. Ce type de restriction a ses raisons

  • Je ne comprends pas comment l’ICE a pu obtenir de tels pouvoirs. L’agence agit presque comme une armée privée

    • Au final, ce sont les électeurs qui lui ont donné ces pouvoirs. Il y a eu 25 ans, depuis le 11-Septembre, pour changer cela, mais personne n’a bougé
    • C’est le Congrès qui a accordé ces pouvoirs, et leur usage n’était limité que par la volonté du président. Aujourd’hui, cette limitation a disparu
    • Google aurait pu refuser l’assignation ou informer la personne visée, conformément aux directives de l’ACLU, mais le vrai problème est qu’il a coopéré volontairement
    • Croire que les pouvoirs sont « accordés » est une illusion. Les agences gouvernementales américaines agissent souvent simplement d’elles-mêmes, et tant qu’aucun autre pouvoir ne les freine, elles continuent. En ce moment, l’administration Trump ignore ces garde-fous
    • Au final, Trump et les républicains ont soutenu ces pouvoirs

  • L’ICE a demandé qu’aucune notification ne soit faite sans décision de justice, et Google semble avoir obtempéré
    Mais on peut se demander pourquoi l’émetteur d’une assignation administrative ne notifie pas directement la personne concernée. Est-ce vraiment à Google d’en porter la responsabilité ?

    • En général, la notification est faite, mais il existe des exceptions pour les non-citoyens, les personnes ayant quitté les États-Unis, ou les enquêtes liées à la sécurité nationale
    • Cela dit, le fait que Google ait fini par notifier la personne est au moins un bon point

  • Je me demande comment Amandla a été identifiée. Était-ce un Stingray pour pister les téléphones sur les lieux de la manifestation ? De la reconnaissance faciale ? Les données du visa ? Dans tous les cas, c’est inquiétant

    • En réalité, les opérateurs vendent des données de localisation sur certaines zones. À cause des lois KYC, le nom et l’e-mail sont déjà enregistrés, et l’État peut y accéder sans prévenir le client

  • Ce qui est intéressant, c’est que l’auteur interprète le document de politique de Google comme une « promesse »
    Mais ce n’est pas un contrat, seulement une description de politique. Ce n’est pas une promesse juridiquement contraignante
    Il est très difficile de prouver le fonctionnement interne de Google ou d’établir son intention. En pratique, il s’agit simplement d’une « déclaration » (representation)
    Les entreprises de la Silicon Valley ne font presque jamais de promesses juridiques à leurs utilisateurs. Si elles le faisaient, elles ne pourraient pas l’assumer

    • Au final, la capacité (capability) compte plus qu’une promesse

  • Je pars du principe que toutes les données qui sortent de chez moi sont suivies et stockées par l’État
    Téléphone, déplacements en voiture, tout est enregistré. Les émeutiers du 6 janvier ont aussi été retrouvés grâce aux données de leurs téléphones

    • Certains ont même laissé des preuves en prenant des selfies à l’intérieur du Capitole
    • Il ne faut pas oublier la leçon : « le cloud, c’est juste l’ordinateur de quelqu’un d’autre ». Gmail, iCloud, AWS, Facebook, WhatsApp, iMessage, c’est toujours la même chose
    • Mais ce mode de pensée peut mener à une défiance totalitaire. Une société où tout le monde soupçonne tout le monde d’être un espion est dangereuse
    • Snowden avait déjà révélé l’existence de cette architecture de surveillance. Il y a eu quelques freins ensuite, mais de nouveaux programmes de surveillance continuent d’apparaître
    • Cette attitude résignée ne sert à rien. Il y a beaucoup de choses que chacun peut faire : VPN, DNS chiffré, éviter le cloud, formation à la sécurité, etc.

  • Confidentialité, technologie et liberté sont profondément liées
    Il est important que ce type d’affaire remonte sur HN, parce que les personnes qui conçoivent les politiques internes ou les technologies chez Google lisent HN
    Ces cas poussent les fondateurs et les décideurs à refaire le calcul : « peut-on faire confiance à Google ? »

    • Rien ne garantit qu’il n’existe pas chez Google une équipe secrète d’exfiltration de données. La seule vraie solution, c’est une architecture open source, avec chiffrement E2E et gestion des clés par l’utilisateur
    • Tant que la technologie est impliquée, ce débat a toute sa place sur HN. Le fait que l’État utilise la technologie pour renforcer la surveillance est un problème grave
    • Il est ironique que des gens qui défendaient la liberté et l’expression détournent le regard sur ce sujet. Des témoignages indiquent même que des étudiants manifestants ont été arrêtés ou ont dû se cacher sous la pression de l’État
    • Certains estiment qu’il est difficile de blâmer Google s’il s’est simplement conformé à la loi. Une entreprise doit agir non comme un militant, mais comme un sujet de droit

  • Cela rappelle l’ancien slogan de Google : « Don’t be evil »

    • Cette formule a déjà été abandonnée il y a une dizaine d’années. Il y a une certaine ironie à voir que « ne pas être malveillant » ait été considéré comme un frein à la croissance de l’entreprise
    • Désormais, ils n’arrivent même plus à respecter « ne soyez pas flippants ». Il n’y a plus de support client et l’ambiance interne est devenue compétitive, donc j’évite Google pour tout ce qui est important
    • En réalité, ce slogan relevait lui-même d’une hypocrisie presque comique. Ce sont souvent les entreprises les plus nocives qui affichent ce genre de formule