Des courtiers en données vendent des informations de vol aux douanes américaines et à l’ICE

 (eff.org)
1 points par GN⁺ 2025-07-15 | 1 commentaires | Partager sur WhatsApp
  • Des courtiers en données vendent aux douanes américaines (CBP) et à l’Immigration and Customs Enforcement (ICE) des informations personnelles liées aux vols
  • Il a récemment été révélé qu’Airlines Reporting Corporation (ARC) collecte des dossiers de voyageurs et les partage avec des agences gouvernementales
  • Les informations sont vendues sans le consentement des utilisateurs, ce qui soulève des problèmes de protection de la vie privée et de contournement des droits constitutionnels
  • Des données sensibles de localisation, des historiques d’usage d’Internet et des données de services publics sont elles aussi agrégées de manière similaire puis transmises aux forces de l’ordre
  • Pour remédier à cette situation, la nécessité de lois fortes sur la vie privée, comme Privacy First et Fourth Amendment Is Not For Sale, est de plus en plus mise en avant

Le problème des courtiers en données et de la vente d’informations personnelles

  • Les courtiers en données exploitent depuis longtemps les failles des lois sur la protection des données personnelles pour collecter des informations sur les utilisateurs
  • Ils vendent, sans notre consentement, des données sensibles comme la localisation, et comptent parmi leurs principaux clients les forces de l’ordre
  • Ce marché des données repose sur une logique où quiconque collecte des données personnelles peut en tirer profit, ce qui le rend particulièrement attractif pour des agences gouvernementales cherchant à contourner la loi

Le cas de la vente de données de vol par ARC

  • D’après les révélations de 404 Media et d’autres médias, Airlines Reporting Corporation (ARC) est un courtier en données détenu et exploité par au moins huit grandes compagnies aériennes américaines
  • ARC collecte auprès de compagnies comme United Airlines et American Airlines des listes de passagers, itinéraires complets et détails de paiement, c’est-à-dire des données sensibles sur les billets d’avion, puis les vend discrètement aux douanes américaines (CBP)
  • Les courtiers en données utilisent même des méthodes destinées à masquer la source des informations, afin d’empêcher les agences publiques de révéler leur provenance
  • Autrement dit, cela permet au gouvernement d’accéder à ces informations sans procédure judiciaire, comme un mandat, tout en cachant leur origine, ce qui pose des problèmes d’atteinte à la vie privée et de contournement des droits

Le Travel Intelligence Program (TIP) et ses effets

  • Le Travel Intelligence Program (TIP) d’ARC agrège plus d’un milliard de dossiers de voyages aériens couvrant 39 mois, passés et à venir
  • Dans un rapport interne, le CBP indique avoir besoin de ces informations pour aider à identifier des personnes surveillées par la police locale et celle des États
  • Mais dans un contexte où, aux États-Unis, le contrôle de l’immigration et les interpellations et fouilles abusives se multiplient, le risque augmente que ces informations fassent basculer même des voyageurs innocents dans la catégorie des suspects

L’influence d’ARC et la participation des compagnies aériennes

  • Via ARC, plus de 54 % des informations de vol dans le monde sont traitées, et plus de 200 compagnies aériennes participent à ce réseau
  • Son conseil d’administration comprend de nombreux représentants de compagnies américaines et internationales comme JetBlue, Delta, Lufthansa, Air France et Air Canada
  • En vendant massivement des informations sensibles aux forces de l’ordre, les compagnies aériennes donnent le sentiment de faire passer les revenus avant la vie privée des individus
  • Il a d’ailleurs été récemment révélé que l’ICE avait acheté auprès d’ARC des données personnelles de voyageurs

Effets en cascade et état des atteintes à la vie privée

  • Alors que la liberté de circulation est un pilier des sociétés démocratiques, des courtiers en données comme ARC créent un environnement où l’historique des déplacements peut être suivi en secret
  • Au moment où les débats s’intensifient aux États-Unis sur les risques de préjudices juridiques liés à la nationalité, à la religion ou aux opinions politiques, l’usage des données d’ARC pourrait favoriser des abus de pouvoir
  • Au-delà des informations aériennes, les courtiers en données vendent aussi des données de localisation des smartphones, des données issues de l’infrastructure Internet et des relevés de services publics, élargissant encore le champ des atteintes à la vie privée

Exigences politiques et pistes de solution

  • À un moment où les autorités publiques multiplient, notamment aux frontières, des mesures qui affaiblissent les libertés et les droits, cette *** collecte et vente massive de données suscite une inquiétude encore plus grande***
  • Le cas d’ARC renforce la prise de conscience autour de la nécessité de lois donnant la priorité à la vie privée, comme Privacy First, ainsi que de l’inscription dans la loi du principe de minimisation du traitement des données par les entreprises
  • Il est aussi demandé d’adopter la loi Fourth Amendment Is Not For Sale, afin d’empêcher les forces de l’ordre de contourner l’exigence de mandat en achetant des informations à des courtiers en données
  • Enfin, la régulation des courtiers en données, notamment par leur enregistrement et un renforcement de la transparence, apparaît elle aussi comme une urgence

À lire aussi

1 commentaires

 
GN⁺ 2025-07-15
Avis Hacker News

  • Beaucoup de gens ne réalisent pas à quel point il est facile de construire ce type de modèle de données, même sans accès privilégié aux données primaires. Un prototype que j’ai créé en 2012 montrait qu’on pouvait déjà suivre avec précision, à grande échelle, l’historique des vols de la plupart des gens à partir de simples données de réseaux sociaux ou de publicité. C’est possible depuis très longtemps. En gros, la méthode consiste à filtrer, dans un graphe d’entités, les arêtes spatio-temporelles en dessous de 300 km/h ou de 200 km de distance. Avec ce critère, on pouvait estimer si quelqu’un avait « pris l’avion » et identifier son point de départ et d’arrivée. En reliant ensuite ces arêtes à des données publiques sur les vols ou à des données IoT de maintenance de moteurs à réaction, on pouvait même les faire correspondre à des vols précis. La plupart des gens sous-estiment à quel point de simples données IoT industrielles peuvent servir à inférer des relations dans d’autres domaines. Il existait parfois de rares cas où plusieurs vols restaient possibles en même temps, mais en se basant sur l’historique passé et en choisissant la compagnie aérienne principalement utilisée auparavant, on obtenait presque toujours une correspondance parfaite. C’était remarquablement efficace, sans aucune donnée primaire de compagnie aérienne ni analyse complexe. Au final, le temps et l’espace sont les vraies clés primaires du monde réel

    • En entendant l’explication « on a sélectionné les trajets susceptibles d’être des vols », on voit bien que le vrai sujet est simplement : qui possède au départ les données spatio-temporelles ? Au fond, ce n’est pas très différent de dire « si j’ai l’historique de tes transactions par carte bancaire, je peux savoir quand et où tu es allé et dans quel magasin ». C’est glaçant, mais le plus grave, c’est que cet accès aux données soit possible. Si quelqu’un connaît déjà en détail ta position approximative heure par heure, alors ces données spatio-temporelles ont bien plus de valeur que l’historique de tes embarquements en avion pris isolément

    • Ce que je trouve intéressant, c’est que les gens s’inquiètent qu’on collecte toutes sortes de données personnelles pour en faire mauvais usage, alors qu’en pratique, la plupart du temps, on s’en sert surtout pour leur montrer encore plus de publicité ciblée

    • On trouve ça où, au juste, des choses comme des « données IoT de maintenance de moteurs à réaction » ?

    • J’imagine que l’ICE a besoin de ce type de données pour suivre quand une personne donnée a visité telle ville ou tel pays

  • C’est intéressant de décrire ARC simplement comme un « courtier en données ». En réalité, ARC et IATA sont des chambres de compensation pour les paiements de billets d’avion, et ils assurent aussi le maintien et la supervision des systèmes du secteur. Les données de transaction leur parviennent donc à la source, puis ils en tirent des revenus en les vendant. La différence, c’est qu’on n’est pas ici dans le modèle habituel du courtier qui agrège des données externes pour les revendre : ils possèdent eux-mêmes les données primaires. La question fondamentale est donc de savoir s’il faut autoriser la vente ou le partage de données aussi sensibles et non anonymisées, mais il s’agit bel et bien de données primaires. Ce lien expliquant toute la structure de l’Airline Reporting Corporation vaut le détour

    • Cette explication ne contredit pas vraiment le fond du propos de l’article

  • La quantité et l’étendue des données vendues par les courtiers dépassent l’imagination. Même si vous imaginez quelque chose d’extrême, la réalité est probablement dix fois pire

    • Un de mes collègues a un jour fait la démonstration en ciblant une personne précise avec une bannière publicitaire affichant le message « Je t’avais bien dit que j’étais capable de faire ça, mon pote ! ». Le grand public n’a quasiment aucune idée de ce que les sociétés publicitaires et les courtiers en données savent sur lui

    • Vers 2014, quand je travaillais avec des recruteurs, j’ai vu des outils qui aspiraient des informations sur les gens depuis LinkedIn, Yelp, Twitter, GitHub, Eventbrite, etc. À l’époque déjà, on pouvait réunir assez d’informations pour reconstituer plus de dix ans d’historique. En travaillant avec des acteurs comme Palantir, un gouvernement pourrait probablement pousser jusqu’à l’analyse de style ou l’analyse psychologique à partir de publications Reddit

    • J’ai une idée de projet artistique qui aurait besoin de ce type de profils de données ; si quelqu’un connaît de bonnes sources abordables pour en acheter, je prends. Le projet est tellement vaste que je ne sais même pas par où commencer

    • En travaillant dans ce secteur, j’ai plutôt l’impression que c’est « 1000 fois pire »

    • Je pense que la plupart des utilisateurs de HN comprennent très mal la réalité du secteur. Il faut presque repartir de zéro dans la façon d’aborder le sujet. Beaucoup s’imaginent qu’au pire, c’est Google qui revend leurs données personnelles, alors qu’en réalité l’industrie des données est bien plus laxiste. Par exemple, il est très facile de passer un simple coup de fil et de demander l’historique des transactions par carte bancaire d’un dentiste de quartier de 35 ans, juste pour cette personne, dans le format voulu, et de l’obtenir dans la journée

  • C’est fascinant de voir à quel point le marché de la donnée reste caché. D’innombrables grandes entreprises extraient et échangent des données tous les jours, mais malgré tout le battage autour de la « décentralisation », il n’existe pas de place de marché vraiment ouverte. J’espérais depuis longtemps voir émerger un modèle où l’on pourrait acheter et vendre des données comportementales de manière ouverte, et j’aimerais que les gens cessent d’être de simples « produits » pour devenir des fournisseurs de données rémunérés par les entreprises

    • Je ne dirais pas que c’est si caché que ça. En 2021, il y a eu cette histoire d’une personne qui est allée chez quelqu’un d’autre pour régler une rancune vieille de 50 ans, et les images de vidéosurveillance l’ont montrée avec un dossier PeopleFinders à la main. Ce qui est sidérant, c’est que même des organismes publics vendent ce type de données

    • Au lieu de chercher à extraire encore plus de revenus de ce système, il vaudrait mieux tout fermer et tout arrêter

  • Je ne comprends pas pourquoi le CBP et l’ICE doivent acheter ces informations à des courtiers en données. La TSA scanne déjà les cartes d’embarquement de tout le monde

    • J’imagine que l’accès aux données collectées par la TSA est encadré par des règles et des procédures strictes, alors que pour acheter des informations équivalentes à un courtier, il n’y a presque aucune exigence. Les données peuvent aussi venir de multiples sources, pas seulement de la TSA, mais des compagnies aériennes, des sociétés de paiement, etc. La qualité des données des courtiers n’est pas garantie, mais les démarches sont beaucoup plus simples

    • Quand je travaillais dans une agence fédérale, même pour collecter de simples tweets publics, je devais documenter pourquoi c’était nécessaire, quelles données personnelles seraient stockées, combien de temps elles seraient conservées et comment elles seraient supprimées, puis obtenir une approbation formelle. Même des choses qu’un particulier peut faire le week-end exigent énormément d’autorisations au sein de l’État. Et si, en plus, vous voulez demander les données d’une autre agence, la charge politique devient encore plus lourde. Même entre organismes partenaires, ce n’est pas simple, et on m’a même conseillé qu’évoquer ce type de demande en réunion avec d’autres agences risquait surtout de créer des frictions inutiles. En revanche, si vous achetez les données à un courtier, toute cette complexité disparaît

    • Il y a aussi sans doute le fait que la TSA ne distribue pas les autorisations à la légère. C’est un peu comme lorsque la police a besoin d’un mandat pour demander les données d’un téléphone, mais qu’un opérateur peut vendre des données de localisation en temps réel à un tiers, que la police rachète ensuite. Lien de référence

    • Le gouvernement utilise les entreprises pour contourner le droit et la Constitution, et les entreprises utilisent le gouvernement pour contourner la régulation. C’est un vieux mécanisme

    • Au-delà des raisons juridiques et réglementaires, construire et coordonner en interne des flux de données réellement exploitables par différents services coûte plus cher et demande plus d’efforts que d’acheter ces flux auprès de courtiers déjà spécialisés dans la curation, la gestion et la distribution de données. Même si cela paraît absurde, payer le prix fort pour des données de courtier est souvent plus simple et plus rassurant. Les équipes techniques de la TSA n’ont aucun intérêt à enrichir les données avec des métadonnées ni à gérer des SLA. Les courtiers en données, eux, ont toujours cet intérêt

  • yaelwrites/Big-Ass-Data-Broker-Opt-Out-List est une bonne liste pour commencer à se désinscrire des courtiers en données. En revanche, l’ARC mentionné dans l’article n’y figure pas à l’heure actuelle

  • C’est un peu hors sujet, mais je me demande si quelqu’un connaît des estimations approximatives de ce que les entreprises ordinaires (hors publicité) gagnent réellement en vendant des données consommateurs et des profils comportementaux

  • Il y a eu une discussion liée sur HN il y a environ deux mois, ainsi que cet autre fil

  • Ce qui rend ce cas intéressant, c’est que, par le passé, les pires courtiers pouvaient ignorer les amendes RGPD faute de présence commerciale dans l’UE, ou les considérer comme un simple risque si les profits étaient bien supérieurs, comme Clearview. Mais pour des acteurs comme les compagnies aériennes, dont l’activité principale a de faibles marges et un chiffre d’affaires mondial important, une violation du RGPD est bien plus dangereuse. Si le responsable du traitement est la compagnie aérienne, fournir ces données à un courtier peut être illégal, et comme elles sont fortement exposées à l’UE, il leur sera difficile d’échapper aux sanctions. Dans le pire des cas, un État membre pourrait même saisir l’avion lui-même, voire tenter d’interdire toute exploitation. L’Allemagne a déjà saisi l’avion du prince héritier thaïlandais. Article lié

    • Les compagnies aériennes semblent être une source majeure de données, mais en réalité les sources sont très variées. Un code-barres de carte d’embarquement contient une énorme quantité d’informations, et ce n’est pas chiffré mais simplement encodé, il suffit donc de le lire. Des lecteurs de code-barres sont fabriqués et vendus par de nombreuses entreprises, et il existe beaucoup d’endroits dans les aéroports où l’on scanne ces codes : enregistrement, bagages, duty free, salons, etc. Les informations observées peuvent être accumulées de nombreuses façons. Les scanners de passeport sont aussi bon marché et largement utilisés dans les boutiques d’aéroport ou les agences de location de voiture. Plus récemment, avec la reconnaissance faciale, on peut même embarquer sans vérifier carte d’embarquement ni passeport. Des données annexes comme des réservations Uber peuvent aussi être croisées. Lien détaillé sur les codes-barres

  • Je serais curieux de savoir quelles informations je pourrais obtenir sur moi-même et sur d’autres personnes auprès de courtiers en données si je payais pour cela ; est-ce que quelqu’un sait comment approcher ce type de courtiers ?