T-Mobile a affirmé qu’il était légal de vendre des données de localisation sans consentement, mais les juges ne sont pas d’accord

Commentaires Hacker News

• Voici comment se désinscrire via opt-out chez les principaux opérateurs mobiles américains

  • ATT : il est possible d’en faire la demande sur https://www.att.com/consent/ccpa/dnsatt
  • T-Mobile : on peut accéder au tableau de bord de confidentialité depuis le Privacy Center et modifier les réglages pour chaque ligne/compte
    • Profilage et décisions automatisées (activé par défaut)
    • Prévention de la fraude et de l’usurpation d’identité (partage des informations de compte et d’usage)
    • Partage de certaines informations financières (historique de paiement, etc.)
    • Publicité/analyses/reporting et « ne pas vendre ou partager mes données personnelles »
  • Verizon : aller dans Account > Account Settings > Privacy Settings depuis le compte MyVerizon, ou gérer cela dans l’application après avoir cliqué sur l’icône d’engrenage
    • Pour des éléments comme Custom Experience, Custom Experience Plus, Business & Marketing Insights, CPNI, vérification d’identité, etc., on peut choisir l’opt-out avec « Don’t use » ou en désactivant le bouton selon le cas

  • En vérifiant moi-même les paramètres de confidentialité de T-Mobile, j’ai constaté que la plupart étaient désactivés, mais que certains étaient encore actifs (par exemple le refus du consentement marketing)

    • Pour tout mettre en opt-out, il faut parfois s’y reprendre plus de deux fois pour que tout soit réellement désactivé
    • L’élément apparu récemment, « profilage et décisions automatisées », est particulièrement préoccupant
    • Il est indiqué qu’on pourra à l’avenir refuser l’usage du profilage pour des décisions ayant une portée juridique significative ; même si ce n’est pas utilisé actuellement, il vaut mieux le désactiver dès maintenant

  • Je me demande si ce type d’opt-out est aussi possible chez les MVNO (opérateurs mobiles virtuels)

  • Dans mon cas, j’utilise Google Fi, qui est un MVNO reposant sur le réseau T-Mobile

    • Je ne pense pas que Google Fi vende des données de localisation, mais comme le réseau est celui de T-Mobile, T-Mobile peut potentiellement y avoir accès
    • Mais je n’ai pas de compte T-Mobile, donc je ne sais pas non plus comment faire l’opt-out
    • Je me demande si quelqu’un connaît la réalité de la vente de données de localisation chez Google Fi ou plus largement chez les MVNO

  • Je reste sceptique quant à l’efficacité réelle de ces réglages

  • Merci pour l’info

    • Je pensais avoir tout désactivé depuis longtemps dans le tableau de bord T-Mobile, mais j’ai constaté qu’environ cinq éléments, dont « vendre mes données personnelles », étaient encore activés

• Le mois dernier, en traversant les États-Unis en voiture avec un téléphone T-Mobile US, j’ai eu l’expérience choquante de voir les appels spam me suivre en temps réel avec des indicatifs correspondant à l’endroit où je me trouvais

  • Je pensais avoir déjà désactivé tous les réglages possibles via le tableau de bord des paramètres de confidentialité, mais en revérifiant récemment j’ai vu que plus de la moitié étaient de nouveau activés par défaut
  • Le fait que de nouvelles options soient ajoutées et activées par défaut oblige à vérifier en permanence, et ça m’agace profondément

  • J’ai moi aussi fait récemment un long trajet en voiture, et c’était glaçant de voir des appels spam arriver exactement avec l’indicatif local de l’endroit où j’étais

  • Je suis curieux de connaître l’économie de ce commerce de données

    • On dirait qu’ils collectent la localisation en masse plusieurs fois par jour, alors même qu’il ne semble pas y avoir une telle demande ; je me demande donc si ces données valent si peu, et quel est l’intérêt économique réel pour l’opérateur

  • Pendant la pandémie, j’ai gardé un numéro de Los Angeles tout en vivant dans la baie de San Francisco, et je suis passé chez Mint Mobile

    • Depuis 5 ans, la différence est nette : je reçois très peu d’appels spam avec l’indicatif local
    • Les rares appels que je reçois semblent liés, d’après le sujet ou le contexte, à mon activité professionnelle locale bien réelle
    • Il est encore difficile de dire si la confidentialité de Mint MVNO (= réseau T-Mobile) est meilleure, ou si certaines applications relient en pratique le numéro et la position réelle de l’utilisateur pour exposer cette information

  • La plupart de mes appels spam viennent du même indicatif régional que mon numéro de mobile

  • Quand j’étais chez T-Mobile, je recevais très peu d’appels spam, mais dès que je suis passé chez un autre opérateur, c’est devenu l’enfer

    • T-Mobile et ATT ont tous deux une fonction opt-in gratuite qui bloque près de 90 % des spams
    • Consumer Cellular n’a rien de comparable, au point que ça me donne envie de revenir chez un grand opérateur

• J’attends avec impatience le jour où la Cour suprême des États-Unis jugera que la FCC agit illégalement et qu’au contraire elle devrait verser de l’argent aux opérateurs

  • La Cour suprême fédérale déteste le DC Circuit presque autant que le Ninth Circuit
    • Dans cette affaire, l’issue semblait décidée avant même le départ

• J’ai une question à propos de la conclusion de l’article selon laquelle « les opérateurs n’ont pas vérifié si l’acheteur avait obtenu le consentement du client »

  • Le système de consentement lui-même me semble largement formel
  • Je vois mal comment l’acheteur de mes données de localisation pourrait obtenir mon consentement ; en pratique, c’est bien à l’opérateur vendeur qu’incombe la responsabilité de recueillir ce consentement

• Je me demande s’il existe un moyen vraiment fiable de bloquer ce type de suivi de localisation, et quelle est la situation chez les autres opérateurs

  • Bloquer l’accès à la localisation pour les applications ne suffit pas ; le suivi au niveau de l’opérateur me paraît bien plus inquiétant et dangereux
  • L’article donne l’impression que ATT et Verizon font eux aussi ce type de suivi

  • En plus de l’opt-out chez l’opérateur, il existe aussi des méthodes de blocage physique bien concrètes, comme « activer le mode avion et n’utiliser que le Wi‑Fi » ou « transporter le téléphone dans une pochette Faraday »

  • Le suivi par l’opérateur n’est pas aussi précis que le GPS

    • La position peut souvent avoir plus d’un mile (1,6 km) d’écart
    • Autrefois, les banques s’en servaient pour considérer une transaction comme normale si le téléphone se trouvait dans la même ville quand la carte était utilisée ailleurs dans cette ville
    • Aujourd’hui, elles se tournent plutôt vers des silent push via les applications pour récupérer directement l’IP ou la localisation
    • L’achat de données de localisation opérateur n’est d’ailleurs pas donné

  • Depuis longtemps, je voudrais une fonction de type Remote Desktop permettant de piloter à distance mon téléphone principal via Internet

    • Les appels destinés à mon numéro habituel seraient reçus sur un autre téléphone jetable via un tunnel Internet
    • L’idée étant de garder la localisation du numéro principal fixée en un seul endroit

  • La seule méthode vraiment efficace : sortir, casser son téléphone en deux et le jeter à la poubelle avant de partir

• Je me demande ce qu’il faudrait pour briser l’oligopole du marché mobile américain

  • Même si ces pratiques continuent, il semble peu probable qu’ils aient à en répondre réellement
  • La FCC limite elle-même l’accès au spectre radio, empêchant les petits entrants d’arriver sur le marché
  • Les MVNO, au final, exploitent eux aussi les réseaux des trois grands

  • Ce type d’infrastructure télécom est un exemple classique de « natural monopoly »

    • Il faudrait séparer l’infrastructure des tours et l’activité de service au consommateur, avec de véritables protections de la vie privée

  • Le président américain actuel dispose d’un pouvoir quasi monarchique, donc il faudrait un nouveau réalignement politique, une refonte de la structure du marché, ou un changement dans l’attribution du spectre

    • Le marché seul n’a pas la force de démanteler les opérateurs mobiles ; l’État doit intervenir directement

  • Boost Mobile, filiale d’EchoStar/DISH, est le quatrième opérateur

    • Ajit Pai l’a fait émerger à partir des actifs de Sprint lors de la fusion T-Mobile/Sprint, et l’entreprise affirme pouvoir couvrir désormais 70 % de la population américaine
    • EchoStar/DISH est très endetté, et Boost connecte en réalité encore une bonne partie de ses clients au réseau AT&T

  • L’entrée d’un nouvel acteur nécessite un capital colossal

    • Une grande partie part en frais judiciaires face au lobbying et au financement politique des opérateurs déjà détenteurs du spectre

  • Il faudrait sans doute un cas choc du type « oh shit », où des fuites de données enverraient des gens dans des camps d’internement, pour provoquer une vraie prise de conscience

    • Il me semble que la FCC a aussi historiquement l’ambition d’évoluer comme une utility d’intérêt public, à l’image de l’électricité ou du gaz
    • J’écris ceci depuis l’Europe, où le RGPD s’applique réellement, et dans l’UE les amendes pour ce type de pratique sont suffisamment lourdes pour ne pas être de simples tapes sur les doigts
    • En dehors de cela, la structure du marché télécom n’est pas si différente de celle des États-Unis

• Il faut garder à l’esprit que, dans la plupart des pays, la vente de données de localisation issues des téléphones mobiles est déjà illégale

  • Cela revient à vendre les informations sur l’endroit et le moment où vous êtes monté dans un bus, puis où vous en êtes descendu