États-Unis : les opérateurs téléphoniques vendent les données de localisation de leurs clients,
à des parties tierces

Il y a quelques jours, nous parlions du scandale lié à Securus Technologies, une entreprise technologique qui offre en bonus aux forces de l’ordre un service de géolocalisation. Pour ce faire, Securus fait appel à un ensemble d’agrégateurs de localisation qui obtiennent des informations directement auprès des entreprises de télécommunications, généralement dans le but de fournir un service commercial. La société texane Securus obtiendrait ses données de 3CInteractive, qui à son tour achète des données de LocationSmart.

Kevin Bankston, directeur de l'Open Technology Institute of New America, a expliqué que la Loi sur la confidentialité des communications électroniques vient restreindre uniquement la capacité des entreprises de télécommunications à divulguer des données au gouvernement. Elle ne limite pas la divulgation à d'autres sociétés, qui peuvent ensuite divulguer ces mêmes données au gouvernement.

Pour lui, cette échappatoire est « l'une des plus grandes lacunes de la législation américaine sur la protection de la vie privée ».

« Cette lacune semble ne pas avoir été directement contestée auparavant. Cependant, à cause de la façon dont la loi limite les divulgations par ces types de sociétés uniquement au gouvernement, je crains qu'elle soutient qu'ils peuvent faire ce tour de passe-passe et s’arranger de la sorte » a-t-il regretté.

Verizon fait partie des nombreuses entreprises de télécommunications qui vendent l'accès à ses vastes quantités de données de localisation des clients et qui considèrent LocationSmart comme étant un partenaire proche.

« Nous utilisons la même technologie que celle utilisée pour l'assistance d'urgence, notamment la localisation des tours cellulaires et des cellules, le GPS assisté et la trilatération des tours cellulaires », indique une étude de cas sur le site Web de la société.

« Avec ces sources de localisation, nous sommes en mesure de localiser pratiquement tous les appareils mobiles basés aux États-Unis » , a déclaré l'entreprise.

Nom : locationsmart.png
Affichages : 1353
Taille : 29,5 Ko

S’appuyer sur les tours de téléphonie cellulaire pour effectuer une géolocalisation est moins précis que de passer par un GPS. Cependant, l’avantage est que ces types de données ne drainent pas la batterie d’un téléphone, sans compter qu’elles n’exigent pas d’un utilisateur l’installation d’une application quelconque.

Selon une autre étude de cas, la localisation précise d'une personne peut être retournée en 15 secondes, et les données ne sont généralement pas mises en cache plus de deux minutes.

D'autres sociétés vont alors acheter l'accès aux données de LocationSmart - ou les données sont obtenues par un client de LocationSmart, comme 3Cinteractive. Les entreprises achètent les données de localisation de LocationSmart pour plusieurs raisons. Parfois pour des raisons commercials, pour aider à localiser un magasin à proximité, ou pour envoyer un message texte de type marketing lorsqu’une personne visite un magasin rival. Les données de localisation peuvent même être utilisées par les entreprises pour suivre les livraisons, les banques pour lutter contre la fraude (par exemple si une personne effectue des transactions par carte à des intervalles de quelques minutes) etc.

Cependant, peu importe le cas, l'entreprise a besoin du consentement explicite de l'utilisateur avant que ses données de localisation puissent être utilisées. Techniquement, cela peut se faire par exemple par un message texte ponctuel ou en lui permettant de donner son accord via un bouton dans une application.

LocationSmart a également déclaré qu'il permet à certains clients d'obtenir un consentement « implicite », au cas par cas, lorsque « la nature du service implique que l'emplacement sera utilisé ». La compagnie a dit qu'un exemple pourrait être quand un automobiliste appelle l'assistance routière et que l'événement implique que la personne « appelle pour être retrouvée ».

Nom : sec.jpg
Affichages : 1146
Taille : 37,6 Ko

Selon un document du gouvernement de l'État du Nebraska, une application « peut également être configurée - avec l'approbation de l’opérateur téléphonique et la documentation de mandat appropriée - pour récupérer les données de localisation sans que l'utilisateur n'y adhère ». Securus a été en mesure de retourner les données de localisation en temps réel sur les utilisateurs sans leur consentement, car le système exigeait qu'une commande valide soit soumise en premier.

Cependant, comme l'a rapporté le New York Times, Securus n'a jamais vérifié les commandes avant de retourner les résultats.

Dans un billet de blog, l’Electronic Frontier Foundation (EFF), le défenseur des droits numérique, a déclaré que les forces de l’ordre ont violé la loi en ne recherchant pas de données directement auprès des entreprises de télécommunications. « Les forces de l’ordre ne devraient pas avoir un accès sans entrave à ces données, qu'elles proviennent de Securus ou directement des entreprises téléphoniques », a estimé la Foundation.

Le sénateur Ron Wyden (D-Oregon) a appelé chaque opérateur téléphonique à cesser de partager des données avec des tiers. Wyden a fait valoir que le partage « contourne l'obligation légale des opérateurs sans fil d'être le seul moyen par lequel le gouvernement peut surveiller les dossiers téléphoniques des Américains ». Il a également demandé à la FCC d'enquêter sur les opérateurs afin de déterminer la raison pour laquelle ils n’ont pas obtenu le consentement de l'utilisateur.

Sources : Verizon (Network API Partners), lettres envoyées par le sénateur Wyden (à AT&T, à la FTC)

Et vous ?

Qu'en pensez-vous ?
Les opérateurs téléphoniques procèdent-ils de la même façon en France ?
Que dit la loi à ce sujet ?
Un tel partage de données vous semble-t-il justifié ? Pour quelles raisons ?
Qui, selon-vous, devrait être responsable de l'utilisation de ce type de données ?

Voir aussi :

USA : un service pensé pour surveiller des prisonniers aurait été utilisé, pour localiser en temps réel d'autres personnes sans mandat
La police de Raleigh a demandé des données de localisation Google pour identifier les suspects, dans des affaires criminelles
Désactiver le service de localisation de votre Android suffit-il pour ne pas être pisté par Google ? Non, d'après des investigations menées par Quartz
Des cybercriminels utilisent l'application iCloud « Localiser mon appareil » pour verrouiller des Mac et exiger des rançons
Vault 7 : WikiLeaks dévoile ELSA un malware de la CIA qui permet de géolocaliser des PC via des hotspot Wifi