Cher présidente Khan :
Nous vous écrivons pour demander à la Federal Trade Commission (FTC) d'enquêter sur plusieurs constructeurs automobiles - Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz et Kia - pour avoir trompé leurs clients en prétendant faussement qu'ils avaient besoin d'un mandat ou d'une ordonnance du tribunal avant de transmettre les données de localisation de leurs clients à des agences gouvernementales.
Au cours de la dernière décennie, l'industrie automobile a ajouté la connectivité internet à de nombreuses nouvelles voitures. Cette connexion est utilisée par les constructeurs automobiles pour fournir des mises à jour logicielles, collecter des données de diagnostic et suivre les déplacements du véhicule. Toutefois, selon les pratiques des constructeurs automobiles, ces connexions permanentes et les données de localisation collectées par les voitures et renvoyées au constructeur peuvent constituer une menace sérieuse pour la vie privée des Américains. Les données de localisation des véhicules peuvent être utilisées pour identifier les Américains qui ont voyagé pour se faire avorter dans un autre État, qui ont participé à des manifestations, à des groupes de soutien pour l'alcool, la drogue et d'autres types d'addiction, ou pour identifier ceux qui ont des croyances particulières, comme le révèlent les déplacements vers les lieux de culte.
Afin de répondre aux préoccupations exprimées par les législateurs, les défenseurs et les consommateurs, l'industrie automobile a adopté un ensemble volontaire de principes de protection de la vie privée en 2014. L'industrie a soumis ces principes à la FTC et a invité l'agence à les appliquer aux 19 entreprises signataires. Les principes ont été mis à jour en 2018 et en 2022.
Depuis 2014, le secteur s'est engagé à exiger un mandat ou une décision de justice avant de transmettre les données de localisation des véhicules aux autorités chargées de l'application de la loi, sauf en cas d'urgence ou avec le consentement du client. Cependant, de récentes enquêtes menées par nos bureaux ont confirmé que seules certaines entreprises automobiles respectent cet engagement. D'autres entreprises ont révélé qu'elles transmettaient les données de localisation des Américains au gouvernement sur simple assignation, ce qui ne nécessite pas l'examen et l'approbation d'un juge.
Nos enquêtes ont révélé que cinq constructeurs automobiles placent la vie privée de leurs clients au premier plan en exigeant un mandat pour les données de localisation, en l'absence d'une situation d'urgence ou du consentement du client : GM, Honda, Ford, Tesla et Stellantis. La politique de Ford en matière de mandat est récente ; l'entreprise a adopté cette norme plus stricte après s'être entretenue avec le bureau du sénateur Wyden. Bien que moins protectrice de la vie privée des clients, la politique de Hyundai consistant à accepter un mandat ou d'autres ordonnances judiciaires répond à la barre fixée par l'industrie dans ses principes volontaires en matière de protection de la vie privée.
En revanche, Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz et Kia ont tous confirmé qu'ils divulgueraient des données de localisation aux agences gouvernementales américaines en réponse à des citations à comparaître, qui ne nécessitent pas l'approbation d'un juge. Volkswagen a indiqué qu'elle exigerait un mandat pour plus de sept jours de données de localisation, mais qu'elle divulguerait six jours ou moins en réponse à une citation à comparaître. Ces entreprises ne se contentent pas de moins bien protéger la vie privée de leurs clients. Leurs politiques sont en contradiction directe avec l'engagement public qu'elles ont pris et qu'elles ont invité la FTC à faire respecter. En tant que telles, ces entreprises peuvent avoir eu un comportement trompeur, ce qui est interdit par la section 5 de la loi de la FTC.
Les différences significatives en matière de protection de la vie privée entre les différents constructeurs automobiles résultent de l'état actuel de la législation fédérale sur la protection de la vie privée. Le Congrès n'a pas agi pour protéger la vie privée des Américains, et la Cour suprême n'a pas encore donné d'indications claires sur la question de savoir si le quatrième amendement s'applique à toute surveillance gouvernementale des données de localisation des Américains. Bien que l'arrêt Carpenter rendu par la Cour suprême en 2018 ait confirmé que le quatrième amendement s'applique à certaines données de localisation, la Cour a refusé d'émettre une exigence claire et générale en matière de mandat, par exemple lorsque le gouvernement cherche à obtenir des données pour une période d'une semaine ou moins.
Les agences gouvernementales doivent déjà obtenir un mandat pour exiger le contenu des courriels des Américains, leurs photos privées sauvegardées dans le cloud, et pour fouiller leur téléphone. Les données de localisation sont tout aussi sensibles et méritent les mêmes protections solides. De plus, les politiques relatives aux mandats ne nuisent pas à la sécurité publique, car les entreprises sont autorisées, en vertu d'une loi fédérale de longue date, à communiquer des données immédiatement, en cas d'urgence, sans ordonnance du tribunal.
Les pratiques des entreprises en matière de collecte et de conservation des données varient également d'une manière qui a un impact significatif sur la vie privée des utilisateurs. Par exemple, Tesla a indiqué qu'elle ne reçoit actuellement des données de localisation que lorsqu'il y a « un événement de sécurité critique (tel qu'une collision, un déploiement d'airbag ou un freinage d'urgence automatique) ». De même, Mercedes-Benz a indiqué que l'entreprise « ne s'engage pas dans la collecte systématique de données de localisation historiques du véhicule » et ne stocke que l'emplacement le plus récent où un véhicule a été garé, qui est supprimé une fois que le véhicule est garé à un nouvel emplacement. En revanche, Hyundai a indiqué qu'elle collectait et conservait systématiquement les données de localisation des véhicules pendant une période pouvant aller jusqu'à 15 ans,Toyota jusqu'à 10 ans et Honda jusqu'à 7 ans. Ne pas recevoir ou stocker de données de localisation est de loin la mesure la plus importante que les entreprises peuvent prendre pour protéger la vie privée de leurs clients. Non seulement ces pratiques garantissent que les constructeurs automobiles ne peuvent pas être contraints de violer la vie privée de leurs clients, mais elles réduisent également les dommages potentiels lorsque des pirates informatiques ou des espions étrangers volent les données d'une entreprise.
Enfin, les constructeurs automobiles diffèrent également de manière significative sur la question importante de savoir si les clients sont informés qu'ils ont été espionnés. Parmi les constructeurs automobiles qui ont répondu au bureau du sénateur Wyden, seul Tesla a actuellement pour politique d'informer les clients des demandes légales, à moins que l'entreprise n'ait reçu une ordonnance de silence judiciaire. Les autres constructeurs automobiles n'informent pas leurs clients des demandes gouvernementales concernant leurs données, même s'ils sont autorisés à le faire. Les politiques de notification de la surveillance gouvernementale constituent une pratique exemplaire importante en matière de protection de la vie privée, suivie par de nombreuses entreprises technologiques. Alors que les personnes poursuivies en justice sont généralement informées par le gouvernement de la manière dont il a obtenu les preuves à leur encontre, les personnes qui sont prises dans les filets du gouvernement et qui ne sont jamais inculpées peuvent ne jamais être informées de cette surveillance. Les avis fournis par les entreprises technologiques ont également joué un rôle important dans la révélation des abus de la surveillance gouvernementale, y compris les enquêtes visant à identifier les sources des journalistes.
Nos enquêtes sur les pratiques des principaux constructeurs automobiles en matière de protection de la vie privée ont mis en évidence des différences significatives entre ces constructeurs, qui peuvent avoir une incidence sur la vie privée, la liberté et la sécurité des Américains. Mais les consommateurs ne peuvent voter avec leur portefeuille que lorsque les entreprises - ou les régulateurs - mettent à la disposition du public des informations aussi importantes sur les produits. Dans le cas présent, les constructeurs automobiles n'ont pas seulement tenu les consommateurs dans l'ignorance de leurs pratiques réelles, mais plusieurs entreprises les ont trompés pendant plus d'une décennie en ne respectant pas les principes volontaires du secteur en matière de protection de la vie privée. Étant donné le travail récent de la Federal Trade Commission (FTC) pour sévir contre l'utilisation trompeuse des données de localisation par les entreprises, nous demandons instamment à la FTC d'enquêter sur les affirmations trompeuses de ces constructeurs automobiles ainsi que sur leurs pratiques néfastes en matière de conservation des données. En outre, étant donné l'audace de la tromperie des constructeurs automobiles, nous vous demandons instamment, en plus de prendre des mesures appropriées à l'encontre des entreprises, d'envisager de tenir les cadres supérieurs de ces entreprises responsables de leurs actions.
Nous vous remercions de l'attention que vous porterez à cette question importante.
Je vous prie d'agréer, Madame la Présidente, l'expression de nos salutations distinguées,
Ron Wyden et Edward J. Markey
Partager