Il est temps pour Google de résister aux mandats de clôture géographique et de défendre ses utilisateurs concernés

Il est temps pour Google de résister aux mandats de clôture géographique et de défendre ses utilisateurs concernés

L'EFF tient à remercier l'ancienne stagiaire Haley Amster pour la rédaction de ce billet, et l'ancien juriste Nathan Sobel pour son aide dans sa rédaction.

Le quatrième amendement exige que les autorités ciblent les mandats de perquisition à des endroits ou à des choses particuliers, comme une maison, un coffre-fort bancaire ou un téléphone portable, et uniquement lorsqu'il y a des raisons de croire que des preuves d'un crime y seront trouvées. Les rédacteurs de la Constitution ont mis en place ces limites essentielles au pouvoir du gouvernement après avoir subi des perquisitions britanniques appelées «mandats généraux» qui donnaient aux autorités une latitude illimitée pour fouiller presque tout le monde et tout pour rechercher des preuves d'un crime.

Pourtant, aujourd'hui, Google facilite l'équivalent numérique de ces mandats généraux de l' ère coloniale. Grâce à l'utilisation de mandats de clôture géographique (également appelés mandats de localisation inversée), les forces de l'ordre fédérales et étatiques demandent régulièrement à Google de rechercher les comptes des utilisateurs pour déterminer qui se trouvait dans une certaine zone géographique à un moment donné, puis pour suivre les individus à l'extérieur de cette zone et de cette période initialement spécifiques.

Ces mandats sont un anathème pour la garantie de base du quatrième amendement en grande partie parce que, par conception, ils balayent des personnes totalement étrangères au crime faisant l'objet de l'enquête.

Par exemple, en 2020, la police de Floride a obtenu un mandat de clôture géographique dans une enquête pour cambriolage qui l'a amenée à suspecter un homme qui circulait fréquemment à vélo dans la région. Google a collecté l'historique de localisation de l'homme lorsqu'il a utilisé une application sur son smartphone pour suivre ses trajets, un scénario qui a finalement conduit la police à le soupçonner du crime même s'il était innocent.

Google est la cheville ouvrière de ce schéma inconstitutionnel. Les autorités envoient des garanties de géofence à Google précisément parce que les appareils, le système d'exploitation, les applications et d'autres produits de Google lui permettent de collecter des données auprès de millions d'utilisateurs et de cataloguer les emplacements, mouvements, associations et autres détails privés de ces utilisateurs.

Bien que Google ait parfois repoussé devant les tribunaux l'étendue de certains de ces mandats, il a largement acquiescé aux demandes des forces de l'ordre – et le nombre de mandats de géorepérage envoyés à l'entreprise a considérablement augmenté ces dernières années. Cela contraste avec les cas documentés d'autres entreprises qui résistent aux demandes des forces de l'ordre concernant les données des utilisateurs pour des motifs du quatrième amendement.

Il est plus que temps pour Google de défendre la vie privée de ses utilisateurs et de résister à ces mandats illégaux. Une coalition croissante d'organisations de défense des droits civiques et d'autres organisations , dirigée par le Surveillance Technology and Oversight Project, a déjà demandé à Google de le faire. Nous nous joignons à l'appel au changement de cette coalition et demandons en outre à Google :

  • Résistez au respect des mandats de clôture géographique
  • Soyez beaucoup plus transparent sur les mandats de clôture géographique qu'il reçoit
  • Aviser tous les utilisateurs concernés, et
  • Donnez aux utilisateurs un choix et un contrôle significatifs sur leurs données privées

Comme expliqué ci-dessous, ce sont les mesures minimales que Google doit prendre pour montrer qu'il s'engage à respecter la vie privée de ses utilisateurs et les protections du quatrième amendement contre les mandats généraux.

Premièrement : refuser de se conformer aux mandats de clôture géographique

L'EFF appelle Google à cesser de se conformer aux mandats de clôture géographique qu'il reçoit. Dans l'état actuel des choses, Google semble avoir mis en place un système interne qui rationalise, systématise et encourage l'utilisation par les forces de l'ordre des mandats de clôture géographique. La pratique de Google de se conformer aux mandats de clôture géographique malgré leur inconstitutionnalité est incompatible avec sa promesse déclarée de protéger la vie privée de ses utilisateurs en « protégeant vos informations, en les traitant de manière responsable et en vous donnant le contrôle ». Pas plus tard qu'en octobre, le PDG de la société mère de Google, Sundar Pichai, a déclaré que "[la] confidentialité est l'un des domaines les plus importants dans lesquels nous investissons en tant qu'entreprise", et dans le passé, Google est même allé en justice pour protéger ses utilisateurs. « données sensibles provenant d'un processus juridique gouvernemental excessif. Cependant, le respect par Google des mandats de clôture géographique est incompatible avec ces platitudes et les actions passées de l'entreprise.

Pour tenir ses promesses, Google doit s'engager soit à refuser de se conformer à ces mandats illégaux, soit à les contester devant les tribunaux. En refusant de se conformer, Google imposerait aux forces de l'ordre de prouver la légalité de son mandat devant les tribunaux. D'autres entreprises, et même Google elle-même, l' ont fait dans le passé . Google ne devrait pas s'en remettre à l'affirmation des forces de l'ordre selon laquelle les mandats de clôture géographique sont constitutionnels, en particulier compte tenu de l'histoire bien documentée des forces de l'ordre d'essayer de nouvelles théories de surveillance et juridiques que les tribunaux jugent plus tard inconstitutionnelles. Et dans la mesure où Google a refusé de se conformer aux mandats de clôture géographique, il devrait le dire publiquement.

La coopération continue de Google est d'autant plus inacceptable que d'autres sociétés qui collectent des données de localisation similaires auprès de leurs utilisateurs, notamment Microsoft et Garmin , ont déclaré publiquement qu'elles ne se conformeraient pas aux mandats de clôture géographique.

Deuxièmement : soyez vraiment transparent

Même si Google devait cesser de se conformer aux mandats de clôture géographique aujourd'hui, il devrait encore être beaucoup plus transparent sur les mandats de clôture géographique qu'il a reçus dans le passé. Google doit diffuser des informations et fournir plus de détails sur les mandats de clôture géographique dans ses rapports de transparence semestriels .

Les rapports de transparence de Google documentent actuellement, entre autres, les types et le volume de demandes d'application de la loi concernant les données des utilisateurs que l'entreprise reçoit, mais ils ne fournissent pas, pour l'instant, d'informations sur les mandats de clôture géographique ou de fournir plus de détails à leur sujet. En l'absence de rapports détaillés de Google sur les mandats de clôture géographique qu'il a reçus, le public doit en apprendre davantage via des fuites aux journalistes ou en passant au peigne fin les documents déposés par les tribunaux.

Voici quelques façons spécifiques pour Google d'être plus transparent :

Réformes immédiates de la transparence

Google doit divulguer les informations suivantes sur tous les mandats de clôture géographique qu'il a reçus au cours des cinq dernières années et s'engager à continuer de le faire à l'avenir :

  • Le montant des garanties de géorepérage que Google a reçues à ce jour, réparties par incréments de 6 mois.
  • Le pourcentage de demandes auxquelles il s'est conformé.
  • Combien d'identifiants d'appareils Google a divulgués par mandat.
  • La durée et la zone géographique couvertes par chaque garantie de clôture géographique.

Google doit également résister aux ordonnances de non-divulgation et intenter une action en justice pour s'assurer, si elle est imposée, que le gouvernement a fait la démonstration appropriée requise par la loi . Si Google fait l'objet d'une telle commande, ou si le dossier associé est scellé (interdisant à l'entreprise de révéler le fait qu'elle a reçu des mandats de clôture géographique ou de fournir d'autres détails), Google doit mettre fin à ces commandes et desceller ces dossiers afin qu'il peut rendre publics les détails les concernant dès que la loi le permet.

Réformes de transparence à long terme

Google doit également soutenir et chercher à fournir des informations de base sur les affaires judiciaires et les numéros de dossier pour les ordonnances autorisant chaque mandat de clôture géographique et les numéros de dossier pour toute poursuite pénale liée dont Google a connaissance à la suite des mandats de clôture géographique. Au minimum, Google devrait divulguer des détails sur les agences qui demandent des mandats de clôture géographique, ventilés par agence fédérale, agences au niveau de l'État et forces de l'ordre locales.

Troisièmement : aviser tous les utilisateurs concernés

Google doit commencer à informer ses utilisateurs lorsque leurs informations sont bloquées dans un mandat de clôture géographique, même si ces informations sont anonymisées. Cet avis aux utilisateurs concernés doit indiquer explicitement quelles informations Google a produites, sous quel format, quelle agence l'a demandée, quel tribunal a autorisé le mandat et si Google a fourni des informations d'identification. L'avis aux utilisateurs ici est critique : si les gens ne sont pas conscients de la façon dont ils sont affectés par ces mandats, il ne peut pas y avoir de débat public significatif à leur sujet.

Dans la mesure où la loi exige que Google retarde la notification ou ne divulgue pas l'existence du mandat, Google doit contester ces restrictions afin de ne se conformer qu'à celles qui sont valides, et il doit informer les utilisateurs dès que possible.

Il ne semble pas que Google avise chaque utilisateur dont les données sont demandées par les forces de l'ordre. Certains utilisateurs concernés ont déclaré que Google les avait informés que les forces de l'ordre avaient accédé à leur compte via un mandat de clôture géographique. Mais dans certains des cas suivis par l'EFF, il semble que Google n'ait pas toujours informé les utilisateurs concernés qu'il identifie en réponse à ces mandats, sans explication publique de Google. Les politiques de Google stipulent qu'il avertit les utilisateurs avant de divulguer des informations, mais une plus grande clarté est justifiée ici. Google doit indiquer publiquement si sa politique s'applique à toutes les informations des utilisateurs soumises à des mandats de clôture géographique, ou uniquement à celles qu'ils identifient auprès des forces de l'ordre.

Quatrièmement : Minimisez la collecte de données et offrez aux utilisateurs un choix significatif

Beaucoup de gens ne savent pas, et encore moins comprennent, comment et quand Google collecte et stocke les données de localisation. Google doit faire un meilleur travail pour expliquer ses politiques et pratiques aux utilisateurs, ne pas traiter les données des utilisateurs en l'absence d'un consentement, minimiser la quantité de données qu'il collecte, supprimer les données conservées dont les utilisateurs n'ont plus besoin et donner aux utilisateurs la possibilité de supprimer facilement leurs Les données.

Bien avant que les forces de l'ordre n'interviennent, Google doit d'abord s'assurer qu'il ne collecte pas les données de localisation de ses utilisateurs avant d'obtenir leur consentement valable. Ce consentement devrait établir un moyen équitable pour les utilisateurs d'opter pour la collecte de données, car les accords de clic qui s'appliquent à des dizaines de services, types de données ou utilisations à la fois sont insuffisants. Comme l'a dit un juge dans une affaire impliquant Facebook , la logique selon laquelle le simple fait de cliquer sur « J'accepte » indique un véritable consentement exige que tout le monde « prétende » que les utilisateurs lisent chaque mot de ces politiques « avant de cliquer sur leur acceptation, même si nous savons tous que pratiquement aucun d'eux ne l'a fait.

Google doit également expliquer exactement quelles données de localisation il collecte auprès des utilisateurs, quand cette collecte a lieu, dans quel but elle est utilisée et pendant combien de temps Google conserve ces données. Cela doit être clair et compréhensible, et non enfoui dans des politiques de confidentialité ou des conditions d'utilisation denses.

Google ne doit également collecter, conserver et utiliser les données de localisation de ses clients qu'à des fins spécifiques , par exemple pour fournir des itinéraires sur Google Maps ou pour mesurer les embouteillages. Les données ne doivent pas être collectées ou utilisées à des fins différentes, telles que la publicité ciblée, à moins que les utilisateurs ne choisissent séparément cette utilisation. Au-delà de la notification et du consentement, Google doit minimiser son traitement des données utilisateur, c'est-à-dire traiter uniquement les données utilisateur dans la mesure où cela est raisonnablement nécessaire pour donner aux utilisateurs ce qu'ils ont demandé. Par exemple, les données de l'utilisateur doivent être supprimées lorsqu'elles ne sont plus nécessaires aux fins spécifiques pour lesquelles elles ont été initialement collectées, à moins que l'utilisateur ne demande expressément que les données soient enregistrées.

Bien que Google autorise les utilisateurs à supprimer manuellement leurs données de localisation et à définir des calendriers de suppression automatisés, Google doit confirmer que ces outils ne sont pas illusoires. Les récentes mesures d'exécution prises par les procureurs de l'État allèguent que les utilisateurs ne peuvent pas supprimer complètement leurs données, et encore moins refuser que leurs données de localisation soient collectées.

* * *

 Google détient un pouvoir énorme sur la capacité des forces de l'ordre à utiliser des mandats de clôture géographique. Au lieu de garder le silence à leur sujet et d'attendre que les accusés dans des affaires pénales les défient devant les tribunaux, Google doit défendre ses utilisateurs lorsqu'il s'agit de révéler leurs données sensibles aux forces de l'ordre.


Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/08/its-time-google-resist-geofence-warrants-and-stand-its-affected-users le Thu, 12 Aug 2021 17:31:38 +0000.