Les Etats-Unis ne disposent pas d'une règlementation rigoureuse en matière de respect de la vie privée, qui s'applique aux services télécoms, ce qui commence à agacer de plus en plus de citoyens. Une nouvelle enquête démontre à présent que les données d'emplacement mobile, par lesquelles des appareils peuvent en principe être tracés en temps réel, sont vendues par des opérateurs télécoms à des firmes d'agrégation. Ces dernières les revendent ensuite jusqu'à ce qu'elles aboutissent chez tout un chacun disposant de suffisamment d'argent pour les acquérir.

Ce nouveau scandale a été découvert, après qu'un journaliste du site technologique Motherboard ait donné à un chasseur de primes le numéro de téléphone d'un collègue et lui demanda de rechercher où se trouvait ledit téléphone (avec son autorisation). Il a reçu en retour une capture d'écran de Google Maps avec l'emplacement du téléphone, une donnée correcte jusqu'à quelques centaines de mètres. L'outil utilisé par les chasseurs de primes et autres semble donner l'emplacement en temps réel des clients mobiles, des données qui sont vendues par des entreprises télécoms elles-mêmes, dont T-Mobile, AT&T et Sprint.

Agences immobilières et détectives privés

Ce qui est intéressant à savoir dans cette enquête, c'est que le service, appelé Microbilt, ne vend pas ces données aux agents de police qui, aux Etats-Unis, peuvent tracer depuis longtemps déjà les téléphones mobiles après une perquisition. Ces données sont par contre transférées à de petites entreprises commerciales qui disposent à cette fin d'une licence officielle. On y trouve par exemple des agences immobilières et des vendeurs de voitures, qui les exploitent pour tenter de connaître la situation financière de leurs clients, mais on y trouve aussi des chasseurs de primes et des détectives privés.

Le fait que des entreprises télécoms sachent où leurs utilisateurs mobiles se trouvent, est un secret de polichinelle. Les GSM communiquent en effet de manière permanente avec les pylônes d'antennes, et un opérateur télécom sait donc ainsi toujours approximativement où se trouve chaque appareil. De précieuses informations, qui sont revendues aux Etats-Unis à ce qu'on appelle là-bas des 'location aggregators', à savoir de petites entreprises telles Microbilt, qui collectent et revendent ce genre de données à leurs clients. Selon les opérateurs télécoms, tout cela se fait toujours avec le consentement de la 'cible'. Et généralement, tel est bien le cas. Pensons par exemple aux services de dépannage, qui envoient un SMS posant la question de savoir s'ils peuvent utiliser votre emplacement pour vous retrouver sur le bord de la route. Mais dans le cas des chasseurs de primes par exemple, cela vn habituellement à l'encontre des règles des opérateurs télécoms mêmes.

Dans le cas d'un chasseur de primes, il apparaît aussi fortement que sa cible autoriserait d'être tracée. Selon Motherboard, nombre de données, qui sont obtenues de la part de clients de Microbilt, sont en outre encore revendues au marché noir, sans que personne ne se soucie de qui les détient effectivement. Dans pareil cas, il n'est pas question d'autorisation donnée par la cible, et il y a donc un grand risque que ces services puissent être utilisés entre autres par des harceleurs et autres personnages douteux.

Excuses

Microbilt, de son côté, déclare ne revendre les données qu'à des clients certifiés. Les opérateurs télécoms eux-mêmes ont immédiatement sorti des communiqués, dans lesquels ils insistent sur l'importance pour eux de la confidentialité de leurs clients.

Ce n'est cependant pas la première fois que ce genre de pratique se manifeste. L'année dernière, on apprenait que Securus, lui aussi un 'location aggregator', proposait du traçage téléphonique similaire à des services de police, sans mandat judiciaire. L'affaire avait à l'époque été révélée par le sénateur Ron Wyden, qui demanda à Sprint, AT&T et T-Mobile d'y mettre fin. Les entreprises télécoms concernées avaient ici aussi réagi en déclarant qu'elles allaient prendre des mesures supplémentaires pour veiller à ce que les données de leurs clients ne soient plus abusées.

Aujourd'hui, sept mois plus tard, il semble qu'il n'y ait pourtant pas grand-chose de changé. Les opérateurs télécoms promettent, une fois encore, qu'ils vont immédiatement cessé de vendre les données d'emplacement de leurs clients. Cela devrait être le cas d'ici fin mars pour la plupart. Wyden invite le contrôleur télécom américain FCC à mener de nouveau l'enquête. Les services publics américains ne travaillent cependant pas pour l'instant, parce que le gouvernement est tiraillé depuis quelques semaines déjà à propos des budgets et que personne n'est donc payé.

Entre-temps, surtout au congrès américain, il y a une demande de plus en plus forte d'une meilleure réglementation quant au traitement des données personnelles des citoyens. Après la série de scandales en matière de respect de la vie privée, qui ont éclaté chez Facebook notamment ces dernières années, la volonté croît au sein de la gent politique américaine d'aboutir à une sorte de version américaine du GDPR européen. Ce genre de réglementation était jusqu'il y a peu encore non négociable, mais l'idée fait à présent progressivement son chemin. Reste à savoir si ce type de réglementation sortira aussi dans la pratique.