L’EFF tient à remercier l’ancienne stagiaire Haley Amster pour la rédaction de ce billet, et l’ancien juriste Nathan Sobel pour son aide dans sa rédaction.
Le quatrième amendement oblige les autorités à cibler les mandats de perquisition à des endroits ou à des objets particuliers – comme une maison, un coffre-fort bancaire ou un téléphone portable – et uniquement lorsqu’il y a des raisons de croire que des preuves d’un crime y seront trouvées. Les rédacteurs de la Constitution ont mis en place ces limites essentielles du pouvoir du gouvernement après avoir subi des perquisitions britanniques appelées «mandats généraux» qui donnaient aux autorités une latitude illimitée pour fouiller presque tout le monde et tout pour trouver des preuves d’un crime.
Pourtant, aujourd’hui, Google facilite l’équivalent numérique de ceux de l’ère coloniale mandats généraux. Grâce à l’utilisation de mandats de clôture géographique (également appelés mandats de localisation inversée), les forces de l’ordre fédérales et étatiques demandent régulièrement à Google de rechercher les comptes des utilisateurs pour déterminer qui se trouvait dans une certaine zone géographique à un moment donné, puis pour suivre les individus à l’extérieur de cette zone et de cette période initialement spécifiques.
Ces mandats sont un anathème pour la garantie de base du quatrième amendement en grande partie parce que, par conception, ils balayent des personnes totalement étrangères au crime faisant l’objet de l’enquête.
Par exemple, en 2020, la police de Floride a obtenu un mandat de clôture géographique dans une enquête pour cambriolage qui les a amenés à suspecter un homme qui circulait fréquemment à vélo dans la région. Google a collecté l’historique de localisation de l’homme lorsqu’il a utilisé une application sur son smartphone pour suivre ses trajets, un scénario qui a finalement conduit la police à le soupçonner du crime même s’il était innocent.
Google est la cheville ouvrière de ce schéma inconstitutionnel. Les autorités envoient des garanties de géofence à Google précisément parce que les appareils, le système d’exploitation, les applications et d’autres produits de Google lui permettent de collecter des données auprès de millions d’utilisateurs et de cataloguer les emplacements, mouvements, associations et autres détails privés de ces utilisateurs.
Bien que Google ait parfois repoussé devant les tribunaux l’étendue de certains de ces mandats, il a largement acquiescé aux demandes des forces de l’ordre – et le nombre de mandats de géorepérage que les forces de l’ordre envoient à l’entreprise a considérablement augmenté ces dernières années. Cela contraste avec documenté les cas d’autres sociétés qui résistent aux demandes des forces de l’ordre concernant les données des utilisateurs pour des motifs du quatrième amendement.
Il est plus que temps pour Google de défendre la vie privée de ses utilisateurs et de résister à ces mandats illégaux. UNE coalition croissante des droits civiques et d’autres organisations, dirigé par le Surveillance Technology and Oversight Project, ont déjà demandé à Google de le faire. Nous nous joignons à l’appel au changement de cette coalition et demandons en outre à Google :
- Résistez au respect des mandats de clôture géographique
- Soyez beaucoup plus transparent sur les mandats de clôture géographique qu’il reçoit
- Aviser tous les utilisateurs concernés, et
- Donnez aux utilisateurs un choix et un contrôle significatifs sur leurs données privées
Comme expliqué ci-dessous, ce sont les mesures minimales que Google doit prendre pour montrer qu’il s’engage à respecter la vie privée de ses utilisateurs et les protections du quatrième amendement contre les mandats généraux.
Premièrement : refuser de se conformer aux mandats de clôture géographique
L’EFF appelle Google à cesser de se conformer aux mandats de clôture géographique qu’il reçoit. Dans l’état actuel des choses, Google semble avoir mis en place un système interne qui rationalise, systématise et encourage l’utilisation par les forces de l’ordre des mandats de clôture géographique. La pratique de Google de se conformer aux mandats de clôture géographique malgré leur inconstitutionnalité est incompatible avec son énoncé promettre pour protéger la vie privée de ses utilisateurs en « gardant vos informations en sécurité, en les traitant de manière responsable et en vous donnant le contrôle ». Pas plus tard qu’en octobre, le PDG de la société mère de Google, Sundar Pichai, dit que « [p]La rivalité est l’un des domaines les plus importants dans lesquels nous investissons en tant qu’entreprise », et dans le passé, Google a même allé au tribunal pour protéger les données sensibles de ses utilisateurs contre les procédures légales gouvernementales excessives. Cependant, le respect par Google des mandats de clôture géographique est incompatible avec ces platitudes et les actions passées de l’entreprise.
Pour tenir ses promesses, Google doit s’engager soit à refuser de se conformer à ces mandats illégaux, soit à les contester devant les tribunaux. En refusant de se conformer, Google imposerait aux forces de l’ordre la charge de démontrer la légalité de son mandat devant les tribunaux. D’autres entreprises, et même Google elle-même, l’ont fait dans le passé. Google ne devrait pas s’en remettre à l’affirmation des forces de l’ordre selon laquelle les mandats de clôture géographique sont constitutionnels, en particulier compte tenu des bien documenté histoire d’essayer de nouvelles théories de surveillance et juridiques que les tribunaux jugent plus tard inconstitutionnelles. Et dans la mesure où Google a refusé de se conformer aux mandats de clôture géographique, il devrait le dire publiquement.
La coopération continue de Google est d’autant plus inacceptable que d’autres sociétés qui collectent des données de localisation similaires auprès de leurs utilisateurs, notamment Microsoft et Garmin, ont déclaré publiquement qu’ils ne se conformeraient pas aux mandats de clôture géographique.
Deuxièmement : soyez vraiment transparent
Même si Google devait cesser de se conformer aux mandats de clôture géographique aujourd’hui, il devrait encore être beaucoup plus transparent sur les mandats de clôture géographique qu’il a reçus dans le passé. Google doit diffuser des informations et fournir plus de détails sur les mandats de clôture géographique dans son rapport semestriel Rapports de transparence.
Les rapports de transparence de Google documentent actuellement, entre autres, les types et le volume de demandes d’application de la loi concernant les données des utilisateurs que l’entreprise reçoit, mais ils ne fournissent pas, pour le moment, d’informations sur les mandats de clôture géographique ou de fournir plus de détails à leur sujet. En l’absence de rapports détaillés de Google sur les mandats de clôture géographique qu’il a reçus, le public doit en apprendre davantage via des fuites aux journalistes ou en passant au peigne fin les documents déposés par les tribunaux.
Voici quelques façons spécifiques pour Google d’être plus transparent :
Réformes immédiates de la transparence
Google doit divulguer les informations suivantes sur tous les mandats de clôture géographique qu’il a reçus au cours des cinq dernières années et s’engager à continuer de le faire à l’avenir :
- Le montant des garanties de géorepérage que Google a reçues à ce jour, ventilé par incréments de 6 mois.
- Le pourcentage de demandes auxquelles il s’est conformé.
- Combien d’identifiants d’appareils Google a divulgués par mandat.
- La durée et la zone géographique couvertes par chaque garantie de clôture géographique.
Google devrait également résister aux ordonnances de non-divulgation et plaider pour s’assurer, si elle est imposée, que le gouvernement a fait la démonstration appropriée requise par la loi. Si Google fait l’objet d’une telle commande ou si le dossier associé est scellé (interdisant à l’entreprise de révéler le fait qu’elle a reçu des mandats de clôture géographique ou de fournir d’autres détails), Google doit mettre fin à ces commandes et desceller ces dossiers afin qu’il peut rendre publics les détails les concernant dès que la loi le permet.
Réformes de transparence à long terme
Google doit également apporter son soutien et chercher à fournir des informations de base sur les affaires judiciaires et les numéros de dossier pour les ordonnances autorisant chaque mandat de clôture géographique et les numéros de dossier pour toute poursuite pénale connexe dont Google a connaissance à la suite des mandats de clôture géographique. Au minimum, Google devrait divulguer des détails sur les agences qui demandent des mandats de clôture géographique, ventilés par agence fédérale, agences au niveau de l’État et forces de l’ordre locales.
Troisièmement : aviser tous les utilisateurs concernés
Google doit commencer à informer ses utilisateurs lorsque leurs informations sont bloquées dans un mandat de clôture géographique, même si ces informations sont anonymisées. Cet avis aux utilisateurs concernés doit indiquer explicitement quelles informations Google a produites, sous quel format, quelle agence l’a demandée, quel tribunal a autorisé le mandat et si Google a fourni des informations d’identification. L’avis aux utilisateurs ici est critique : si les gens ne sont pas conscients de la façon dont ils sont affectés par ces mandats, il ne peut y avoir de débat public significatif à leur sujet.
Dans la mesure où la loi exige que Google retarde la notification ou ne divulgue pas l’existence du mandat, Google doit contester ces restrictions afin de ne se conformer qu’à celles qui sont valides, et il doit informer les utilisateurs dès que possible.
Il ne semble pas que Google avise chaque utilisateur dont les données sont demandées par les forces de l’ordre. Certains utilisateurs concernés a dit que Google les a informés que les forces de l’ordre avaient accédé à leur compte via un mandat de clôture géographique. Mais dans certains des cas suivis par l’EFF, il semble que Google n’ait pas toujours informé les utilisateurs concernés qu’il identifie en réponse à ces mandats, sans explication publique de Google. Les politiques de Google Etat qu’il avise les utilisateurs avant de divulguer des informations, mais plus de clarté est justifiée ici. Google doit indiquer publiquement si sa politique est appliquée à toutes les informations des utilisateurs soumises à des mandats de clôture géographique, ou uniquement à celles qu’ils identifient auprès des forces de l’ordre.
Quatrièmement : Minimisez la collecte de données et offrez aux utilisateurs un choix significatif
Beaucoup les gens ne savent pas, et encore moins comprennent, comment et quand Google collecte et stocke les données de localisation. Google doit faire un meilleur travail pour expliquer ses politiques et pratiques aux utilisateurs, ne pas traiter les données des utilisateurs en l’absence d’un consentement, minimiser la quantité de données qu’il collecte, supprimer les données conservées dont les utilisateurs n’ont plus besoin et donner aux utilisateurs la possibilité de supprimer facilement leurs Les données.
Bien avant que les forces de l’ordre n’interviennent, Google doit d’abord s’assurer qu’il ne collecte pas les données de localisation de ses utilisateurs avant d’obtenir leur consentement valable. Ce consentement devrait établir un moyen équitable pour les utilisateurs d’opter pour la collecte de données, car les accords de clic qui s’appliquent à des dizaines de services, types de données ou utilisations à la fois sont insuffisants. Comme un juge dans une affaire impliquant Facebook En d’autres termes, la logique selon laquelle le simple fait de cliquer sur « J’accepte » indique un véritable consentement exige que tout le monde « prétende » que les utilisateurs lisent chaque mot de ces politiques « avant de cliquer sur leur acceptation, même si nous savons tous que pratiquement aucun d’entre eux ne l’a fait ».
Google devrait également expliquer exactement quelles données de localisation il collecte auprès des utilisateurs, quand cette collecte a lieu, dans quel but elle est utilisée et pendant combien de temps Google conserve ces données. Cela doit être clair et compréhensible, et non enfoui dans des politiques de confidentialité ou des conditions d’utilisation denses.
Google ne devrait également collecter, conserver et utiliser les données de localisation de ses clients que pendant une but spécifique, par exemple pour fournir des itinéraires sur Google Maps ou pour mesurer les embouteillages. Les données ne doivent pas être collectées ou utilisées à des fins différentes, telles que la publicité ciblée, à moins que les utilisateurs ne choisissent séparément cette utilisation. Au-delà de la notification et du consentement, Google doit minimiser son traitement des données utilisateur, c’est-à-dire traiter uniquement les données utilisateur dans la mesure où cela est raisonnablement nécessaire pour donner aux utilisateurs ce qu’ils ont demandé. Par exemple, les données de l’utilisateur doivent être supprimées lorsqu’elles ne sont plus nécessaires aux fins spécifiques pour lesquelles elles ont été initialement collectées, à moins que l’utilisateur ne demande expressément que les données soient enregistrées.
Bien que Google permet aux utilisateurs pour supprimer manuellement leurs données de localisation et pour définir des calendriers de suppression automatisés, Google doit confirmer que ces outils ne sont pas illusoires. Actions répressives récentes des procureurs de l’État alléguer que les utilisateurs ne peuvent pas supprimer complètement leurs données, et encore moins refuser que leurs données de localisation soient collectées.
* * *
Google détient un pouvoir énorme sur la capacité des forces de l’ordre à utiliser les mandats de clôture géographique. Au lieu de garder le silence à leur sujet et d’attendre que les accusés dans des affaires pénales les contestent devant les tribunaux, Google doit défendre ses utilisateurs lorsqu’il s’agit de révéler leurs données sensibles aux forces de l’ordre.