Juste pour voir
Les services de l’immigration et des douanes s’intéressent aux données collectées par les sociétés de technologies publicitaires pour renforcer leurs pratiques d’enquête.
Les données sensibles récupérées par l’industrie publicitaire peuvent-elles servir des enquêtes menées par les autorités gouvernementales ? Si l’on en croit le service de l’immigration et des douanes (Immigration and Customs Enforcement, ICE) des États-Unis, la réponse pourrait être : oui.
L’émanation de son ministère de l’Intérieur (DHS, Department of Homeland Security) cherche en effet à mettre la main sur les vastes sommes de données de localisation que s’échangent des courtiers de données publicitaires. Présentée comme une étude de marché plutôt qu’un appel d’offres, une récente Request for Information (RFI) de l’entité indique en effet rechercher des renseignements « d’entreprises conformes aux normes de l’AdTech et de services de données de localisation ».
En parallèle, le DHS a tenté à plusieurs reprises d’obtenir des informations sur des comptes de réseaux sociaux critiquant le gouvernement Trump. De manière moins publique, rapporte TechCrunch, ses services se sont adressés à Meta, Google et d’autres pour obtenir des informations sur les comptes d’opposants au président des États-Unis, ou le contenu de leurs échanges en ligne – des requêtes contestées en justice par des ONG, dont l’American Civil Liberties Union (ACLU).
Évaluation de marché
Le document a été émis par le service des enquêtes du ministère de l’Intérieur (Homeland Security Investigations) des États-Unis, relève Biometric Update, ce qui souligne un intérêt actif des services de l’ICE pour des démonstrations de plateformes et d’outils permettant d’accéder à ce type de données.
Comme toutes les RFI, elle précise néanmoins, en majuscule : « IL S’AGIT UNIQUEMENT D’UNE DEMANDE D’INFORMATIONS. Il ne s’agit pas d’un appel d’offres. Cette demande d’informations est uniquement destinée à des fins d’étude de marché, de planification et de collecte d’informations. »
Plus loin, l’ICE explique travailler avec un « volume croissant de dossiers criminels, civils, légaux et administratifs venus de multiples sources internes et externes ». Et déclare chercher à estimer si le marché de l’adtech (technologies publicitaires) propose « des solutions commerciales prêtes à l’emploi existantes et émergentes comparables à celles proposées par les grands fournisseurs de données d’enquête et d’analyses juridiques/de risques ».
L’ADINT, investigation via données publicitaires
L’écosystème de l’ « adtech » est composé d’une multitude de sociétés aussi bien spécialisées dans le logiciel, les plateformes d’analyse de données, que des courtiers de données. Des sociétés comme Gravy Analytics, Datastream, ou l’américain Xander ont ainsi pour activité de réunir des données publicitaires de multiples origines en de vastes jeux de données qu’elles redistribuent ensuite à leurs clients, souvent pour leur permettre de viser plus précisément des « segments d’audience ».
Comme l’ont montré de multiples enquêtes, leurs pratiques de collectes de données de localisation, d’identifiants d’équipements, d’adresses IP ou autres peuvent se révéler très invasives, y compris dans des pays protégés par le Règlement Général sur la Protection des Données (RGPD), comme en Union européenne, ou par des textes similaires.
L’ICE est d’ailleurs loin d’être le premier service à s’intéresser à ce type de jeu de données. En 2022, l’Electronic Frontier Foundation constatait qu’un petit courtier nommé Fog Reveal (Dissipation de brouillard) revendait aux forces de l’ordre locales des milliards de données géolocalisées. Concrètement, ce type d’outil permet de géolocaliser un téléphone portable, sans que les autorités n’aient nécessairement les mandats de perquisition appropriés.
Dans un colloque organisé en 2024 par la CNIL et la Commission nationale de contrôle des techniques de renseignement (CNCTR), le directeur général de la Sécurité extérieure (DGSE) Nicolas Lerner avait évoqué le boom de ce que les professionnels du renseignement qualifient d’ADINT (pour Advertising Intelligence). Une pratique qui peut d’ailleurs aussi bien compromettre la sécurité des personnels des armées ou de services de renseignement que celle des citoyens, comme l’ont démontré des journalistes allemands de Bayerischer Rundfunk et netzpolitik.org.
En un simple coup de téléphone, l’un d’eux avait en effet obtenu un fichier de 3,6 milliards de points de localisation via la plateforme Datarade, ce qui avait notamment permis de repérer des dizaines d’appareils (et leurs mouvements) dans des établissements soupçonnés d’accueillir des membres de la NSA, ou encore dans une base aérienne cruciale dans les opérations de drones américaines.
Dans le cas présent, cela dit, l’intérêt exprimé par l’ICE ne peut se lire sans évoquer le croisement de jeux de données sensibles déjà réalisé par l’éphémère ministère de l’efficacité gouvernementale (DOGE) dans les premiers mois du second mandat de Donald Trump. Ni sans être rapproché des actions violentes de l’ICE contre des citoyens des États-Unis comme des ressortissants d’autres pays présents sur le territoire.
Connexion
