Au cours des trois dernières années, selon Google, les agences publiques californiennes ont de plus en plus exigé des données de localisation collectées à partir des téléphones et autres appareils des personnes via des mandats de géorepérage – un mécanisme de collecte de preuves qui, selon les défenseurs de la vie privée, viole les libertés civiles .
Entre 2018 et 2020, la société a déclaré dans un récent rapport de transparence qu'elle avait reçu 3 655 demandes de mandat de géorepérage d'agences opérant dans l'État.
Mais l'ensemble de données OpenJustice de Californie , où les forces de l'ordre sont tenues par la loi de l'État de divulguer les mandats de géorepérage exécutés ou les demandes d'informations de géorepérage, raconte une histoire complètement différente.
Un examen du balisage des données de l'État entre 2018 et 2020 n'a trouvé que 41 mandats qui pourraient clairement constituer un mandat de géorepérage. Nous avons recherché tout mandat décrit comme ciblant des informations telles que "utilisateurs dans une zone géographique" et "identifiants Google dans une certaine zone".
"Lorsque les fournisseurs vous disent une chose et que le gouvernement vous en dit une autre, alors quelque chose est cassé et il doit être réparé", a déclaré Albert Gidari, qui a été directeur consultant de la confidentialité au Stanford Center for Internet and Society et récemment à la retraite. Il a également représenté Google en tant qu'avocat dans le passé.
Les mandats de clôture géographique permettent aux services de police de recueillir des données sur chaque personne dans une zone spécifiée pendant une certaine période de temps. Les mandats traditionnels, en revanche, sont étroitement adaptés pour recueillir des informations sur une personne spécifique.
Même lorsque The Markup a examiné les mandats enregistrés dans l'ensemble de données OpenJustice de 2020 contenant le mot Google, nous avons constaté que seuls 186 avaient été signalés à l'État. Le rapport de transparence de Google, en revanche, indique que la société a reçu 1 909 demandes de mandat de géorepérage de la Californie en 2020.
Une comparaison des chiffres de 2019 a donné des résultats similaires : Google affirme avoir reçu 1 537 mandats de géorepérage en Californie. Les forces de l'ordre, quant à elles, n'ont signalé publiquement que 168 mandats mentionnant Google au DOJ de Californie.
"Quand j'ai vu le rapport de Google, et je savais ce qu'il y avait dans le rapport du procureur général, c'était incroyablement alarmant et incroyablement préoccupant", a déclaré Nicole Ozer, directrice de la technologie et des libertés civiles pour l'ACLU de Californie.
Le porte-parole de Google, Alex Krasov, a déclaré dans un e-mail que toute agence extérieure à l'État ayant obtenu des mandats de géorepérage par les tribunaux de l'État de Californie ne serait pas incluse dans la base de données du DOJ, ce qui pourrait expliquer une partie de l'écart.
Le rapport de transparence de l'entreprise compte les demandes en fonction du tribunal où le mandat de géorepérage est délivré, et non de l'origine de l'agence d'origine. Le rapport contient un décompte séparé pour les mandats de géorepérage émis par les tribunaux fédéraux.
Krasov a également noté que le rapport est un décompte des demandes de mandat, qui comprend tous les mandats révisés ou modifiés. "Cela est bien sûr différent du nombre de mandats en réponse auxquels nous avons divulgué des informations", a déclaré Krasov, qui n'a pas fourni de chiffres précis sur le nombre de mandats de géorepérage que l'entreprise a effectivement remplis.
Stephen Wm. Smith, juge magistrat fédéral à la retraite et ancien directeur du quatrième amendement et des tribunaux ouverts au Centre pour l'Internet et la société de Stanford, a déclaré que Google est la principale cible des mandats de géorepérage en raison de son énorme base de données Sensorvault , qui comprend des données de localisation granulaires provenant de centaines de des millions d'appareils dans le monde.
"Google est assis sur tellement de données de localisation", a expliqué Smith. « C'est la mine d'or des informations de localisation de tous les fournisseurs. Les compagnies de téléphone disposent de données de localisation, mais elles ne sont généralement pas aussi précises que celles de Google, et elles ne sont pas aussi complètes. »
Google, dans son rapport sur la transparence, a noté que les mandats de géorepérage ont considérablement augmenté au cours des deux dernières années et ont récemment représenté « plus de 25 % de tous les mandats que nous recevons aux États-Unis ».
En 2020, les mandats de géorepérage provenaient principalement de la Californie, suivie du Texas, où Google affirme que la société a reçu 824 mandats de ce type.
Interrogé sur l'écart entre l'ensemble de données OpenJustice et le rapport de transparence de Google, Rishi Khalsa, l'attaché de presse du ministère de la Justice de Californie, a proposé des explications potentielles sur les raisons pour lesquelles des centaines de mandats de géorepérage ciblant l'entreprise semblaient manquer dans sa base de données publique.
« Les données sont autodéclarées par les forces de l'ordre locales. En raison de ces exigences, les données sur notre site Web ne reflètent qu'un sous-ensemble de ces mandats de perquisition », a déclaré Khalsa dans un e-mail. "Les informations auxquelles vous faites référence peuvent être extraites d'un ensemble plus large de données qui peuvent à l'inverse inclure des informations concernant les agences fédérales, les mandats scellés et les cibles connues."
La California Police Chiefs Association, la California District Attorneys Association et la California Peace Officers 'Association n'ont pas répondu aux demandes de commentaires.
La Peace Officers Research Association of California a refusé de commenter.
En 2015, les législateurs californiens ont adopté la California Electronic Communications Privacy Act , ou CalECPA, qui oblige les agences gouvernementales à obtenir un mandat pour les informations électroniques des personnes.
Les agences californiennes sont également tenues de signaler publiquement au bureau du procureur général tout mandat non scellé qui n'a pas de sujet connu, c'est pourquoi l'ensemble de données OpenJustice existe.
Par définition, les mandats de clôture géographique n'ont pas de cibles connues, car ils récupèrent des données générées dans des zones spécifiques, et non par des personnes spécifiques. Et les défenseurs de CalECPA affirment que les mandats scellés ne sont pas une excuse pour ne pas signaler.
La loi permet de retarder une divulgation pour éviter d'interférer avec une enquête en cours, mais, selon les avocats, les mandats devraient éventuellement être rendus publics.
"Ces notifications tardives sont un énorme problème", a déclaré Jennifer Lynch, directrice du contentieux de la surveillance de l'Electronic Frontier Foundation. "Le fait que les forces de l'ordre puissent retarder leur signalement, alors que leur mandat est essentiellement scellé, c'est un énorme problème."
Ces avis retardés sont un énorme problème.
Jennifer Lynch, Fondation Frontière électronique
Lynch a déclaré qu'un manque de rapports dans la base de données de l'État, qui contient également des informations sur l'agence délivrant le mandat, le comté du tribunal où il a été déposé et son calendrier ciblé, rend difficile pour les défenseurs des libertés civiles de garder un œil sur le mandats et les combattre.
"Nous essaierions aussi probablement d'intervenir dans plus de ces cas si nous le pouvions, pour contester le mandat comme étant inconstitutionnel", a déclaré Lynch. "Mais si vous ne les connaissez pas, comment vous impliquez-vous dans les affaires?"
Les mandats de clôture géographique ne sont pas le seul mécanisme de surveillance avec des différences entre les rapports privés et publics. Gidari, l'ancien directeur de la confidentialité de Stanford CIS, a également constaté un écart entre le nombre d'écoutes téléphoniques signalées par les compagnies de téléphone et les entreprises de technologie dans les rapports de transparence et la divulgation publique envoyée au Congrès chaque année .
Il a constaté que les écoutes téléphoniques étaient sous-déclarées en raison d'un manque d'application de la loi et de l'absence de formats normalisés pour soumettre ces divulgations.
Les critiques ont soulevé les mêmes préoccupations avec CalECPA après avoir vu les écarts entre les divulgations légalement obligatoires et le rapport de transparence de Google sur les mandats de géorepérage.
« Cela montre que le principal problème avec ces exigences de déclaration est : 'Quel est le mécanisme d'application ?' », a déclaré Lynch.
Khalsa du DOJ de Californie a déclaré que la loi ne prévoyait pas de sanctions spécifiques en cas de non-signalement, mais les services de police sont toujours tenus de divulguer publiquement ces mandats électroniques.
Lorsque The Markup a examiné la base de données OpenJustice, nous avons constaté un manque de cohérence dans l'application exacte de la loi sur les données signalée à l'État. Alors que certaines agences ont explicitement étiqueté les mandats comme "geofence" ou "google reverse location obscurcir les identifiants", d'autres ont proposé des descriptions plus vagues, comme "preuves liées au crime" et simplement "mandat".
Smith, l'ancien magistrat, a souligné que parfois les forces de l'ordre rédigent des mandats de géorepérage en des termes si généraux et neutres qu'il peut être difficile pour quiconque les lit de comprendre l'étendue des informations réellement collectées.
Il est possible qu'il y ait plus de mandats de clôture géographique inclus dans l'ensemble de données OpenJustice qui soient décrits d'une manière trop vague pour que The Markup les identifie comme tels. Dans un e-mail, Khalsa a déclaré que le DOJ de Californie travaille fréquemment avec les forces de l'ordre pour "empêcher les erreurs de saisie de données" d'apparaître dans l'ensemble de données, ainsi que d'autres problèmes de "contrôle de la qualité".
"Il est extrêmement difficile de le suivre, et ce n'est tout simplement pas la façon dont il est censé fonctionner", a déclaré Gidari. "Ce n'est certainement pas la façon dont CalECPA est censé fonctionner."
Écrit par : Maddy Varner et Alfred Ng
Publié à l'origine ici : https://themarkup.org/privacy/2021/11/03/thousands-of-geofence-warrants-appear-to-be-missing-from-a-california-doj-transparency-database