Nos téléphones savent où nous sommes allés, mais ce serait une violation flagrante de notre vie privée si cette information était accessible à quelqu’un d’autre à notre insu.
Pourtant, c’est exactement ce que font nos opérateurs de téléphonie mobile. Grâce aux réponses publiées par la Commission fédérale des communications (FCC), nous savons maintenant que non seulement certains des principaux opérateurs de télécommunications du pays, dont AT&T, T-Mobile, US Cellular, Verizon, et d’autres, sont au courant des informations de localisation de notre téléphone, mais que beaucoup conservent ces données, ainsi que d’autres, plutôt privées, pendant des années.
« Nos téléphones portables en savent beaucoup sur nous », a déclaré Jessica Rosenworcel, présidente de la FCC, dans le communiqué de presse relatif aux réponses. « Cela signifie que les opérateurs savent qui nous sommes, qui nous appelons, et où nous sommes à tout moment. Ces informations et données de géolocalisation sont vraiment sensibles. C’est pourquoi la FCC prend des mesures pour garantir la protection de ces données. »
Localiser un téléphone portable avec son numéro IMEI
Un mal nécessaire ?
La FCC s’intéresse principalement à la collecte et à la conservation des données de géolocalisation, c’est-à-dire aux informations que les téléphones collectent pour aider les opérateurs télécoms à déterminer l’emplacement physique de l’appareil et, par extension, des personnes qui le possèdent.
L’agence a été contrainte d’agir et de demander des informations aux opérateurs en juillet, à la lumière des inquiétudes suscitées par l’annulation récente d’un jugement historique par la Cour suprême. Selon les défenseurs de la vie privée, ce nouvel arrêt pourrait entraîner une nouvelle vague de violations de la vie privée, principalement due aux données de géolocalisation suivies et capturées par nos téléphones.
« Cela devrait tous nous effrayer que 10 des 15 opérateurs aient admis qu’ils collectent et stockent les données de géolocalisation de leurs utilisateurs [qui sont] les informations les plus intimes et les plus sensibles que nos téléphones traquent », a déclaré Aron Solomon, analyste juridique en chef chez Esquire Digital, par courriel. « Le fait que cela ait été fait pendant des années dans le plus grand secret, sans notification aux utilisateurs et sans possibilité de retrait, constitue un abus de confiance flagrant. »
Dans leur réponse, les transporteurs ont presque unanimement invoqué la nécessité de se conformer aux demandes des forces de l’ordre comme raison principale pour ne pas permettre aux gens de refuser cette collecte et cette conservation.
Faisant preuve de méfiance à l’égard de cet argument, la FCC a profité de l’occasion pour demander une enquête afin de déterminer si les opérateurs de téléphonie mobile respectent la réglementation de l’agence en matière de données de géolocalisation.
Solomon estime que l’appel à une enquête est une indication claire que la présidente de la FCC n’a pas été impressionnée par les « réponses intentionnellement obliques » des opérateurs.
Pour les consommateurs, rien de tout cela n’est équitable ; comme le fait remarquer la présidente Rosenworcel, « nos téléphones en savent beaucoup sur nous », mais nous ne sommes pas aussi privilégiés pour ce qui est de savoir ce qu’il advient de nos données et comment elles sont utilisées », a déclaré M. Solomon.
Les fournisseurs de services devraient être plus ouverts en détaillant exactement les données qu’ils collectent, les raisons pour lesquelles ils les collectent et leurs politiques de conservation des données.
Sauvegarde des données
Les réponses ont également donné un aperçu des pratiques de conservation des données, qui varient de deux mois à cinq ans pour certains types de données. La situation est d’autant plus préoccupante que toutes les entreprises n’ont pas explicitement mentionné l’utilisation du cryptage pour protéger les données qu’elles amassent pendant des années.
Erfan Shadabi, expert en cybersécurité chez comforte AG, spécialiste de la sécurité des données, n’est pas surpris que les opérateurs téléphoniques suivent et collectent des quantités massives de données sur leurs clients.
« Bien sûr, c’est le type de données que les acteurs de la menace recherchent, car elles ont une grande valeur dans les marchés parallèles », a déclaré Shadabi par e-mail.
M. Shadabi reconnaît que ces opérateurs investissent dans des infrastructures informatiques sophistiquées et des protections périmétriques pour se prémunir contre les piratages intentionnels et l’accès involontaire aux données. Malgré cela, il a déclaré que les violations de données dans les entreprises de télécommunications n’étaient pas inconnues, une récente violation chez T-Mobile l’année dernière aurait eu un impact sur des millions de clients.
« Les fournisseurs de services devraient être plus ouverts en détaillant exactement les données qu’ils collectent, les raisons pour lesquelles ils les collectent et leurs politiques de conservation des données », a déclaré M. Shadabi. « Fournir plus de détails aidera à créer une meilleure culture collective de la confidentialité et de la sécurité des données, et accessoirement nourrit la confiance du public. »
Solomon, cependant, souhaite que des mesures sévères soient prises à l’encontre des entreprises fautives qui bafouent les règles.
« Je pense également qu’en fin de compte, les sanctions pour le non-respect des règles par les transporteurs doivent être la perte de leur licence », a déclaré M. Solomon. « C’est aussi simple que cela. Jouez selon les règles, ou vous ne jouez pas ».