Venntel, un sous-traitant du gouvernement américain qui vend des données de localisation de smartphones à des organismes d'application de la loi américains, notamment l’ICE, le CBP et le FBI, recueille des informations via une chaîne d'approvisionnement très complexe d'agences de publicité, de revendeurs de données et, finalement, d'applications d'apparence inoffensive installées sur téléphones dans le monde entier, selon un cache de documents obtenus par NKR, une revue de presse norvégienne spécialisée en technologie.Bien qu'il ne soit pas clair si Venntel fournit finalement toutes les données générées à partir de cette chaîne d'approvisionnement spécifique à des agences telles que l’ICE, les documents fournissent des informations beaucoup plus approfondies et non signalées auparavant sur la manière dont les données sont transférées des applications, des entreprises intermédiaires et des courtiers en données (dans ce cas, Venntel).
« Je ne pense pas que les gens comprennent à quel point votre emplacement peut révéler tout ce que vous devez savoir sur la vie de quelqu'un; à quel point c'est invasif », a déclaré aux médias américains une source sous couvert de l’anonymat qui travaillait auparavant dans une autre société de données de localisation qui a des contrats avec les forces de l'ordre américaines et les agences militaires.
En février, le Wall Street Journal a rapporté que Venntel avait vendu l'accès aux données de localisation des smartphones à l'ICE et au CBP. ICE a utilisé les données pour identifier les immigrants qui ont ensuite été arrêtés et le CBP a utilisé le produit de Venntel pour trouver une activité de téléphonie cellulaire dans des endroits inhabituels, tels que des sections éloignées de la frontière américano-mexicaine, selon le rapport. L'IRS a également utilisé les données de Venntel et fait actuellement l'objet d'une enquête de la part de l'inspecteur général pour l'avoir fait sans mandat. Les registres des marchés publics montrent que Venntel a également vendu des données à la DEA et au FBI.
Des documents obtenus par le biais de demandes légales dans le cadre du RGPD
Martin Gundersen est un journaliste pour le compte de la revue norvégienne. Sur son compte twitter, il a indiqué :
« Il y a 160 applications sur mon téléphone. Ce qu’elles font réellement, je ne sais pas. J'ai donc décidé de le comprendre en utilisant la puissance du RGPD - ou le nom plus boiteux Subject Access Request (SAR, littéralement demande d’accès par sujet) ».
Une demande d'accès par sujet, ou SAR, est une demande écrite adressée à une entreprise ou organisation dans laquelle vous requérez l'accès aux informations personnelles qu'elle détient sur vous. Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). Une personne peut exercer son droit d’accès :
- auprès d’une société dont elle est cliente, par exemple pour avoir la copie de son dossier client ou d’une conversation téléphonique avec le service clients qui a été enregistrée ;
- auprès de son employeur pour accéder aux données de son dossier administratif ;
- auprès de son médecin pour obtenir une copie des données de son dossier médical ;
- auprès d’une administration pour obtenir la confirmation que des données la concernant sont traitées.
En principe, les délais pour répondre à ces demandes sont de :
- 1 mois maximum pour une demande simple ;
- 3 mois maximum pour une demande complexe (par exemple si une personne demande une copie de l’intégralité de ses données) ;
- 8 jours maximum pour des données de santé. En ce qui concerne l’accès aux données de santé, les délais sont différents. La communication des données de santé (exemple : dossier médical) doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt – compte tenu du délai de réflexion prévu par la loi dans l’intérêt de la personne – dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois (article L.1111-7 du Code de la santé publique).
Quelle que soit la situation, il faut informer la personne des suites sous un mois maximum.
Les nouveaux documents, ont donc été obtenus par NRK par le biais de demandes légales dans le cadre du règlement général sur la protection des données (RGPD) nomment des courtiers en données spécifiques qui aident en fin de compte à envoyer des informations à Venntel et fournissent le premier aperçu public de la chaîne d'approvisionnement de l'entreprise.
Le processus commence avec des applications particulières. Dans ce cas, Martin Gundersen de NRK a installé un certain nombre d'applications sur un appareil Android, y compris certaines de la société de navigation cartographique Sygic telles que "Sygic GPS Navigation & Offline Maps" qui compte plus de 50 millions de téléchargements selon sa page Google Play Store.
Et Martin de raconter :
« Pour la faire courte : J'ai beaucoup de données sur mes mouvements. En fait, plus de 75 000 points de données sur ma localisation précise. Comment: j'ai conçu une expérience dans laquelle j'ai installé de nombreuses applications sur un téléphone Android. J'ai ensuite accepté de partager mes données de localisation. Ensuite, j'ai inversé les rôles: en utilisant les SAR, je relie les flux de données de moi à différentes entreprises.
« L'application Funny Weather est apparue dans les métadonnées fournies par Venntel et Gravy Analytics. Les données ont peut-être été partagées via Predicio, mais la société n'a répondu à aucune demande d'entretien.
« Complementics et Predicio ont envoyé mes données personnelles à Gravy Analytics, un important courtier de données dans le secteur du marketing. J’ai su ceci par un SAR de Gravy. Gravy n'a pas répondu à ma demande de commentaire.
« Venntel est une filiale de Gravy Analytics. Venntel a beaucoup de contrats gouvernementaux - CBP, ICE, IRS, FBI, DEA. Venntel m'a dit dans une demande d'accès par sujet que mes données avaient été partagées, mais ils n'ont pas indiqué à qui. Lorsqu'ils ont été contactés plus tard, ils m'ont dit dans une brève déclaration que les données n'étaient pas partagées avec l'ICE ou le CBP ».
Lawiusz Fras, le développeur de l’application Funny Weather, a déclaré : « Predicio partage des données avec de nombreuses entreprises et celles-ci peuvent partager les informations avec d'autres et ainsi de suite. Par conséquent, il m'est pratiquement impossible de connaître chaque flux de données possible ».
« Ma coopération avec Predicio est destinée à couvrir les dépenses d'exploitation de Funny Weather, en particulier les frais que je paie pour les données météorologiques. On ne sait peut-être pas que chaque utilisateur de l'application génère non seulement des revenus mais aussi des coûts », a ajouté Fras .
Flux de données des applications à Venntel
La réaction du sénateur Ron Wyden et de l’ACLU
Dans un communiqué, le sénateur Ron Wyden a déclaré : « Venntel a bloqué le Congrès pendant des mois et a refusé d'identifier les sources des données qu'il vend aux douanes et à la protection des frontières ainsi qu’à d'autres agences gouvernementales. Les États-Unis ont besoin de lois beaucoup plus strictes pour protéger la vie privée des Américains et garantir la transparence sur la destination de nos données ».
« J’ai proposé le projet de loi Fourth Amendment is Not For Sale Act pour garantir que les courtiers en données louches ne laissent pas le gouvernement bafouer les droits des Américains », ajoute le communiqué.
Le bureau de Wyden a mené ses propres enquêtes sur Venntel et le secteur plus large des données de localisation. Le comité de surveillance et de réforme de la Chambre enquête également sur la société.
Le Wall Street Journal a rapporté que l’inspecteur général du DHS a déclaré qu'il enquêtait officiellement sur l'utilisation des données de localisation par l'agence. « L'audit vise à déterminer si le Département de la sécurité intérieure (DHS) et ses composants ont développé, mis à jour et adhéré aux politiques relatives aux dispositifs de surveillance des téléphones portables », a écrit Joseph V. Cuffari, l'inspecteur général, dans une lettre récente.
L’American Civil Liberties Union (ACLU), le défenseur des droits numériques, a opté pour déposer une plainte
Sources : Martin Gundersen, Cnil
Et vous ?
Cette situation vous semble-t-elle surprenante ? Dans quelle mesure ? Comment procédez-vous pour les autorisations que vous accordez sur votre téléphone ? Pensez-vous que les décisions prises par les mobinautes (par exemple de ne pas accorder le droit d'utiliser la géolocalisation à une application de type calculatrice) sont nécessairement respectées ? 
