SPOTTING: La société américaine a des informations sur ma localisation.
Il y a 160 applications dans mon téléphone. Je ne sais pas ce qu'ils font, mais j'ai décidé de le découvrir.
J'avais le sentiment que ces applications m'espionnaient. Bien sûr, ils ne m'écoutent pas, mais ils surveillent constamment où je suis. Que chacun de mes pas soit transmis à quelqu'un: quand je vais à l'épicerie, que je bois ou que je discute avec des amis.
Je sais qu'il y a ceux qui achètent et vendent ces informations. Comment nous suivent-ils et que veulent-ils faire de nos données?
Pour aller au fond, j'ai commencé une expérience en février. J'ai installé un tas d'applications sur mon téléphone de rechange, puis j'ai commencé à l'emporter partout avec moi.
Ou presque partout. Je l'ai laissé à la maison lorsque j'ai été testé pour COVID-19 en avril.
Facilité d'abus
Le sentiment d'être observé s'est renforcé au fil des ans, et j'en avais des raisons. Ce printemps, j'ai fait partie de l'équipe NRK (Norwegian Broadcasting Corporation) qui a documenté comment plus de 8 300 téléphones portables ont été suivis dans des hôpitaux ou des refuges pour femmes.
Pour 35000 NOK (3300 € / 4000 USD), nous avons eu accès à des données de localisation indiquant où des dizaines de milliers de Norvégiens ont voyagé en 2019.
L'un d'eux était Karl Björn Bernhardsen, 31 ans, de Stavanger. Les informations nous ont permis de l'identifier facilement à partir des données qui, selon le fournisseur de données , ont été anonymisées.
Lorsque nous l'avons appelé, nous avons pu lui dire où il se trouvait presque tous les jours de 2019. Zoo. Entretien d'embauche. À l'hôpital, où il est resté plusieurs jours en tant que père de son premier enfant.
Ensuite, Karl nous a dit que si cela tombe entre de mauvaises mains, n'importe qui peut utiliser cette information.
Trahison
On nous dit souvent que le suivi commercial n'est pas si mal: «Il n'est utilisé que pour la publicité». Mais il y en a beaucoup d'autres qui s'intéressent à l'empreinte numérique de nos téléphones.
Dans une publication récente de Vice Motherboard, il a été découvert que l'armée américaine achète des données de localisation et que l'application de prière musulmane partage les données de localisation des utilisateurs avec des entrepreneurs de la défense.
"Cela ressemble à une trahison", a déclaré le chef local du Conseil des relations américano-islamiques.
En 2018, le propriétaire d'un restaurant fermé Kentucky Fried Chicken a été arrêté dans une ville frontalière de l'Arizona. Il est soupçonné d'être impliqué dans le trafic de drogue depuis le Mexique à travers un tunnel sous la frontière américaine.
TUNNEL: Un tunnel de 180 mètres partant de la maison mexicaine et se terminant au restaurant intérieur KFC.
Selon le Wall Street Journal (WSJ) , le crime a été résolu en partie parce que le US Immigration and Customs Enforcement (ICE) utilise des données de localisation distribuées commercialement.
Un article du WSJ suggère que les données commerciales auraient été transmises au service de déportation de l'ICE. Le CBP (Customs and Border Protection) des États-Unis a également obtenu l'accès aux données de localisation «mondiales» .
Il y a une raison pour laquelle les journalistes de NRK sont invités à réfléchir attentivement avant de confier le téléphone à une source confidentielle. Les autorités peuvent accéder aux informations sur leur emplacement même sans l'autorisation du tribunal.
Si mes données de localisation tombent entre de mauvaises mains, cela pourrait également affecter d'autres personnes. Nous craignons constamment qu'il soit possible d'identifier la personne qui a fourni des informations en toute confidentialité.
J'ai besoin d'accéder à mes données
La société qui a fourni à ICE des informations sur le restaurant de restauration rapide s'appelle Venntel. Selon les archives de l'entreprise, elle est située dans un cluster industriel en Virginie.
Dans le même domaine, vous pouvez trouver des noms familiers du secteur de la défense, par exemple, Lockheed Martin, la société qui a créé le F-35, et l'ancien employeur d'Edward Snowden, Booz Allen Hamilton. Il suffit de faire 20 minutes de route vers l'est et vous vous retrouverez à Langley, en Virginie, où se trouve le siège de la CIA.
DEFENSE CLUSTER: Venntel est enregistré dans ce bâtiment du Virginia Industrial Cluster, USA.
Le 20 août, j'ai demandé une copie de toutes les informations que Venntel avait sur moi. À la suite du RGPD 2018, tous les Européens ont le droit de le faire.
Le lendemain, le service juridique de Venntel m'a demandé certaines des adresses que j'avais récemment visitées.
"Après avoir reçu ces informations, nous vérifierons d'abord si l'identifiant d'annonceur que vous avez fourni se trouve dans notre base de données", indique le courriel.
L'identifiant de l'annonceur est ce que possède chaque smartphone. Cet identifiant est la clé pour suivre les utilisateurs de téléphones à travers le temps et les applications. Les propriétaires de téléphone peuvent restreindre la facilité d'accès à cet identifiant, cependant, peu le font .
J'ai fourni à Venntel l'adresse de mon bureau dans le bâtiment NRK et de mon appartement à Oslo.
Données de vente
Presque un mois plus tard, j'ai reçu une pièce jointe intéressante de Venntel. Il contenait des informations sur l'endroit où j'étais allé 75406 fois depuis le 15 février. Soudain, j'ai eu l'occasion de suivre chacun de mes pas - en me promenant, dans un bar, chez ma grand-mère dans le sud de la Norvège.
POINTS: La photo de gauche montre l'enregistrement de mes déplacements à proximité de mon appartement. Sur la photo de droite, vous pouvez voir un plan du bureau NRK dans le quartier Marienlyst d'Oslo. Au fil du temps, un grand nombre d'emplacements enregistrés se sont accumulés dans ces endroits.
Il n'y a pas de numéros de téléphone ou de noms dans les données. Cependant, presque tout le monde pourrait facilement comprendre que ce sont mes mouvements. Une simple recherche sur Google et l'annuaire téléphonique révélerait qu'il y a Martin Gundersen vivant à Sorgentfrigata à Oslo et travaillant pour NRK Marienlyst.
Venntel m'a également informé qu'il partageait mes informations avec ses clients. Ses clients utilisent ces informations à des fins telles que l'application de la loi fédérale et la sécurité intérieure.
Qui sont ces clients, Venntel a refusé de divulguer.
Un secret bien gardé
Comment mes données de localisation pourraient-elles se retrouver avec Venntel aux États-Unis? Aucune des applications que j'ai installées n'a mentionné cette société. Nulle part, même pas dans une politique de confidentialité déroutante que presque personne ne lit avant de cliquer sur OK.
Venntel a pu m'informer qu'il recevait mes informations de sa société mère, Gravy Analytics, et qu'il ne connaissait que rarement les applications qui lui étaient associées.
Gravy Analytics est un courtier en données marketing. L'entreprise recueille d'énormes quantités de données sur les consommateurs pour améliorer son ciblage publicitaire. Gravy Analytics prétend également ne rien savoir sur l'origine de la plupart des données. Cependant, la réponse à la demande d'accès contenait les noms de deux nouvelles sociétés supplémentaires: Predicio (France) et Complementics (États-Unis).
De nouvelles demandes d'accès ont révélé que certaines des données de localisation finissent par se retrouver à Venntel provenaient du développeur d'applications slovaque Sygic, qui compte 70 applications dans son portefeuille.
La page Web du développeur affirme que son application la plus populaire compte 200 millions d'utilisateurs.
Le 15 février, j'ai installé deux applications de navigation Sygic. Les deux m'ont demandé d'accepter les conditions de personnalisation des annonces.
Si vous faites partie de ces personnes qui lisent à peine ce à quoi elles consentent, vous n'êtes pas seuls. En fait, très peu de personnes lisent les conditions d'utilisation des applications et services installés.
J'ai cliqué sur "J'accepte". Depuis, un accord contraignant a été conclu entre moi et l'application.
Violation des lois sur la confidentialité
Il semble que lorsque Gravy Analytics a reçu les données, l'accord avec Sygic a été violé. Gravy Analytics déclare dans sa politique de confidentialité que mes informations personnelles peuvent être utilisées dans un ensemble de services pour les partenaires et les clients de l'entreprise. Selon leur propre politique de confidentialité, leurs objectifs incluent, entre autres, la détection des fraudes, l'application de la loi et la sécurité nationale.
En d'autres termes, Gravy Analytics a partagé mes données de localisation avec sa filiale, qui fournit ces services spécifiques.
Ce qui nous ramène à mon accord avec Sygic le 15 février.
J'ai consulté trois avocats, Malgorzata Agnieszka Sindecka, Lee Baygrave et Arve Feyen; ce sont tous des spécialistes de la confidentialité. Ils pensent que la possibilité d'utiliser mes informations personnelles à des fins pour lesquelles je n'ai pas consenti est une violation flagrante du RGPD, car cette loi impose des restrictions et des exigences strictes sur ce qui peut être fait avec les informations personnelles.
EXIGENCES STRICTES: «S'il s'avère que les partenaires peuvent utiliser des informations personnelles à des fins autres que celles pour lesquelles vous avez accepté, vous perdrez votre vie privée», déclare Sindetska.
Cette prolifération de fonctions est inacceptable. Selon Malgorzata Agnieszka Sindecka, professeure associée à la faculté de droit de l'Université de Bergen, une telle pratique porte atteinte non seulement au principe des restrictions ciblées, mais également aux principes de transparence et d'honnêteté définis dans le RGPD.
Prévisions météo drôles avec un gadget
De plus, d'après les fichiers de données de Gravy Analytics et Venntel, l'application météo Fu *** Weather m'a également suivi. D'après la description, l'application devrait présenter les prévisions météorologiques d'une manière sarcastique et caustique. Qui ne veut pas pimenter ses prévisions météorologiques quotidiennes avec un tas de langage grossier?
Lors de l'installation de l'application cet automne, j'ai accepté que mes données puissent être utilisées à des fins d'analyse et de «monétisation», c'est à dire. financement de l'application.
Les trois mêmes avocats que j'ai consultés estiment que cet accord n'est pas conforme au RGPD car il n'en ressort pas clairement ce que l'on entend par «monétisation». De plus, la collecte d'analyses n'est pas cohérente avec toutes les pratiques commerciales de Venntel.
CONDITIONS MÉTÉOROLOGIQUES PAUVRES: Funny Weather ne recommande pas de sortir la tête par la fenêtre pour vérifier la météo, car cela peut ruiner votre humeur.
Le développeur de Funny Weather, Lavius Fras, ne travaille pour aucune grande entreprise. Il a dit qu'il ne connaissait pas Venntel, mais qu'il n'a pas caché le modèle commercial de l'application.
«Le fait que je m'associe à des entreprises qui utilisent certaines des données auxquelles l'application a accès pour gagner de l'argent n'est pas confidentiel», m'a écrit Lavius Fras dans un e-mail.
Frass reconnaît que l'annexe aurait pu être plus claire sur les implications de pouvoir «monétiser». Il a l'intention d'apporter des modifications à la politique de confidentialité à cet effet, mais continue de maintenir que les utilisateurs ont été dûment informés.
Incapacité à tracer
Comment les données de Funny Weather sont arrivées à Venntel reste un mystère, mais il est probable qu'elles soient passées par la société française Predicio, qui est répertoriée comme intermédiaire dans la politique de confidentialité de l'application.
Les autres applications dont Venntel peut recevoir des données sont un secret bien gardé. Même les propriétaires d'applications mobiles ne savent pas dans quoi ils étaient impliqués.
«Nous ne connaissons pas Venntel», a déclaré Zuzana Kasanova de Sygic lorsque j'ai demandé comment mes données étaient arrivées avec l'entreprise.
Kasanova a déclaré que mon consentement a été obtenu légalement conformément au RGPD et que les partenaires de son entreprise sont contractuellement tenus d'utiliser mes données uniquement à des fins de marketing.
«Sur la base des informations que vous avez fournies, il n'est pas certain que Sygic GPS Navigation soit la source des données que Venntel a reçues à votre sujet. S'il s'avère que tel est le cas, c'est alors une violation des accords que nous avons conclus avec nos partenaires. "
L'analyse technique de NRK montre que les données de Sygic ont abouti à Venntel. Par exemple, l'ID utilisé par Complementics pour les données de Sygic est également présent dans les données de Venntel.
Kasanova n'a pas répondu à la question de savoir quelles implications cela impliquerait pour les partenariats de Sygic avec Predicio ou Complementics.
Un système fondé sur l'illégalité
Avec l'introduction du RGPD 2018, les défenseurs de la vie privée ont remporté une victoire importante. La loi paneuropéenne visait à assurer une surveillance plus stricte des entreprises qui échangent des données d'utilisateurs. Cependant, certaines parties de l'industrie de la publicité numérique n'ont pas beaucoup changé.
«Les entreprises essaient de s'en tenir aux anciennes pratiques et de les déguiser en quelque chose de différent, mais au fond elles sont restées les mêmes», déclare David Martin de Bruxelles.
Il dirige la division des droits numériques du BEUC, le groupe de coordination des organisations européennes de consommateurs. Selon Martin, «certaines parties du système de publicité numérique sont basées sur une violation presque systématique du RGPD».
Il partage l'opinion de la plupart des défenseurs de la vie privée: le RGPD est excellent en théorie, mais en pratique, il présente de graves défauts.
David Martin, BEUC.
Le militant autrichien de la protection de la vie privée et chercheur Wolfi Krystl a étudié comment les entreprises utilisent nos données depuis de nombreuses années. Il a récemment aidé le Conseil norvégien des consommateurs avec le rapport «Out of Control» documentant de nombreuses violations potentielles de la vie privée dans l'écosystème des applications.
«Dans la plupart des cas, il est difficile, voire impossible, de suivre le mouvement des données personnelles entre les applications, les courtiers en données et leurs clients», dit-il.
Selon Krystle, les autorités de protection des données de l'UE ne peuvent ou ne veulent pas mettre fin aux violations du RGPD.
«Nous ne verrons aucun changement sans imposer d'énormes amendes et interdictions de traitement des données. Les États membres de l'UE et la Commission européenne doivent agir », dit-il.
La question est de savoir si quelqu'un aimerait l'entendre. Et aussi à quel point il sera facile de poursuivre pour des violations présumées. Arve Føyen, associé du cabinet d'avocats Føyen Torkildsen, estime qu'il est difficile de sanctionner des entreprises comme Venntel, car elles n'ont pas de bureaux en Europe.
«Je crains que cela ne crée une impression illusoire de l'application des règles, mais dans la pratique, il est tout simplement impossible d'intenter une action en justice», explique Feyen.
Album photo numérique
Cela fait plusieurs mois que j'ai apporté mon téléphone de rechange à l'hôtel sportif Ullevålseter, un endroit populaire dans la forêt de Nordmark pour le café et les gaufres.
Sur mon écran, je vois les points qui serpentent le long des sentiers forestiers. De nombreux groupes où je me suis reposé; où j'ai marché vite, ils sont moins souvent dispersés.
SNACK: Je suis venu du bon chemin. Puis je me suis arrêté dans la cour, un peu confus, puis j'ai trouvé un banc en bois sur la droite. Dans l'ensemble, cette photo capture 36 minutes du dimanche 9 août.
C'était un dimanche chaud à la fin de l'été. Les taons grouillaient, surtout dans les zones marécageuses.
Nous oublions généralement la plupart des endroits où nous sommes allés et ce que nous y avons fait. Cependant, quelques indices suffisent pour que les souvenirs reviennent. Retrouver mes pas ce dimanche d'été, c'était comme feuilleter un vieil album, chaque page avec sa propre histoire.
Mais le plus drôle, c'est que ces données, mes mouvements, sont stockés par quelqu'un d'autre.
Il est très désagréable de suivre ses propres pas, même s'ils ne sont associés à aucune histoire d'amour, à des réunions secrètes ou à des problèmes de santé délicats.
La plupart d'entre nous ont des moments de notre vie que nous ne voudrions pas partager. Même avec leurs proches, leurs patrons ou l'État.
J'ai pu récupérer le flux de données des applications mobiles vers Venntel, mais il restait encore beaucoup de questions sans réponse. Quels clients Venntel ont reçu des informations sur moi? Ces entreprises appartenaient-elles au secteur de la défense, du renseignement ou du FBI?
Des réponses difficiles à obtenir
Gravy Analytics n'a pas répondu à nos multiples demandes. Sa filiale Venntel a refusé d'être interviewée par téléphone ou par e-mail.
Dans une brève déclaration, Venntel déclare que mes mouvements téléphoniques n'ont pas été diffusés par ICE ou CBP. Elle a également écrit qu'elle n'avait rien à voir avec les fournisseurs d'applications Sygic ou Lavius Fras. (NRK n'a jamais déclaré avoir un lien direct, mais a documenté que la société obtient des informations de ces applications par l'intermédiaire de tiers.)
"Nous ne laisserons pas d'autres commentaires sur nos relations commerciales ou l'interprétation de la législation", a écrit Venntel.
Dans une déclaration à NRK, le US Border Protection (CBP) a déclaré qu'il avait un accès limité aux données disponibles dans le commerce et qu'il était utilisé conformément aux règles et réglementations pertinentes. (Le texte intégral de la déclaration se trouve à la fin de l'article).
L'attaché de presse du CBP, Jason Givens, n'a pas répondu aux questions de suivi sur les restrictions imposées aux CBP lorsqu'il s'agit de récupérer des données sur des citoyens européens ou des téléphones situés en dehors des frontières américaines.
Le FBI et l'ICE ont également des accords avec Venntel, mais ils n'ont pas répondu aux questions sur la capacité de l'entreprise à suivre les Européens à l'intérieur et à l'extérieur de l'Europe.
Lorsque Predicio a répondu à la demande d'accès le 11 août, la société n'a pas mentionné les transferts de données Venntel en février-juillet. (L'application Funny Weather a été installée le 10 août.) Predicio n'a pas répondu à mes demandes répétées d'interviews.
Walter Harrison, co-fondateur de Complementics, a déclaré que mes données n'étaient utilisées que pour l'analyse marketing. Harrison n'a pas voulu participer à l'entrevue et n'a pas répondu aux questions sur la relation de l'entreprise avec Gravy Analytics. Lorsque la Vice Motherboard a interrogé Harrison à propos de Gravy Analytics, il a déclaré que le partenaire contractuel de la société "ne peut pas partager directement ou indirectement les données reçues de Complementics avec une agence américaine de renseignement, d'immigration ou d'application de la loi."
: , , . , . Venntel ( , , , ), Gravy Analytics ( , , , ), Sygic ( , ), Predicio ( , ), og Complementics ( , , ). .
« — . , . , , . , , „ “ 1974 , , , , . , ».
ICE
« (U.S. Immigration and Customs Enforcement, ICE) , . Venntel : FPDS. GDPR ICE Venntel».
CBP
«- (U.S. Customs and Border Protection, CBP) , . , , CBP .
CBP , , , . , CBP . CBP, , CBP , ».
Les serveurs à louer pour n'importe quel usage ne sont que des serveurs virtuels de notre société.
Pendant longtemps, nous utilisons exclusivement des lecteurs de serveur rapides d'Intel et n'économisons pas sur le matériel - uniquement des équipements de marque et les solutions les plus modernes du marché pour la fourniture de services.
