Le directeur du FBI Kash Patel a reconnu sous serment que l'agence achète des données personnelles, dont des historiques de localisation, auprès de courtiers privés. Une révélation qui rappelle à quel point les applications du quotidien alimentent une filière de surveillance que même un État peut exploiter sans contrôle judiciaire.
Lors d'une audition du Comité du renseignement au Sénat, mercredi 18 mars, le sénateur démocrate de l'Oregon Ron Wyden a demandé à Kash Patel s'il s'engageait à ne plus acheter les données de localisation des Américains. Patel a répondu que l'agence "utilise tous les outils [...] pour remplir sa mission."
Le FBI profite d'un vide juridique
Pour accéder aux données privées d'un citoyen (messages, localisation, historique de navigation), les autorités américaines doivent en théorie obtenir un mandat judiciaire. Ce principe découle du quatrième amendement de la Constitution, lequel interdit les perquisitions et saisies abusives. En 2018, la Cour Suprême a étendu cette obligation aux données de géolocalisation issues des opérateurs téléphoniques.
Les courtiers en données contournent ce cadre. Ces sociétés collectent et revendent des informations personnelles issues d'applications mobiles grand public - jeux, météo, fitness - sans que les utilisateurs en soient réellement conscients. Le FBI s'appuie sur l'Electronic Communications Privacy Act pour estimer qu'une donnée "commercialement disponible" ne requiert pas de mandat. Cette interprétation n'a jamais été soumise à un tribunal.
Ce n'est pas une découverte. En 2022, nous rapportions que des agences fédérales américaines, dont l'ICE, le service de l'immigration, et le CBP, le service de protection des douanes, achetaient déjà des données de localisation auprès de courtiers comme Venntel ou Babel Street, sans passer par un juge. L'ancien directeur du FBI, Christopher Wray, avait déclaré en 2023 que l'agence en avait fait usage par le passé, mais ne le faisait plus à ce moment-là. La déclaration de Patel, rapportée par Politico, confirme donc la reprise de cette pratique.
La pub en ligne au service du renseignement
Une partie de ces données transite par des systèmes RTB (real-time bidding, ou enchères en temps réel). Ce mécanisme est au cœur de la publicité mobile et web. À chaque chargement de page ou d'application, une enchère se déclenche en quelques millisecondes pour afficher une annonce ciblée. Durant ce processus, des informations sur l'utilisateur, dont sa position géographique, sont transmises à des dizaines d'acheteurs potentiels. Des firmes spécialisées captent ces flux pour en extraire des données de déplacement, revendues ensuite à des courtiers, qui eux-mêmes les proposent aux agences fédérales.
Le FBI n'est pas seul. James Adams, directeur de la Defense Intelligence Agency (DIA), a confirmé au Sénat que son agence achète elle aussi des données commerciales. Un document obtenu par le média 404 Media révèle par ailleurs que le CBP a eu recours à des données issues précisément de ces enchères RTB.
Pour encadrer ces pratiques, plusieurs élus ont déposé le Government Surveillance Reform Act la semaine précédant cette audition. Ce texte bipartisan, soutenu dans les deux chambres du Congrès, imposerait à toute agence fédérale d'obtenir une autorisation judiciaire avant d'acheter des données personnelles auprès de courtiers. Le sénateur Wyden a averti que l'intelligence artificielle, capable de traiter des volumes massifs de données privées, rend l'absence de tels garde-fous d'autant plus risquée.
