Donald Trump cherche des poux aux applications chinoises, suspectées d'espionnage de données pour le compte de Pékin. Mais même si les autorités chinoises ne sont pas des anges, le président américain devrait aussi balayer devant sa porte : les agences américaines aussi exploitent des données personnelles.

Anomaly Six vend un kit de développement qui permet à ses clients de collecter des données de localisation, comme c'est le cas de nombreux SDK à visée publicitaire. Plus de 500 applications mobiles utilisent cet outil. Rien de très nouveau sous le soleil, à l'exception notable que cette entreprise créée par deux vétérans de l'armée US est aussi un fournisseur du gouvernement américain… Les autorités US sont donc clientes d'Anomaly Six, selon le Wall Street Journal.

L'entreprise assure que les données de localisation des utilisateurs américains ne sont vendues qu'à des clients du secteur privé. On peut donc légitimement en déduire que le gouvernement US peut exploiter les données des utilisateurs d'ailleurs dans le monde… Le SDK est embarqué dans des centaines de millions de smartphones sur le globe. Les informations recueillies sont anonymisées et ne sont pas liées aux noms des utilisateurs ; néanmoins, en croisant plusieurs bases de données et avec un peu d'ingénierie sociale (les habitudes de déplacement, par exemple), il est possible d'identifier un individu.

Il est commun que des agences de pub et de marketing achètent ce genre de bases de données de localisation. Il peut leur arriver de revendre ces informations à des organisations gouvernementales ou à leurs fournisseurs. Mais la collecte directe de ces données par un organisme public — en l'occurrence des agences de sécurité — est beaucoup moins fréquente. Le tout dans l'opacité la plus totale, puisque les utilisateurs ne sont pas au courant de la présence du SDK d'Anomaly Six dans leurs apps, ni de l'exploitation de leurs données.

L'entreprise assure que toutes les données générées par son SDK peuvent être achetées par n'importe qui — secteur privé ou public — et qu'elle respecte toutes les lois en vigueur. Pour faire bonne mesure, elle indique supporter toutes les initiatives visant à renforcer la transparence sur la collecte et l'usage des données, sans aller jusqu'à indiquer quelles apps utilisent son SDK.

Si les gouvernements peuvent être dans leur bon droit d'acquérir ce genre de données directement depuis un mouchard présent dans une application, l'utilisateur pourrait aussi demander à en être prévenu. Aux États-Unis, le marché de la vente et de l'achat de données est présenté par les analystes comme un far-west où tout est possible, y compris le pire. Le RGPD est dans ce contexte une véritable avancée en matière de protection des données, qui ne s'applique toutefois qu'à l'Union européenne bien évidemment.