Un projet de loi bipartisan vise à lutter contre le fléau des ventes de drogues sur les réseaux sociaux, qui ont causé de nombreuses overdoses et la mort de jeunes Américains. Le projet de loi obligerait les plateformes Internet à signaler toute activité suspecte liée aux stupéfiants à la Drug Enforcement Administration (DEA), une agence fédérale américaine d'application de la loi dépendant du département de la Justice des États-Unis, chargée de lutter contre le trafic et la distribution de drogues aux États-Unis.Les partisans du projet de loi affirment qu’il s’agit d’une mesure nécessaire pour endiguer une crise de santé publique, tandis que ses opposants craignent qu’il ne porte atteinte à la protection de la vie privée et ne transforme l’internet en un appareil d’espionnage fédéral. Des organisations comme l'ACLU (American Civil Liberties Union - Union américaine pour les libertés civiles) et l'Electronic Frontier Foundation (EFF) dénoncent les problèmes de rédaction et de conception du projet de loi, qui pourrait avoir des effets imprévus à long terme.
L'ACLU a annoncé en decembre 2020 dans un communiqué officiel sur son site qu'elle intentait une action en justice contre le FBI. L'organisation accusant alors le service fédéral de police judiciaire et de renseignement intérieur d'infiltrer discrètement les dispositifs chiffrés, comme les téléphones portables, par le biais de son laboratoire de piratage EDAU. La plainte exigeait plus de transparence de la part du FBI sur sa capacité à accéder aux informations stockées sur les appareils mobiles personnels et demande des informations sur ce que le gouvernement fédéral a dans sa boîte à outils.
« Ces dernières années, les gouvernements ont intensifié leurs efforts pour accéder aux informations contenues dans nos téléphones portables et nos ordinateurs personnels. Des informations accessibles au public indiquent que l'Unité d'analyse des dispositifs électroniques (EDAU), une équipe au sein du FBI, a acquis ou est en train d'acquérir un logiciel qui permet au gouvernement de déverrouiller et de déchiffrer des informations qui sont autrement stockées en toute sécurité sur les téléphones portables », avait déclaré l'ACLU dans un communiqué.
Le Cooper Davis Act est un projet de loi qui vise à lutter contre les ventes de drogues sur Internet en obligeant les plateformes à signaler au gouvernement toute activité suspecte liée aux stupéfiants. Le projet de loi exigerait que les fournisseurs de services Internet, comme les médias sociaux, le cloud ou la messagerie, surveillent et rapportent au procureur général toute preuve de la vente ou de la distribution illégales de substances contrefaites ou contrôlées, comme le fentanyl, la méthamphétamine ou les médicaments sur ordonnance.
Le projet de loi ne précise pas comment les plateformes doivent identifier les trafiquants de drogue, mais il leur impose de fournir des données personnelles sur les utilisateurs soupçonnés à la DEA. Le projet de loi ne donne pas de critères clairs pour déterminer qui est un trafiquant de drogue et qui ne l’est pas, laissant aux plateformes le soin de le faire. Le projet de loi obligerait également les plateformes à transmettre à la DEA des informations personnelles et sensibles sur les utilisateurs soupçonnés, comme leur adresse IP, leur nom d’écran, leur adresse e-mail ou leurs informations de paiement.
Les risques du Cooper Davis Act pour la lutte contre les ventes de drogues sur Internet
Les critiques voient un certain nombre de dangers inhérents au Cooper Davis Act, mais le plus important est qu'il pourrait effectivement subvertir les protections déjà limitées du quatrième amendement des Américains lorsqu'il s'agit d'Internet. « À l'heure actuelle, la loi fédérale protège les données des utilisateurs et limite la manière dont les plateformes et autres entités peuvent les partager avec les forces de l'ordre », déclare Cody Venzke, conseiller politique principal à l'ACLU. Mais Cooper Davis « créerait explicitement une exception à ces protections », ajoute-t-il.
En mars de cette année, le FBI a admis qu'il achetait des données de localisation des Américains. En effet, un rapport de Motherboard indique que cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) aurait posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il aurait limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.
« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », aurait déclaré Wray. Il aurait ajouté que l'agence s'appuyait désormais sur une « procédure autorisée par un tribunal » pour obtenir des données de localisation auprès des entreprises.
Le FBI aurait déjà acheté l'accès aux données Netflow, qu'une société appelée Team Cymru obtient des FAI. Certains médias ont obtenu les détails du contrat passé entre le FBI et la société par le biais d'une demande au titre de la loi sur la liberté de l'information (Freedom of Information Act, FOIA). Le contrat ne donne pas beaucoup d'informations sur la raison pour laquelle le FBI a fait l'acquisition de données. Toutefois, en 2017, le gouvernement a payé un total de 76 450 dollars pour ces informations. Ce que le bureau a fait de ces informations reste un mystère.
En théorie, le quatrième amendement est censé interdire les perquisitions et les saisies de biens privés sans mandat, ce qui signifie que les policiers ne peuvent pas défoncer votre porte et fouiller dans vos affaires sans une décision de justice. Ce principe fonctionne assez bien dans le monde réel, mais devient résolument confus lorsqu'il s'agit du web. Étant donné qu'une grande partie des données « personnelles » des Américains est désormais stockée par des plateformes propriétaires, il est difficile de dire que ces données appartiennent réellement à l'utilisateur. Elles appartiennent plutôt à l'entreprise, ce qui signifie que si cette dernière souhaite partager « vos » données avec le gouvernement, elle serait également en droit de le faire.
Toutefois, les entreprises ne cherchent pas nécessairement à le faire régulièrement et la vie privée des internautes est partiellement protégée contre les perquisitions gouvernementales dans les données des entreprises par le Stored Communications Act (SCA), une loi de 1986 qui stipule que la police doit obtenir un mandat ou une citation à comparaître avant de pouvoir fouiller dans les comptes numériques d'une personne.
Mais le SCA souffre déjà d'un certain nombre de lacunes et les critiques soulignent que le Cooper Davis Act créerait encore une autre exception lorsqu'il s'agit d'activités liées à la drogue. Le SCA est spécifiquement censé protéger les communications privées des internautes, en obligeant les policiers à obtenir un mandat avant de les fouiller. Or, selon Venzke, la dernière version du projet de loi Cooper Davis autorise les fournisseurs d'accès à internet à « remettre des messages, des courriels, des messages privés » et d'autres communications personnelles aux forces de l'ordre « sans notification à l'utilisateur, sans contrôle judiciaire et sans mandat ».
Selon certains analystes, ce projet de loi ne se contente pas de réduire les droits en ligne des Américains. Essentiellement, il transformerait une grande partie de l'internet en une aile officieuse du gouvernement fédéral, en déchargeant les agences de police d'une partie de leur travail d'enquête sur les épaules des grandes entreprises technologiques. Au lieu que la DEA se charge de trouver un individu suspecté de trafic de stupéfiants et obtenir une ordonnance du tribunal pour obtenir ses données numériques, les entreprises technologiques seraient chargées de trouver le suspect pour la DEA et seraient alors obligées d'envoyer au gouvernement une tonne d'informations.
La loi Cooper Davis pourrait avoir des conséquences inattendues
Le Cooper Davis Act est un projet de loi qui s’inspire d’une autre politique, fédérale connue sous le nom de 2258A, existante qui oblige les plateformes web à signaler les contenus pédopornographiques au gouvernement. Le projet de loi voudrait faire la même chose pour les ventes de drogues sur Internet, mais il ne donne pas de directives claires sur la manière dont les plateformes doivent identifier et signaler les trafiquants de drogue. Les critiques soulignent que les activités liées à la drogue sont plus difficiles à détecter que les abus d’enfants, car elles utilisent un langage codé et subtil. Ils s’inquiètent des conséquences sur la vie privée et la sécurité des internautes.
En vertu du règlement 2258A, les plateformes web sont tenues de signaler tout contenu suspecté d'abus pédosexuels à la CyberTipline du National Center for Missing and Exploited Children (NCMEC), une organisation à but non lucratif financée par le gouvernement fédéral et créée par le Congrès pour lutter contre les abus pédosexuels. Le NCMEC transmet à son tour les signalements qu'il reçoit aux services répressifs compétents pour qu'ils mènent des enquêtes plus approfondies.
Au fil des ans, des entreprises comme Facebook, Apple et Google ont répondu aux exigences de déclaration de la loi 2258A en développant un système de surveillance sophistiqué conçu pour détecter les contenus abusifs lorsqu'ils sont téléchargés sur leurs sites ; le système s'appuie sur une base de données de hachages cryptographiques, dont chacun représente une image ou une vidéo connue d'abus d'enfants. Les entreprises analysent ensuite les comptes d'utilisateurs à la recherche de correspondances avec ces hachages et, lorsqu'elles obtiennent un résultat positif, elles transmettent les données pertinentes de l'utilisateur au NCMEC.
Toutefois, lorsqu'il s'agit d'activités liées à la drogue en ligne, les choses sont nettement plus compliquées. Contrairement au problème du CSAM, qui permet de compiler une base de données des produits interdits connus et de les comparer, la manière dont les entreprises pourraient identifier et signaler de manière fiable les activités suspectes liées à la drogue est loin d'être claire. Les transactions de drogue en ligne sont en grande partie effectuées sous le couvert d'un langage codé, utilisant des termes et des signaux obliques.
« Si les plateformes surveillent activement les [ventes] de fentanyl, elles devront chercher bien plus que des images et des vidéos », a déclaré Venzke. « Elles vont devoir fouiller dans les discours, les emojis et essayer de déduire l'intention de l'utilisateur. Étant donné que le projet de loi ne stipule guère comment les rapports seront établis, il appartiendra aux entreprises de trouver comment faire tout cela. Cela pourrait facilement conduire les plateformes à mettre en place leurs propres systèmes de surveillance interne, dont certains sont conçus pour surveiller les interactions entre les utilisateurs de la plateforme dans le but de débusquer les activités liées à la drogue. »
Dans ce scénario, la probabilité que les plateformes finissent par signaler au gouvernement un grand nombre de faux positifs (c'est-à-dire des personnes soupçonnées d'activités liées à la drogue qui, en réalité, n'ont rien fait de mal) serait élevée.
Source : U.S. Congress
Et vous ?
Quels seraient les effets de l’adoption de la loi ? Quels peuvent être les risques de faux positifs, de censure ou de discrimination que le Cooper Davis Act pourrait engendrer pour les utilisateurs innocents ou vulnérables ? Selon vous, quelles sont les alternatives possibles au Cooper Davis Act pour lutter contre le fléau des ventes de drogues sur Internet, sans porter atteinte à la vie privée et à la liberté des internautes ?Voir aussi :
Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée Le FBI aurait déjà acheté l'accès aux données Netflow, qu'une société appelée Team Cymru obtient des FAI, Team Cymru les vend ensuite au gouvernement L'ACLU accuse le FBI de s'introduire dans des dispositifs chiffrés et lui intente un procès, pour le forcer à fournir plus d'informations sur le laboratoire de piratage de l'agence fédérale 
Envoyé par Bruno
