La police peut accéder aux images de vos caméras Google ou Amazon, même sans mandat

 

La loi américaine permet aux fabricants de caméras de sécurité connectées de laisser la police consulter les images en cas d'urgence, sans qu'elle ait recours à un mandat ou au consentement. Cette situation concerne-t-elle les utilisateurs français ?

Google Nest Cam Battery sur socle
La caméra Nest Cam battery sur son socle // Source : Google

Ring, la marque de sonnettes connectées d’Amazon, a fait l’objet de vives critiques de la part de militants pour la protection de la vie privée, rapporte Cnet. Depuis le début de l’année, la société a envoyé des séquences vidéo à la police américaine à onze reprises sans le consentement des utilisateurs concernés. Dans certains cas, la police n’avait pas de mandat, mais a quand même pu accéder aux images. Ces demandes d’urgence concernaient « des cas d’enlèvement, d’automutilation et de tentative de meurtre », sans que l’on sache de quels pays ou de quelles agences elles provenaient.

La justification apportée par Amazon est que « dans chaque cas, Ring a déterminé de bonne foi qu’il y avait un danger imminent de mort ou de blessure physique grave pour une personne nécessitant la divulgation d’informations sans délai », a déclaré au média Brian Huseman, porte-parole d’Amazon. Il décrit cela comme des « situations d’urgence », qui nécessitent de réagir rapidement.

Le danger des abus de la police

D’un côté, des situations urgentes, bien que très rares, peuvent tout à fait exister et il faut pouvoir réagir très rapidement. Cependant, pour l’ONG Electronic Frontier Foundation (EFF), qui vise à défendre la vie privée des citoyens dans le cadre du numérique, cela peut représenter un danger en rapport avec de potentiels abus de la police.

Pour les analystes de l’EFF, Jason Kelley et Matthew Guariglia, « il n’y a aucun processus permettant à un juge ou au propriétaire de l’appareil de déterminer s’il y a réellement eu une urgence. Cela pourrait facilement conduire à des abus policiers : il y aura toujours la tentation pour la police de l’utiliser pour des situations de moins en moins urgentes ».

On peut pourtant prendre le problème dans l’autre sens. Certains utilisateurs peuvent préférer laisser à la police la possibilité de consulter les images de leur caméra de sécurité connectée, non pour la protection de leur vie privée, mais pour la protection de leur vie tout court.

Le processus de décision de Ring : à quelles conditions donne-t-elle accès aux vidéos à la police ?

Ce qui nous intéresse ici, ce sont les demandes urgentes où la temporalité est très importante. Ring dit dissocier les demandes d’images des forces de l’ordre entre une enquête non urgente et une demande urgente. Chaque demande est étudiée par l’équipe juridique de Ring et dans le cadre de demandes d’urgence, la police doit remplir un formulaire.

L’entreprise demande aux autorités publiques de fournir « des détails sur la situation d’urgence, y compris qui est en danger immédiat, quelles informations ils pensent que Ring possède et comment ces informations peuvent aider à répondre à l’urgence ». Elles doivent également préciser pourquoi elle n’a pas assez de temps pour obtenir un mandat de perquisition valide. Ring dit refuser les demandes d’urgence lorsqu’elle pense que la police a le temps d’obtenir une autorisation.

Ring Video Doorbell Wired

Néanmoins, la filiale d’Amazon n’a pas indiqué à Cnet si elle informait les utilisateurs concernés que la police avait eu accès aux images de leur caméra de sécurité connectée. Là où l’on peut considérer qu’Amazon n’a pas fait preuve de transparence, c’est que ces demandes d’informations sur les utilisateurs d’urgence sans mandat ne sont pas comptabilisés dans les rapports de transparence de Ring sur les demandes des forces de l’ordre.

Cnet rappelle que « quel que soit le fabricant ou l’appareil, votre empreinte numérique fera toujours l’objet d’une assignation à comparaître et les entreprises qui traitent les données des utilisateurs seront toujours soumises à des demandes d’accès de la police ».

Que font Google et les autres marques de caméras de sécurité connectées ?

Des constructeurs de caméras de sécurité connectées, il en existe d’autres, comme Google avec ses caméras Nest. La plupart des fabricants tiennent à garder le droit de divulguer des images d’utilisateurs aux autorités publiques lorsqu’elles possèdent un mandat.

Du côté de Google, on apprend sur une page dédiée aux demandes gouvernementales d’informations sur les utilisateurs ce que le géant du web a décidé pour les demandes d’informations en cas d’urgence. Il est écrit que « Si nous avons des raisons valables de penser que nous pouvons empêcher une personne de mourir ou de subir de graves blessures physiques, nous pouvons fournir des informations à un organisme gouvernemental (par exemple, dans le cadre d’alertes à la bombe, de fusillades dans une école, d’enlèvements, de la prévention du suicide et de la recherche de personnes disparues). Nous examinerons toujours ces demandes conformément aux lois applicables et à nos règles ». Malheureusement, ces règles de confidentialité ne précisent pas si Google consent à envoyer des informations à la police sans mandat.

La nouvelle caméra d'intérieur Nest Cam Indoor
La nouvelle caméra d’intérieur Nest Cam Indoor // Source : Google

Google prévoit de notifier les utilisateurs concernés lorsqu’elle reçoit une telle demande, à moins qu’on lui interdise de le faire : « Nous pouvons également ne pas l’informer dans les cas d’urgence, par exemple si la sécurité d’un enfant ou la vie d’une personne sont menacées. Dans ce cas, nous aviserons l’utilisateur si nous apprenons que l’urgence n’est plus d’actualité ».

Un porte-parole de Nest interrogé par Cnet a déclaré que l’entreprise se réserve le droit de divulguer des informations, telles que des images ou des vidéos, aux forces de l’ordre, même si elles n’ont pas de mandat. Cela dans le cas où elle estime qu’une « urgence impliquant un danger de mort ou de blessure physique grave pour toute personne exige la divulgation sans délai des communications relatives à l’urgence ». Google est autorisé à envoyer des informations à la police, mais n’en est pas obligé, c’est selon sa volonté. Le groupe précise toutefois n’avoir jamais fait cela, mais a réaffirmé son droit de le faire.

La marque Arlo a adopté une tout autre réflexion concernant ces demandes d’urgence. Pour son porte-parole, « si une situation est suffisamment urgente pour que les forces de l’ordre demandent une perquisition sans mandat de la propriété d’Arlo, cette situation devrait également être suffisamment urgente pour que les forces de l’ordre ou un procureur demandent une audience immédiate d’un juge pour la délivrance d’un mandat à signifier rapidement à Arlo ». Si l’on est tout à fait en droit de remettre en cause la façon dont nos données stockées par des acteurs numériques sont traitées, Arlo a l’habileté de remettre en cause la façon dont fonctionne le système de police et judiciaire.

Elle a par conséquent statué qu’elle ne donnerait pas d’images à la police sans coercition. De même du côté de Wyze par exemple, qui demande une assignation valide.

Un autre positionnement existe, il s’agit du chiffrement de bout en bout. C’est ce que fait Eufy, ou Apple notamment avec le protocole HomeKit Secure Video, « ce qui signifie que même Apple ne peut pas y accéder », selon un de ses portes-parole. Ring propose cette option, bien que cela restreigne fortement les fonctionnalités de ses sonnettes connectées. Impossible de visualiser ce que voit la caméra en temps réel par exemple.

Ring peut-il fournir des vidéos d’utilisateurs français à la police française ?

Sur sa page française relative aux questions de confidentialité des données, Ring indique qu’« avant de partager des informations sur les utilisateurs (y compris des vidéos) en réponse à des demandes légales, l’entreprise Ring exige que les services concernés lui fassent parvenir directement une demande écrite d’informations personnelles (par exemple, des citations à comparaître, des mandats de perquisition ou des ordonnances judiciaires) ».

Là où Ring est un peu plus flou, c’est sur sa page Recommandations relatives à la procédure juridique destinées aux autorités chargées de l’application de la loi. L’entreprise écrit que, dans le cadre de procédures juridiques requises aux États-Unis, elle « ne communiquera aux autorités aucune information liée aux utilisateurs, sauf en réponse à une demande légalement valide dirigée et adressée à Ring », mais en précisant que c’est « en règle générale ».

La sonnette vidéo Ring Video Doorbell 4
La sonnette vidéo Ring Video Doorbell 4 // Source : Ring

Plus loin dans la page, on apprend que dans des circonstances exceptionnelles ou urgentes, « Ring se réserve le droit de fournir des informations aux autorités chargées de l’application de la loi, sans procédure légale, dans des circonstances qui constituent une menace immédiate pour la sécurité d’une ou plusieurs personnes ».

Bien qu’on ne sache pas si Ring transmette des informations aux autorités françaises, l’entreprise peut très bien le faire, même si ces dernières ne possèdent pas de mandat de perquisition, dans des situations d’urgence. Néanmoins, il s’agit d’une volonté d’Amazon et non une obligation légale. Amazon n’a pour le moment pas précisé si elle avait déjà effectué une telle action en France ou au sein de l’Union européenne.


Pour nous suivre, nous vous invitons à télécharger notre application Android et iOS. Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.

Les derniers articles