TL;DR
Divulgation : Google a fourni les numéros de banque et de carte de crédit d’ICE Amandla Thomas-Johnson sans préavis. Portée : les données assignées à comparaître comprenaient également les noms d’utilisateur, les adresses, les détails du service et les identifiants de téléphone liés à son compte. Lacune juridique : les groupes de défense des libertés civiles affirment que les assignations administratives peuvent contourner le contrôle des tribunaux, laissant les utilisateurs dans l’impossibilité de contester les divulgations. Pourquoi c’est important : L’affaire met en évidence les tensions entre les promesses de Google en matière de confidentialité et son respect des vastes exigences d’information du DHS.
Google a partagé les numéros de carte de crédit et de compte bancaire de la journaliste étudiante Amandla Thomas-Johnson avec l’Immigration and Customs Enforcement (ICE) sans lui donner la possibilité de contester l’assignation à comparaître avant que ses données ne soient divulguées.
L’affaire a suscité de vives critiques de la part des groupes de défense des libertés civiles, qui affirment que les entreprises technologiques ne parviennent pas à protéger les utilisateurs de la surveillance gouvernementale.
La divulgation révèle un écart troublant entre la façon dont les géants de la technologie promettent de traiter les demandes de données du gouvernement et ce qui se passe lorsque les agences fédérales appellent. Alors que la politique de confidentialité de Google affirme que l’entreprise « repoussera fréquemment » les demandes trop larges, Thomas-Johnson n’a reçu aucun avertissement préalable avant que Google ne transmette ses informations financières personnelles aux services d’immigration.
Thomas-Johnson, un étudiant journaliste britannique dont le travail a été publié dans Al Jazeera et The Guardian, a d’abord attiré l’attention du gouvernement fédéral après avoir assisté à une brève manifestation lors d’un salon de l’emploi de l’Université Cornell en 2024 qui ciblait les entreprises fournissant des armes à Israël. Vivant désormais à Dakar, au Sénégal, il est confronté à la réalité selon laquelle les plateformes technologiques ont partagé des détails intimes de sa vie numérique avec des agents fédéraux.
Détails de l’assignation à comparaître
La portée de la divulgation de Google devient claire lorsqu’on examine ce que l’ICE a obtenu. Google a informé Thomas-Johnson en avril 2025 qu’il avait déjà fourni ses métadonnées au ministère de la Sécurité intérieure.
Selon The Intercept, la divulgation de données comprenait non seulement des numéros de carte de crédit et de compte bancaire, mais aussi des noms d’utilisateur, des adresses et des informations détaillées. liste des services comprenant les outils de masquage IP et les numéros de téléphone. L’assignation à comparaître de l’ICE elle-même offrait une justification minime, indiquant seulement que les informations étaient requises « dans le cadre d’une enquête ou d’une enquête relative à l’application des lois américaines sur l’immigration. »
Ajoutant au secret, l’ICE a demandé à Google de ne pas « divulguer l’existence de cette convocation pour une période de temps indéfinie », faisant écho à une longue histoire d’ordonnances de secret inutilement indéfinies.
Un traitement disparate soulève des questions
Ce qui rend le cas de Thomas-Johnson particulièrement troublant, c’est la façon dont Google a géré sa situation différemment par rapport à des demandes similaires.
L’ami de Thomas-Johnson, Momodou Taal, a reçu des demandes d’assignation à comparaître de Google et de Meta, mais les deux sociétés l’ont informé en premier, lui donnant la possibilité de contester avec succès les demandes avec une représentation juridique. Thomas-Johnson s’est dit surpris du traitement différent, notant qu’il s’attendait à avoir la même opportunité de défendre sa vie privée.
De même, Meta a envoyé une assignation à comparaître pour dévoiler l’identité des utilisateurs qui ont documenté les raids d’immigration en Californie. Contrairement à la situation de Thomas-Johnson, ces utilisateurs ont été informés et ont eu la possibilité de lutter contre la divulgation avant que Meta ne s’y conforme.
Lindsay Nash, professeur à Cardozo Law et ancienne avocate du ACLU Immigrants’Rights Project, a expliqué que l’absence de notification empêche les personnes concernées d’exercer leurs droits à la vie privée ou de contester les divulgations potentiellement illégales de leurs informations personnelles.
Les organisations de défense des libertés civiles repoussent
Suite à ces tendances, les groupes de défense ont monté un effort coordonné pour faire pression sur les entreprises technologiques. La semaine dernière, l’Electronic Frontier Foundation, qui représente désormais Thomas-Johnson, et l’ACLU de Californie du Nord ont envoyé une lettre à Google, Amazon, Apple, Discord, Meta, Microsoft et Reddit appelant les entreprises technologiques à résister à des assignations similaires du DHS sans intervention du tribunal.
Ces organisations citent un schéma troublant : le DHS a émis des assignations à comparaître pour démasquer les personnes documentant les activités de l’ICE, critiquant la conduite du gouvernement ou participant à des manifestations.
“Vos promesses de protéger la vie privée des utilisateurs sont actuellement mises à l’épreuve. Dans le cadre de la campagne sans précédent du gouvernement fédéral visant à cibler les critiques de sa conduite et de ses politiques, des agences comme le DHS ont exigé à plusieurs reprises l’accès à l’identité et aux informations des personnes utilisant vos services. Sur la base de nos propres contacts avec les utilisateurs ciblés, nous sommes profondément préoccupés par le fait que vos entreprises ne parviennent pas à contester la surveillance illégale et à défendre la vie privée et la parole des utilisateurs.”
Electronic Frontier Foundation et ACLU de Californie du Nord (via The Intercept)
Les groupes de défense des libertés civiles soulignent un point juridique clé : les destinataires d’assignations administratives ne sont pas légalement obligés de se conformer en l’absence d’ordonnance du tribunal. L’EFF a exhorté les entreprises à « insister pour que le DHS demande au tribunal de confirmer que leurs demandes ne sont pas illégales ou inconstitutionnelles ».
Selon l’EFF, Google a reçu 28 622 assignations à comparaître au cours du premier semestre 2025 seulement, dans le cadre d’une augmentation plus large des demandes de données gouvernementales ciblant les plateformes technologiques.
Promesses politiques par rapport à la pratique
Malgré ces efforts de plaidoyer, l’écart demeure entre les politiques de confidentialité des entreprises et leur application réelle reste vaste. Les normes de politique de confidentialité publique de Google reconnaissent que l’entreprise partagera des informations personnelles en réponse à une « demande gouvernementale exécutoire ».
La politique stipule que son équipe juridique « repoussera fréquemment lorsqu’une demande semble trop large ou ne suit pas le processus correct ». Mais le cas de Thomas-Johnson démontre que de telles promesses peuvent ne pas se traduire par une protection cohérente lorsque les agences gouvernementales exigent des données sur les utilisateurs.
Le rapport de transparence de Google montre que l’entreprise a accédé dans une écrasante majorité à des millions de demandes gouvernementales d’informations sur les utilisateurs au cours de la dernière décennie, avec une augmentation des demandes au cours des cinq dernières années. Google n’a pas répondu à la demande de commentaires de The Intercept sur les raisons pour lesquelles Thomas-Johnson n’a pas reçu de notification préalable.
Cadre juridique
La disparité entre la politique et la pratique provient en partie de l’environnement juridique régissant les plateformes technologiques.
Les pratiques de partage de données des entreprises technologiques sont principalement régies par deux lois fédérales : la Stored Communications Act, qui protège la confidentialité des communications numériques, y compris les e-mails, et l’article 5 de la Federal Trade Commission Act, qui interdit pratiques commerciales déloyales ou trompeuses.
Neil Richards, professeur de droit à l’Université de Washington à St. Louis, spécialisé dans la vie privée et les libertés civiles, a noté que les entreprises faisant des promesses trompeuses sur la protection des données pourraient violer les lois fédérales et étatiques sur la protection des consommateurs interdisant les pratiques commerciales trompeuses.
Citations administratives
Un mécanisme clé permettant la collecte de données gouvernementales est l’assignation administrative elle-même. Les assignations administratives sont des demandes émises par une agence qui peuvent être signifiées sans la signature d’un juge.
Le DHS a intensifié son recours aux assignations administratives, en les émettant sans approbation préalable judiciaire directe. Les destinataires ne sont pas automatiquement tenus de s’y conformer, à moins que le DHS ne demande l’exécution au tribunal.
Nash a souligné la vaste portée de ces outils, notant qu’il n’y a généralement aucune obligation pour les agents d’avoir une cause probable, d’identifier la violation présumée ou de faire preuve de retenue. Ce manque de garanties signifie que les entreprises technologiques sont confrontées à des obstacles juridiques minimes pour se conformer, même lorsque les assignations à comparaître visent des journalistes, des militants ou des critiques politiques.
Changement des relations entre la technologie et le gouvernement
Au-delà du cadre juridique, les observateurs notent des changements dans la manière dont les entreprises technologiques abordent les demandes du gouvernement. Richards a observé un changement notable dans la manière dont les plateformes technologiques interagissent avec le pouvoir gouvernemental depuis l’apparition des dirigeants technologiques lors de l’investiture présidentielle il y a un an.
Son observation soulève des questions plus larges quant à savoir si les relations de la Silicon Valley avec les agences fédérales sont devenues plus accommodantes à une époque où les demandes de données du DHS augmentent.
Alors que les entreprises technologiques maintiennent des positions publiques de défenseurs de la vie privée, leurs réponses réelles aux assignations gouvernementales donnent souvent la priorité à la conformité plutôt qu’à la protection des utilisateurs. L’incohérence dans les pratiques de notification, avec certains utilisateurs avertis et d’autres laissés dans l’ignorance, suggère que les garanties procédurales dépendent davantage des décisions internes de l’entreprise que des normes juridiques établies.
Les enjeux plus larges de la surveillance
Les implications s’étendent bien au-delà de l’expérience d’un journaliste. La situation de Thomas-Johnson reflète les inquiétudes des groupes de défense des libertés civiles et de la liberté de la presse quant à la manière dont les plateformes technologiques traitent les demandes de données du gouvernement.
Depuis son emplacement actuel à Dakar, Thomas-Johnson a réfléchi aux implications :
“En tant que journaliste, ce qui est étrange, c’est que vous êtes tellement habitué à voir les choses de l’extérieur. Nous devons réfléchir très sérieusement à ce à quoi ressemble la résistance dans ces conditions… où le gouvernement et les grandes technologies en savent tellement sur nous, peuvent nous suivre, peuvent l’emprisonnement, peut nous détruire de diverses manières.”
Amandla Thomas-Johnson, militante étudiante et journaliste (via The Intercept)
Les transactions par carte de crédit révèlent des habitudes de dépenses, des emplacements de commerçants et des profils comportementaux bien au-delà de ce que de nombreux utilisateurs imaginent lorsqu’ils s’inscrivent. courrier électronique ou stockage cloud. Les numéros de compte bancaire permettent un suivi financier direct et un accès potentiel à l’historique des transactions.
Aucun changement de politique en vue
Malgré les pressions en faveur d’exigences d’intervention judiciaire plus strictes et d’une notification obligatoire aux utilisateurs avant de se conformer, les entreprises technologiques n’ont donné aucune indication qu’elles réformeraient leurs pratiques. Le silence de Google en réponse aux questions sur l’affaire Thomas-Johnson souligne l’absence de mécanismes de responsabilisation.
Les groupes de défense des libertés civiles affirment que la solution nécessite à la fois une action des entreprises et une réforme juridique. Les entreprises technologiques devraient résister aux assignations administratives jusqu’à ce que les tribunaux confirment leur légalité, et des correctifs législatifs pourraient exiger la notification des utilisateurs et établir des délais d’attente permettant de contester avant la divulgation.
En attendant, des millions d’utilisateurs de plateformes technologiques restent vulnérables au même traitement que Thomas-Johnson a reçu : leurs données personnelles partagées avec des agences gouvernementales sans avertissement, sans recours et sans savoir si l’assignation à comparaître les visant répond aux normes juridiques minimales.
Pour Thomas-Johnson et d’autres comme lui (étudiants journalistes, activistes, les manifestants documentant la conduite du gouvernement), les conséquences vont au-delà des violations de la vie privée. Leur capacité à travailler, voyager et vivre sans surveillance dépend du choix des entreprises technologiques de les défendre ou de continuer à donner la priorité à la conformité plutôt qu’à la protection des utilisateurs.
