Mountain View, en Californie, a mis fin cette semaine à l'ensemble de son réseau de caméras de lecture des plaques d'immatriculation. La ville a découvert que Flock Safety, qui gérait le système, partageait sans autorisation les données municipales avec des centaines d'organismes chargés de l'application de la loi, y compris des organismes fédéraux.
Flock Safety exploite un système automatisé de reconnaissance des plaques d'immatriculation (ALPR) qui utilise l'IA pour identifier les plaques d'immatriculation des véhicules sur la route. Le chef de la police de Mountain View (MVPD), Mike Canfield, a ordonné la désactivation des 30 caméras Flock de la ville le 3 février.
Deux incidents de partage non autorisé ont été révélés. Le premier concernait un paramètre de « recherche nationale » qui avait été activé pour une caméra située à l'intersection des routes Charleston et San Antonio de la ville. Flock l'aurait activé sans en informer la ville.
Ce paramètre pourrait enfreindre la loi californienne SB 34 de 2015, qui interdit aux agences étatiques et locales de partager les données des lecteurs de plaques d'immatriculation avec des entités hors de l'État ou fédérales. La loi stipule :
« Un organisme public ne peut vendre, partager ou transférer des informations issues du système ALPR, sauf à un autre organisme public et uniquement dans les cas autorisés par la loi. »
La loi définit un organisme public comme étant l'État, ou toute ville ou comté qui en fait partie, couvrant les organismes chargés de l'application de la loi au niveau de l'État et au niveau local.
En octobre dernier, le procureur général de l'État a poursuivi la ville californienne d'El Cajon pour avoir sciemment enfreint cette loi en partageant des données relatives aux plaques d'immatriculation avec des agences dans plus d'une vingtaine d'États.
Cependant, MVPD a déclaré que Flock n'avait conservé aucun enregistrement de la période de recherche nationale, de sorte que personne ne peut déterminer quelles informations ont réellement quitté le système.
Mountain View affirme n'avoir jamais choisi de partager ces informations, ce qui rend cette violation différente. Pour les personnes dont les plaques d'immatriculation ont été scannées, cette distinction est purement théorique.
Une fonctionnalité distincte de « recherche à l'échelle de l'État » était également active sur 29 des 30 caméras de la ville depuis leur installation initiale, fonctionnant pendant 17 mois consécutifs jusqu'à ce que Mountain View la découvre et la désactive le 5 janvier. Grâce à cet outil, plus de 250 agences qui n'avaient jamais signé d'accord sur les données avec Mountain View ont effectué environ 600 000 recherches en un an, selon le journal local Mountain View Voice, qui a été le premier à révéler le problème après avoir déposé une demande d'accès aux documents publics.
Au cours de l'année écoulée, plus d'une vingtaine de municipalités à travers le pays ont mis fin à leurs contrats avec Flock, beaucoup invoquant la même crainte que les données collectées pour lutter contre la criminalité locale puissent être utilisées à des fins d'application de la législation fédérale en matière d'immigration. Santa Cruz a été la première ville de Californie à résilier son contrat le mois dernier.
Le PDG de Flock aurait reconnu en août dernier que la société avait mené des programmes pilotes jusqu'alors non divulgués avec les services des douanes et de la protection des frontières et les services d'enquête de la sécurité intérieure.
Les caméras resteront hors service jusqu'à la réunion du conseil municipal prévue le 24 février. M. Canfield affirme qu'il continue de soutenir la technologie de lecture des plaques d'immatriculation, mais pas ce fournisseur en particulier.
Cela va au-delà du simple conflit entre fournisseurs dans une ville. Si des politiques internes strictes ne suffisent pas à empêcher le partage non autorisé, cela soulève une question plus difficile : les politiques suffisent-elles à elles seules à garantir la sécurité lorsque les systèmes de surveillance sont gérés par des tiers ?
Nous ne nous contentons pas de faire des rapports sur la confidentialité des données, nous vous aidons à supprimer vos informations personnelles.
Les risques liés à la cybersécurité ne devraient jamais se propager au-delà d'un titre. Avec Malwarebytes Personal Data Removervous permet d'analyser les sites qui exposent vos informations personnelles, puis de supprimer ces données sensibles d'Internet.
