La Federal Trade Commission (FTC) des États-Unis a infligé à Amazon une amende cumulée de 30,8 millions de dollars pour une série de manquements à la vie privée concernant son assistant Alexa et ses caméras de sécurité Ring.
Cela comprend une amende de 25 millions de dollars pour avoir enfreint les lois sur la confidentialité des enfants en conservant leurs enregistrements vocaux Alexa pendant des périodes indéterminées et en empêchant les parents d’exercer leurs droits de suppression.
« L’histoire d’Amazon consistant à tromper les parents, à conserver indéfiniment les enregistrements des enfants et à bafouer les demandes de suppression des parents a violé la COPPA et sacrifié la vie privée au profit des profits », a déclaré Samuel Levine de la FTC.
Dans le cadre de l’ordonnance du tribunal, le géant de la vente au détail a été mandaté pour supprimer les informations collectées, y compris les comptes enfants inactifs, les données de géolocalisation et les enregistrements vocaux, et interdit de collecter ces données pour former ses algorithmes. Il est également tenu de divulguer aux clients ses pratiques de conservation des données.
Amazon a également accepté de débourser 5,8 millions de dollars supplémentaires en remboursements aux consommateurs pour violation de la vie privée des utilisateurs en permettant à tout employé ou sous-traitant d’obtenir un accès large et sans entrave aux vidéos privées enregistrées à l’aide des caméras Ring.
« Par exemple, un employé a visionné pendant plusieurs mois des milliers d’enregistrements vidéo appartenant à des utilisatrices de caméras Ring qui surveillaient des espaces intimes dans leurs maisons telles que leurs salles de bain ou leurs chambres », a noté la FTC. « L’employé n’a pas été arrêté jusqu’à ce qu’un autre employé découvre l’inconduite. »
L’autorité de protection des consommateurs, en plus de reprocher à Amazon de ne pas avoir correctement informé les clients ou obtenu leur consentement avant d’utiliser les enregistrements capturés pour l’amélioration du produit, a appelé l’entreprise pour ne pas avoir mis en œuvre des contrôles de sécurité adéquats pour protéger les comptes d’utilisateurs Ring.
Les violations « flagrantes » ont exposé les utilisateurs au bourrage d’informations d’identification et aux attaques par force brute, permettant aux malfaiteurs de prendre le contrôle des comptes et d’obtenir un accès non autorisé aux flux vidéo.
« Les mauvais acteurs ont non seulement visionné les vidéos de certains clients, mais ont également utilisé la fonctionnalité bidirectionnelle des caméras Ring pour harceler, menacer et insulter les consommateurs, y compris les personnes âgées et les enfants, dont les chambres étaient surveillées par les caméras Ring, et pour modifier les paramètres importants de l’appareil, » a-t-il expliqué.
« Les pirates ont nargué plusieurs enfants avec des insultes racistes, ont fait des propositions sexuelles à des individus et ont menacé une famille de blessures physiques s’ils ne payaient pas de rançon. »
On estime que plus de 55 000 clients américains ont vu leur compte compromis entre janvier 2019 et mars 2020 en raison de ces politiques laxistes.
Le règlement proposé oblige en outre Amazon à purger toutes les vidéos de clients et les données faciales qu’il a obtenues illégalement avant 2018, et à supprimer également tous les produits de travail qu’il a dérivés de ces vidéos.
Alors que les deux règlements doivent être approuvés par un tribunal pour entrer en vigueur, Amazon a déclaré « nous prenons très au sérieux nos responsabilités envers nos clients et leurs familles » et qu’il « prend systématiquement des mesures pour protéger la confidentialité des clients en fournissant des informations claires sur la confidentialité et des contrôles clients, […] et maintenir des contrôles internes stricts pour protéger les données des clients. »
Le développement intervient des semaines après que la FTC a accusé Meta d’avoir violé « à plusieurs reprises » ses promesses de confidentialité et d’avoir induit les parents en erreur sur leur capacité à contrôler avec qui leurs enfants communiquaient via son application Messenger Kids entre fin 2017 et mi-2019.
Le régulateur cherche également une interdiction générale qui interdirait à l’entreprise de tirer profit des données des enfants. Meta a qualifié les allégations de « coup politique » et a déclaré qu’il gérait un « programme de confidentialité à la pointe de l’industrie ».
