Amazon condamné à 30 millions de dollars d'amende pour non-respect de la vie privée des utilisateurs
Amazon va débourser 30 millions de dollars afin d'éviter les poursuites que l’agence américaine de protection des consommateurs a intenté pour non-respect de la confidentialité des données des utilisateurs. Elles concernent son assistant vocal Alexa et ses caméras connectées Ring.
Amazon va être contraint de payer 30 millions de dollars pour mettre fin aux poursuites lancées contre Ring et Alexa. Ces deux gammes de produits sont sous le coup de plaintes de la Federal Trade Commission (FTC), l'agence américaine de protection des consommateurs, pour non-respect de la confidentialité des données des utilisateurs.
25 millions de dollars d'amende pour Alexa
La principale amende, de 25 millions de dollars, concerne son assistant vocal Alexa, présent notamment sur les enceintes connectées de la marque Echo.
Selon la FTC, l'entreprise stockerait illégalement et depuis plusieurs années des données personnelles sur les utilisateurs et leur emplacement géographique alors qu'elle avait promis de les supprimer. L’affaire concernerait en particulier des informations collectées auprès d'enfants ayant conversé avec l’assistant virtuel.
La FTC avait assoupli les règles du Children's Online Privacy Protection Act pour que certaines analyses de données concernant les enfants, spécifiques à certains services comme la transcription, soient autorisées à condition qu'elles ne soient pas conservées plus longtemps que ce qui est raisonnablement nécessaire. Alexa est en effet utile pour les enfants qui ne savent pas écrire ou souffrent d’un handicap.
Or, le régulateur s’est aperçu qu'aucune suppression n’avait été effectuée et même lorsqu'un parent en faisait la demande, Amazon ne détruisait pas les transcriptions des propos tenus par les enfants dans toutes ses bases de données. Les informations de géolocalisation n'ont pas non plus été supprimées.
Pour entraîner ses modèles d'apprentissage ?
Selon la FTC, cette base de données d'interactions audio devait certainement servir à entraîner les modèles d'apprentissage automatique d’Amazon, notamment à affiner son algorithme de reconnaissance vocale, une pratique qui semble de plus en plus utile avec l'avènement des grands modèles de langage.
En plus de l’amende, la FTC a pris des dispositions : elle exige de l'entreprise qu'elle supprime les comptes Alexa inactifs des enfants, qu’elle informe les utilisateurs de l'action intentée par la FTC et le ministère de la Justice, et qu’elle communique de manière transparente auprès de ses utilisateurs sur ses pratiques en matière de conservation et de suppression des données. En outre, le régulateur a imposé à Amazon la mise en œuvre d'un programme de protection de la vie privée lié à l'utilisation par l'entreprise des informations de géolocalisation.
Des produits domotiques utilisés pour espionner des clientes
En parallèle, le géant américain a dû s’acquitter d’une amende de 5,8 millions de dollars concernant Ring, sa filiale spécialisée dans les sonnettes connectées et caméras de sécurité. Le règlement aurait été déposé le 31 mai 2023 auprès du tribunal de première instance du district de Colombia selon les informations rapportées par Reuters.
La FTC avait porté plainte contre la société après s’être aperçue que des employés, ainsi que des centaines de sous-traitants regardaient les images des utilisateurs. La division d’Amazon leur aurait accordé un accès large et illimité aux vidéos de surveillance des clients, leur permettant aussi de les télécharger et de les transférer, "qu'ils en aient besoin ou non pour accomplir leur tâche".
Le régulateur a allégué qu'à deux reprises au moins, des employés de Ring avaient accédé de manière inappropriée aux vidéos privées de femmes. Dans l'un des cas, elle regrette que l'espionnage de l'employé se soit poursuivi pendant des mois sans que Ring ne le détecte.
Ring surveillé pendant les 20 prochaines années
L’agence de protection des consommateurs reproche par ailleurs à Ring d’avoir autorisé l’utilisation de mots de passe tels que "12345678", trop faciles à deviner, ceci ayant facilité le piratage de 55 000 comptes de clients américains entre janvier 2019 et mars 2020. Ring a rendu l’identification à deux facteurs obligatoire en février 2020 et a introduit le cryptage de bout en bout en 2021.
En plus de l'amende de 5,8 millions de dollars, Ring a dû accepter d'établir et de maintenir un programme de sécurité des données avec des évaluations régulières pendant les 20 prochaines années, ainsi que de divulguer l'accès de ses employés et de ses sous-traitants aux données des clients.
Les deux affaires sont totalement indépendantes mais la FTC dénonce dans les deux cas "l'attitude laxiste" d'Amazon à l’égard de la protection de la vie privée et de la sécurité.
Sélectionné pour vous
