La Federal Trade Commission (FTC) des États-Unis a infligé à Amazon une amende cumulée de 30,8 millions de dollars pour une série de manquements à la vie privée concernant son assistant Alexa et ses caméras de sécurité Ring.
Cela comprend une amende de 25 millions de dollars pour avoir enfreint les lois sur la confidentialité des enfants en conservant leurs enregistrements vocaux Alexa pendant des périodes indéterminées et en empêchant les parents d’exercer leurs droits de suppression.
« L’histoire d’Amazon d’induire en erreur les parents, de conserver les enregistrements des enfants indéfiniment et de faire fi des demandes de suppression des parents a été violée COPPA et sacrifié la vie privée pour les profits », a déclaré Samuel Levine de la FTC.
Dans le cadre de l’ordonnance du tribunal, le géant de la vente au détail a été mandaté pour supprimer les informations collectées, y compris les comptes enfants inactifs, les données de géolocalisation et les enregistrements vocaux, et interdit de collecter ces données pour former ses algorithmes. Il est également tenu de divulguer aux clients ses pratiques de conservation des données.
Amazon a également accepté de débourser 5,8 millions de dollars supplémentaires en remboursements aux consommateurs pour violation de la vie privée des utilisateurs en permettant à tout employé ou sous-traitant d’obtenir un accès large et sans entrave aux vidéos privées enregistrées à l’aide des caméras Ring.
« Par exemple, un employé a visionné pendant plusieurs mois des milliers d’enregistrements vidéo appartenant à des utilisatrices de caméras Ring qui surveillaient des espaces intimes dans leur maison, comme leur salle de bain ou leur chambre », a déclaré la FTC. indiqué. « L’employé n’a pas été arrêté jusqu’à ce qu’un autre employé découvre l’inconduite. »
L’autorité de protection des consommateurs, en plus de reprocher à Amazon de ne pas avoir correctement informé les clients ou obtenu leur consentement avant d’utiliser les enregistrements capturés pour l’amélioration du produit, a appelé l’entreprise pour ne pas avoir mis en œuvre contrôles de sécurité adéquats pour protéger les comptes d’utilisateurs Ring.
Les violations « flagrantes » ont exposé les utilisateurs au bourrage d’informations d’identification et aux attaques par force brute, permettant aux malfaiteurs de prendre le contrôle des comptes et d’obtenir un accès non autorisé aux flux vidéo.
« Les mauvais acteurs ont non seulement visionné les vidéos de certains clients, mais ont également utilisé la fonctionnalité bidirectionnelle des caméras Ring pour harceler, menacer et insulter les consommateurs, y compris les personnes âgées et les enfants, dont les chambres étaient surveillées par les caméras Ring, et pour modifier les paramètres importants de l’appareil, » il expliqué.
« Les pirates ont nargué plusieurs enfants avec des insultes racistes, ont fait des propositions sexuelles à des individus et ont menacé une famille de blessures physiques s’ils ne payaient pas de rançon. »
On estime que plus de 55 000 clients américains ont vu leur compte compromis entre janvier 2019 et mars 2020 en raison de ces politiques laxistes.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Le règlement proposé oblige en outre Amazon à purger toutes les vidéos de clients et les données faciales qu’il a obtenues illégalement avant 2018, et à supprimer également tous les produits de travail qu’il a dérivés de ces vidéos.
Bien que les deux règlements doivent être approuvés par un tribunal pour entrer en vigueur, Amazone a dit « nous prenons très au sérieux nos responsabilités envers nos clients et leurs familles » et qu’il est « constamment pris des mesures pour protéger la confidentialité des clients en fournissant des informations claires sur la confidentialité et des contrôles client, […] et maintenir des contrôles internes stricts pour protéger les données des clients. »
Le développement intervient des semaines après la FTC accusé Meta de violer « à plusieurs reprises » ses promesses de confidentialité et d’induire les parents en erreur sur leur capacité à contrôler avec qui leurs enfants communiquaient via son application Messenger Kids entre fin 2017 et mi-2019.
Le régulateur cherche également une interdiction générale qui interdirait à l’entreprise de tirer profit des données des enfants. Méta a étiqueté les allégations comme un « coup politique » et a déclaré qu’il gérait un « programme de confidentialité à la pointe de l’industrie ».