Amazon fait face à des amendes de 30 millions de dollars imposées par la Federal Trade Commission et le ministère américain de la Justice pour des allégations selon lesquelles les sonnettes vidéo Alexa et Ring auraient violé la vie privée des utilisateurs.
La société fait face à deux allégations distinctes – une pour Ring et une pour Alexa – sur la façon dont elle a géré les données des utilisateurs. Dans le cas de Ring, il s’agissait d’enregistrements vidéo, et dans le cas d’Alexa, c’était l’échec de la suppression des enregistrements et des données de localisation des enfants, même après que leurs parents l’aient demandé.
Mis à jour avec les réponses d’Amazon
Anneau – amende de 5,8 millions de dollars
La plainte de la FTC contre Ring allègue que la société n’a pas empêché ses employés, ainsi que les fournisseurs tiers, d’accéder aux vidéos des utilisateurs de Ring. En outre, il note que Ring n’a pas réussi à ajouter l’authentification à deux facteurs (2FA) à ses caméras et à son application jusqu’en 2019, même s’il était conscient que ses utilisateurs avaient été ciblés par des attaques de bourrage d’informations d’identification au cours des deux années précédentes.
« Dans la poursuite d’un développement rapide de produits, avant septembre 2017, Ring ne limitait pas l’accès aux données vidéo des clients aux employés qui en avaient besoin pour effectuer leur travail (par exemple, support client, amélioration de ce produit, etc.). Au contraire, Ring a donné à chaque employé, ainsi qu’à des centaines de sous-traitants tiers basés en Ukraine, un accès complet à chaque vidéo client, que l’employé ou le sous-traitant ait réellement besoin de cet accès pour effectuer son travail », indique la plainte. .
« Non seulement chaque employé de Ring et chaque sous-traitant basé en Ukraine pouvait accéder aux vidéos de chaque client (qui étaient toutes stockées en clair sur le réseau de Ring), mais ils pouvaient également télécharger facilement les vidéos de n’importe quel client, puis visionner, partager ou divulguer ces vidéos. Avant juillet 2017, Ring n’imposait aucune restriction technique ou procédurale à la capacité des employés à télécharger, enregistrer ou transférer les vidéos des clients.
La plainte allègue également que Ring n’a fourni aucune instruction à ses employés sur la manière de traiter les données privées. La plainte cite également un employé particulier de Ring, qui, en 2017, « a visionné des milliers d’enregistrements vidéo appartenant à au moins 81 utilisatrices uniques (y compris des clientes et des employés de Ring) de Ring Stick Up Cams ».
La plainte cite d’autres cas où des employés de Ring et des fournisseurs tiers en Ukraine ont également visionné des enregistrements privés, et la société n’a pas détecté leurs actions jusqu’à ce qu’elles soient portées à leur attention par des lanceurs d’alerte.
Amazon réglerait cette réclamation en remboursant 5,8 millions de dollars à ses clients, selon BleepingComputer. Étant donné que des millions de caméras Ring ont été vendues, cela signifie que la plupart des propriétaires de caméras recevront tout au plus quelques dollars.
Bien que Ring ait renforcé ses protections internes au cours des années qui ont suivi ces incidents, il est recommandé d’activer le chiffrement de bout en bout sur vos vidéos Ring pour empêcher quiconque d’autre que vous de les voir.
Amende de 25 millions de dollars pour Alexa et la vie privée des enfants
La deuxième plainte, qui a été déposée par la FTC et le ministère de la Justice, allègue qu’Amazon a violé les lois sur la confidentialité des enfants en ne supprimant pas les enregistrements d’enfants et les données de géolocalisation, même après que les parents des enfants leur aient demandé de le faire.
« Jusqu’en septembre 2019, Amazon conservait indéfiniment les enregistrements vocaux et les transcriptions des enfants, à moins qu’un parent ne les supprime activement », indique la plainte. « Les paramètres par défaut d’Alexa conservent toujours les enregistrements vocaux et les transcriptions des enfants (et des adultes) pour toujours, même lorsqu’un enfant n’utilise plus son profil Alexa et qu’il est inactif depuis des années. »
« Amazon a également échoué pendant une longue période à honorer les demandes des parents de supprimer les enregistrements vocaux de leurs enfants en continuant à conserver les transcriptions de ces enregistrements et en omettant de divulguer qu’il le faisait, également en violation de la COPPA. [Children’s Online Privacy Protection Rule]. »
Non seulement Amazon vend un certain nombre de haut-parleurs intelligents destinés aux enfants, tels que l’Echo Dot Kids, mais il propose également un service, appelé Amazon Kids + (anciennement connu sous le nom de FreeTime Unlimited) qui propose des jeux, des vidéos, des livres interactifs et plus encore qui nécessite que les enfants interagissent avec ses haut-parleurs ou tablettes intelligents.
Pour utiliser Kids+, un parent doit créer un profil pour son enfant, qui inclut son âge et son sexe. Selon la plainte, il existe plus de 800 000 profils de ce type.
La plainte indique qu’en septembre 2019, Amazon a introduit une nouvelle fonctionnalité qui permet aux utilisateurs « de supprimer automatiquement les enregistrements vocaux à intervalles réguliers de trois ou dix-huit mois, tout en conservant le paramètre par défaut de conservation indéfinie ».
Cependant, « jusqu’à la mi-2019, la pratique d’Amazon était de supprimer les enregistrements vocaux demandés mais de conserver les transcriptions écrites de ces enregistrements » – mais n’a pas fait savoir aux parents qu’il conservait ces transcriptions.
Pour cette prétendue violation de la vie privée, Amazon a accepté de payer une amende de 25 millions de dollars, de supprimer les données des enfants à la demande de leurs parents et d’interdire à l’entreprise de former ses algorithmes à l’aide de voix d’enfants. L’entreprise doit également supprimer les comptes inactifs, ainsi que toutes les données pertinentes.
Si vous êtes préoccupé par vos données de confidentialité ou celles de votre enfant, assurez-vous de consulter notre guide sur la façon de voir et de supprimer les enregistrements d’Alexa sur vous.
Amazon répond
Suite au règlement, Amazon a publié une déclaration concernant l’accord Alexa et une déclaration distincte concernant l’accord Ring.
La société a également publié cette déclaration :
« Chez Amazon, nous prenons très au sérieux nos responsabilités envers nos clients et leurs familles. Nos appareils et services sont conçus pour protéger la vie privée des clients et leur permettre de contrôler leur expérience. Bien que nous ne soyons pas d’accord avec les affirmations de la FTC concernant Alexa et Ring, et que nous nions avoir enfreint la loi, ces règlements ont mis ces questions derrière nous.
«Nous avons construit Alexa avec de solides protections de la vie privée et des contrôles client, conçu Amazon Kids pour se conformer à la COPPA et collaboré avec la FTC avant d’étendre Amazon Kids pour inclure Alexa. Dans le cadre du règlement, nous avons convenu d’apporter une petite modification à nos pratiques déjà solides et de supprimer les profils d’enfants inactifs depuis plus de 18 mois, à moins qu’un parent ou un tuteur ne décide de les conserver.
« Ring a rapidement résolu les problèmes en cause il y a des années, bien avant que la FTC ne commence son enquête. Notre objectif a été et reste de fournir des produits et des fonctionnalités que nos clients adorent, tout en respectant notre engagement à protéger leur vie privée et leur sécurité.
Analyse : C’est ça ?
Compte tenu du nombre de haut-parleurs intelligents compatibles Alexa, de caméras Ring – et de la rentabilité d’Amazon – une amende cumulée de 30 millions de dollars est assez dérisoire pour une entreprise qui a réalisé en moyenne 14 milliards de dollars de ventes par jour en 2022. Oui, Ring et Amazon ont renforcé ont renforcé leurs mesures de sécurité depuis 2019, mais ces amendes ne représentent guère plus qu’une simple pression du doigt sur le poignet.
Il souligne également à quel point vous devez être vigilant lors de l’installation d’un haut-parleur intelligent, d’une caméra de sécurité ou de tout autre appareil capable d’enregistrer de l’audio et de la vidéo dans votre maison.