Amazon est sur le point de payer les pots cassés, le géant du commerce électronique ayant accepté de verser plus de 30 M$ pour régler deux plaintes de la Commission fédérale du commerce des États-Unis concernant le traitement des données des profils d'enfants Alexa et le partage des enregistrements vidéo Ring avec des tiers. Dans deux documents publiés mercredi, la firme a accepté de débourser 5,8 millions de dollars pour régler les plaintes de la FTC concernant Ring, tandis que le règlement concernant Alexa lui coûtera 25 M$.

Comme le rapporte CNBC, le règlement Alexa concerne les accusations de la FTC selon lesquelles Amazon a illégalement recueilli des informations à partir des profils Alexa des enfants, y compris des enregistrements vocaux et d'autres données. Le règlement concernant Ring, quant à lui, demande à Ring de mieux divulguer à ses utilisateurs les informations qu'elle partage avec les employés de l'entreprise et les contractants tiers, selon Reuters. Pour sa part, Amazon a réagi aux deux règlements de la FTC en affirmant qu'elle avait déjà mis en œuvre, dans les deux cas, des politiques visant à protéger la vie privée de ses clients, tout en niant avoir enfreint la loi.

Alexa stockait des données d’enfants sur ses appareils dédiés

Bien qu'Amazon ait contesté les plaintes de la FTC concernant Alexa et Ring, l'entreprise a choisi de conclure un accord, ajoutant (dans le cas de la plainte concernant Alexa) que cet accord mettait fin à l'affaire. Dans cette affaire, la FTC allègue qu'Amazon a violé la loi COPPA (Children's Online Privacy Protection Act) en stockant les données des enfants, y compris les enregistrements vocaux, qui ont été recueillies dans les profils Alexa sans le consentement approprié. Le traitement des données des enfants par Amazon est naturellement une source d'inquiétude, surtout si l'on considère les versions pour enfants des haut-parleurs Echo Dot et des écrans intelligents Echo Show de la firme.

Dans le cadre du règlement, elle doit donc effacer les comptes d'enfants inactifs et il lui est interdit d'utiliser les données collectées auprès des enfants pour modifier ses algorithmes, selon CNBC. Amazon a toutefois affirmé qu'il travaillait dur pour protéger la vie privée des enfants et qu'il avait intégré de solides protections de la vie privée dans ses produits et services destinés aux enfants. L’entreprise a également nié avoir violé la COPPA, soulignant qu'elle avait collaboré directement avec la FTC au sujet de la loi avant de lancer son service Amazon Kids sur Alexa.

Ring, propriété d’Amazon et laxiste en matière de vie privée

Dans sa deuxième plainte, la FTC a reproché à Ring, propriété d'Amazon, son accès dangereusement étendu et son attitude laxiste en matière de protection de la vie privée et de sécurité, qui permettait aux employés et aux sous-traitants tiers [...] de visionner, de télécharger et de transférer les données vidéo sensibles des clients à leurs propres fins. Dans sa réponse au règlement, Ring fait valoir qu'elle avait rapidement réglé ces problèmes de confidentialité avant l'enquête de la FTC. La déclaration de Ring affirme également que la FTC dénature nos pratiques en matière de sécurité et ignore les nombreuses protections que nous avons mises en place pour nos clients.

Ring est depuis longtemps en proie à des critiques sur sa gestion des vidéos d'utilisateurs, notamment sur la manière dont elle les a partagées avec des entrepreneurs tiers ainsi qu'avec des représentants des forces de l'ordre. Ces plaintes ont atteint leur paroxysme à la fin de l'année 2019, lorsque des rapports ont émergé sur des cybercriminels qui ont réussi à percer la sécurité de Ring et à espionner (ou même à narguer) des utilisateurs sans méfiance, tandis que l'Electronic Frontier Foundation a accusé Ring d'utiliser des traqueurs tiers dans son application Android. Ring a également été critiqué pour avoir transmis des séquences vidéo aux forces de l'ordre, parfois sans mandat.

Pour sa part, Ring affirme avoir déjà pris des mesures pour répondre aux préoccupations de la FTC. En 2020, l’entreprise spécialisée dans la vidéosurveillance et les sonnettes connectées a commencé à déployer l'authentification à deux facteurs pour empêcher les pirates de s'introduire dans les comptes de ses utilisateurs. Un an plus tard, Ring a commencé à mettre en œuvre le chiffrement de bout en bout, afin que les utilisateurs qui activent cette fonction puissent s'assurer qu'ils sont les seuls à avoir accès à leurs vidéos stockées. Enfin, l’entreprise a indiqué qu'elle disposait désormais de politiques et de contrôles rigoureux qui empêchent ses employés et des tiers de visionner, d'accéder ou de contrôler les livestreams des appareils installés.