La FTC a déposé une plainte contre une filiale d’Amazon pour ne pas avoir limité l’accès de ses salariés aux données personnelles de ses clients
La Federal Trade Commission (FTC) a accusé la société Ring, filiale d’Amazon, spécialisée dans la commercialisation et les services liés aux caméras de surveillance connectées, d’avoir illégalement espionné ses clients.
Le 31 mai 2023, la FTC l’agence publique américaine en charge de l’application du droit de la consommation et de la concurrence, a annoncé avoir déposé auprès de l’autorité compétente une proposition d’accord transactionnel concernant la société Ring, qui doit encore être homologuée.
L’accord prévoit notamment le paiement de 5.8 millions de dollars par Ring à ses clients.
Les manquements liés à l’accès aux données au sein de l’organisation
En l’espèce, la FTC reprochait dans une plainte à la société de ne pas avoir limité l’accès aux vidéos de ses clients, accessibles depuis les caméras connectées. Fait d’autant plus grave que la campagne publicitaire autour de ces produits était axée au tour de la sécurité apportée par la vidéo-surveillance (« protect your home » « bring protection inside ».)
Une absence totale de restriction à l’utilisation des données des utilisateurs
La FTC révèle en effet que tout employé ou prestataire de la société était autorisé à accéder aux vidéos enregistrées chez les clients. La FTC souligne que cet accès était évidemment non nécessaire et était complet, aucune mesure de restriction n’ayant été mise en place.
La plainte souligne notamment que des sous-traitants basés en Ukraine ont donc pu avoir un accès total aux vidéos enregistrées par les détenteurs de caméras Ring.
L’accès aux vidéos des clients n’était donc pas limité aux fonctions pour lesquelles il était nécessaire : le service support ou les équipes en charge de l’amélioration du produit.
A titre d’exemple, la FTC relève qu’un ingénieur en charge des réglages des projecteurs accompagnant les caméras aurait pu avoir accès si nécessaire à des vidéos d’utilisateurs installées en extérieur, mais certainement pas à celles tournées par des caméras installées dans une chambre.
Pire, aucune restriction technique n’empêchait le téléchargement, la sauvegarde ou le transfert de ces vidéos par les employés et collaborateurs de Ring. Il était même possible pour les collaborateurs de Ring de rechercher sur une base de données les vidéos enregistrées par les caméras, selon le nom donné à celles-ci. Cela a notamment permis à un employé de rechercher prioritairement des vidéos d’espaces « intimes » en utilisant le mot clé « bedroom » ou « bathroom ».
L’autorité américaine souligne que la filiale d’Amazon a échoué à mettre en place les mesures de sécurité les plus élémentaires. Cette imprudence a notamment permis à un employé de la société d’accéder à des milliers d’enregistrements de clientes dans leurs chambres ou salles de bain.
Un défaut de contrôle et de suivi de l’utilisation des données
Circonstance aggravante, une fois cette entorse à la règlementation relative au droit à la vie privée détectée, Ring a mis en place des restrictions concernant l’accès des vidéos par son personnel mais n’a pas été en mesure de garder la trace de ceux-ci et donc de déterminer s’ils étaient légitimes.
Ring même après avoir limité l’accès de son personnel à ses bases de données n’était donc aucunement en mesure de détecter une fuite ou un accès non-autorisé.
La FTC insiste sur l’absence de moyens techniques permettant de gérer les accès aux données sensibles
L’autorité ajoute dans sa plainte que Ring n’a ainsi « aucune idée » du nombre d’accès non autorisés ayant eu lieu.
La FTC indique que Ring a découvert les agissements de certains de ses collaborateurs uniquement par « chance » et qu’il est donc extrêmement probable que de nombreux incidents n’aient pas été détectés.
Ces révélations ne reposent effectivement que sur la vigilance des employés ayant rapporté à la direction ces atteintes à la vie privée, alors même qu’ils ne s’étaient pas vus confier cette mission.
La plainte relève également la légèreté d’un supérieur hiérarchique auquel un rapport avait été remonté par une employée concernant les accès à de très nombreuses vidéos par un ingénieur employé par Ring.
Le personnel de Ring ne bénéficiait d’aucune formation en lien avec les données sensibles des utilisateurs, et donc d’aucun mécanisme d’alerte ou de procédure de traitement des incidents.
Cela pourrait expliquer que les pratiques de l’entreprise se soient améliorés de manière très lente, la FTC considère que Ring a échoué à mettre en place des mesures de sécurité élémentaires de 2016 à 2020.
Enfin, la société n’a jamais clairement informé ses clients que la consultation des enregistrements par ses employés était possible, et a utilisé des termes vagues à ce sujet dans ses documents contractuels.
Les sanctions et mesures prévues par l’accord transactionnel
En supplément des mesures pécuniaires qui serviront au remboursement de clients, la FTC propose à la société Ring de mettre en place un programme de sécurité des données personnelles et de respect de la vie privée contraignant.
L’accord prévoit également la suppression de toutes les données qui étaient consultables de façon illicite, avant une certaine date et tous les travaux, notamment de développement et d’entraînement de technologie de reconnaissance faciale, associés.
La FTC souhaite ainsi clairement établir que la violation de la réglementation sur les données personnelles et la vie privée a un coût.
Source: FTC Says Ring Employees Illegally Surveilled Customers, Failed to Stop Hackers from Taking Control of Users’ Cameras