La FTC annonce des mesures d'application contre les divisions Alexa et Ring d'Amazon pour violation de la vie privée des utilisateurs

Le 31 mai, la Federal Trade Commission (FTC ou Commission) a annoncé deux mesures d'exécution distinctes contre Amazon, l'une impliquant son service vocal basé sur le cloud, Alexa, et l'autre impliquant Ring, son système de sonnette intelligente. Bien que les deux mesures d'application soient basées sur des ensembles de faits différents, les deux plaintes portent sur des allégations selon lesquelles Alexa et Ring ont violé la vie privée des utilisateurs de diverses manières, notamment par des pratiques trompeuses de conservation des données, un accès trop large des employés aux données des utilisateurs et une cybersécurité inadéquate. les pratiques. Dans le cadre de ces règlements, Amazon devra verser plus de 30 millions de dollars au gouvernement fédéral. La société a répondu aux allégations de la FTC concernant les actions d'application de Ring et d'Alexa.

Ces règlements mettent en évidence les types d'activités sur lesquelles la FTC pourrait concentrer son attention future en matière d'application de la loi (et en effet, l'agence a déjà annoncé une autre mesure d'application concernant les données des enfants depuis que ces règlements ont été rendus publics). Plus particulièrement, les plaintes sous-jacentes dans cette affaire reflètent une conception large de ce que la FTC considère comme des pratiques "déloyales" au sens de l'article 5 de la loi FTC, englobant des pratiques telles qu'un accès trop large des employés aux données des clients, des contrôles de cybersécurité inadéquats, la conservation inutile des données des clients et le non-respect des demandes de suppression. À l'avenir, les entreprises peuvent s'attendre à ce que la FTC s'appuie sur cette interprétation large des pratiques déloyales pour sanctionner les entreprises qui violent la confidentialité des données de leurs clients.

De plus, les entreprises opérant dans le domaine de l'intelligence artificielle (IA) doivent noter que la FTC considère le respect de la vie privée comme une condition préalable au développement de ces modèles. Dans le cadre de l'ordonnance proposée pour Alexa, la FTC a exigé qu'Amazon supprime les comptes enfants inactifs et certains enregistrements vocaux et informations de géolocalisation, et a également interdit à l'entreprise d'utiliser ces données pour former ses algorithmes, car elle alléguait que les informations avaient été traitées en violation. de la loi sur la protection de la vie privée en ligne des enfants (COPPA). Alors que les produits d'IA continuent de proliférer, les entreprises doivent savoir que la FTC porte une attention particulière à la manière dont ces modèles sont développés (et à l'impact que ces produits d'IA peuvent avoir) et utilisera la restitution des données comme remède lorsqu'elle le jugera approprié.

Ces mesures d'application prolongent ce qui a été une année active pour l'application de la loi par la FTC dans le domaine de la confidentialité et de la sécurité des données, la Commission ayant déjà intenté plusieurs actions en matière d'application contre des entreprises pour utilisation abusive de données sur la santé, signalé un examen accru des technologies biométriques et averti les entreprises des risques juridiques risques liés à l'utilisation d'outils d'IA. Compte tenu de cet environnement de surveillance réglementaire accrue, les entreprises doivent s'assurer qu'elles élaborent, mettent en œuvre et respectent des politiques de collecte et d'utilisation des données solides et transparentes.

Dans cet article, nous résumons les plaintes de la FTC et les ordonnances stipulées proposées dans les mesures d'application d'Amazon et soulignons les principaux points à retenir pour les entreprises qui cherchent à comprendre comment ces mesures d'application pourraient avoir un impact sur leurs programmes de confidentialité et de sécurité des données à l'avenir.

MESURE D'APPLICATION D'ALEXA

La plainte

Alexa est le service d'assistant vocal d'Amazon qui permet aux utilisateurs d'accéder à une gamme de produits et de services via des périphériques matériels (tels que les haut-parleurs Amazon Echo) et une application mobile. Les offres d'Alexa comprennent, entre autres, des produits et services destinés spécifiquement aux enfants, tels que le haut-parleur intelligent "Echo Dot Kids Edition" et le service "FreeTime Unlimited on Alexa", qui permet aux enfants d'accéder à des livres audio, des jeux et d'autres offres. Notamment, dans le cadre de son fonctionnement, le service Alexa collecte les enregistrements vocaux et les informations de géolocalisation des utilisateurs.

Le récit principal de la plainte de la FTC contre Alexa est qu'Amazon se serait livré à des pratiques déloyales et trompeuses en indiquant aux consommateurs qu'Alexa était une offre soucieuse de la confidentialité qui permettait aux utilisateurs d'exercer un contrôle sur la manière dont les données sensibles (y compris les données vocales et de géolocalisation) étaient collectées. , utilisé et conservé par Amazon. Selon la Commission, ces représentations se heurtaient à la réalité des pratiques de collecte et d'utilisation des données d'Alexa et constituaient des violations de l'article 5 de la loi FTC et de la règle COPPA.

Les allégations précises de la plainte comprennent ce qui suit.

1. Représentations trompeuses concernant la suppression des données de géolocalisation.La FTC allègue qu'Amazon a fait des déclarations trompeuses sur la capacité des utilisateurs de l'application Alexa à supprimer les informations de géolocalisation collectées par l'application, affirmant qu'Amazon n'a pas appliqué les demandes de suppression aux données hébergées dans des "emplacements de stockage de données secondaires" et a continué à utiliser ces données pour fins d'amélioration du produit.

2. Représentations trompeuses concernant l'accès, la suppression et la conservation des enregistrements vocaux des utilisateurs. La plainte allègue qu'Amazon a fait des déclarations trompeuses concernant sa gestion des enregistrements vocaux. Plus précisément, la FTC allègue qu'Amazon a conservé les transcriptions écrites des enregistrements vocaux même après avoir supprimé les fichiers audio qui les accompagnaient, a accordé un accès trop large aux enregistrements vocaux aux employés et a conservé indéfiniment les enregistrements vocaux des enfants par défaut.

3. Pratiques déloyales en matière de confidentialité. La plainte met en évidence une série de pratiques de confidentialité présumées que la FTC a jugées injustes, notamment (1) la conservation des enregistrements vocaux des enfants plus longtemps que raisonnablement nécessaire ; (2) isoler les données de géolocalisation des demandes de suppression des utilisateurs et continuer à accéder à ces données à des fins d'amélioration du produit même après qu'une demande de suppression ait été soumise ; (3) ne pas se conformer pleinement aux demandes de suppression de données de géolocalisation et d'enregistrements vocaux ; et (4) ne pas avoir informé les consommateurs qu'Amazon n'avait pas satisfait les demandes des consommateurs de supprimer leurs informations de géolocalisation ou leurs enregistrements vocaux ou ceux de leurs enfants.

4. Violations des règles COPPA. La plainte allègue que les pratiques d'Amazon en matière de confidentialité et de sécurité des données liées à Alexa ont violé la règle COPPA, 16 CFR Part 312, qui impose des exigences aux opérateurs de services en ligne destinés aux enfants de moins de 13 ans. 16 CFR § 312.3. Parmi les exigences violées, selon la plainte, figuraient les exigences de notification informant les parents de leur droit de supprimer les informations personnelles de leurs enfants et de la possibilité d'exercer ce droit, voir 16 CFR §§ 312.4, 312.6, ainsi que les interdictions de conserver les informations personnelles des enfants plus longtemps que nécessaire pour atteindre l'objectif pour lequel ces informations ont été collectées, voir 16 CFR § 312.10.

L'ordonnance stipulée proposée

L'ordonnance stipulée proposée impose les exigences clés suivantes à Amazon.

1. Suppression d'informations. Amazon est tenu de mettre en œuvre un processus pour identifier les profils d'enfants Alexa inactifs et de supprimer toutes les informations personnelles des enfants associées à ces profils. En outre, Amazon doit garantir la suppression de toute géolocalisation, voix ou information personnelle des enfants dont un utilisateur (ou le parent de l'enfant) avait précédemment demandé la suppression, et il est interdit d'utiliser ultérieurement l'une de ces données pour créer ou améliorer des modèles et autres outils liés aux données.

2. Programme de confidentialité. Amazon doit mettre en place un programme de confidentialité axé sur sa collecte et son utilisation des informations de géolocalisation. Ce programme doit inclure des fonctionnalités telles que des évaluations annuelles des risques, la mise en œuvre de mesures de protection (y compris des examens de la confidentialité, la formation des employés et des contrôles d'accès) et la sélection des fournisseurs de services.

3. Aucune fausse déclaration sur la confidentialité de la géolocalisation et des informations vocales.Il est interdit à Amazon de faire de fausses déclarations sur les pratiques d'Alexa en matière de conservation, d'accès et de suppression des données en ce qui concerne la géolocalisation et les informations vocales, y compris la mesure dans laquelle les utilisateurs peuvent exercer un contrôle sur ces pratiques.

4. Avis de conservation et de suppression des données.Amazon doit fournir aux consommateurs des informations sur la conservation et la suppression des données qui expliquent pourquoi les informations vocales et/ou de géolocalisation sont collectées et les mécanismes par lesquels les utilisateurs peuvent demander la suppression de ces informations.

5. Jugement monétaire de 25 millions de dollars.Amazon est tenu de payer 25 millions de dollars à titre de sanction civile.

ACTION D'APPLICATION DE L'ANNEAU

La plainte

Ring est une société de caméras de sécurité à domicile qui a été acquise par Amazon en 2018. Ring vend « des caméras de sécurité, des sonnettes et des accessoires et services associés connectés à Internet », y compris des caméras qui surveillent les espaces privés dans les maisons des consommateurs. Dans le cadre de ses offres, Ring stocke et analyse les enregistrements vidéo capturés par ses appareils.

D'une manière générale, la plainte de la FTC contre Ring allègue que l'entreprise a accordé un accès trop large aux données vidéo des clients, n'a pas informé les clients ou n'a pas obtenu le consentement des clients pour le visionnage d'enregistrements vidéo par ses employés et n'a pas mis en œuvre des pratiques raisonnables de sécurité des données pour protéger ses appareils contre la compromission de la cybersécurité. Ces pratiques, selon la plainte, équivalaient à des pratiques trompeuses et déloyales passibles de poursuites en vertu de l'article 5 de la loi FTC.

Les allégations précises de la plainte comprennent ce qui suit.

1. Accès trop large des employés aux enregistrements vidéo des clients.La plainte allègue que Ring n'a pas imposé de restrictions adéquates à l'accès des employés aux enregistrements vidéo des clients, ce qui a permis à chaque employé de Ring (en plus des centaines de sous-traitants) d'accéder et de télécharger n'importe quelle vidéo de client, qu'il ait ou non un objectif commercial légitime. pour une telle activité.

2. Défaut d'informer les clients et d'obtenir leur consentement pour l'examen humain des enregistrements vidéo. La plainte allègue en outre que même lorsque les employés et sous-traitants de Ring avaient un objectif commercial légitime pour accéder aux enregistrements des clients, Ring n'a pas notifié ni obtenu le consentement des clients pour un tel examen humain. En particulier, la plainte vise les conditions d'utilisation et la politique de confidentialité de Ring d'avant janvier 2018. Avant décembre 2017, la plainte allègue que Ring n'a pas divulgué dans ces documents que ses employés et sous-traitants seraient en mesure d'examiner tous les enregistrements vidéo, incluant à la place une description générale du droit de l'entreprise d'utiliser ces enregistrements pour l'amélioration et le développement de produits. De même, la plainte note que la politique de confidentialité de Ring de décembre 2017 à janvier 2018 "décrivait l'utilisation [de Ring] d'enregistrements d'appareils pour l'amélioration et le développement de produits", mais elle soutient que cette description était "enfouie… dans un jargon juridique dense et long".

3. Pratiques de cybersécurité inadéquates. La plainte allègue que Ring n'a pas mis en œuvre de "mesures de sécurité standard" pour prévenir les attaques de cybersécurité courantes. Plus précisément, malgré plusieurs signaux d'alarme, y compris des compromis en matière de cybersécurité, des rapports de vulnérabilité et des rapports médiatiques sur des attaques contre des concurrents, Ring aurait refusé de mettre en œuvre des garanties de base ou mis en œuvre des protections qui étaient "trop ​​​​peu nombreuses et trop tardives".

L'ordonnance stipulée proposée

L'ordonnance stipulée proposée impose les exigences clés suivantes à Ring.

1. Suppression des enregistrements vidéo et des produits dérivés antérieurs à mars 2018.Ring est tenu de supprimer les enregistrements vidéo couverts d'avant mars 2018, les « intégrations de visage » d'avant mars 2018 et les produits de travail (par exemple, les modèles et les algorithmes) développés à partir de l'examen des enregistrements d'avant mars 2018.

2. Programme de confidentialité et de sécurité des données. Ring est tenu de mettre en œuvre un programme de confidentialité et de sécurité des données, comprenant des fonctionnalités telles que des évaluations périodiques des risques, l'élaboration d'une politique interdisant l'examen humain des enregistrements vidéo des clients à moins que certaines conditions ne soient remplies, la formation des employés, les contrôles d'accès aux données (comme l'authentification multifacteur) , les exigences en matière de mots de passe forts, le cryptage des enregistrements vidéo des clients en transit et au repos, et les garanties de test et de surveillance. Ring est en outre tenu de faire valider sa conformité au programme susmentionné via des évaluations biennales par un évaluateur tiers indépendant.

3. Rapports d'incidents.Ring est tenu de fournir des rapports à la FTC sur les « incidents couverts », définis comme incluant tout incident qui entraîne soit la notification de Ring à une entité gouvernementale, soit la compromission d'enregistrements vidéo de 10 comptes Ring ou plus.

4. Aucune fausse déclaration concernant l'accès aux données des employés et les protections de la cybersécurité.Il est interdit à Ring de déformer ses pratiques concernant l'accès des employés et des sous-traitants aux enregistrements vidéo des clients ainsi que la mesure dans laquelle ses produits sont protégés contre les "attaques en ligne résultant de l'utilisation abusive par des acteurs externes d'identifiants d'authentification valides".

5. Jugement monétaire de 5,8 millions de dollars.Ring doit payer à la FTC 5,8 millions de dollars, que la Commission pourra ensuite utiliser pour fournir une réparation aux consommateurs.

PRINCIPAUX POINTS À RETENIR DES DEUX MESURES D'APPLICATION

1. Interprétation extensive des pratiques déloyales. Dans les deux plaintes, la FTC adopte une conception large de ce qui constitue des pratiques déloyales au sens de la loi FTC. Sont incluses dans le champ d'application de cette conception large des pratiques allant de l'accès trop large des employés aux données des clients et des contrôles de cybersécurité inadéquats (Ring) à la conservation inutile des données des clients et au non-respect des demandes de suppression (Alexa). Prises ensemble, ces mesures d'exécution indiquent que la FTC élargit de plus en plus son interprétation des pratiques déloyales.

2. La restitution des données comme solution. En plus des autres sanctions qu'elle a imposées dans le cadre de sa mesure d'exécution concernant Alexa, la FTC a également exigé qu'Amazon supprime les données qu'elle a utilisées pour former Alexa, que la FTC alléguait avoir été traitées en violation de l'article 5 de la loi FTC et de la COPPA. La restitution des données est un recours que la FTC a déjà utilisé, et il est probable qu'elle continuera à l'utiliser à l'avenir pour des mesures d'exécution impliquant des outils d'IA. Les entreprises opérant dans cet espace doivent être conscientes de ce risque potentiel en ce qui concerne leurs programmes de conformité à la confidentialité.

3. Spécificité concernant les utilisations internes des informations personnelles. La plainte de Ring souligne la nécessité pour les entreprises de spécifier clairement dans leur documentation sur la confidentialité comment elles ont l'intention d'utiliser les données des clients. Dans cette plainte, la FTC a souligné le prétendu manquement de Ring à divulguer spécifiquement aux clients que leurs enregistrements vidéo seraient soumis à un examen humain. Dans ce contexte, la FTC a estimé que les descriptions générales des enregistrements vidéo utilisés pour l'amélioration et le développement internes des produits étaient insuffisantes. À l'avenir, les entreprises doivent veiller à ne pas se fier à "l'amélioration et au développement internes des produits" comme une divulgation fourre-tout pour les utilisations internes des données client et doivent plutôt chercher à fournir plus de précisions sur la manière dont les informations client seront utilisées (y compris qui les utilisera ).

4. Limitation de l'accès des employés aux informations personnelles. Les plaintes de la FTC soulignent également la nécessité pour les entreprises de restreindre l'accès des employés aux informations des clients à ceux qui ont une véritable justification commerciale pour l'accès. La FTC a critiqué Ring et Alexa pour avoir prétendument omis de limiter de manière adéquate le bassin d'employés et de sous-traitants ayant accès aux informations sensibles des clients, et cela sera probablement un domaine d'intérêt pour la Commission à l'avenir.

5. Conformité totale aux demandes de suppression. La plainte d'Alexa devrait servir de rappel brutal aux entreprises de la nécessité de se conformer pleinement aux demandes de suppression de données. Cela inclut la transmission de ces demandes de suppression pour s'assurer que les données sont supprimées, par exemple, par les emplacements de stockage de données secondaires en cause dans la plainte Alexa. Et les entreprises, bien sûr, doivent s'assurer qu'elles ne continuent pas à utiliser, ne serait-ce qu'à des fins internes, les données dont un client a demandé la suppression.