Pas seul à la maison : la FTC affirme que les pratiques laxistes de Ring ont entraîné des violations inquiétantes de la vie privée et de la sécurité des utilisateurs

Jan 22, 2024

De nombreux consommateurs qui utilisent des sonnettes vidéo et des caméras de sécurité souhaitent détecter les intrus qui envahissent l'intimité de leur domicile. Les consommateurs qui ont installé Ring pourraient être surpris d'apprendre que, selon une proposition de règlement de la FTC, un "intrus" qui envahissait leur vie privée était Ring lui-même. La FTC affirme que Ring a donné à ses employés et à des centaines d'entrepreneurs tiers basés en Ukraine un accès vidéo personnel et rapproché dans les chambres des clients, les chambres de leurs enfants et d'autres espaces très personnels - y compris la possibilité de télécharger, de visualiser, et partagez ces vidéos à volonté. Et ce n'est pas tout ce que Ring faisait. En plus d'un règlement financier de 5,8 millions de dollars, l'ordonnance proposée dans l'affaire contient des dispositions à l'intersection de l'intelligence artificielle, des données biométriques et de la vie privée. C'est un serre-livre instructif pour un autre cas majeur de confidentialité biométrique que la FTC a annoncé aujourd'hui, Amazon Alexa.

Ring vend des caméras et des sonnettes vidéo connectées à Internet utilisées par des millions d'Américains pour sécuriser leurs maisons. Ring a sonné cette cloche de sécurité tout au long d'une vaste campagne de marketing, présentant ses produits comme "De petite taille. Grand pour la tranquillité d'esprit". Mais la FTC affirme que malgré les affirmations de la société selon lesquelles elle a pris des mesures raisonnables pour s'assurer que les caméras Ring étaient un moyen sécurisé pour les consommateurs de surveiller les zones privées de leur domicile, la société a fait preuve d'une approche rapide et souple des informations hautement sensibles des clients.

Bien que le manuel de l'employé de Ring interdise l'utilisation abusive des données, la conduite inquiétante de certains membres du personnel suggère que l'avertissement ne valait pas le papier sur lequel il était imprimé. Plutôt que de limiter l'accès aux vidéos des clients à ceux qui en avaient besoin pour effectuer des tâches professionnelles essentielles - par exemple, pour aider un consommateur à résoudre un problème avec son système - Ring a donné un accès "libre" aux employés et aux sous-traitants. Y a-t-il un doute où cette politique bâclée et ces contrôles laxistes mèneraient inévitablement ? Au cours d'une période de trois mois en 2017, un employé de Ring a visionné des milliers de vidéos d'utilisatrices dans leurs chambres et salles de bain, y compris des vidéos des propres employés de Ring. Plutôt que de détecter ce que l'employé faisait grâce à ses propres contrôles techniques, Ring n'a appris l'épisode qu'après qu'une employée l'a signalé. Ce n'est qu'un exemple de ce que la FTC appelle "l'accès dangereusement trop large et l'attitude laxiste envers la confidentialité et la sécurité" de Ring.

Bien que Ring ait modifié certaines de ses pratiques en 2018, la FTC affirme que ces mesures n'ont pas résolu le problème. Vous aurez envie de lire la plainte pour plus de détails, mais même après ces modifications, la FTC cite des exemples d'un "tunnel" non autorisé qui a permis à un entrepreneur basé en Ukraine d'accéder aux vidéos des clients, un incident où un employé de Ring a donné des informations sur un client vidéos à l'ex-mari de la cliente, et un rapport d'un dénonciateur selon lequel un ancien employé avait fourni des appareils Ring à de nombreuses personnes, avait accédé à leurs vidéos à leur insu ou sans leur consentement, puis avait emporté les vidéos avec lui lorsqu'il avait quitté l'entreprise.

Mais les menaces à la vie privée des consommateurs ne venaient pas seulement de l'intérieur de Ring. Selon la plainte, jusqu'en janvier 2020, Ring n'a pas réussi à faire face aux risques posés par deux formes bien connues d'attaques en ligne : la « force brute » (un processus automatisé de devinette de mot de passe) et le « trucage d'informations d'identification » (prendre des noms d'utilisateur et des mots de passe volés lors d'autres violations et les utiliser pour accéder à Ring). Selon la FTC, les failles de sécurité de Ring ont finalement conduit plus de 55 000 clients américains à subir de graves compromissions de compte.

Quelle était la gravité de l'atteinte à la vie privée des consommateurs ? Dans de nombreux cas, les mauvais acteurs ont profité de la fonctionnalité de communication bidirectionnelle de la caméra pour harceler et menacer les personnes dont les chambres étaient surveillées par les caméras Ring, y compris les enfants et les personnes âgées. Décrivant leurs expériences comme terrifiantes et traumatisantes, les clients ont signalé de nombreux cas de comportement menaçant émanant de voix envahissant le caractère sacré de leurs maisons via Ring :

Un employé de One Ring l'a expliqué ainsi : "Inconsciemment, nous aidons et encourageons les [hackers] qui ont piraté les données en n'ayant mis en place aucune mesure d'atténuation."

Les employés effrayants et les pirates informatiques sinistres n'étaient pas les seuls à avoir arraché le contrôle des données personnelles des consommateurs. Selon la plainte, sans obtenir le consentement explicite et affirmatif des consommateurs, Ring a exploité leurs vidéos pour développer des algorithmes de reconnaissance d'images, mettant le profit potentiel au-dessus de la vie privée. Cachant sa conduite dans un bloc dense de jargon juridique, Ring a simplement dit aux gens qu'il pourrait utiliser leur contenu pour l'amélioration et le développement de produits, puis a extrapolé le prétendu "consentement" à partir d'une coche où les consommateurs ont reconnu qu'ils acceptaient les conditions d'utilisation et la politique de confidentialité de Ring.

La plainte allègue que Ring a violé la loi FTC en déformant que la société a pris des mesures raisonnables pour protéger les caméras de sécurité à domicile contre tout accès non autorisé, a injustement autorisé les employés et les sous-traitants à accéder aux enregistrements vidéo d'espaces intimes dans les maisons des clients à l'insu des clients ou sans leur consentement, et a injustement échoué. utiliser des mesures de sécurité raisonnables pour protéger les données vidéo sensibles des clients contre tout accès non autorisé.

En plus du paiement requis de 5,8 millions de dollars pour les consommateurs, l'ordonnance proposée comprend certaines dispositions communes aux règlements de la FTC et de nouvelles dispositions importantes qui méritent une attention particulière non seulement du secteur de la technologie, mais de toute entreprise utilisant les données des consommateurs (et, avouons-le, c'est à peu près tout le monde). Vous voudrez lire attentivement la commande, mais voici quelques faits saillants. L'ordonnance interdit à Ring de faire de fausses déclarations sur la mesure dans laquelle l'entreprise ou ses sous-traitants peuvent accéder aux vidéos, aux informations de paiement et aux identifiants d'authentification des clients. De plus, pendant la période où Ring disposait de procédures inadéquates pour obtenir le consentement des consommateurs, la société devait supprimer toutes les vidéos utilisées pour la recherche et le développement et toutes les données - y compris les modèles et les algorithmes - dérivées de ces vidéos.

Ring doit également mettre en œuvre un programme complet de confidentialité et de sécurité qui limite strictement « l'examen humain » des vidéos des clients à certaines circonstances étroites – par exemple, pour se conformer à la loi ou pour enquêter sur une activité illégale – ou si l'entreprise a obtenu le consentement éclairé exprès des consommateurs. . L'entreprise doit également améliorer son jeu de sécurité avec des exigences spécifiques d'authentification multifacteur, de cryptage, de tests de vulnérabilité et de formation des employés.

En plus d'informer les clients des pratiques d'accès vidéo laxistes citées dans la plainte, Ring doit à l'avenir informer la FTC de tout incident de sécurité qui déclenche une notification en vertu d'autres lois et de tout incident de confidentialité impliquant un accès non autorisé aux vidéos de dix comptes Ring ou plus. .

Que peuvent retirer les autres entreprises du règlement proposé dans cette affaire ?

Qui est en charge des données des consommateurs ? Consommateurs. Les consommateurs – et non les entreprises – devraient contrôler qui accède à leurs données sensibles. En outre, des décennies de précédent de la FTC établissent que les entreprises ne peuvent pas utiliser des "divulgations" difficiles à trouver et à comprendre et des cases à cocher pro forma pour fabriquer un "consentement".

Développer des algorithmes de manière responsable. Selon la FTC, Ring a accédé aux vidéos des clients pour développer des algorithmes sans leur consentement. Si vous êtes entré dans l'arène de l'IA, le message de la FTC est clair : les informations personnelles des consommateurs ne sont pas de l'eau que les entreprises peuvent utiliser à volonté. La FTC tiendra les entreprises responsables de la manière dont elles obtiennent et utilisent les données des consommateurs qui alimentent leurs algorithmes. En outre, les entreprises qui s'appuient sur l'examen humain pour étiqueter les données utilisées pour former les algorithmes d'apprentissage automatique doivent obtenir le consentement exprès affirmatif des consommateurs et mettre en place des garanties pour protéger la confidentialité et la sécurité de ces informations.

La FTC est "biométriquement" opposée à l'utilisation abusive de catégories hautement sensibles d'informations personnelles. Les données biométriques - qu'elles soient sous forme d'empreintes digitales, de scans d'iris, de vidéos ou autre - garantissent le plus haut niveau de protection. Si vous n'avez pas lu la déclaration de politique de mai 2023 de la FTC sur les informations biométriques, faites-en la prochaine sur votre liste de lecture.

La FTC travaille pour assurer la sécurité des consommateurs à la maison. S'il y a un endroit où les gens doivent être à l'abri des regards indiscrets, c'est chez eux. Et s'il y a un groupe qui mérite une protection particulière à la maison, ce sont les enfants. Imaginez maintenant la terreur vécue par les personnes – y compris les jeunes – qui ont été menacées dans leur lit par quelqu'un qui a eu accès grâce à un appareil acheté pour se protéger. L'action de la FTC contre Ring démontre les risques pour la confidentialité et la sécurité que les pratiques cavalières d'une entreprise en matière de données peuvent faire peser sur les consommateurs et les enfants.

Mots clés: