Amazon fined $2.25M for withholding evidence from fraud victims

1 minute de lecture

Mis à jour :

Amazon sanctionné pour entrave aux droits des victimes d’usurpation d’identité

Amazon a été condamné à payer une amende civile de 2,25 millions de dollars par la FTC (Federal Trade Commission) pour avoir entravé l’accès des victimes d’usurpation d’identité à leurs historiques de transactions. L’entreprise a enfreint la section 609(e) du Fair Credit Reporting Act (FCRA), qui impose aux sociétés de fournir ces preuves aux victimes sous 30 jours.

Points clés :

  • Obstruction systématique : Les agents du service client d’Amazon ont refusé de fournir les dossiers de fraude en invoquant injustement des motifs de “confidentialité” ou de “sécurité”.
  • Refus de coopération : Amazon a également refusé de transmettre des données aux forces de l’ordre agissant au nom des victimes.
  • Défaut de conformité : Même lorsque les documents étaient transmis, le délai légal de 30 jours était systématiquement dépassé.
  • Mesures correctives : Amazon est désormais contraint de respecter le délai légal de 30 jours et doit notifier les clients dont les demandes ont été ignorées depuis avril 2024.

Vulnérabilités et manquements : Cet incident ne relève pas d’une faille technique logicielle (CVE), mais d’une faille de processus métier et de conformité réglementaire. L’absence de procédure standardisée pour traiter les demandes liées à l’usurpation d’identité a empêché les victimes d’exercer leurs droits légaux.

Recommandations :

  • Alignement juridique : Les entreprises traitant des données financières doivent impérativement intégrer les exigences du FCRA dans leurs processus de support client.
  • Formation des agents : Former les équipes de support à distinguer les demandes légitimes de divulgation de données (encadrées par la loi) des demandes frauduleuses, afin d’éviter les refus basés sur des motifs de sécurité fallacieux.
  • Transparence et réactivité : Mettre en place des protocoles automatisés pour garantir le respect des délais de réponse réglementaires pour les demandes de communication de données.

Source