Amazon fined $2.25M for withholding evidence from fraud victims
Mis à jour :
Amazon sanctionné pour entrave aux droits des victimes d’usurpation d’identité
Amazon a été condamné à payer une amende civile de 2,25 millions de dollars par la FTC (Federal Trade Commission) pour avoir entravé l’accès des victimes d’usurpation d’identité à leurs historiques de transactions. L’entreprise a enfreint la section 609(e) du Fair Credit Reporting Act (FCRA), qui impose aux sociétés de fournir ces preuves aux victimes sous 30 jours.
Points clés :
- Obstruction systématique : Les agents du service client d’Amazon ont refusé de fournir les dossiers de fraude en invoquant injustement des motifs de “confidentialité” ou de “sécurité”.
- Refus de coopération : Amazon a également refusé de transmettre des données aux forces de l’ordre agissant au nom des victimes.
- Défaut de conformité : Même lorsque les documents étaient transmis, le délai légal de 30 jours était systématiquement dépassé.
- Mesures correctives : Amazon est désormais contraint de respecter le délai légal de 30 jours et doit notifier les clients dont les demandes ont été ignorées depuis avril 2024.
Vulnérabilités et manquements : Cet incident ne relève pas d’une faille technique logicielle (CVE), mais d’une faille de processus métier et de conformité réglementaire. L’absence de procédure standardisée pour traiter les demandes liées à l’usurpation d’identité a empêché les victimes d’exercer leurs droits légaux.
Recommandations :
- Alignement juridique : Les entreprises traitant des données financières doivent impérativement intégrer les exigences du FCRA dans leurs processus de support client.
- Formation des agents : Former les équipes de support à distinguer les demandes légitimes de divulgation de données (encadrées par la loi) des demandes frauduleuses, afin d’éviter les refus basés sur des motifs de sécurité fallacieux.
- Transparence et réactivité : Mettre en place des protocoles automatisés pour garantir le respect des délais de réponse réglementaires pour les demandes de communication de données.
