Amazon garde des traces de chaque mouvement détecté par ses sonnettes de porte Ring, ainsi que l'heure exacte à laquelle elles sont enregistrées à la milliseconde près.
Les détails ont été révélés grâce à une demande de données soumise par la BBC.
Elle a également révélé que chaque interaction avec l'application Ring est également stockée, y compris le modèle de téléphone ou de tablette et le réseau mobile utilisé.
Un expert a déclaré que cela donnait à Amazon la possibilité d'avoir une vision encore plus large de la vie de ses clients.
"Ce qui est le plus intéressant, ce ne sont pas seulement les données elles-mêmes, mais tous les modèles et les connaissances que l'on peut en tirer", a commenté Frederike Kaltheuner, expert indépendant en matière de protection de la vie privée.
"Savoir quand quelqu'un sonne à votre porte, à quelle fréquence et pendant combien de temps, peut indiquer que quelqu'un est chez vous.
"Si personne ne sonnait jamais à votre porte, cela indiquerait probablement aussi quelque chose sur votre vie sociale".
Elle a ajouté qu'on ne savait pas encore très bien dans quelle mesure des données "anonymes" étaient également collectées.
"Ce n'est pas seulement une question de vie privée, mais aussi de pouvoir et de valeur monétaire qui est attachée à ces données".
Amazon affirme qu'elle utilise ces informations pour évaluer, gérer et améliorer ses produits et services.
Requêtes et "dings dongs"
La BBC a d'abord fait la demande d'accès des personnes concernées (DSAR - data subject access request) en janvier pour s'adonner à une enquête plus large sur la façon dont Amazon recueille et utilise les informations sur ses clients.
À ce moment-là, la société a refusé de préciser quelles informations étaient collectées au-delà des indications de son document sur la protection de la vie privée, à savoir les "données sur vos interactions", les "caractéristiques de l'appareil" et d'autres termes inexacts de ce genre.
Les données fournies ont finalement été recueillies entre le 28 septembre 2019 et le 3 février 2020. Une sonnette vidéo Ring 2 a été utilisée pendant toute cette période, et une caméra intérieure Ring a été ajoutée au compte au cours de la dernière quinzaine.
Au cours de cette période, 1 939 "événements caméra" individuels ont été documentés.
Parmi ceux-ci, on compte
- un mouvement détecté par les capteurs des caméras
- un "ding" de la sonnette, lorsque son bouton a été actionné par un visiteur
- une action à distance "à la demande" par l'utilisateur pour obtenir une vidéo et un flux audio en direct et/ou parler à distance à un visiteur.
Dans chaque cas, la durée d'activation de l'équipement a également été enregistrée.
Ring explique que ses caméras utilisent l'analyse du visage et de la forme du corps pour aider à différencier les humains des autres êtres vivants afin de minimiser les fausses alertes. Cependant, rien n'indique que les données partagées aient détecté différents types de mouvements.
Coordonnées de la caméra
La principale base de données fournie a documenté chaque interaction avec les applications de Ring.
Elle répertorie 4 906 actions sur une période de 129 jours.
Parmi celles-ci, on trouve
- chaque fois que l'application a été lancée.
- lorsque l'utilisateur a "zoomé" par un simple pincement du doigt pour mieux voir les images.
- une variété de captures d'écran de différentes catégories.
- les détails du début et de la fin de chaque live-view.
Dans chaque cas, le modèle d'appareil utilisé, la version de son système d'exploitation, le type de connexion mobile de données concerné et le fournisseur de réseau ont tous été listés.
Parmi les autres enregistrements, on trouve les détails des coordonnées de latitude et de longitude des deux appareils, fournis à 13 décimales près. En théorie, cela permettrait d'identifier l'endroit où les produits ont été installés à 0,00001 mm près.
Lorsqu'ils ont été vérifiés par un outil en ligne, les relevés correspondaient à la bonne propriété.
Cependant, comme les mêmes coordonnées ont été données pour les deux appareils - qui étaient basés dans des parties différentes du bâtiment - il semble qu'Amazon ne connaisse pas l'emplacement des produits avec ce degré de précision.
Le haut de l'iceberg
Au total, 11 bases de données ont été partagées, contenant près de 26 500 champs individuels.
L'avis de confidentialité de Ring indique que d'autres données sont également collectées à des fins d'analyse, qui sont rendues anonymes afin qu'elles ne puissent pas être reliées à des comptes individuels.
"Les demandes d'accès aux données ne nous montrent que la partie visible de l'iceberg de la quantité de données que les entreprises collectent à notre sujet", a commenté Mme Kaltheuner.
"Il y a une valeur - et un pouvoir - énormes à collecter des données non personnelles à toutes sortes de fins : études de marché, formation et IA.
"Même les données anonymes peuvent avoir des implications sur la vie privée, par exemple sur la vie privée collective d'un bloc d'habitation, d'un groupe de personnes ou d'un ménage".
Aucun fichier vidéo n'a été inclus dans la réponse au DSAR (data subject access request).
Ring a justifié cette omission en faisant valoir que son application permet déjà de télécharger les clips pendant 30 jours si l'utilisateur a un abonnement payant. Après cette période, l'entreprise a déclaré que chaque enregistrement était définitivement supprimé. Elle a ajouté que si un utilisateur n'avait pas souscrit à un abonnement, alors Ring ne conservait aucun enregistrement.
Les activités de vente au détail d'Amazon et de sa filiale Ring sont gérées par des contrôleurs de données différents.
La BBC a demandé si les deux sociétés pourraient un jour mettre leurs enregistrements à disposition l'une de l'autre pour permettre une utilisation conjointe des informations - par exemple, en utilisant les données de Ring pour savoir quand une famille est habituellement à la maison afin d'aider à programmer les livraisons de colis.
L'entreprise a toutefois refusé de répondre.
source :
https://www.bbc.com/news/technology-51709247