"Boîte noire" d'Amazon : l'algorithme discrimine les clients
noyb a déposé aujourd'hui une nouvelle plainte contre Amazon Europe. Le géant du commerce électronique offre aux clients la possibilité de payer les produits plus tard via la "facture mensuelle". Un client qui a été refusé pour ce mode de paiement sans aucune raison a soumis une demande d'accès à Amazon afin de savoir pourquoi il a été refusé. L'entreprise a refusé de fournir la moindre information.
- Télécharger : Plainte contre Amazon (PDF)
- Télécharger : Traduction automatique en anglais de la plainte (PDF)
Le système décidé était entièrement automatisé. Quelques secondes seulement après la confirmation de la commande, le client a reçu un e-mail automatique dans lequel le paiement par "facture mensuelle" était rejeté. Amazon l'invitait à passer au paiement par carte de crédit, faute de quoi la commande serait annulée dans les 5 jours. Aucune raison de ce rejet n'a été donnée, et le service client n'a répondu à aucune question à ce sujet.
LeGDPR exige la transparence et la vérifiabilité. Pour les décisions individuelles automatisées - telles que l'autorisation ou non du paiement sur compte - une entreprise doit fournir des informations significatives sur la logique impliquée et la portée du traitement des données sous-jacentes. Or, dans la politique de confidentialité d'Amazon, on ne trouve que de vagues informations sur d'éventuels mécanismes de vérification de la solvabilité
Lesdécisions automatisées doivent être vérifiables par des humains. Ce n'est évidemment pas possible chez Amazon, comme le précise son service de facturation :"Cette décision automatisée peut avoir diverses causes et ne peut pas être adaptée manuellement."Ironiquement, Amazon justifie cette décision en disant que le service client ne peut pas voir la raison exacte du rejet "pour des raisons de protection des données". Ils ont également refusé de préciser si des informations internes ou un score de crédit négatif ont été utilisés pour le processus de décision en question.
Une demande d'accès infructueuse a révélé d'autres violations du GDPR. Au lieu de recevoir une copie des données, comme l'exige l'article 15, paragraphe 3, du GDPR, le client était censé télécharger manuellement 54 dossiers contenant des tableaux pour la plupart incompréhensibles. Aucune information sur les finalités ou la base juridique du traitement des données n'a été fournie. De même, Amazon a refusé de donner la moindre information sur les sources ou les destinataires des données, alors que le GDPR exige que les responsables du traitement fournissent ces informations. Les demandes de renseignements du client ont été rejetées par des blocs de texte insignifiants.
"La mesure dans laquelle Amazon ignore la législation européenne sur la protection des données est inquiétante. Les algorithmes prennent des décisions que même leurs propres employés ne peuvent pas comprendre et vérifier. La réponse d'Amazon à la demande d'accès viole également à peu près tous les paragraphes des dispositions applicables du GDPR." - Marco Blocher, avocat spécialisé dans la protection des données chez noyb
L'autorité luxembourgeoise largement inactive. Amazon Europe étant situé au Luxembourg, la commission nationale de protection des données du pays est chargée de traiter la plainte. noyb a déjà déposé une plainte contre Amazon en janvier 2019 ; à ce jour, aucune décision n'est en vue. Les informations sur l'état d'avancement de la procédure ou l'accès aux dossiers sont refusés car cela mettrait en danger les tâches de l'autorité et porterait atteinte au but de la procédure. Nous espérons que la plainte déposée aujourd'hui ne disparaîtra pas dans le fourré de l'autorité luxembourgeoise.