Amazon condamnée à payer 2,25 millions de dollars pour avoir ignoré des victimes de vol d'identité
Amazon va devoir payer 2,25 millions de dollars pour solder un litige avec la FTC, le régulateur américain de la concurrence et de la protection des consommateurs. L'agence accuse le géant du commerce en ligne d'avoir sciemment violé le Fair Credit Reporting Act (FCRA), une loi qui oblige les entreprises à communiquer aux victimes de vol d'identité les enregistrements de transactions frauduleuses réalisées en leur nom. C'est la sanction la plus élevée jamais prononcée pour ce type de violation.
Le problème
La FCRA impose aux entreprises de transmettre ces documents dans un délai de 30 jours après la demande du consommateur. Selon le communiqué officiel de la FTC, des agents du service client d'Amazon refusaient systématiquement ces demandes, en invoquant des raisons de sécurité ou de confidentialité. Dans d'autres cas, on indiquait aux victimes qu'Amazon n'était pas en mesure de retrouver les informations sur les achats suspects. Quand les documents étaient finalement fournis, c'était souvent après le délai légal.
Plus révélateur encore : Amazon n'avait aucune politique écrite pour traiter ce type de demande — ce qu'on appelle les requêtes FCRA Section 609(e) — jusqu'au début 2025, soit après que le régulateur avait déjà engagé son enquête. Comme le documente Engadget, la FTC avait pourtant alerté l'entreprise bien en amont.
Le contexte européen
Ce n'est pas la première fois qu'Amazon se retrouve dans le viseur des régulateurs sur des questions liées aux données personnelles. En 2021, la CNPD luxembourgeoise lui a infligé une amende de 746 millions d'euros pour violations du RGPD, à la suite d'une plainte déposée dès 2018 par l'association française La Quadrature du Net. En 2024, la CNIL a sanctionné Amazon France Logistique à hauteur de 32 millions d'euros pour surveillance excessive de ses salariés et manque de transparence — des griefs qui font écho aux défaillances documentées aux États-Unis.
Le RGPD prévoit des droits d'accès aux données personnelles (articles 12 à 15) proches dans l'esprit de ceux de la FCRA américaine, même si les mécanismes sont différents. L'affaire FTC illustre une tendance de fond : la difficulté des grandes plateformes à appliquer concrètement leurs propres obligations légales envers les utilisateurs lésés, des deux côtés de l'Atlantique.
Ce que ça change
Dans le cadre du règlement, Amazon devra fournir gratuitement les enregistrements demandés, aussi bien aux victimes qu'aux services de police. L'entreprise est également tenue de recontacter les consommateurs dont les demandes ont été refusées depuis avril 2024. Pour les utilisateurs d'Amazon.fr victimes d'une usurpation d'identité, le RGPD reste le principal levier : toute demande d'accès aux données peut être adressée directement à Amazon ou, en cas de refus, à la CNIL via signal.cnil.fr.