Max Schrems et son organisation Noyb dénoncent l’effet boite noire d’un algorithme d’Amazon lié au paiement différé. Le RGPD impose à la firme d’expliquer la décision de son système.

Max Schrems, alias Mad Max, est un activiste bien connu de l’univers de la privacy. Sa plainte devant la Cour de Justice de l’UE débouchait l’année dernière sur un arrêt majeur, baptisé arrêt Schrems. Majeur parce qu’il prononçait l’invalidation du Privacy Shield.

À lire aussi : Amazon injecte de l’humain dans le contrôle du Machine Learning

Ce mécanisme encadrait les transferts de données entre l’Europe et les Etats-Unis. Il succédait au Safe Harbor, lui aussi invalidé par la CUJE quelques années auparavant. Avec son organisation Noyb (None of Your Business), Max Schrems mène donc des actions pour faire appliquer le RGPD.

Des décisions de paiement non justifiées

Dernière firme mise en cause : Amazon Europe. Noyb porte plainte contre le géant du e-commerce à qui elle reproche une infraction au Règlement général sur la protection des données. Le cœur du litige : un algorithme qualifié de boîte noire. Le site de vente sur Internet propose à ses clients du paiement différé. Les achats sont facturés plus tard dans le mois. Toutefois, tous les clients d’Amazon ne peuvent y prétendre. Sur quels critères se base la firme pour décider ?

C’est là que réside le problème selon Max Schrems, alerté par un consommateur dont la demande a été refusée, sans la moindre explication. Malgré une requête, l’entreprise n’a pas souhaité fournir d’information.
Noyb explique que ce processus repose sur un système totalement automatisé. Quelques secondes après une commande, Amazon informait le client plaignant du rejet de sa demande de paiement différé.
Or, souligne l’association, en vertu du RGPD, des décisions automatisées individuelles doivent répondre à des grands principes de « transparence et vérifiabilité ». Ainsi, une entreprise « doit fournir des informations significatives sur la logique impliquée et la portée du traitement des données sous-jacentes. »

Amazon « ignore la législation européenne »

La politique de confidentialité d’Amazon est peu explicite en la matière. Celle-ci ne fait que de vagues références à « d’éventuels mécanismes de vérification de la solvabilité. » Insuffisant, tance Noyb. Et la justification d’Amazon n’est pas sans ironie.
Les clients ne peuvent obtenir d’explication pour « des raisons de protection des données ». Non seulement, Amazon refuse d’apporter un éclairage, mais il se retranche en outre derrière un processus contraire au RGPD.

« La mesure dans laquelle Amazon ignore la législation européenne sur la protection des données est inquiétante. Les algorithmes prennent des décisions que même leurs propres employés ne peuvent pas comprendre et vérifier. La réponse d’Amazon à la demande d’accès viole également à peu près tous les paragraphes des dispositions applicables du RGPD », dénonce Marco Blocher, avocat spécialisé dans la protection des données au sein de noyb.

L’association en profite au passage pour égratigner la Cnil luxembourgeoise, comme elle a pu déjà le faire de son homologue irlandaise. Les géants du numérique sont en effet souvent implantés dans des pays doux pour leur fiscalité, mais aussi leur application du RGPD.
En Europe, le siège d’Amazon se trouve au Luxembourg. Or pour noyb, la DPC nationale se montre « largement inactive » en ce qui concerne la mise en conformité au Règlement. Noyb avait déjà déposé plainte auprès de l’autorité en janvier 2019. Sans suite à ce jour.