In re Sears Holdings Management Corp. - In re Sears Holdings Management Corp.

Au milieu de 2009, la Federal Trade Commission a déposé une plainte contre Sears Holdings Management Corporation (SHMC) pour des actes ou pratiques déloyaux ou trompeurs affectant le commerce. SHMC exploite les sites Web de vente au détail sears.com et kmart.com pour Sears Holdings Corporation . Dans le cadre d'un effort de marketing, certains utilisateurs de sears.com et kmart.com ont été invités à télécharger une application développée pour SHMC qui fonctionnait en arrière-plan sur les ordinateurs des utilisateurs collectant des informations sur presque toutes les activités Internet. Les aspects de suivi du programme n'ont été divulgués en jargon juridique qu'au milieu du contrat de licence de l'utilisateur final . La FTC a estimé qu'il s'agissait d'une divulgation insuffisante compte tenu des attentes des consommateurs et des informations détaillées recueillies. Le 9 septembre 2009, la FTC a approuvé un décret de consentement avec SHMC exigeant la divulgation complète de ses activités et la destruction des informations précédemment obtenues.

L'affaire

Contexte

D'avril 2007 à janvier 2008, SHMC a offert à environ 15% des visiteurs de ses sites Web l'opportunité de rejoindre la communauté My SHC. Les visiteurs sélectionnés ont vu une annonce pop-up qui demandait "Avez-vous déjà souhaité pouvoir parler directement à un détaillant? Parlez-leur des produits, services et offres qui vous conviendraient vraiment?" Il a ensuite donné aux visiteurs une chance de rejoindre la "My SHC Community", "une communauté en ligne dynamique et hautement interactive ... où votre voix est entendue et votre opinion compte, et ce que vous voulez et avez besoin compte!"

Si les visiteurs étaient d'accord, ils ont fourni une adresse e-mail et ont reçu un e-mail de suivi contenant plus de détails sur la communauté. Cet e-mail contenait la première mention d'un logiciel de recherche que les utilisateurs devaient télécharger. L'application «suivrait confidentiellement [] la navigation en ligne». Cette révélation a été enterrée parmi beaucoup d'autres textes décrivant une participation plus ouverte à la communauté tels que:

Nous vous demanderons de noter votre comportement d'achat et d'achat. Encore une fois, ce sera quand vous voulez et comment vous voulez l'enregistrer - toujours à vos conditions et toujours selon votre choix. Nous collecterons également des informations sur votre utilisation d'Internet. Les engagements communautaires sont toujours amusants et toujours volontaires!

Les consommateurs ont reçu 10 $ en échange de leur adhésion à la «communauté» à condition qu'ils maintiennent l'application en cours d'exécution pendant au moins un mois. La plupart du contenu de l'e-mail était axé sur la participation directe à la communauté en ligne, avec seulement des références limitées à l'application qui collecterait d'énormes quantités d'informations.

La déclaration de confidentialité et le contrat de licence de l'utilisateur final fournissent plus de détails, mais uniquement si les utilisateurs font défiler 75 lignes vers le bas dans une petite zone de texte qui affiche dix lignes de texte à la fois. L'accord a révélé que l'application collecterait des informations détaillées sur l'ordinateur sur lequel l'application a été installée en plus de:

tout le comportement Internet qui se produit sur l'ordinateur sur lequel vous installez l'application, y compris à la fois votre navigation Web normale et l'activité que vous entreprenez lors de sessions sécurisées, comme remplir un panier, remplir un formulaire de demande ou vérifier vos comptes en ligne, qui peuvent inclure des renseignements personnels sur les finances ou la santé. Nous pouvons utiliser les informations que nous surveillons, telles que le nom et l'adresse, dans le but de mieux comprendre les données démographiques de votre foyer; cependant, nous faisons des efforts commercialement viables pour filtrer automatiquement les informations personnelles confidentielles telles que l'identifiant d'utilisateur, le mot de passe, les numéros de carte de crédit et les numéros de compte. Par inadvertance, nous pouvons collecter de telles informations sur nos panélistes; et lorsque cela se produit, nous faisons des efforts commercialement viables pour purger notre base de données de ces informations.

L'application a essentiellement capturé toutes les activités Internet et n'a fait que des efforts symboliques pour empêcher la collecte de mots de passe. Bien que l'accord stipule qu'ils n'ont pas examiné le texte des messages instantanés ou des messages électroniques, ils ont collecté des informations d'en-tête de courrier électronique.

Une fois l'application installée, il n'y avait pratiquement aucune indication qu'elle s'exécutait sur l'ordinateur d'un utilisateur. La plainte a noté l'absence d'icône de la barre d'état système ou toute autre indication visible autre que «srhc.exe» étant répertorié comme un processus en cours d'exécution dans le Gestionnaire des tâches de Windows.

La FTC a conclu que bien que le SMHC ait fait certaines divulgations au sujet de la demande et des informations qu'elle a collectées, ils «n'ont pas divulgué de manière adéquate». Étant donné que l'application «surveille presque tout le comportement Internet qui se produit sur les ordinateurs des consommateurs», y compris des informations détaillées sur les transactions avec des sites Web non affiliés à SMHC, puis transmet ces informations aux serveurs distants de SHMC, les divulgations minimales fournies dans l'e-mail et enterrées dans le contrat de licence étaient insuffisantes. La FTC a constaté que les détails sur les informations collectées «seraient importants pour les consommateurs dans la décision d'installer le logiciel». Par conséquent, «le fait que SHMC n'ait pas divulgué ces faits, à la lumière des déclarations faites, était et demeure une pratique trompeuse».

Décret de consentement

La SMHC a consenti à l'ordre de la FTC de divulguer «clairement et en évidence» sur un écran distinct de la politique de confidentialité ou du contrat de licence (1) «tous les types de données que l'application de suivi surveillera, enregistrera ou transmettra»; (2) "comment les données peuvent être utilisées;" et (3) "si les données peuvent être utilisées par un tiers". Ils étaient également tenus d'obtenir le consentement opt-in des futurs utilisateurs.

Pour les utilisateurs existants de l'application, SMHC devait contacter et informer les utilisateurs de ce que l'application faisait et fournir une assistance pour la supprimer. Ils devaient en outre placer un avis clair et bien visible sur le site Web . Enfin, ils ont dû détruire toutes les données obtenues auprès des consommateurs avant le décret de consentement.

Importance de l'action

Dérogation au précédent juridique

Bien que l'article 5 de la Federal Trade Commission Act (15 USC § 45) accorde à la FTC le pouvoir d'enquêter et de prévenir les pratiques commerciales trompeuses, cette décision a surpris un certain nombre d'observateurs juridiques. SMHC pensait probablement faire tout ce qui est légalement requis pour utiliser son application afin de collecter des informations détaillées sur les consommateurs. Les tribunaux ont souvent constaté que les termes enfouis dans les contrats de licence sont exécutoires, même lorsque les termes sont en petits caractères dans des zones de texte comme celles de l'affaire SMHC. Souvent appelés accords clickwrap , dans ces cas, les tribunaux ont constaté qu'en cliquant sur «J'accepte», les utilisateurs devenaient légalement liés par tous les termes du contrat de licence même s'ils ne les lisaient pas. D'un point de vue contractuel, les entreprises sont généralement libres de créer les conditions qu'elles souhaitent, à condition qu'elles soient divulguées en jargon juridique quelque part dans le contrat de licence ou les conditions d'utilisation.

La FTC a indiqué à travers cette affaire que si cette fiction peut être adéquate pour former un contrat, elle n'est pas adéquate pour éviter les pratiques trompeuses. Les accords non lus ne libèrent pas les entreprises de leur devoir de ne pas tromper les consommateurs en omettant des conditions importantes. La décision suggère que les entreprises ont le devoir de définir correctement les attentes des consommateurs et qu'elles ne peuvent pas se fier à la fiction selon laquelle les utilisateurs ont lu les accords de licence. Au contraire, si l'application ou le site Web d'une entreprise recueille des informations ou se comporte d'une manière que les consommateurs ne s'attendraient pas, l'entreprise a le devoir d'informer le consommateur de ce que fait l'application ou le site Web.

Agenda de confidentialité en ligne de la FTC

La FTC œuvre depuis longtemps pour protéger la vie privée des consommateurs dans différents domaines. Son objectif est de «protéger les renseignements personnels des consommateurs et de s'assurer que les consommateurs ont confiance pour profiter des nombreux avantages offerts par le marché en constante évolution». Bien que l'objectif soit resté constant, les moyens de l'atteindre ont changé au fil du temps à mesure que le marché évolue. Cette décision fait partie d'un effort plus large de la FTC pour protéger la vie privée des consommateurs en ligne. Un article publié par la FTC a déclaré leur objectif de rendre les individus responsables des données qu'ils partagent sur Internet, mais cela repose sur la «transparence des pratiques de confidentialité» des entreprises afin que les consommateurs puissent prendre des décisions éclairées. Cette théorie de la vie privée et la plainte et le décret de consentement ultérieur sont basés sur les principes de la FTC Fair Information Practice (FIP). Cet ensemble de principes se concentre sur l'exigence d'une divulgation complète des données collectées afin que les utilisateurs puissent prendre des décisions éclairées sur l'opportunité de participer. L'application déployée par SMHC a clairement violé ces principes.

Vraisemblablement, l'objectif du SMHC en collectant la quantité massive de données était de pouvoir mieux commercialiser les produits auprès des consommateurs. Ce type de profilage pour faire de la publicité est souvent appelé publicité comportementale , qui a reçu une attention particulière en raison de sa nature envahissante pour la vie privée. La Network Advertising Initiative a été lancée pour aider à gérer les préoccupations du public concernant ce problème, qui a atteint son paroxysme lors du scandale Facebook Beacon . Bien que le scandale Beacon n'ait pas abouti à une action de la FTC, des plaintes ont été déposées auprès de la FTC et les utilisateurs de Facebook ont intenté un recours collectif. Depuis lors, la FTC a publié des lignes directrices sur la publicité comportementale et le Congrès a tenu des auditions et envisage une législation sur le sujet.

Voir également

Remarques

^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ ^o ^p ^q Dans l'affaire de Sears Holding Management Corp. , (FTC 2009) ("Réclamation")
^ Communiqué de presse, FTC, FTC approuve l'ordonnance de consentement final exigeant que Sears divulgue l'installation d'un logiciel de suivi placé sur les ordinateurs des consommateurs , (9 septembre 2009)
^ "Dans les communications textuelles (par exemple, les publications imprimées ou les mots affichés sur l'écran d'un ordinateur), les divulgations requises sont d'un type, d'une taille et d'un emplacement suffisamment visibles pour qu'un consommateur ordinaire puisse les lire et les comprendre, sous forme imprimée qui contraste avec l'arrière-plan sur lequel ils apparaissent; " Dans l'affaire Sears Holdings Management Corporation , accord de consentement à la p . 3 .
^ ^a ^b Dans l'affaire de Sears Holdings Management Corporation , accord de consentement
^ Voir par exemple, Feldman contre Google, Inc. , 513 F.Supp.2d 229 (ED Pa. 2007), Specht contre Netscape Communications Corp. , 150 F. Supp. 2d 585 (SDNY2001) (trouvant l'accord non exécutoire, mais uniquement parce que les utilisateurs n'avaient pas à cliquer sur «J'accepte» pour télécharger le logiciel).
^ ^a ^b FTC, Promouvoir la vie privée des consommateurs: responsabilité et transparence dans le monde moderne, 2 octobre 2009
^ ^un ^b Stephanie Clifford, Confidentialité Web sur le radar au Congrès , NY Times, 11 août 2008 à C1
^ Caroline McCarthy, Facebook informe les membres du règlement de Beacon , CNET, 3 décembre 2009
^ Ryan Singel, Loi sur la confidentialité en ligne sur le chemin , promesses du membre du Congrès, câblé, 23 avril 2009

Liens externes

[Complaint-1] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ ^o ^p ^q Dans l'affaire de Sears Holding Management Corp. , (FTC 2009) ("Réclamation")

[2] Communiqué de presse, FTC, FTC approuve l'ordonnance de consentement final exigeant que Sears divulgue l'installation d'un logiciel de suivi placé sur les ordinateurs des consommateurs , (9 septembre 2009)

[3] "Dans les communications textuelles (par exemple, les publications imprimées ou les mots affichés sur l'écran d'un ordinateur), les divulgations requises sont d'un type, d'une taille et d'un emplacement suffisamment visibles pour qu'un consommateur ordinaire puisse les lire et les comprendre, sous forme imprimée qui contraste avec l'arrière-plan sur lequel ils apparaissent; " Dans l'affaire Sears Holdings Management Corporation , accord de consentement à la p . 3 .

[agreement-4] Dans l'affaire de Sears Holdings Management Corporation , accord de consentement

[5] Voir par exemple, Feldman contre Google, Inc. , 513 F.Supp.2d 229 (ED Pa. 2007), Specht contre Netscape Communications Corp. , 150 F. Supp. 2d 585 (SDNY2001) (trouvant l'accord non exécutoire, mais uniquement parce que les utilisateurs n'avaient pas à cliquer sur «J'accepte» pour télécharger le logiciel).

[FTCPromotingPrivacy-6] FTC, Promouvoir la vie privée des consommateurs: responsabilité et transparence dans le monde moderne, 2 octobre 2009

[nytimes.com-7] un ^b Stephanie Clifford, Confidentialité Web sur le radar au Congrès , NY Times, 11 août 2008 à C1

[8] Caroline McCarthy, Facebook informe les membres du règlement de Beacon , CNET, 3 décembre 2009

[9] Ryan Singel, Loi sur la confidentialité en ligne sur le chemin , promesses du membre du Congrès, câblé, 23 avril 2009

Languages

In other projects