Pourquoi la FTC s’attaque au marketeur iBeacon Nomi

Pourquoi la FTC s’attaque au marketeur iBeacon Nomi

La FTC (la répression des fraudes américaines) vient d’instruire une plainte pour tromperie à l’encontre de la start-up Nomi Technologies, concernant son système de tracking en magasin, c’est la première procédure à ce jour concernant un dispositif de tracking basé sur des capteurs.

L’objet du délit marketing

Revenons aux faits. En 2013, Nomi lance « Listen », une plate-forme d’analyse statistique destinée aux enseignes commerçantes, un dispositif pouvant être déployé dans leurs magasins  via leurs applications mobiles pour évaluer le comportement de leurs consommateurs. Cette plate-forme fonctionne grâce à des capteurs de suivi qui permettent de déterminer le parcours des clients grâce à l’adresse MAC de leur téléphone qui fait office d’identifiant unique pour chaque visiteur. Ces rapports donnent ainsi aux enseignes des informations très précieuses sur la proportion de clients qui entrent dans leurs magasins par rapport à ceux qui passent à proximité , la durée moyenne de leurs visites, la proportion de clients réguliers, de la fréquentation de leurs différents magasins etc.

Or, selon la plainte de la FTC, « Listen » aurait rassemblé neuf millions d’adresses MAC sur 9 mois en 2013, un chiffre qui donne le tournis quand on connait la suite. Car Nomi semble avoir oublié quelques règles de base concernant l’intérêt d’une politique de confidentialité. Si la startup y stipule bien que les consommateurs peuvent refuser les services liés au tracking en se désinscrivant via leur site Internet ou dans les magasins utilisant son service, la FTC met en évidence que Nomi n’a pas tenu ses promesses. Mais alors , pas du tout.

Tout d’abord, la FTC argumente sur le fait que pour pouvoir se désinscrire du service, l’utilisateur doit savoir qu’il est tracké. Or ni Nomi, ni ses clients magasins ne fournissent systématiquement cette information au consommateur final et Nomi ne fournit pas non plus la liste des magasins qui intègrent ses dispositifs sur son site. Bien évidemment, s’il ne savent même pas qu’ils sont trackés, aucun moyen ne leur est fourni non plus pour se désinscrire en magasin.

Par conséquent, la plainte dénonce clairement une pratique abusive de la part de la start-up , qui ne respecte pas les règles de confidentialité qu’elle a publié, une violation de l’article 5 de la loi FTC.

La position tiède de la FTC

Tout d’abord, il est important de bien comprendre que la FTC ne juge malheureusement pas ici de la qualité médiocre de la politique de confidentialité de Nomi, qui offre donc à certains des plus gros commerçants américains la possibilité de faire clairement des confettis avec les bonnes pratiques en la matière. Même si elle était respectée, cette politique exigerait d’un utilisateur qui se rend compte qu’il est traqué dans un magasin, qu’il connaisse son adresse MAC – alors que la plupart d’entre eux n’en ont jamais entendu parlé et que même les plus éclairés ne sont pas sûr de savoir comment la récupérer – puis aille à l’accueil du magasin pour demander à l’hôtesse de désinscrire cette adresse du dispositif ou encore se connecte directement sur le site de Nomi pour le faire lui-même après avoir cherché probablement la page pendant 10 bonnes minutes. Un utilisateur qui n’avait, rappelons-le, rien demandé et donc rien accepté à la base. On dirait une plaisanterie, non ? C’est là qu’on est content de rappeler qu’Apple a donc depuis plus d’un an décidé de ne plus divulguer l’adresse MAC de ses mobiles, rendant donc impossible ce genre de tracking passif et involontaire, mais que Google continue de le faire tranquillement via son OS mobile Android…

La commission a donc épinglé Nomi uniquement sur son incapacité à respecter ses propres engagements, aussi limités soient-ils. Et là, la décision non unanime de la commission est peut-être intéressante et plus encourageante. Trois membres dont la présidente ont voté en faveur de cette décision, estimant que l’information liée aux problématiques de confidentialité est au cœur de la capacité du consommateur à prendre des décisions éclairées concernant sa participation à ce genre de dispositif. Or Nomi, a clairement failli sur ce point.
En revanche, d’autres membres de la FTC, s’ils ne remettent pas en question le fonds du problème, ont considéré que la responsabilité était loin d’incomber exclusivement à Nomi, simple prestataire de service dans cette affaire et jeune société de surcroit. Car cette plainte déchargent effectivement la responsabilité des autres acteurs impliqués dans la chaine qu’on a du mal à croire complètement naïfs sur le sujet : de grandes enseignes bien établies, ravies de collecter des montagnes de données sans avoir à se soucier de problématiques de confidentialité qu’elles manipulent avec un respect variable depuis déjà bien longtemps.

Nomi a sans surprise décidé de négocier à l’amiable avec la FTC. Concrètement, la start-up s’engage à mettre en évidence les moyens précis et réels par lesquels les consommateurs auront un contrôle sur la collecte, l’utilisation et la divulgation des données recueillies les concernant. Ce qui veut dire que pour le moment elle a tout simplement retiré de sa politique de confidentialité la promesse que l’utilisateur puisse se désinscrire de son dispositif ! Ironique, non ? Nomi aurait par ailleurs l’obligation d’assurer une documentation sur l’ensemble des plaintes de consommateurs concernant ses services pendant 5 ans.

Des enjeux complexes et majeurs

Si cette affaire nous paraît importante, en dehors du fait qu’il s’agisse de la 1ère plainte instruite aux Etats-Unis contre un fournisseur de services marketing de type iBeacon, c’est surtout en raison de son issue. Car la division de la commission quant à la suite à donner à la plainte peut sonner comme un coup de semonce très politique envers l’industrie du marketing mobile mais aussi envers les grandes enseignes commerçantes. Elle semble dire aux deux parties de ce couple indissociable qu’au prochain manquement elle pourrait bien s’attaquer indifféremment à l’un comme à l’autre. En se concentrant ici sur le maillon faible de la chaine, elle a peut-être voulu donner aux startups du secteur l’argument nécessaire pour pouvoir faire pression à l’avenir sur leurs puissants clients sur le sujet brûlant du respect des bonnes pratiques en matière de politique de confidentialité, tout en brandissant assez clairement le spectre des poursuites directes.

Si cette hypothèse est vraie elle pourrait permettre de contrebalancer l’absence de remontrance à l’encontre de Nomi concernant les piètres ambitions de sa politique de confidentialité qui lui permet désormais de traquer des utilisateurs sans les en avertir et sans leur offrir de réel moyen d’y échapper, une bien piètre défense du consommateur pourtant au cœur des missions de la FTC.

Tous ces acteurs devraient se méfier : les utilisateurs de mobiles pourraient bien avoir de plus en plus la tentation bien légitime d’éteindre systématiquement leur Bluetooth et leur Wi-Fi, ce qui serait bien contreproductif. Et ce qu’a certainement très bien compris Apple en obligeant ses développeurs d’applications à un niveau bien plus élevé de transparence concernant les dispositifs de tracking. On attend toujours Google sur le sujet…
There are 2 comments for this article
  1. Kepler at 11:51

    Une précision sur le scrambling d’adresse MAC dont vous parlez : il est plutôt innefficace car il ne se met en route qu’après une longue période d’inactivité du processeceur.
    Cela signifie : aucune notification 3G (sms, appels), aucune connection wifi, aucun accéléromètres en mouvement (vous marchez… ca bouge, les accéléromètres reveillent le processeur).
    Personnellement, je suis arrivé à le déclencher au bout de 30 minutes : la nuit, en le laissant posé sur mon bureau et en déconnectant le service 3G.

  2. Helloïse at 11:40

    Merci d’avoir partagé votre expérience à ce sujet, j’avoue ne pas avoir testé la réalité de cette annonce moi-même…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


7 − deux =

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>