SPAM from Loca­lize.co and GDPR discus­sion

(french below)I recei­ved an email from Loca­lize.co a few days ago. I am used to SPAM but this times small lines did catch my atten­tion:

Follo­wing the GDPR, you are hereby infor­med that your perso­nal data was found on your Linke­din profile (full name and job title) and your email address was gues­sed based on your compa­ny’s email struc­ture which was publi­cly avai­lable. Your perso­nal data was manually proces­sed in our CRM for direct marke­ting purpose. Accor­ding to the GDPR, you have the right to lodge a complaint to a super­vi­sory autho­rity, howe­ver, direct marke­ting purpose may be regar­ded as a legi­ti­mate inter­est which doesn’t require the consent of the data subject. Your perso­nal data is stored in our CRM and will not be proces­sed for any other purpose than direct marke­ting. […]

Loca­lize.co is scrap­ping Linke­din to collect perso­nal data without autho­ri­za­tion. They do store this data on a long term basis on their own systems, still without any consent. Then they do use this data for unso­li­ci­ted marke­ting (ie SPAM), with a message asser­ting they are in agree­ment with the law.

That’s not my inter­pre­ta­tion, that is their own words.

I did request more details, here the response I had:

[…]

In regards to the GDPR, if you look at Article 14 you can see that you can actually contact data subject without their consent on the base of a legi­ti­mate inter­est. Reci­tal #47 of the GDPR indi­cates that direct marke­ting may be regar­ded as a legi­ti­mate inter­est.

Our legi­ti­mate inter­est was based on the fact that your company looks simi­lar to our other custo­mers since you have seve­ral languages avai­lable on your app and, the users of our tool often work in the tech­no­logy depart­ment hence we though our services could be rele­vant to you and your company. Once again, if this is not the case and my email did bother you, I since­rely apolo­gize.

As you can see in the disclai­mer that I inclu­ded in my initial and previous emails, we follow and respect all the points from the article 14.

As per your request, I’m sending a copy of all the data we have at the end of the email that our inter­nal team has collec­ted from Linke­din and your email was gues­sed based on [your company] email struc­ture. We did not buy data from any third-party tools

[…]

What is worst than a spam­mer which collect and process unlaw­fully my data, is a spam­mer that tells me he’s legally entit­led to do it.

---

J’ai reçu un email de Loca­lize.co il y a quelques jours. Je suis habi­tué aux SPAM mais les petites lignes ont retenu mon atten­tion :

Suivant le RGPD, nous vous infor­mons que vos données person­nelles ont été trouées sur votre profil Linke­din (nom complet et fonc­tion) et que votre adresse email a été devi­née à partir du format de votre société qui est acces­sible publique­ment. Vos données person­nelles ont été entrées manuel­le­ment dans notre logi­ciel de rela­tion client à des fins de marke­ting. Selon le RGPD, vous avez le droit de porter plainte auprès de l’au­to­rité de super­vi­sion, toute­fois, la pros­pec­tion commer­ciale directe peut être vue comme un inté­rêt légi­time qui ne requiert par le consen­te­ment de la personne objet des données. Vos données person­nelles sont stockées dans notre logi­ciel de rela­tion client et ne seront pas utili­sées à une autre fin que la pros­pec­tion commer­ciale directe. […]

(traduit par mes soins)

Loca­lize.co extrait des données person­nelles de Linke­din sans auto­ri­sa­tion. Ils stockent ces données dura­ble­ment dans leur logi­ciel de rela­tion client, toujours sans consen­te­ment. Ensuite ils utilisent ces données pour de la pros­pec­tion commer­ciale non solli­ci­tée (c’est à dire du SPAM).

Ce n’est pas mon inter­pré­ta­tion, ce sont leurs propres mots.

J’ai demandé plus de détails, voici la réponse obte­nue :

[…]
Selon le RGPD, vous pouvez voir à l’article 14 qu’il est possible de contac­ter la personnes objet des données sans son consen­te­ment, sur la base d’un inté­rêt légi­time. Le Reci­tal #47 du RGPD indique que la pros­pec­tion commer­ciale directe peut être vue comme un inté­rêt légi­time.

Notre inté­rêt légi­time est basé sur le fait que votre entre­prise ressemble à nos clients étant donné que vous avez plusieurs langues acces­sibles dans vos appli­ca­tions, et que les utili­sa­teurs de notre outil travaillent souvent dans les dépar­te­ments tech­niques, d’où le fait que nous pensions que nos services pour­raient être perti­nents pour vous et votre entre­prise. Encore une fois, si ce n’est pas le cas et que mon email vous a dérangé, je vous présente mes excuses sincères.

Comme vous pouvez le voir dans le commu­niqué que j’ai inclu dans le message initial, nous suivant et respec­tons tous les points de l’ar­ticle 14.

Suivant votre demande, je vous envoie à la fin de de cet email une copie de toutes les données que nous avons et que notre équipe interne a collecté depuis Linke­din, votre email a été deviné sur la base de la struc­ture des emails de [votre société]. Nous n’avons acheté aucune donnée depuis des outils tiers.

S’il y a une chose pire qu’un spam­mer, c’est un spam­mer qui me dit être léga­le­ment en droit de le faire.