RGPD avec la SNCF

Oui SNCF a la mauvaise habi­tude de déclen­cher auto­ma­tique­ment l’abon­ne­ment à la news­let­ter commer­ciale lors d’un achat, sans possi­bi­lité de refu­ser sur le moment.

Commu­niquer avec vous : pour Oui.sncf, main­te­nir le contact avec vous est essen­tiel, mais nous ne le faisons que de manière très raison­née, et nous ne vous envoyons des commu­ni­ca­tions élec­tro­niques, via e-mail, SMS ou noti­fi­ca­tion mobile, que pour les motifs suivants :

[…]

La propo­si­tion d’offres commer­ciales […] Si vous avez commandé des produits sur le site Oui.sncf.

https://www.oui.sncf/infor­ma­tions-legales/confi­den­tia­lite/gestion-donnees

Je ne suis pas certain que ce soit légal à ce stade, surtout qu’ils réabonnent auto­ma­tique­ment même si on a expli­ci­te­ment demandé le désa­bon­ne­ment, mais ce qui m’at­tire c’est autre chose.

En bas des emails je lis ce qui suit

En ouvrant cet email, vous accep­tez le dépôt de nos cookies et ceux de nos parte­naires a des fins de person­na­li­sa­tion d’an­nonces commer­ciales, de mesure ou d’ana­lyse.

Et là je fais… Pardon ?

La person­na­li­sa­tion d’an­nonces commer­ciales sans consen­te­ment expli­cite ? Et le moyen d’y échap­per est la confi­gu­ra­tion de cookies sur le navi­ga­teur donc il y a collecte à chaque fois que vous ouvri­rez sur un nouveau poste même si vous avez expli­ci­te­ment exprimé un refus après coup.

Là c’est clai­re­ment illé­gal donc… Je veux en savoir plus et je fais une requête d’ac­cès RGPD. Comme toujours, je demande « tout » (parce que l’in­té­rêt est juste­ment de voir ce qu’ils stockent et à quoi je ne m’at­tends pas).

---

La réponse est polie et rapide, moins d’une semaine. C’est assez rare pour être signalé. On me pointe vers la charte de confi­den­tia­lité en ligne et on me donne un PDF avec quelques données :

• Civi­lité, prénom, nom, date de nais­sance, adresse, télé­phone
• Iden­ti­fiant de login (chaîne hexa), date de créa­tion du compte client, date de dernière connexion, le fait que je refuse les offres des spon­sors
• L’his­to­rique des commandes en cours (trois billets de train à venir) avec numéro de commande, numéro de dossier, date de commande, date de voyage, gare de départ et desti­na­tion, mode de retrait, mode de paie­ment, classe, montant et nombre de passa­gers (avec une erreur parce qu’on me manque « 2 » pour un des billets, qui ne contient qu’une seule place, ça doit donc vouloir dire autre chose)
• Un histo­rique vide des cartes et abon­ne­ments
• Un histo­rique vide des commandes en agence
• La liste des lettres d’in­for­ma­tion envoyées depuis 2 ans avec code et date, celles ouvertes et celles cliquées (avec le lien sur lequel j’au­rais cliqué)

Premier oups, l’his­to­rique des lettres d’in­for­ma­tion est sur 2 ans alors qu’on m’in­dique dans la charte qu’ils ne stockent qu’un an.

---

Ok, c’est pas mal mais en fait ridi­cule. Ils ne listent même pas mon iden­ti­fiant grand voya­geur, la clas­si­fi­ca­tion commer­ciale asso­ciée, les points ou avan­tages. Mais surtout je n’ai aucun histo­rique dans le passé à part sur les news­let­ter.

Comme je doute très forte­ment, je suis allé voir sur le site. Je devrais avoir au mini­mum :

• Des données bancaires sur mes achats passés, et au moins ceux encore rembour­sables (les 3 billets pour des voyages futurs)
• Des données liées à vos habi­tudes et centres d’in­té­rêt (desti­na­tions favo­rites, choix des pres­ta­tions complé­men­tai­res…)
• Des données de navi­ga­tion (recherches, nombre de visites, date de dernière visi­te…)
• Des données tech­niques (adresse IP, l’opé­ra­teur télé­com, la loca­li­sa­tion macro­sco­pique de l’adresse IP, les infor­ma­tions four­nies par le navi­ga­teur sur le système d’ex­ploi­ta­tion et le navi­ga­teur utilisé)
• Des logs de connexions sur 1 an
• Des cookies sur 13 mois
• Et bien entendu les « person­na­li­sa­tion d’an­nonces commer­ciales, de mesure ou d’ana­lyse » qui sont réali­sées comme indiqué en fin de news­let­ter.

Bref, j’ai fait une relance, on va voir la suite.