Luttons contre les moulins

J’aime bien les combats impossibles.

Alors en ce moment je prends choisis chaque jour un SPAM reçu, si possible un d’une société connue et sérieuse, et je demande accès aux informations qu’ils ont sur moi, à l’origine de ces informations, et la preuve du consentement pour m’envoyer leur courrier.

Je prends donc l’email de SPAM et je réponds dessus. Ça me donne l’adresse de retour mais en général elle ne mène à rien ou ne sera pas lue. J’ajoute l’adresse de contact sur je trouve sur le site web, et s’il y en a une l’adresse de contact pour les demandes sur les données personnelles. S’il m’en manque une, j’ajoute aussi contact@ qui existe très souvent

En général ça passe par des prestataires. Dans le meilleur des cas le fichier est le leur et c’est un tiers qui fait l’envoi et le routage, et qui a donc accès aux données. Si c’est du SPAM c’est que justement je n’ai jamais donné mon accord, et souvent ils utilisent un fichier d’un tiers. Parfois c’est même un tiers qui fait la prospection à leur place et est réméré à l’apport de clientèle donc ils ne savent même pas ce que ça se passe ainsi.

Si j’arrive à voir mention du prestataire ou de loueur de fichier, je fais les mêmes opérations : L’adresse de contact ou service client, celle du RGPD s’il y en a une, et contact@. On y fait parfois mention en bas de l’email, ou on en voit les domaine dans les URLs des liens avant redirection. Parfois il faut chercher un peu, d’autant que souvent les domaines directement visibles ne sont que des façades vides et il faut trouver la vraie société derrière le nom commercial.

Enfin, quand j’ai ces différentes adresses, en général cinq ou six, je change le sujet. Si je garde le sujet de la newsletter, j’ai toutes les chances que le mail ne soit pas lu ou pas pris avec sérieux. J’ai choisi « Informations RGPD » pour allumer quelques lumières chez les gens, mais ça pourrait être autre chose.

Enfin l’email :

Bonjour,

En application de l’article 15 du Règlement général sur la protection des données (RGPD) je souhaiterai avoir copie de l’ensemble des données (*) me concernant dans vos fichiers, les fichiers de vos prestataires.

Pour cela vous pouvez opérer une recherche à partir de l’adresse email que vous avez utilisé: [email xxxxxx@xxxxx]

Si vous ne détenez pas directement ces données mais êtes passés par un prestataire qui opère un fichier en propre, merci de lui transmettre cette requête au titre du RGPD.

Par la même occasion, je vous demande d’y joindre l’origine de la collecte de ces informations ainsi que la source de mon consentement pour la réception de ces courriers publicitaires par email. En cas de difficultés, je vous demanderai de me mettre en contact avec votre délégué à la protection des données (DPO).

Enfin, je vous demanderai de faire suivre cette demande d’information à tout prestataire, partenaire ou client avec lesquels vous auriez pu partager les données mentionnées au premier paragraphe.

Je vous remercie de me faire parvenir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de ma demande (article 12.3 du RGPD).


Cordialement,
— 
[Prénom Nom]

Je laisse le SPAM initial en citation en dessous histoire d’avoir une référence et qu’on ne puisse pas me dire « ce n’est pas nous » ou « on n’a rien ».

Autre astuce : Ne *pas* demander la suppression des données. Pas à cette étape, sinon les petits malins ou ceux qui liront trop vite supprimeront les données ou l’abonnement à la liste de diffusion et pourront ensuite dire « ah ben on ne peut pas vous donner plus d’informations, c’est supprimé désormais ».

Note : On me signale aussi la version d’Aeris, plus formelle.

Rejoindre la conversation

13 commentaires

  1. Direct Énergie, email de prospection soit-disant destiné aux professionnels, via vnews.eu et une base qui s’appellerait « Estimaz » dont je n’ai pas trouvé de référence française.

    Première réponse par email me disant de renvoyer ma demande au service de souscription aux professionnels (visiblement ils ne sont pas foutus de le faire eux-même)

    Seconde réponse dans la foulée, toujours du même endroit, disant de m’adresser à un email spécifique aux accès de données personnelle avec photocopie de carte d’identité (ben tiens), signature et référence client (je ne suis pas client).

    J’avais déjà mis cette adresse dans ma demande initiale, donc on va voir ce que ça donne en leur laissant un peu de temps. J’ai tout de même aussi renvoyé l’email au service souscription pro, même si je trouve hallucinant qu’ils aient besoin de moi pour ça.

    Au final j’ai une belle notification récapitulant mes demandes (et c’est cool, je suis certain qu’ils ont compris) et me disait qu’ils me répondraient d’ici un mois. Ok, c’est le délai légal mais j’aurais aimé un peu plus de réassurance quand même. Ce sont toutefois les premiers à me donner une réponse sérieuse et formelle dans laquelle j’ai confiance, même si c’est juste pour me dire « il va falloir attendre »

    J’ai été en copie d’échanges internes où on voit que ce n’est pas clair comme processus chez eux. Visiblement ils ont prévu de remonter la demande à leur partenaire qui est à l’origine du SPAM. Dans les échanges j’ai du coup le nom du prestataire à l’origine de tout ça : Vertical Mail du groupe La Poste. Je vais essayer de taper chez eux aussi. Leur email RGPD est vm.rgpd@vertical-mail.com et celui de la société mère Mediapost Communication est mpc@mediapostcommunication.fr

    Réponse aimable et aidante de Tim à Vertical Mail qui me dit ne pas avoir trace de mes données et me demande le mail d’origine pour qu’ils puissent voir d’où ça vient. J’ai même eu un appel téléphonique. Après échange ça vient de Effiliation. Ils font suivre. Je vais donc aussi écrire à dpo@effiliation.com et contact@effiliation.com . Réponse très rapide d’un mail @effinity.partners pour demander l’email de départ et voir quel est le partenaire concerné. Je sens que remonter la chaîne va être longue et va mettre à jour pas mal de relais.

  2. ❌ Autobiz, via la base consulting-instant (en réalité performeclic.fr)

    Autobiz m’a répondu faire suivre à performeclic en demandant une suppression. J’ai immédiatement répondu pour préciser que je ne demandais justement pas suppression mais information. Accusé de réception de la précision.

    Et ‘op, bien évidemment performeclic (contact@performeclic.fr) m’envoie un accusé de suppression de mes données, et me dit que ça vient de 1jour1envie.com (aucune chance que ce soit le cas, encore moins avec l’ip qu’ils me donnent puisque l’email n’est plus utilisé depuis des années et que l’ip est neuve de quelques mois), sans me donner aucune date ni aucun détail, pas même les données qui sont obligatoires dans la page qu’il m’indique comme origine. Empressement alors qu’il y avait eu double confirmation que la demande n’était pas une demande de suppression.

    Je vais faire un tir groupé à la CNIL, il en feront partie.

    Même chose pour Autobiz

  3. ozoa-chemises, via infos-direct.fr

    Réponse rapide comme quoi ils ont demandé suppression de mes données à leur prestataire (sans le nommer). J’ai renvoyé en précisant que ce n’était pas ma demande, en insistant et en demandant communication de la société et adresse électronique de contact de cette dernière

    Réponse de leur part me demandant de m’adresser à abuse@blockmail.fr mais toujours sans préciser quel est la société qui détient mes données. Ils m’informent avoir appuyé eux-même ma requête auprès de la société. Je m’exécute mais je sens que ça va être long, blockmail étant globalement justement un paravent destiné à permettre des demandes d’effacement sans avoir accès à quoi que ce soit et donc sans inquiéter la source du fichier.

    1. C’est quoi ce « blockmail.fr » ? Leur page d’accueil n’explique rien ; si on rentre une adresse on apprend qu’elle a été « ajoutée » (on ne sait pas à quoi) ; un whois sur leur nom apprend qu’ils préfèrent rester anonymes.

      Un lien qui explique qui c’est et à quoi ça sert ?

      1. Pas plus d’info que toi. Pour moi c’est un paravent : Ces sites et domaines utilisés par les spammeurs pour leurs spam. Au mieux ça permet la desinscription mais sans aucune information sur l’origine des problèmes, pour justement qu’on ne puisse pas remonter.

  4. Credit.fr, via eblnews

    C’est règlementé comme société de crédit donc j’ai du mal à imaginer qu’ils puissent ne pas répondre

    Rien pour l’heure

  5. Aquarium de lyon, à priori en direct, et a une adresse dédiée pour les requêtes RGPD GDPR@aquariumlyon.fr

    Je n’ai certainement pas autorisé l’utilisation de mon email si j’ai eu le choix, mais il est tout à fait possible que le courrier publicitaire soit légitime (je suis un de leur client, ils me contactent en rapport à une offre similaire à ce que j’ai déjà acheté). On verra suivant leur réponse.

  6. La Redoute, contactée aussi par son formulaire en ligne spécifique aux requêtes RGDP, via contact-du-jour.fr, dont je n’ai pu trouver la source, sur un vieil email qui clairement n’a jamais pu se retrouver légitimement chez La Redoute

  7. J’ai fait évolué mon email au fur et à mesure :

    Bonjour,

    En application de l’article 15 du Règlement général sur la protection des données (RGPD) e souhaite transmission de (1) l’ensemble des données que vous avez sur moi et associées directement ou indirectement à mon adresse email xxxxx@xxxxx (*), dans vos fichiers ou ceux de vos prestataires, ainsi que (2) la liste des tiers à qui elles ont pu être partagée.

    Par la même occasion, je souhaite communication de (3) l’origine de la collecte de ces données ainsi que de (4) la preuve de mon consentement à l’enregistrement de mes informations personnelles et (5) la preuve de mon consentment à l’utilisation de ces données pour des emails publicitaires.

    En cas de difficultés, je vous demanderai de me mettre en contact avec votre délégué à la protection des données (DPO).

    Enfin, je vous demanderai de faire suivre cette demande d’information à tout prestataire, partenaire ou client avec lesquels vous auriez pu partager les données mentionnées au premier paragraphe.

    Je vous remercie de me faire parvenir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de ma demande (article 12.3 du RGPD).

    En tout état de cause, je vous demande de *ne pas* supprimer mes données ou des métadonnées afférentes avant l’exécution pleine et entière des requêtes ci-dessus.

    En vous remerciant par avance,

    xxxxx xxxxxx

    (*) Afin d’éviter un aller-retour, comme je demande l’accès aux données liées à partir d’un email et pas une recherche à partir d’une identité civile, vous ne pourrez donc pas exiger d’autres preuves de ma part que celle de la détention de cette adresse email (le fait que j’écrive à partir de celle-ci et le fait que si vous y répondez, seul le détenteur de cette adresse pourra accéder aux données, ce qui exclu toute divulgation à un tiers). Ceci exclu donc toute demande de carte d’identité ou fourniture d’information personnelle que je ne souhaite pas vous voir traiter et stocker.
    La CNIL a officiellement confirmé cette interprétation sur https://twitter.com/CNIL/status/1039175426571231232 et https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces

  8. KaveHome (client@kavehome.com et security@kavehome.com), via Jobsoffer, dont la base a comme contact RGPD geral@frenetiklevel.com au Portugal (on voyage…). Demande envoyée en anglais pour ces derniers.

    Et celle là est magique : Je laisse généralement l’email initial en citation. Mon email a été refusé par Jobsoffer parce que… il contient un lien (les leurs dans leurs emails) vers un site à l’origine de spams. C’est quand même superbe comme aveu, non ?

    Réponse de la part de frenetiklevel.com qui gère le fichier. Ils ont juste une IP (rafraichie quand j’ai consulté l’email) et l’email. Ils ne prouvent rien, et les conditions de Jobsoffer n’offrent aucun consentement explicite pour ça. D’ailleurs les usages autorisés sont théoriquement liés au service du site, donc bien loin de leur spam.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À propos de ce site, du contenu, de l'auteur
Je poste parfois ici des humeurs ou des pensées. Parfois je change, parfois je me trompe, parfois j'apprends, et souvent le contexte lui-même évolue avec le temps. Les contenus ne sont représentatifs que de l'instant où ils ont été écrits. J'efface peu les contenus de ce site, merci de prendre du recul quand les textes sont anciens. Merci

À toutes fins utiles, ce site est hébergé par OVH SAS, joignable par téléphone au +33 (0)9 72 10 10 07 et dont le siège social est au 2 rue Kellermann, 59100 Roubaix, France.