Carnet de notes

Luttons contre les moulins

J’aime bien les combats impos­sibles.

Alors en ce moment je prends choi­sis chaque jour un SPAM reçu, si possible un d’une société connue et sérieuse, et je demande accès aux infor­ma­tions qu’ils ont sur moi, à l’ori­gine de ces infor­ma­tions, et la preuve du consen­te­ment pour m’en­voyer leur cour­rier.

Je prends donc l’email de SPAM et je réponds dessus. Ça me donne l’adresse de retour mais en géné­ral elle ne mène à rien ou ne sera pas lue. J’ajoute l’adresse de contact sur je trouve sur le site web, et s’il y en a une l’adresse de contact pour les demandes sur les données person­nelles. S’il m’en manque une, j’ajoute aussi contact@ qui existe très souvent

En géné­ral ça passe par des pres­ta­taires. Dans le meilleur des cas le fichier est le leur et c’est un tiers qui fait l’en­voi et le routage, et qui a donc accès aux données. Si c’est du SPAM c’est que juste­ment je n’ai jamais donné mon accord, et souvent ils utilisent un fichier d’un tiers. Parfois c’est même un tiers qui fait la pros­pec­tion à leur place et est réméré à l’ap­port de clien­tèle donc ils ne savent même pas ce que ça se passe ainsi.

Si j’ar­rive à voir mention du pres­ta­taire ou de loueur de fichier, je fais les mêmes opéra­tions : L’adresse de contact ou service client, celle du RGPD s’il y en a une, et contact@. On y fait parfois mention en bas de l’email, ou on en voit les domaine dans les URLs des liens avant redi­rec­tion. Parfois il faut cher­cher un peu, d’au­tant que souvent les domaines direc­te­ment visibles ne sont que des façades vides et il faut trou­ver la vraie société derrière le nom commer­cial.

Enfin, quand j’ai ces diffé­rentes adresses, en géné­ral cinq ou six, je change le sujet. Si je garde le sujet de la news­let­ter, j’ai toutes les chances que le mail ne soit pas lu ou pas pris avec sérieux. J’ai choisi « Infor­ma­tions RGPD » pour allu­mer quelques lumières chez les gens, mais ça pour­rait être autre chose.

Enfin l’email :

Bonjour,

En appli­ca­tion de l’ar­ticle 15 du Règle­ment géné­ral sur la protec­tion des données (RGPD) je souhai­te­rai avoir copie de l’en­semble des données (*) me concer­nant dans vos fichiers, les fichiers de vos pres­ta­taires.

Pour cela vous pouvez opérer une recherche à partir de l’adresse email que vous avez utilisé: [email xxxxxx@xxxxx]

Si vous ne déte­nez pas direc­te­ment ces données mais êtes passés par un pres­ta­taire qui opère un fichier en propre, merci de lui trans­mettre cette requête au titre du RGPD.

Par la même occa­sion, je vous demande d’y joindre l’ori­gine de la collecte de ces infor­ma­tions ainsi que la source de mon consen­te­ment pour la récep­tion de ces cour­riers publi­ci­taires par email. En cas de diffi­cul­tés, je vous deman­de­rai de me mettre en contact avec votre délé­gué à la protec­tion des données (DPO).

Enfin, je vous deman­de­rai de faire suivre cette demande d’in­for­ma­tion à tout pres­ta­taire, parte­naire ou client avec lesquels vous auriez pu parta­ger les données mention­nées au premier para­graphe.

Je vous remer­cie de me faire parve­nir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à comp­ter de la récep­tion de ma demande (article 12.3 du RGPD).


Cordia­le­ment,
— 
[Prénom Nom]

Je laisse le SPAM initial en cita­tion en dessous histoire d’avoir une réfé­rence et qu’on ne puisse pas me dire « ce n’est pas nous » ou « on n’a rien ».

Autre astuce : Ne *pas* deman­der la suppres­sion des données. Pas à cette étape, sinon les petits malins ou ceux qui liront trop vite suppri­me­ront les données ou l’abon­ne­ment à la liste de diffu­sion et pour­ront ensuite dire « ah ben on ne peut pas vous donner plus d’in­for­ma­tions, c’est supprimé désor­mais ».

Note : On me signale aussi la version d’Ae­ris, plus formelle.

Publié

dans

, , , , , ,

par

Éric

Étiquettes :

Commentaires

13 réponses à “Luttons contre les moulins”

  1. Avatar de Éric
    Éric

    Direct Énergie, email de prospection soit-disant destiné aux professionnels, via vnews.eu et une base qui s’appellerait « Estimaz » dont je n’ai pas trouvé de référence française.

    Première réponse par email me disant de renvoyer ma demande au service de souscription aux professionnels (visiblement ils ne sont pas foutus de le faire eux-même)

    Seconde réponse dans la foulée, toujours du même endroit, disant de m’adresser à un email spécifique aux accès de données personnelle avec photocopie de carte d’identité (ben tiens), signature et référence client (je ne suis pas client).

    J’avais déjà mis cette adresse dans ma demande initiale, donc on va voir ce que ça donne en leur laissant un peu de temps. J’ai tout de même aussi renvoyé l’email au service souscription pro, même si je trouve hallucinant qu’ils aient besoin de moi pour ça.

    Au final j’ai une belle notification récapitulant mes demandes (et c’est cool, je suis certain qu’ils ont compris) et me disait qu’ils me répondraient d’ici un mois. Ok, c’est le délai légal mais j’aurais aimé un peu plus de réassurance quand même. Ce sont toutefois les premiers à me donner une réponse sérieuse et formelle dans laquelle j’ai confiance, même si c’est juste pour me dire « il va falloir attendre »

    J’ai été en copie d’échanges internes où on voit que ce n’est pas clair comme processus chez eux. Visiblement ils ont prévu de remonter la demande à leur partenaire qui est à l’origine du SPAM. Dans les échanges j’ai du coup le nom du prestataire à l’origine de tout ça : Vertical Mail du groupe La Poste. Je vais essayer de taper chez eux aussi. Leur email RGPD est vm.rgpd@vertical-mail.com et celui de la société mère Mediapost Communication est mpc@mediapostcommunication.fr

    Réponse aimable et aidante de Tim à Vertical Mail qui me dit ne pas avoir trace de mes données et me demande le mail d’origine pour qu’ils puissent voir d’où ça vient. J’ai même eu un appel téléphonique. Après échange ça vient de Effiliation. Ils font suivre. Je vais donc aussi écrire à dpo@effiliation.com et contact@effiliation.com . Réponse très rapide d’un mail @effinity.partners pour demander l’email de départ et voir quel est le partenaire concerné. Je sens que remonter la chaîne va être longue et va mettre à jour pas mal de relais.

    Répondre
  2. Avatar de Éric
    Éric

    ❌ Autobiz, via la base consulting-instant (en réalité performeclic.fr)

    Autobiz m’a répondu faire suivre à performeclic en demandant une suppression. J’ai immédiatement répondu pour préciser que je ne demandais justement pas suppression mais information. Accusé de réception de la précision.

    Et ‘op, bien évidemment performeclic (contact@performeclic.fr) m’envoie un accusé de suppression de mes données, et me dit que ça vient de 1jour1envie.com (aucune chance que ce soit le cas, encore moins avec l’ip qu’ils me donnent puisque l’email n’est plus utilisé depuis des années et que l’ip est neuve de quelques mois), sans me donner aucune date ni aucun détail, pas même les données qui sont obligatoires dans la page qu’il m’indique comme origine. Empressement alors qu’il y avait eu double confirmation que la demande n’était pas une demande de suppression.

    Je vais faire un tir groupé à la CNIL, il en feront partie.

    Même chose pour Autobiz

    Répondre
  3. Avatar de Éric
    Éric

    ozoa-chemises, via infos-direct.fr

    Réponse rapide comme quoi ils ont demandé suppression de mes données à leur prestataire (sans le nommer). J’ai renvoyé en précisant que ce n’était pas ma demande, en insistant et en demandant communication de la société et adresse électronique de contact de cette dernière

    Réponse de leur part me demandant de m’adresser à abuse@blockmail.fr mais toujours sans préciser quel est la société qui détient mes données. Ils m’informent avoir appuyé eux-même ma requête auprès de la société. Je m’exécute mais je sens que ça va être long, blockmail étant globalement justement un paravent destiné à permettre des demandes d’effacement sans avoir accès à quoi que ce soit et donc sans inquiéter la source du fichier.

    Répondre
    1. Avatar de Jojo, poisson rouge
      Jojo, poisson rouge

      C’est quoi ce « blockmail.fr » ? Leur page d’accueil n’explique rien ; si on rentre une adresse on apprend qu’elle a été « ajoutée » (on ne sait pas à quoi) ; un whois sur leur nom apprend qu’ils préfèrent rester anonymes.

      Un lien qui explique qui c’est et à quoi ça sert ?

    2. Avatar de Éric
      Éric

      Pas plus d’info que toi. Pour moi c’est un paravent : Ces sites et domaines utilisés par les spammeurs pour leurs spam. Au mieux ça permet la desinscription mais sans aucune information sur l’origine des problèmes, pour justement qu’on ne puisse pas remonter.

  4. Avatar de Éric
    Éric

    Arena production (cirque Medrano), à priori en direct

    Pas de réponse pour l’heure

    Répondre
  5. Avatar de Éric
    Éric

    Kadeos (marque de Endered), via tickets-cadeaux.me (frontal marketing) et la base ascpm (dirigeants et professionnels, mais sur mon adresse perso)

    Pas de réponse pour l’instant.

    Celle là est jolie : l’adresse info.rgpd-fr@edenred.com qui est explicitement indiquée dans leurs documents RGPD refuse les emails. Suivi sur https://twitter.com/edasfr/status/1065944748375064576 . Il semble que j’avais la mauvaise adresse, je renvoie.

    Répondre
  6. Avatar de Éric
    Éric

    Credit.fr, via eblnews

    C’est règlementé comme société de crédit donc j’ai du mal à imaginer qu’ils puissent ne pas répondre

    Rien pour l’heure

    Répondre
  7. Avatar de Éric
    Éric

    Pour ceux qui demandent une carte d’identité :

    Répondre
  8. Avatar de Éric
    Éric

    Aquarium de lyon, à priori en direct, et a une adresse dédiée pour les requêtes RGPD GDPR@aquariumlyon.fr

    Je n’ai certainement pas autorisé l’utilisation de mon email si j’ai eu le choix, mais il est tout à fait possible que le courrier publicitaire soit légitime (je suis un de leur client, ils me contactent en rapport à une offre similaire à ce que j’ai déjà acheté). On verra suivant leur réponse.

    Répondre
  9. Avatar de Éric
    Éric

    La Redoute, contactée aussi par son formulaire en ligne spécifique aux requêtes RGDP, via contact-du-jour.fr, dont je n’ai pu trouver la source, sur un vieil email qui clairement n’a jamais pu se retrouver légitimement chez La Redoute

    Répondre
  10. Avatar de Éric
    Éric

    J’ai fait évolué mon email au fur et à mesure :

    Bonjour,

    En application de l’article 15 du Règlement général sur la protection des données (RGPD) e souhaite transmission de (1) l’ensemble des données que vous avez sur moi et associées directement ou indirectement à mon adresse email xxxxx@xxxxx (*), dans vos fichiers ou ceux de vos prestataires, ainsi que (2) la liste des tiers à qui elles ont pu être partagée.

    Par la même occasion, je souhaite communication de (3) l’origine de la collecte de ces données ainsi que de (4) la preuve de mon consentement à l’enregistrement de mes informations personnelles et (5) la preuve de mon consentment à l’utilisation de ces données pour des emails publicitaires.

    En cas de difficultés, je vous demanderai de me mettre en contact avec votre délégué à la protection des données (DPO).

    Enfin, je vous demanderai de faire suivre cette demande d’information à tout prestataire, partenaire ou client avec lesquels vous auriez pu partager les données mentionnées au premier paragraphe.

    Je vous remercie de me faire parvenir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de ma demande (article 12.3 du RGPD).

    En tout état de cause, je vous demande de *ne pas* supprimer mes données ou des métadonnées afférentes avant l’exécution pleine et entière des requêtes ci-dessus.

    En vous remerciant par avance,

    xxxxx xxxxxx

    (*) Afin d’éviter un aller-retour, comme je demande l’accès aux données liées à partir d’un email et pas une recherche à partir d’une identité civile, vous ne pourrez donc pas exiger d’autres preuves de ma part que celle de la détention de cette adresse email (le fait que j’écrive à partir de celle-ci et le fait que si vous y répondez, seul le détenteur de cette adresse pourra accéder aux données, ce qui exclu toute divulgation à un tiers). Ceci exclu donc toute demande de carte d’identité ou fourniture d’information personnelle que je ne souhaite pas vous voir traiter et stocker.
    La CNIL a officiellement confirmé cette interprétation sur https://twitter.com/CNIL/status/1039175426571231232 et https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces

    Répondre
  11. Avatar de Éric
    Éric

    KaveHome (client@kavehome.com et security@kavehome.com), via Jobsoffer, dont la base a comme contact RGPD geral@frenetiklevel.com au Portugal (on voyage…). Demande envoyée en anglais pour ces derniers.

    Et celle là est magique : Je laisse généralement l’email initial en citation. Mon email a été refusé par Jobsoffer parce que… il contient un lien (les leurs dans leurs emails) vers un site à l’origine de spams. C’est quand même superbe comme aveu, non ?

    Réponse de la part de frenetiklevel.com qui gère le fichier. Ils ont juste une IP (rafraichie quand j’ai consulté l’email) et l’email. Ils ne prouvent rien, et les conditions de Jobsoffer n’offrent aucun consentement explicite pour ça. D’ailleurs les usages autorisés sont théoriquement liés au service du site, donc bien loin de leur spam.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *