Vialet.org - Mot-clé - locostiaBlog personnel de Guillaume Vialet : RGPD, spam et vie privée2023-09-04T14:34:42+02:00Guillaume Vialeturn:md5:9535d818376275b9673fdcc78d8ab0ebDotclearSpammé via Weedo IT membre du SNCDurn:md5:532ac9b3e2a0008baa18b0c92dfe69a72014-11-20T13:06:00+01:002022-08-14T10:44:33+02:00Guillaume VialetHall of Spamafniclocostianetconcoursovhsncdspamweedoit <p>De nouveau du spam relayé par un programme « <em>100% à la performance</em> » probablement poussé par un client de cette société et qui utilise une base de contacts constituée dans la plus totale illégalité. Et en toute impunité.</p>
<p>Je devais recevoir ce matin un énième spam <strong>100% made in France</strong> si je puis dire, toujours articulé de la même façon : un affilié et un nom de domaine anonymes, un hébergement chez OVH, une plateforme d'affiliation complaisante et un client final lui aussi peu scrupuleux.</p>
<h3>D'un e-mail totalement anonyme...</h3>
<p>Ce spam est poussé au nom de « <strong>Locostia via netconcours</strong> » dont il fait la promotion via l'adresse anonymisée grâce aux bons soins de <strong>l'Afnic</strong>, <em>l'Association française pour le nommage Internet en coopération</em> qui le rend totalement intraçable pour qui voudrait déposer une plainte.</p>
<blockquote><p>Vous recevez ce mail car vous êtes abonné(e) à Netconcour, enregistrée auprès de la CNIL sous le numéro 168799. Conformément à la Loi Informatique et Libertés du 6 Janvier 1978, vous disposez d'un droit d'accès, de modification et de suppression des données personnelles vous concernant, que vous pouvez exercer à tout moment sur demande: contact@netconcour.com</p></blockquote>
<p>Le nom de domaine <strong>netconcour.com</strong> n'existant pas, il ne me reste qu'à me tourner vers <em>Locostia</em>.</p>
<p>Cette « société » dont le site est <a href="http://www.weedoit.fr/tracking/mentions-legales-locostia.fr.html" hreflang="fr">édité et hébergé</a> par la société <strong>Weedo IT</strong> serait en réalité la propriété de l'<strong>Européenne de Courtage d'Assurance</strong> si l'on veut bien croire le <a href="http://www.afnic.fr/fr/produits-et-services/services/whois/" hreflang="fr">whois</a> du nom de domaine <strong>locostia.fr</strong> :</p>
<pre>
EUROPEENNE DE COURTAGE D'ASSURANCE
92-98, boulevard Victor Hugo
92110 Clichy
France
Téléphone : +33 1 53 20 68 37
Courrier électronique : domaines@eca-assurances.com
</pre>
<p>Cette société <a href="http://eca-assurances.com/assurances/info_legales_.php" hreflang="fr">assure pourtant sur son site</a> son « <em>engagement de transparence au service de votre sécurité</em> », mais manifestement pas des données personnelles qui servent à la prospection de ses futurs clients.</p>
<p>A ce stade, vous avez donc reçu un <em>spam</em> poussé par la marque ou la société <em>Locostia</em> (vous n'en savez rien, le site étant enregistré au nom de <em>Weedo IT</em>) qui vous demande de nombreuses informations personnelles sur votre foyer et votre santé.</p>
<p>Le <a href="http://fr.wikipedia.org/wiki/G%C3%A9n%C3%A9ration_de_leads" hreflang="fr" title="Génération de leads sur Wikipédia">« lead » en marketing direct</a> se vend en effet très cher dans l'assurance, il rapporte donc logiquement beaucoup aux spammeurs et à leurs intermédiaires.</p>
<h3>...à une agence de marketing membre du <abbr title="Syndicat National de la Communication Directe">SNCD</abbr></h3>
<p>Le site du spammeur par lequel l'e-mailing a été envoyé est <strong>hébergé en France chez OVH</strong>, son nom de domaine <strong>sendtome.fr</strong> est lui-aussi hébergé chez OVH et protégé par l'Afnic qui en masque le dépositaire, malgré l'utilisation manifestement commerciale qui en est faite.</p>
<p><a href="https://vialet.org/public/Spam/weedoit/screenshot-www-locostia-fr-2014-11-20.jpg" title="Capture d'écran du site Locostia hébergé par Weedo IT"><img src="https://vialet.org/public/Spam/weedoit/.screenshot-www-locostia-fr-2014-11-20_m.jpg" alt="Capture d'écran du site Locostia hébergé par Weedo IT" style="display:table; margin:0 auto;" title="Capture d'écran du site Locostia hébergé par Weedo IT" /></a></p>
<p><a href="https://vialet.org/public/Spam/weedoit/screenshot_mentions_legales_2014-11-20.png" title="Mentions légale du site Locostia"><img src="https://vialet.org/public/Spam/weedoit/.screenshot_mentions_legales_2014-11-20_s.png" alt="Mentions légale du site Locostia" style="float:right; margin: 0 0 1em 1em;" title="Mentions légale du site Locostia" /></a></p>
<p><strong>L'Afnic refusant de lever l'anonymat</strong> sauf dans le cadre d'un litige portant sur un nom ou une marque commerciale et l'hébergeur campant sur les mêmes positions (« <em>merci d'écrire à abuse@...</em> ») sans parler de la <abbr title="Commission nationale de l'informatique et des libertés">CNIL</abbr>* et de son <a href="https://www.signal-spam.fr/" hreflang="fr">Signal Spam</a>, il ne reste plus à l'internaute qu'à <strong>se tourner vers la plateforme d'affiliation</strong> qui dans la plupart des cas, pour ne pas dire à chaque fois, remontera l'information à son affilié mais ne dévoilera pas son identité.</p>
<p>C'est pourtant cette plateforme qui finance malgré elle le spammeur.</p>
<p>J'attends par exemple des réponses de la part d'<strong>Effinity</strong> et de <strong>TouchVibes</strong> au sujet de <a href="https://vialet.org/blog/post/2014/10/De-K-Vern-Street-a-Jump-Communication">spams remontés à leurs services</a> qui sont les seuls à pouvoir associer un numéro de <em>tracking</em> à un de leurs affiliés.</p>
<p>J'ai aussi alerté le <a href="http://www.cpa-france.org/" hreflang="fr">Collectif des Plateformes d'Affiliation</a> qui n'a fait que transmettre ma demande à la plateforme, sans plus de suivi ou d'effet.</p>
<p>En ce qui concerne Weedo IT, l'agence « 100% à la performance » est <strong>membre du SNCD</strong>, un syndicat qui édite <a href="http://www.sncd.org/deontologie/code-de-deontologie-electronique-du-sncd/" hreflang="fr" title="Code de déontologie électronique du Sncd">une charte de l'e-mailing</a> dont le contenu est censé être appliqué par ses membres (nous verrons que non dans un prochain billet) et sur le papier plus rigoureuse que la législation actuelle, très permissive.</p>
<p>En parallèle, ce lobby essaye de <a href="https://vialet.org/blog/post/2013/09/La-FEVAD-et-le-SNCD-aiment-un-peu-trop-vos-donnees-personnelles">freiner la réforme européenne de la protection des données personnelles</a> et s'en félicite même ouvertement.</p>
<p>Mieux vaut une « autorégulation » qui ne fonctionne manifestement pas qu'une loi contraignante qui éliminerait <em>de facto</em> ce type de spam mais par la même occasion une source de revenus, est-ce ce qu'il faut comprendre ?</p>
<div class="mise-a-jour" id="mise-a-jour-01">
<p><strong>Mise à jour</strong> : d'après Weedo IT, l'adresse e-mail du spammeur affilié et dépositaire du nom de domaine <strong>sendtome.fr</strong> serait <em>charlyamido@gmail.com</em>.</p>
<p><strong>Mise à jour au 21/11</strong> : la CNIL m'a confirmé que le numéro d'enregistrement de la base « Netconcour » (<em>sic</em>) n°168799 n'existait pas et que cette soi-disant société ou programme ne figurait pas non plus dans leur base. Une information que Weedo IT n'aura pas pris la peine de vérifier.</p>
<p>Après échanges avec Weedo IT et leur affilié anonyme, j'ai pu déterminer la véritable identité du spammeur dont il aura été si difficile d'obtenir les coordonnées.</p>
<p>Il s'agit encore une fois d'une micro-entreprise créée tout récemment par un certain <strong>Charles Wountchom</strong>. Le site <a href="http://www.societe.com/societe/charles-wountchom-791852700.html">Societe.com</a> et la page des <a href="http://www.netconcours.com/mentions_legales.php">mentions légales de netconcours.com</a> nous indiquent les informations suivantes :</p>
<p>Raison sociale : CHARLES WOUNTCHOM<br />
Adresse : Chez Youdom - 3, cours du Luzard 77186 Noisiel<br />
Tél. : 01 64 62 19 12<br />
E-mail (abuse) : abuses2876@gmail.com (sans doute une adresse poubelle)<br />
Forme juridique : Auto-entrepreneur<br />
Date de création : Crée le 20/03/2013<br />
Capital Social : n/a<br />
SIREN : 791 852 700<br />
SIRET : 791 852 700 00016<br />
Numéro CNIL : 1687999<br />
APE : Activités des agences de publicité (7311Z)<br />
Nom(s) de domaine : bestcampagnes.fr, netconcours.com, sendtome.fr</p>
<p>On notera enfin que l'adresse e-mail indiquée dans l'e-mailing de Charles Wountchom comporte une « faute de frappe » tout comme le numéro CNIL (un chiffre « oublié ») par rapport aux informations obtenues.</p>
</div>
<p><em>(*) merci à la CNIL de m'avoir fourni l'identité du spammeur via son numéro d'enregistrement.</em> ;-)</p>
<h4><ins>Droit de réponse demandé par la société Weedo IT SAS (10/12/2014) :</ins></h4>
<p>La société <em>Weedo IT</em>, citée dans l'article ci-dessus, souhaite faire valoir son droit de réponse sur le jugement de Monsieur VIALET Guillaume qui paraît incomplet et discutable même si l'exposé souhaite être factuel.</p>
<p><em>Weedo IT</em> est une société spécialisée dans l'affiliation, créée en 2004.
La société <em>Weedo IT</em> met à disposition de son réseau d'affiliés des campagnes d'annonceurs à la recherche de trafic pour fidéliser ou acquérir de nouveaux clients. Le modèle indiqué est « 100% performance » car les rémunérations versées dépendent des résultats obtenus.
Il est d'ailleurs important de noter que la chance du média Internet est de cibler ses investissements marketing et de garantir les retours, à la différence des médias classiques.</p>
<p>Cette technique marketing est légale et régie par des règles strictes pour protéger l'internaute et ne pas pénaliser l'image des annonceurs.</p>
<p>Malheureusement, vous avez fait les frais d'un abus de la part affilié qui a exploité une base de données non conforme aux règles <em>opt-in</em>.
Il est cependant important de préciser plusieurs points :</p>
<ul>
<li><em>Weedo IT</em> sélectionne scrupuleusement ses affiliés grâce à divers protocoles de vérification ;</li>
<li><em>Weedo IT</em> est administrateur de certains sites comme Locostia.fr, comme spécifié dans les mentions légales ;</li>
<li><em>Weedo IT</em> met à disposition une interface Plainte Spam pour signaler et traiter les abus ;</li>
<li>L'activité de la société est soumise à des CGV qui régissent la relation commerciale avec ses partenaires, incluant une clause de confidentialité ;</li>
<li>Les plaintes Spam sont traitées sous un délai de 48h – le temps de mener une enquête et que l'affilié se manifeste sur la provenance exacte l'e-mail spammé.</li>
</ul>
<p>De manière très factuelle, nous pouvons établir que :</p>
<ul>
<li>Vous nous avez signalé un SPAM et nous avons traité la demande dans les 48h ;</li>
<li>L'affilié vous a directement répondu et n'a nullement cherché à dissimuler son identité ;</li>
<li>Après enquête, l'affilié a été exclu du réseau <em>Weedo IT</em> pour non-respect des CGV.</li>
</ul>
<p>Votre plainte a été traitée dans les délais indiqués et des sanctions ont été appliquées pour l'affilié en question. Nous vous remercions de votre prise de contact et votre implication dans la lutte contre le Spam même si votre démarche fut hâtive et accusatoire avant d'être constructive.</p>
<p>Pour rappel, nous mettons volontiers à disposition notre page pour signaler un Spam afin de lutter contre les mauvaises pratiques : http://myaffil.fr/plainte-spam.php ou http://www.weedoit.fr/plainte.php</p>
<p>En conclusion, nous vous indiquons que la société <em>Weedo IT</em> s'investit en permanence dans la lutte contre le SPAM et participe aux tables rondes pour trouver des solutions, notamment grâce à certains organismes tels que le SNCD. »</p>
<hr />
<h4>Pour conclure ce billet (18/12/2014)</h4>
<p>J'aimerais préciser certains points contradictoires avec la déclaration de <em>Weedo I</em>T et préciser au lecteur ce qu'il doit faire dans un cas pareil :</p>
<ul>
<li>Je n'ai jamais obtenu l'identité du spammeur de <em>Weedo IT</em> ou de <strong>Charles Wountchom</strong>, je l'ai déduite des bribes de données techniques qu'il a fallu reconstituer au fil d'une laborieuse investigation.</li>
<li>Je n'ai jamais non plus obtenu du spammeur ce que je cherchais : <strong>la source de ses bases illicites</strong> qu'il exploitait via <em>Weedo IT</em> ou d'autres services d'affiliation français. Toute plainte est inutile sans cette information.</li>
<li>Je <ins>déconseille fortement à tous mes lecteurs</ins> de se désinscrire de ces spams : cette démarche indique seulement aux spammeurs que votre adresse est bien active. Elle sera alors susceptible d'être revendue par ces mêmes spammeurs ou alimenter d'autres bases et envois. Au contraire, agissez directement auprès de <a href="https://www.signal-spam.fr/" hreflang="fr">Signal Spam</a> ou bien <a href="https://www.spamcop.net/" hreflang="fr">SpamCop</a>. Si la plateforme d'affiliation qui a financé le spam est membre d'un réseau (<a href="http://www.sncd.org/" hreflang="fr">SNCD</a> ou <a href="http://www.cpa-france.org/" hreflang="fr">CPA</a> par exemple), portez l'affaire auprès de leurs bureaux respectifs.</li>
<li>Contrairement à ce qu'affirme le service juridique de Weedo IT ou le SNCD, la législation ne protège pas assez les individus en matière d'exploitation commerciale de leurs données personnelles (ce blog est ses nombreux billets en constituent manifestement la preuve). C'est tout l'objet de mes billets : mettre le doigt sur les failles de ce système.</li>
<li>Vous n'êtes pas là pour faire le travail des plateformes d'affiliation, c'est-à-dire contrôler leur clientèle d'affiliés ni palier les manques de la législation européenne en matière de protection des données personnelles.</li>
</ul>