La fuite de données ou data leak en anglais, est une des sources de nombreux spams : piratage, vol de données, malversations, erreurs, prestataires indélicats. Les causes possibles de fuites sont nombreuses. En voici une.

En matière de fuite de données personnelles, plusieurs cas de figure se présentent habituellement :

  • le revente licite (via l'opt-in partenaire) ou illicite (sans votre accord) ;
  • le piratage de données (votre fournisseur se fait voler les données de ses clients) ;
  • un salarié ou prestataire indélicat utilise ou part avec la base de données.

J'ai donc reçu il y a quelques jours de cela un e-mailing commercial poussé par Agnès de Push Emploi intitulé : « 3 millions de chômeurs en France, et vous ? ». Comparant le chômage au virus Ebola ou au terrorisme, l'objet de la prospection était de me faire remplir un questionnaire sur Google Docs permettant « d'éradiquer ce fléau ».

Push Emploi est un nouveau service qui va vous permettre d'accompagner un demandeur d'emploi et le transformer en trouveur d'emploi.

Au-delà du ton anxiogène employé dans cette prospection commerciale, c'est l'adresse utilisée qui a retenu toute mon attention : l'e-mail visé était celui que j'avais confié à la société Cloudwatt, récemment reprise par Orange.

L'objet de Cloudwatt était le développement d'un cloud souverain qui ne verra probablement jamais le jour, la tendance s'étant plutôt inversé : chacun doit pouvoir pouvoir posséder ses propres données personnelles, plutôt que d'espérer qu'une initiative semi-publique ne se concrétise.

Après avoir été notamment financé par la caisse des dépôts à hauteur de 75 millions d'euros, Cloudwatt a finalement été absorbé le 15 janvier 2015 par l'un de ses contributeurs.

De Cloudwatt à Push Emploi

Sur le site de Push Emploi, aucune mention légale n'est actuellement présente : pas d'adresse, de numéro RCS, de noms, de numéros de téléphone, de référence à une déclaration CNIL, etc. comme la loi oblige pourtant tout responsable de publication de site Web. Les données reliées aux nom de domaine pushemploi.fr sont masquées.

Capture d'écran de la page des conditions générales du site Push Emploi, tous droits réservés

C'est en étudiant le « communiqué de presse » poussé par e-mail, disponible à cette adresse, que je prends connaissance des commanditaires de ce courriel indésirable.

Il s'agit de trois associés dont deux seraient des anciens employés de la société Cloudwatt d'après leurs profils sur LinkedIn. Voilà donc le lien entre Push Emploi et mon adresse e-mail Cloudwatt.

Le spam a été envoyé via un compte Mailjet, qui a comme d'habitude tout de suite réagi à ma plainte.

« Une regrettable erreur »

Campagne de collecte d'adresses e-mail par Cloudwatt, tous droits réservés

J'interpelle ensuite sur Twitter Cloudwatt et les trois protagonistes de Push Emploi. L'un d'eux me donnera en message privé l'explication de ce spam : une erreur de « segmentation » de bases de données.

Que mon adresse personnelle soit présente sur le compte personnel d'un (nouvellement) ancien salarié de Cloudwatt chez Mailjet plus d'un an après avoir été confiée à cette société ne semble poser de problème à personne chez Cloudwatt.

Vers plus de transparence, de responsabilité et de formalisme

Logotype de la société Cloudwatt, tous droits réservés

La future loi européenne sur le traitement des données personnelles, notamment à des fins commerciales, va précisément répondre à ces graves manquements professionnels qui sont loin d'être des cas isolés.

Malgré la résistance des acteurs de ce secteur, la loi imposera notamment aux sociétés deux mesures qui me semblent ici essentielles :

  1. La traçabilité des données collectées : Push Emploi aura la responsabilité de fournir à qui en demandera copie l'origine des données collectées depuis le jour de la collecte jusqu'au jour de son utilisation. Ainsi, Mailjet ou d'autres prestataires seront en droit d'exiger cette information avant le routage des e-mailings alors qu'ils ne peuvent compter que sur la bonne foi de leurs clients et une déclaration de principe.
  2. L'obligation de communiquer tout abus en matière d'utilisation de données personnelles : dans la nouvelle législation, Cloudwatt aura l'obligation de communiquer à ses utilisateurs, abonnés, clients, etc. que leurs données personnelles ont été utilisées frauduleusement par un tiers, en l'occurrence Push Emploi même si a priori cet envoi est « accidentel ». A l'heure actuelle, ces abus sont passés sous silence.

Ce n'est pas à vous, internautes, de faire la chasse aux data leaking de données personnelles mais à ceux qui sont à l'origine de la collecte et qui ont de plus le devoir de vous en informer.

Les fournisseurs tels que les hébergeurs et les routeurs d'e-mailings doivent aussi pouvoir compter sur un document de traçabilité de la collecte des données personnelles, élément de confiance essentiel.

Mise à jour

La société Cloudwatt a été alertée la semaine dernière de l'utilisation de ce fichier constitué notamment au lancement du projet et lors de la participation à des campagnes de tests. Elle a depuis déposé plainte auprès de la CNIL et condamne fermement ce type d'agissements. Le site pushemploi.fr a fermé depuis la publication de ce billet, sans savoir si cette plainte en est la cause.