De nouveau du spam relayé par un programme « 100% à la performance » probablement poussé par un client de cette société et qui utilise une base de contacts constituée dans la plus totale illégalité. Et en toute impunité.

Je devais recevoir ce matin un énième spam 100% made in France si je puis dire, toujours articulé de la même façon : un affilié et un nom de domaine anonymes, un hébergement chez OVH, une plateforme d'affiliation complaisante et un client final lui aussi peu scrupuleux.

D'un e-mail totalement anonyme...

Ce spam est poussé au nom de « Locostia via netconcours » dont il fait la promotion via l'adresse anonymisée grâce aux bons soins de l'Afnic, l'Association française pour le nommage Internet en coopération qui le rend totalement intraçable pour qui voudrait déposer une plainte.

Vous recevez ce mail car vous êtes abonné(e) à Netconcour, enregistrée auprès de la CNIL sous le numéro 168799. Conformément à la Loi Informatique et Libertés du 6 Janvier 1978, vous disposez d'un droit d'accès, de modification et de suppression des données personnelles vous concernant, que vous pouvez exercer à tout moment sur demande: contact@netconcour.com

Le nom de domaine netconcour.com n'existant pas, il ne me reste qu'à me tourner vers Locostia.

Cette « société » dont le site est édité et hébergé par la société Weedo IT serait en réalité la propriété de l'Européenne de Courtage d'Assurance si l'on veut bien croire le whois du nom de domaine locostia.fr :

EUROPEENNE DE COURTAGE D'ASSURANCE
  92-98, boulevard Victor Hugo
  92110 Clichy
  France
  Téléphone : +33 1 53 20 68 37
  Courrier électronique : domaines@eca-assurances.com

Cette société assure pourtant sur son site son « engagement de transparence au service de votre sécurité », mais manifestement pas des données personnelles qui servent à la prospection de ses futurs clients.

A ce stade, vous avez donc reçu un spam poussé par la marque ou la société Locostia (vous n'en savez rien, le site étant enregistré au nom de Weedo IT) qui vous demande de nombreuses informations personnelles sur votre foyer et votre santé.

Le « lead » en marketing direct se vend en effet très cher dans l'assurance, il rapporte donc logiquement beaucoup aux spammeurs et à leurs intermédiaires.

...à une agence de marketing membre du SNCD

Le site du spammeur par lequel l'e-mailing a été envoyé est hébergé en France chez OVH, son nom de domaine sendtome.fr est lui-aussi hébergé chez OVH et protégé par l'Afnic qui en masque le dépositaire, malgré l'utilisation manifestement commerciale qui en est faite.

Capture d'écran du site Locostia hébergé par Weedo IT

Mentions légale du site Locostia

L'Afnic refusant de lever l'anonymat sauf dans le cadre d'un litige portant sur un nom ou une marque commerciale et l'hébergeur campant sur les mêmes positions (« merci d'écrire à abuse@... ») sans parler de la CNIL* et de son Signal Spam, il ne reste plus à l'internaute qu'à se tourner vers la plateforme d'affiliation qui dans la plupart des cas, pour ne pas dire à chaque fois, remontera l'information à son affilié mais ne dévoilera pas son identité.

C'est pourtant cette plateforme qui finance malgré elle le spammeur.

J'attends par exemple des réponses de la part d'Effinity et de TouchVibes au sujet de spams remontés à leurs services qui sont les seuls à pouvoir associer un numéro de tracking à un de leurs affiliés.

J'ai aussi alerté le Collectif des Plateformes d'Affiliation qui n'a fait que transmettre ma demande à la plateforme, sans plus de suivi ou d'effet.

En ce qui concerne Weedo IT, l'agence « 100% à la performance » est membre du SNCD, un syndicat qui édite une charte de l'e-mailing dont le contenu est censé être appliqué par ses membres (nous verrons que non dans un prochain billet) et sur le papier plus rigoureuse que la législation actuelle, très permissive.

En parallèle, ce lobby essaye de freiner la réforme européenne de la protection des données personnelles et s'en félicite même ouvertement.

Mieux vaut une « autorégulation » qui ne fonctionne manifestement pas qu'une loi contraignante qui éliminerait de facto ce type de spam mais par la même occasion une source de revenus, est-ce ce qu'il faut comprendre ?

Mise à jour : d'après Weedo IT, l'adresse e-mail du spammeur affilié et dépositaire du nom de domaine sendtome.fr serait charlyamido@gmail.com.

Mise à jour au 21/11 : la CNIL m'a confirmé que le numéro d'enregistrement de la base « Netconcour » (sic) n°168799 n'existait pas et que cette soi-disant société ou programme ne figurait pas non plus dans leur base. Une information que Weedo IT n'aura pas pris la peine de vérifier.

Après échanges avec Weedo IT et leur affilié anonyme, j'ai pu déterminer la véritable identité du spammeur dont il aura été si difficile d'obtenir les coordonnées.

Il s'agit encore une fois d'une micro-entreprise créée tout récemment par un certain Charles Wountchom. Le site Societe.com et la page des mentions légales de netconcours.com nous indiquent les informations suivantes :

Raison sociale : CHARLES WOUNTCHOM
Adresse : Chez Youdom - 3, cours du Luzard 77186 Noisiel
Tél. : 01 64 62 19 12
E-mail (abuse) : abuses2876@gmail.com (sans doute une adresse poubelle)
Forme juridique : Auto-entrepreneur
Date de création : Crée le 20/03/2013
Capital Social : n/a
SIREN : 791 852 700
SIRET : 791 852 700 00016
Numéro CNIL : 1687999
APE : Activités des agences de publicité (7311Z)
Nom(s) de domaine : bestcampagnes.fr, netconcours.com, sendtome.fr

On notera enfin que l'adresse e-mail indiquée dans l'e-mailing de Charles Wountchom comporte une « faute de frappe » tout comme le numéro CNIL (un chiffre « oublié ») par rapport aux informations obtenues.

(*) merci à la CNIL de m'avoir fourni l'identité du spammeur via son numéro d'enregistrement. ;-)

Droit de réponse demandé par la société Weedo IT SAS (10/12/2014) :

La société Weedo IT, citée dans l'article ci-dessus, souhaite faire valoir son droit de réponse sur le jugement de Monsieur VIALET Guillaume qui paraît incomplet et discutable même si l'exposé souhaite être factuel.

Weedo IT est une société spécialisée dans l'affiliation, créée en 2004. La société Weedo IT met à disposition de son réseau d'affiliés des campagnes d'annonceurs à la recherche de trafic pour fidéliser ou acquérir de nouveaux clients. Le modèle indiqué est « 100% performance » car les rémunérations versées dépendent des résultats obtenus. Il est d'ailleurs important de noter que la chance du média Internet est de cibler ses investissements marketing et de garantir les retours, à la différence des médias classiques.

Cette technique marketing est légale et régie par des règles strictes pour protéger l'internaute et ne pas pénaliser l'image des annonceurs.

Malheureusement, vous avez fait les frais d'un abus de la part affilié qui a exploité une base de données non conforme aux règles opt-in. Il est cependant important de préciser plusieurs points :

  • Weedo IT sélectionne scrupuleusement ses affiliés grâce à divers protocoles de vérification ;
  • Weedo IT est administrateur de certains sites comme Locostia.fr, comme spécifié dans les mentions légales ;
  • Weedo IT met à disposition une interface Plainte Spam pour signaler et traiter les abus ;
  • L'activité de la société est soumise à des CGV qui régissent la relation commerciale avec ses partenaires, incluant une clause de confidentialité ;
  • Les plaintes Spam sont traitées sous un délai de 48h – le temps de mener une enquête et que l'affilié se manifeste sur la provenance exacte l'e-mail spammé.

De manière très factuelle, nous pouvons établir que :

  • Vous nous avez signalé un SPAM et nous avons traité la demande dans les 48h ;
  • L'affilié vous a directement répondu et n'a nullement cherché à dissimuler son identité ;
  • Après enquête, l'affilié a été exclu du réseau Weedo IT pour non-respect des CGV.

Votre plainte a été traitée dans les délais indiqués et des sanctions ont été appliquées pour l'affilié en question. Nous vous remercions de votre prise de contact et votre implication dans la lutte contre le Spam même si votre démarche fut hâtive et accusatoire avant d'être constructive.

Pour rappel, nous mettons volontiers à disposition notre page pour signaler un Spam afin de lutter contre les mauvaises pratiques : http://myaffil.fr/plainte-spam.php ou http://www.weedoit.fr/plainte.php

En conclusion, nous vous indiquons que la société Weedo IT s'investit en permanence dans la lutte contre le SPAM et participe aux tables rondes pour trouver des solutions, notamment grâce à certains organismes tels que le SNCD. »


Pour conclure ce billet (18/12/2014)

J'aimerais préciser certains points contradictoires avec la déclaration de Weedo IT et préciser au lecteur ce qu'il doit faire dans un cas pareil :

  • Je n'ai jamais obtenu l'identité du spammeur de Weedo IT ou de Charles Wountchom, je l'ai déduite des bribes de données techniques qu'il a fallu reconstituer au fil d'une laborieuse investigation.
  • Je n'ai jamais non plus obtenu du spammeur ce que je cherchais : la source de ses bases illicites qu'il exploitait via Weedo IT ou d'autres services d'affiliation français. Toute plainte est inutile sans cette information.
  • Je déconseille fortement à tous mes lecteurs de se désinscrire de ces spams : cette démarche indique seulement aux spammeurs que votre adresse est bien active. Elle sera alors susceptible d'être revendue par ces mêmes spammeurs ou alimenter d'autres bases et envois. Au contraire, agissez directement auprès de Signal Spam ou bien SpamCop. Si la plateforme d'affiliation qui a financé le spam est membre d'un réseau (SNCD ou CPA par exemple), portez l'affaire auprès de leurs bureaux respectifs.
  • Contrairement à ce qu'affirme le service juridique de Weedo IT ou le SNCD, la législation ne protège pas assez les individus en matière d'exploitation commerciale de leurs données personnelles (ce blog est ses nombreux billets en constituent manifestement la preuve). C'est tout l'objet de mes billets : mettre le doigt sur les failles de ce système.
  • Vous n'êtes pas là pour faire le travail des plateformes d'affiliation, c'est-à-dire contrôler leur clientèle d'affiliés ni palier les manques de la législation européenne en matière de protection des données personnelles.