Vialet.org - Mot-clé - cnil

Vers plus de protection de nos données

Guillaume Vialet — Thu, 06 Aug 2015 17:23:00 +0200

Deux annonces sont tombées coup sur coup qui vont dans le sens d'un renforcement de la protection des données personnelles : la gratuité de la liste rouge signant la fin de Pacitel et un renforcement de la loi Informatique et libertés.

Le blog Pixel a relayé les annonces faites le 18 juin dernier par le gouvernement de Manuel Valls concernant de nouvelles mesures s'appliquant au numérique français.

Cette nouvelle stratégie numérique aura notamment un impact dans le domaine de la protection des données personnelles :

Inscription de la « neutralité du Net » dans la loi sans attendre l’issue des négociations à Bruxelles et après une période de concertation.

Inspection par les services de la concurrence des conditions générales d’utilisation des grands sites opérant en France.

Modification de la loi sur les données personnelles avant les nouveaux textes européens et instauration de la possibilité de transporter ses données personnelles d’un service à un autre.

Lancement de travaux avec le Conseil de l’Europe pour établir une charte des droits du citoyen et du numérique (source Pixel/LeMonde.fr).

Outre le fait que la neutralité du Net, notion essentielle mais néanmoins sujette à débat en France, sera inscrite dans la loi et que certaines CGU de grands sites seront inspectés probablement par la CNIL, c'est bien la modification de la loi sur les données personnelles et la charte du citoyen et du numérique qui est remarquable.

Renforcement de la loi n° 78-17 du 6 janvier 1978 et de la LCEN

Interpellée par Benjamin Bayart de French Data Network sur l'impossibilité d'exercer son droit d'accès à ses propres données personnelles, Axelle Lemaire, secrétaire d’État chargée du Numérique, aura peut-être écouté les détracteurs d'une législation qui a besoin d'un sérieux rafraîchissement.

Hélas, les atermoiements autour de la proposition de loi européenne n'en finissent plus - débats, harmonisation et lobbies obliges - repoussant d'année en année le vote et l'application d'une nouvelle directive.

Axelle Lemaire aura donc décidé de devancer le calendrier européen en renforçant la législation française au plus, sans pour autant connaître le détail ni la date de la mise au vote de ces nouvelles mesures.

Les données personnelles (y compris images, contenus produits par l'individu) deviendront aussi transposables d'un service à un autre, une notion qui les rapproche de la portabilité du numéro dans le domaine de la téléphonie mobile.

Arriverons-nous un jour aussi à la portabilité d'une adresse e-mail ou IP ?

La fin annoncée de Pacitel

Pacitel est une liste d'opposition à la prospection téléphonique mise en place et gérée par les professionnels du télémarketing à l'initiative du SNCD, de la FEVAD, de la FFTELECOMS et de l'AFRC.

Elle se décrit sur son site en ces termes :

Pacitel est une liste regroupant les numéros de téléphone fixes et mobiles des consommateurs qui ne souhaitent plus être démarchés téléphoniquement par les entreprises dont ils ne sont pas clients. Fondée sur le droit d'opposition classique de la loi de 1978, elle a pour objectif de mettre les consommateurs à l'abri des appels provenant des entreprises auxquelles ils n'ont pas donné leur consentement.

Pacitel a malheureusement échoué dans sa mission du fait de l'absence d'obligation de la part des professionnels du télémarketing de respecter cette liste rouge.

Seuls les membres de Pacitel sont tenus de s'y conformer, sans pour autant connaître les risques réellement encourus en cas de manquement ni si manquement il y a déjà eu (contrairement à un jugement par nature public).

Non contraignante, cette initiative louable oblige aujourd'hui le gouvernement à rendre cette liste « anti-démarchage téléphonique » obligatoire et sanctionnée d'une amende de 75 000 euros en cas d'infraction constatée.

Il aurait été préférable d'appliquer le principe d'opt-in pour la téléprospection tel que nous le connaissons pour la prospection électronique plutôt que de bâtir une énième base de données personnelles certes gratuite pour les particuliers mais qui présente à la fois des risques de sécurité et engendrera des coûts en matière de maintenance.

Sa mise en place doit théoriquement se faire au plus tard le 1er octobre 2015.

La charte des droits du citoyen et du numérique

Enfin, toujours selon Axelle Lemaire, « le gouvernement va travailler avec le Conseil de l'Union européenne à la rédaction d’une charte des droits du citoyen et du numérique », un projet déjà initié par certaines ONG affiliées à l'ONU.

Peut-on espérer que les données personnelles deviennent un jour un bien inaliénable ? Va-t-on vers un véritable droit des données personnelles numériques ? Mais surtout : le droit à l'anonymat sera-t-il sacralisé ?

Spammé par Net Lead via Assurland

Guillaume Vialet — Wed, 17 Jun 2015 10:06:00 +0200

Net Lead fait son entrée dans le Hall of Spam à travers le site Assurland et le prestataire A7 Emailing, qui aura fait « fuiter » une adresse e-mail.

Ce n'est pas la première fois que mes données personnelles sont exploitées commercialement sans mon consentement par ou au profit d'Assurland.com. J'écrivais en octobre 2009 mes déboires avec le site SeLoger.com qui m'avait alors poussé un e-mail commercial au profit de ce comparateur d'assurances en ligne.

En juillet 2013, je devais recevoir deux spams, le premier par « Mamie pratique », le second par « Suggestion du Chef », tous deux poussés avec la même base car disposant du même numéro CNIL (1436832).

Nous vous adressons ce message car vous êtes membre Mamie Pratique. Enregistrement auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) sous le numéro 1436832.

Derrière ce numéro d'enregistrement utilisé sur de très nombreux sites Web se cache en réalité la société de marketing Tradelab Publishing.

Leaking ou revente de données ?

Les spams ont repris en avril dernier, cette fois poussés par le mystérieux actualites@e.news-promoshopping.net. Pas de numéro CNIL vers lequel se tourner.

Le domaine e.news-promoshopping.net redirige vers www.promo-shopping.net et nous révèle enfin la société à l'origine de l'envoi de ce courriel indésirable : Net Lead.

Net Lead est une petite SAS créé il y a deux ans et dont le siège social se trouve au 12, Avenue Maurice Thorez à Ivry-sur-Seine. En réalité, il s'agit des bureaux de Sofradom, société qui s'est spécialisée dans la domiciliation d'entreprises.

Le site promo-shopping.net édité par la société Net Lead a pour objet de permettre aux utilisateurs inscrits de recevoir les actualités et bons plans du web tels que des offres promotionnelles, des offres de participation à des jeux concours, l’annonce de nouveaux produits...

La société serait dirigée par une certaine Mme Lea RILLARDON. Le site Verif.com nous révèle que la société Net Lead aurait réalisée en 2013, année de son immatriculation, un chiffre d'affaires de 472 919 € pour un résultat net de 17 654 €.

Il existe cependant une autre société Net Lead proposant les mêmes services depuis 2009 sous les mêmes couleurs mais depuis la Suisse. Cette seconde entité semble gérée par Jean-Charles Perazzi.

De Net Lead à A7 Emailing

L'étude du whois du nom de domaine news-promoshopping.net nous révèle l'existence de la société A7 Emailing, intermédiaire technique lors du dépôt du nom chez OVH (OVH qui se trouve être l'hébergeur du serveur dédié ayant émis le dernier spam en date, reçu ce jour).

Domain Name: news-promoshopping.net
Registry Domain ID: 1855112228_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.ovh.com
Registrar URL: http://www.ovh.com
Updated Date: 2015-03-25T10:12:58.0Z
Creation Date: 2014-04-17T14:23:11.0Z
Registrar Registration Expiration Date: 2016-04-17T14:23:11.0Z
Registrar: OVH, SAS
Registrar IANA ID: 433
Registrar Abuse Contact Email: abuse@ovh.net
Registrar Abuse Contact Phone: +33.899498765
Domain Status: clientTransferProhibited
Domain Status: clientDeleteProhibited
Registry Registrant ID:
Registrant Name: RILLARDON LEA
Registrant Organization: NET-LEAD
Registrant Street: 12 avenue Maurice Thorez
Registrant City: Ivry sur Seine
Registrant State/Province:
Registrant Postal Code: 94200
Registrant Country:  FR
Registrant Phone: +33.621817148
Registrant Phone Ext:
Registrant Fax: 
Registrant Fax Ext:
Registrant Email: qg0aplmvkyiqnj94rc2v@x.o-w-o.info
Registry Admin ID:
Admin Name: RILLARDON LEA
Admin Organization: NET-LEAD
Admin Street: 12 avenue Maurice Thorez
Admin City: Ivry sur Seine
Admin State/Province:
Admin Postal Code: 94200
Admin Country:  FR
Admin Phone: +33.180919506
Admin Phone Ext:
Admin Fax: 
Admin Fax Ext:
Admin Email: cdd8dtomspnt5wi4ty7y@j.o-w-o.info
Registry Tech ID:
Tech Name: Sabas Gilles
Tech Organization: A7 Interactive
Tech Street: 1 rue du gabian
Tech City: monaco
Tech State/Province:
Tech Postal Code: 98000
Tech Country:  FR
Tech Phone: +377.97982943
Tech Phone Ext:
Tech Fax: 
Tech Fax Ext:
Tech Email: 2dyi2g1wktdcqgznxlm2@z.o-w-o.info
Name Server: dns108.ovh.net
Name Server: ns108.ovh.net
DNSSEC: signedDelegation

La société A7 Emailing fondée et dirigée par M. Gilles Sabas serait domiciliée à Monaco, bien que l'on trouve une adresse postale sur Nice. On retrouve aussi Gilles Sabas et A7 Emailing en Angleterre, plus précisément à Londres (via A7 Interactive Ltd.).

A7 Tranquillité - Tout ce dont vous avez besoin pour : Importer vos fichiers, gérer les nouveaux abonnés et désabonnés, désactiver les adresses qui vous mettent en spam, créer des campagnes rapidement, les planifier, les livrer en NOSPAM, suivre les retours, étudier les statistiques jusque dans les détails, gérer votre base et l'enrichir automatiquement, suivre les ventes, être interconnecté avec votre site.

Étant donné que sur le papier, Net Lead et A7 Emailing proposent les mêmes services (routage, e-marketing, bases de données, etc.), il est difficile de savoir qui est le prestataire et qui est le client.

Mais puisque l'adresse IP du serveur dédié 176.31.66.32 indique que cette machine louée chez OVH, est géré par A7 Interactive Ltd. (Sovereign House, 212-224 Shaftesbury Avenue, London), tout porte à croire que Net Lead a fourni la base de données et A7 Emailing le routage.

Utilisation abusive de l'opt-in partenaire par d'Assurland

Cet enchaînement de spams démontre une nouvelle fois que l'application d'office de l'opt-in partenaire (que je dénonçais courant 2010 sur Twitter) par Assurland entraîne irrémédiablement la fuite de données personnelles vers des acteurs de moins en moins scrupuleux en matière de collecte, utilisation ou même routage.

L'absence d'obligation légale en matière de traçabilité des campagnes d'e-mailing favorise les dérives et l'utilisation abusive de données collectées sur le Web.

Il n'en reste pas moins qu'il est malheureusement impossible de savoir comment Net Lead aura récupéré de manière illicite ou non l'adresse e-mail laissée il y a plus de 5 ans à Assurland sans que cette information ne soit révélée par l'expéditeur lui-même (il n'est fait aucunement mention d'Assurland dans les e-mailings).

Faut-il regarder vers Tradelab Publishing qui a par le passé exploité cette adresse ?

Mise à jour au 24 juin 2015

Suite à un message laissé sur le site de la société A7 Emailing, j'ai obtenu deux réponses. L'une de cette société, conciliant, l'autre de NET LEAD. Toutes deux me demandent un complément d'information afin de « procéder à une enquête », se disent concernées par la plainte que je leur ai remontée et m'ont expliqué agir dans le plus grand respect des lois et des « règles du Web », tout en luttant activement contre le spam (sic).

Enfin, NET LEAD me menace de poursuites judiciaires si je n'amende pas ce billet dans les 48 heures en supprimant tout ce qui touche cette société.

On me demande donc de livrer toujours plus de données personnelles afin d'aider ces deux sociétés à faire leur travail : choisir le bon prestataire, la bonne base de données (en opt-in partenaire réel), le bon fournisseur, respecter la législation, assurer la traçabilité des données, afficher des mentions légales explicites, cesser les envois de courriels indésirables, etc.

Marketing à la performance ou spam ?

Guillaume Vialet — Sat, 08 Feb 2014 12:13:00 +0100

Nouvelle entrée dans le Hall of Spam avec l'arrivée de la société française Décision MD qui suit un processus souvent décrié : louer ou router des annonces de sociétés d'affiliation sur de vieilles bases achetées, revendues, détournées et surexploitées.

Parfois signés DMD, Décision MD ou encore décision-md, je reçois régulièrement des e-mails publicitaires de cette société qui appartient en réalité au groupe SLS Data créé et dirigé par Stéphane Baiocco.

SLS Data regrouperait dorénavant les activités de Décisions MD et de la société Odyssey Agency. Sur le profil LinkedIn du fondateur, on peut lire que le « potentiel de la base [est de] 3 500 000 internautes opt-in (sic) » (fichier B2C de Décision MD).

Decision MD est une agence spécialisée dans les opérations marketing à la performance ! (source : decision-md.com)

Le groupe œuvrerait maintenant sous le nom d'Odyssey Messaging. Ces acteurs ne sont pas totalement étrangers au lecteur de ce blog puisque j'évoquais déjà leur existence dans un précédent billet (Alliance MCA étant devenue depuis Odyssey Messaging).

Je ne m'arrêterais que sur le dernier e-mail reçu au profit du site Elite Auto qui a confié la gestion de sa publicité en affiliation à la société Public-Idées qui elle aussi se réclame « du marketing à la performance ». Mais quelle performance et pour qui ?

L'e-mailing est poussé par la société de routage X-Mailer (en réalité la S.A.R.L. Self) qui se décrit comme « une plateforme de routage pas comme les autres ».

J'ai un léger doute en ce qui concerne la qualité de ses clients et de leurs campagnes. Elle me semble tout à fait dans le moule et use comme à l'accoutumée de très nombreux noms de domaine (korus-29.com, beka-54.com, etc. déposés par... SLS Data !).

Conformément aux CGV, Self exige de la part de tous ses clients de certifier qu'ils utiliseront le service X-Mailer uniquement dans le but d'envoyer des emails à des destinataires ayant explicitement accepté d'en recevoir de leur part. (source : X-Mailer.fr)

Aucune mention légale sur l'origine de la captation et le véritable commanditaire de ces envois n'est présente dans les différents e-mailings reçus. Qui a capté mon adresse e-mail ? De quelle base(s) vient-elle ? Qui la loue, si ce n'est Décision MD elle-même ?

Notons enfin que le site de Décision MD est hébergé par la société OVH qui a débuté il y a quelques mois une chasse aux spams sur son réseau plutôt brutale et pas nécessairement efficace.

L'entente tripartite broker d'adresses e-mail (via un empilement de noms commerciaux, de noms de société, de groupes, de fusions diverses...), affiliateur (probablement une marque blanche d'un plus gros programme d'affiliation) et routeur semble encore faire recette même si ces méthodes sont en complète contradiction avec la performance et l'efficacité recherchées et... vendues.

Avec au milieu une victime collatérale : l'internaute.

Time2Marketing et l'impossible désabonnement

Guillaume Vialet — Sat, 01 Feb 2014 12:28:00 +0100

Il y a des bases dans lesquelles on ne souhaiterait jamais y avoir laissé la moindre coordonnée. Entre mauvaise foi, refus de répondre et menaces de poursuites, il arrive parfois que le dialogue soit impossible entre un éditeur et l'internaute.

Une difficile remontée à la source

Voici un exemple de ce dialogue difficile pour ne pas dire impossible entre la société One Place éditrice des salons Time 2 Marketing et Web2Business et l'internaute que je suis.

Probablement inscrit courant 2010 dans la base de données B2B de la société One Place via un collègue de travail, sans doute à l'occasion du salon Time 2 Marketing (anciennement Time 2 Market), il m'est impossible de dater précisément la captation de la première adresse e-mail, celle-ci n'étant pas de mon fait.

D'autant plus que nous verrons que l'adresse aujourd'hui utilisée n'est semble-t-il pas celle qui aura été laissée sur l'un des sites de la société. Cette deuxième inscription est-elle le fait d'un partenaire ?

Nous sommes hélas en plein cœur d'une des tares de l'e-mailing : le manque total traçabilité d'une inscription et des envois, même dans le monde pourtant professionnel du B2B auquel s'adresse ce salon.

Dans quelques mois, les éditeurs auront l'obligation de stocker des informations sur les conditions de captation des données personnelles et de préciser notamment la durée de conservation, leur origine et les recours possibles afin de les communiquer aux internautes ou aux autorités compétentes, comme la CNIL.

Un dialogue compliqué avec l'éditeur

J'ai plusieurs fois remonté aux équipes de cette société ma grande difficulté à quitter la base de données de ces deux salons professionnels.

Interpelées sur Twitter, je n'ai pas eu de réponses jusqu'à ce mois de juillet 2013 où j'ai pu échanger en DM sur ce réseau social suite à la réception d'un énième e-mail concernant le salon T2M 2014.

A travers cet échange, j'ai malgré tout appris :

qu'une ancienne adresse professionnelle avait été laissée dans leur base (ce qui me semble logique) ;
qu'ils n'avaient pas mon adresse personnelle mais qu'elle avait été placée en liste noire (sic) ;
que les envois devaient donc émaner d'une autre entité que la société One Place.

Ceci dit :

Je ne reçois plus depuis plusieurs années le courrier envoyé à cette adresse professionnelle qui n'existe d'ailleurs plus, test à l'appui.
Sauf preuve du contraire, c'est bien mon adresse personnelle qui est ciblée. A quel moment l'ai-je communiquée à T2M ?
Les e-mailings publicitaires sont bien poussés par One Place, toujours jusqu'à preuve du contraire (j'avais même fourni le code source complet du spam du 18 juillet 2013).

Le nom de domaine utilisé pour les envois est one-place-event.fr (domaine en parking comme à l'accoutumé), l'expéditeur est WEB2BUSINESS, le sujet « le congres leader du digital vous invite au T2M2014 » et l'ensemble me semble directement poussé par les serveurs de One Place via phpList.

Le lien de désinscription est lui aussi géré par ce serveur (84.246.229.224) via l'URL list.one-place.fr, hébergé en France par Netissime (groupe ELB Multimédia).

<xxxxxxxx@zerothune.com>: host aspmx.l.google.com[173.194.66.26] said:
    550-5.1.1 The email account that you tried to reach does not exist. Please
    try 550-5.1.1 double-checking the recipient's email address for typos or
    550-5.1.1 unnecessary spaces. Learn more at 550 5.1.1

J'en conclus donc que l'e-mailing est bien envoyé par cette société sur une adresse personnelle qui ne serait pas présente dans leur base de données d'après nos échanges du mois de juillet.

Pour vous désinscrire de nos bases, suivez ce lien. this link

Dès lors, comment exercer son droit de consultation et de retrait quand on existe même pas pour l'éditeur d'une base qui finit par se montrer quelque peu menaçant face à l'instance légitime de l'internaute ? Et comment expliquer ce nouvel envoi daté du 30 janvier ?

Coïncidence ou pas, je devais recevoir deux semaines plus tard cet étrange message sur Twitter, resté lui aussi sans suite :

J'espère avoir ici une réponse plus constructive, voir des mentions légales apparaître dans les e-mailings de One Place pour ses salons WEB2BUSINESS et T2M ainsi que sur leur site Web (mentions obligatoires, faut-il le préciser) et comprendre comment je peux toujours faire partie de cette base de données (à laquelle je viens de me désinscrire).

Enfin, se peut-il que cet e-mailing soit poussé par un partenaire de One Place ? Comme l'agence de référencement 1ère Position ?

Mise à jour au 5 février : j'ai pu échanger avec la société 1ère Position concernant l'hypothèse d'un envoi via leurs bases. La personne avec qui je suis en contact m'assure n'avoir pas routé d'e-mails pour ces salons en 2013, bien qu'ils aient participé à T2M en 2012 (et qu'ils m'aient routé un message en juin 2012 sans mon consentement). Il m'apparaît donc que One Place semble être seul responsable de ces envois.

Spammé par le site d'emploi Qapa

Guillaume Vialet — Tue, 21 Jan 2014 11:44:00 +0100

Qapa est un site d'annonces d'offres d'emploi comme il en existe beaucoup sur le Web. Mais leur modèle économique semble par contre reposer sur la revente de données personnelles, même sans votre accord. Explications.

Lancé en juillet 2011, Qapa s'est positionné sur le marché encombré de la recherche d'emploi en proposant, je cite, un « algorithme de matching [qui] compare chaque jour des centaines de milliers d'offres d'emploi et de candidats afin de mettre en relation les bons profils avec les bonnes offres ».

Qapa annonce avoir recruté près d'un million et demi de candidats et levé 1,7 millions d'euros auprès de Partech Ventures, 360° Capital Partners ainsi que des business angels.

Le lecteur assidu notera que 360° Capital Partners avait aussi financé la tristement célèbre aventure Smartdate qui s'est soldée par le retrait des investisseurs, le départ précipité de son fondateur Fabrice Le Parc pour les États-Unis et le leaking de la base de données des membres qui n'en finit plus d'être revendue deux ans après les faits.

Revente de données personnelles...

A assez rapidement insatisfait du service rendu par Qapa, j'ai été très désagréablement sollicité par e-mail par Juritravail via Qapa me demandant si « j'étais prêt pour mon entretien d’embauche » fin avril 2013.

Plusieurs sollicitations suivront pour l'ESSEC Business School (deux spams), Willymail (un programme marketing sans intérêt) et « P&R Formation » pour le compte de Conso Client du groupe Rentabiliweb.

Vous recevez ce message car vous êtes référencé dans la base de données Qapa.

Mes nom et prénom et que sais-je d'autre ont ainsi été revendus à ces « partenaires » en plus de l'adresse e-mail confiée à Qapa.

...même après désinscription

Doublement déçu par Qapa, de part les services offerts et évidemment à cause des graves manquements en matière de traitement et de respect des préférences relatives aux données personnelles communiquées au moment de mon inscription, je me suis décidé à quitter le site.

Sous réserve de votre accord préalable, QAPA est susceptible de vous faire parvenir des offres promotionnelles et publicitaires de certains de ses partenaires. Si vous préférez ne pas recevoir de telles offres promotionnelles, et ne pas participer à nos programmes de personnalisation des publicités, vous pouvez l’indiquer lors de votre inscription, ou à tout moment, par courrier postal à l’adresse indiquée ci-dessus dans les Mentions Légales.

Las, les envois n'ont pas cessé pour autant. J'ai eu droit à de la publicité pour EFC Formations ainsi que pour... HugAvenues ! Un autre site de rencontres sur lequel j'ai d'ailleurs très envie d'écrire. Nous sommes très loin de l'univers de l'emploi.

Chez Qapa, on ne répond pas

J'ai bien entendu contacté via Twitter et Facebook l'équipe Qapa afin de leur signaler le problème mais je n'ai à ce jour jamais eu la moindre réponse de leur part.

La société de Stéphanie Delestre ferait donc la sourde oreille face mes plaintes que j'estime pourtant légitimes.

Je n'ai bien sûr jamais donné mon accord au fait que mes données soient commercialisées et utilisées afin d'y pousser des « offres promotionnelles » et quand bien même l'aurais-je fait, cela ne donne pas le droit à Qapa de les exploiter après ma désinscription du site.

A noter que les CGU du site ne sont pas directement lisibles en ligne mais téléchargeables au format PDF.

J'espère donc obtenir plus d'explications que Qapa m'a jusqu'ici refusées.

Mise à jour au 12/02/2014 : j'ai pu échanger par e-mail puis par téléphone avec l'équipe dirigeante de Qapa qui évoque un « mauvais concours de circonstance ». Nous aurions été très peu (sic) à être impactés par ce « bug » dans leur base de données qui nous aurait fait passer dans les fichiers loués à leurs partenaires. Dont act.

Par contre, je regrette de n'avoir pas eu de réponse quant à l'ampleur de ces locations, bien qu'elles se soient définitivement arrêtées après nos échanges téléphoniques. D'après les commentaires laissés depuis, ça ne semble pas être le cas de tout le monde...

Merci donc à Stéphanie Delestre ainsi qu'au fond d'investissement 360 Capital Partners pour leur réactivité et leur grande disponibilité !

Mise à jour au 12/06/2014 : faisant suite aux commentaires laissés sur ce billet, j'ai de nouveau contacté Qapa mais qui cette fois n'aura pas daigné me répondre. La question de la location illicite de vos données hébergées par Qapa reste donc entière.

Mise à jour au 02/09/2014 : je ferme les commentaires de ce billet et laisse le soin aux internautes de prendre contact avec Qapa afin que ses équipes puissent directement intervenir si vous aviez encore des difficultés à vous désabonner des e-mails partenaires.

Je considère ce litige personnel comme étant résolu. Je tiens à remercier Qapa et notamment sa fondatrice d'avoir toujours répondu à mes sollicitations, un cas relativement unique depuis que je consacre ces colonnes au spam.

La FEVAD et le SNCD aiment un peu trop vos données personnelles

Guillaume Vialet — Wed, 25 Sep 2013 12:02:00 +0200

J'étais hier à la première journée de l'édition 2013 du salon e-Commerce Paris où j'ai pour l'essentiel assisté à des conférences consacrées aux données personnelles et à l'e-mailing, dispensées notamment par le SNCD et la FEVAD.

La nouvelle édition du Salon e-Commerce Paris était l'occasion pour le SNCD de communiquer quelques chiffres sur l'activité de ses membres et de son enquête annuelle Email Marketing Attitude 2013, usages et tendances de la communication personnelle online présenté cette année par l'entreprise Bisnode, ex-WDM-Directinet.

Je retiendrai essentiellement celui-ci, symptomatique : 59% des internautes cherchent le lien de désabonnement (+17 points par rapport à 2012) pour interrompre la communication avec la marque au détriment de la suppression des e-mails sans les lire (source Journal du Net).

Mais j'étais surtout venu assister à la présentation faite par la FEVAD des points clés du projet pour les personnes de la Commission Européenne, projet portée par Viviane Reding.

Ce projet est en effet essentiel quand on sait que les règles européennes (donc françaises) en matière de protection des données personnelles datent 1995. C'est-à-dire la préhistoire à l'échelle temporelle d'Internet et face à l'explosion des réseaux sociaux ou du Big Data.

Ces règles ont cependant été renforcées en 2002 avec la Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques adoptée en partie en 2004 en France à travers le paquet dit Loi pour la confiance dans l'économie numérique.

Il fallait donc revoir cet ensemble de lois plus forcément adaptées aux réalités actuelles du marché des données personnelles, les simplifier et harmoniser la législation à l'échelle européenne.

La FEVAD lors de cette présentation, a listé 4 grands points constitutifs du projet :

1. Licéité des traitements et consentement explicite

Il s'agit là d'obtenir avant toute forme d'exploitation des données personnelles le consentement explicite de l'internaute. Ce consentement prendra par exemple la forme d'une case à cocher.

Sont donc exclues les obscures CGU où figurent encore trop souvent les articles autorisant implicitement un site à exploiter, communiquer ou revendre vos données personnelles ou encore le processus d'opt-out.

Il est possible que la prospection commerciale par téléphone soit aussi placée sous le régime du consentement tacite, donc de l'opt-in, ce qui serait une grande avancée : fini les appels le samedi matin par Canal+, Bouygues Telecom ou encore SFR.

2. Information sur la durée de conservation des données, leur origine et les recours

Nous sommes ici face à trois notions fondamentales. On l'a vu à plusieurs reprises dans mes billets, une adresse captée en année N circulera en N+1 et N+2 sans que rien ne puisse arrêter ces échanges.

Déterminer l'origine de la communication d'une adresse e-mail à un annonceur, un programme marketing ou une base mutualisée et remonter à la source est souvent impossible, comme cela a été traité dans ce billet.

Les recours possibles, c'est-à-dire les moyens à la disposition de l'internaute afin de s'opposer à cette diffusion, devront donc être clairement établis tout comme la durée de conservation des données (et donc de commercialisation si l'accord en a été donné) devra être fixée.

La traçabilité est aussi introduite : des sociétés comme Dreamlead Interactive ou Predictys (dont j'attends encore une réponse) ne pourront plus faire de la rétention d'information et seront sommées de fournir l'origine de la captation des données personnes à qui le leur demandera, via une procédure (les recours) bien identifiée.

Ce point met donc en lumière et pallie le manque de professionnalisme de nombreux acteurs du secteur qui conservent ad vitam æternam vos données personnelles, les revendent à de très nombreuses sociétés sans en conserver la trace (comme ce fut le cas pour I-Consulting.be) et en vous adressant de surcroit une fin de non-recevoir.

3. Droit à l'oubli, droit à la portabilité

Le droit à l'oubli est devenu au fil des années un droit fondamental et relève directement du droit à la vie privée. Il doit permettre de supprimer toutes ses traces notamment sur le Web à la demande de l'utilisateur.

Sont visés en droite ligne les agrégateurs comme 123people (Solocal Group, ex-PagesJaunes), Spokeo, Yasni ou encore Yatedo qui se cachent sous le prétexte de n'être « que de simples méta-moteurs » afin d'agréger des données personnelles éparses, les assembler et les monétiser grâce à la publicité ou des services associés (comme par exemple un service de suppression de données lancé par 123people !).

La portabilité - ou droit à la récupération des données stockées - est une notion devenue familière auprès du grand public grâce notamment aux télécoms. Elle permettra à tout un chacun de transmettre aisément et on l'espère automatiquement, ses propres données personnelles d'un service à un autre ou bien de les récupérer (afin notamment, d'en évaluer l'ampleur, comme ce que ce jeune Autrichien avait réussi non sans mal à obtenir de Facebook).

Le but de ce point de la législation est de faciliter le départ d'un service en ligne pour un autre et de favoriser ainsi la concurrence tout en libérant les utilisateurs trop souvent captifs d'un site du fait de leurs données (amis, messages, photos, fichiers, etc.).

4. Encadrement du profiling

Le site e-marketing.fr nous donne une définition précise de ce qu'est le profiling appliqué au marketing :

Utilisation des données clients (caractéristiques, nature des achats, résultats d'enquêtes…) contenus dans une base de données afin de déterminer des profils de comportement d'achat et/ou de consommation. L'exploitation de ces données socio-démographiques, attitudinales et/ ou comportementales doit permettre de moduler l'offre en fonction de la nature du/des profil(s) identifié(s).

Le profiling regroupe donc des méthodes d'agrégation de données destinées à dresser le portrait socio-démographique et comportemental d'un individu : qui est-il, où vit-il, que consomme-t-il, quels sites fréquente-t-il, etc.

Bien que l'agrégation de données ne soit pas vraiment légale en France et donc sujette à caution, ce principe se retrouve au cœur de la base de données mutualisée de Conexance MD (membre du SNCD), « l'Alliance VAD », dont les données clients issues des différents membres du réseau s'enrichissent mutuellement.

Le législateur européen se propose donc de mieux encadrer ces pratiques afin d'en limiteur leur portée et contrôler les abus.

5. Publication des failles de sécurité

Enfin, le dernier point que j'ajouterais à cette liste, survolé lors de cette conférence, me semble tout aussi essentiel en matière de protection des données personnelles et d'exposition à des risques potentiels.

Les piratages de bases, les fuites de données personnelles sont des problèmes plus fréquents qu'on ne le croit mais peu nombreuses sont les sociétés qui jouent la carte de la transparence vis-à-vis des premières victimes de ces failles ou de ces vols de données.

La nouvelle loi imposera de rendre publique toute faille de sécurité ou compromission de systèmes ou de base de données dans les 24 heures de leur découverte.

Bien entendu, ces avancées significatives ne sont pas sans contrarier les membres des deux « lobbies » que sont la FEVAD et le SNCD, ce dernier ayant déjà exprimé son point de vue sur son site. On se rappellera simplement qu'on nous prédisait déjà la fin de l'e-mailing commercial en 2004...

Nous avons bien compris lors de cette présentation que tout sera fait jusqu'au dernier moment afin de minimiser la portée des textes et laisser plus de latitude aux États membres afin d'assouplir certains aspects de la loi, en faisant directement pression sur les gouvernements nationaux plutôt que sur le Parlement européen.

Une mise en place rapide du dispositif

Le vote est prévu le 21 octobre prochain et son adoption par le Parlement européen est espérée au plus tard en avril 2014. Viviane Reding, je le rappelle la porteuse du projet, est très active et concernée par cette loi ; elle fera certainement tout pour qu'elle soit votée avant la prochaine législature malgré les pressions exercées par les lobbies concernés.

Un mini-site a été créé afin d'en présenter les principaux points :

Enfin, les juristes de la FEVAD ont mentionné un projet dénommé YourOnlineChoices avec lequel j'aimerais terminer ce billet.

Poussé par l'IAB (l'organisme de standardisation de la publicité sur le Web), ce site a pour vocation d'informer le consommateur sur la publicité ciblée et comportementale. Il permet notamment de supprimer certains cookies qui auraient été déposés sur votre ordinateur suite à la visite de sites, l'affichage de publicités, etc.

Le site encourage clairement l'activation des cookies de tracking aussi appelés cookies tiers et affiche ce message humoristique lorsque leur outil de détection des traces que vous aurez laissées en navigant est utilisé sans ces cookies.

Afin de ne plus subir cette forme d'espionnage qui en l'absence de législation précise ne bénéficie d'aucun encadrement digne de ce nom, je vous invite à suivre mes recommandations qui vous rendront aussi anonyme que vous pourriez l'être dans une boutique physique.

Le jeu de piste de l'opt-in partenaire

Guillaume Vialet — Tue, 17 Sep 2013 20:24:00 +0200

Savoir à qui l'on a confié son adresse e-mail peut relever de la gageure, voire même être un véritable parcours du combattant tant les intermédiaires qui se revendent les adresses sont nombreux. Et parfois peu coopératifs.

Tout commence par un e-mail du voyagiste Look Voyages qui m'a abonné d'office à sa newsletter. Au bout de 37 e-mails reçu en l'espace de 4 mois, je décide de me « désabonner ».

Première difficulté : malgré les indications présentes dans l'e-mailing commercial de Look Voyages, qui prétend que le désabonnement se fait très simplement à partir de l'e-mail en cliquant sur un simple lien, il n'en est rien.

Il faut en effet récupérer le mot de passe d'un compte client créé à la volée par le voyagiste, comme l'indique la page de contact du site. Ce que je suis donc amené à faire passant d'abonné forcé à utilisateur actif.

Obligé de répondre à plus de questions et livrer plus de données personnelles à travers leur formulaire de contact que si je m'étais moi-même inscrit sur leur site, je décide de passer par un autre moyen de communication.

De Look Voyages à Dreamlead

Je cherche donc à connaître le fournisseur d'adresses en d'opt-in partenaire de Look Voyages afin de pouvoir exercer mon droit d'accès et de modification de mes données personnelles.

Car demander en bout de chaîne d'être supprimé d'une base ne sert strictement à rien : vous serez toujours autant sollicité mais par d'autres annonceurs. Il faut donc remonter la source. En réalité, les sources.

Grâce à Twitter, j'obtiens rapidement une réponse : le fournisseur serait la société Dreamlead Interactive. Mon compte et mes données sont par la même occasion effacées de chez Look Voyages.

De Dreamlead à I-Consulting

Je contacte donc la société française Dreamlead Interactive et après quelques échanges par e-mail où l'on me donne deux informations, le nom d'une société et le fait qu'elle serait belge, on me fait comprendre qu'on ne donnera pas suite à ma demande.

Par contre, mon interlocutrice m'indique qu'« [on a] contacté le fournisseur, celui-ci a fait le nécessaire ».

Nous ne sommes pas dans l'obligation de vous fournir les coordonnées de notre partenaire. Cependant, cette société est située en Belgique.

Face à mon insistance et à force de textes de loi, j'obtiens enfin les coordonnées du gérant de la société I-Consulting, qui serait aussi à la tête de Pass-online.net.

Contacté via LinkedIn, ce monsieur s'est montré très disponible et m'a confirmé qu'il avait bien supprimé toutes mes données personnelles de ses bases suite à la demande adressée par Dreamlead Interactive.

Il me précise qu'il collabore avec cette société afin de « collecter des coregistrations et des co-inscriptions », ce qui n'est à mon sens pas le cas ici (il s'agit manifestement du rachat d'une base de données, pas d'une collecte directe).

La loi belge exigerait qu'aucune donnée ne soit conservée par un prestataire suite à une demande de suppression, sauf qu'elle ne venait pas de moi mais de son client.

Il est donc impossible pour moi d'aller plus en amont, faute de traces, même commerciales. Mais mon interlocuteur me lâche le nom d'un de ses fournisseurs potentiels : Predictys.

De I-Consulting à Predictys

J'écris donc à l'adresse abuse de la société (française) Predictys car c'est par ce biais que je pourrais obtenir d'autres informations sur la vente de mes données personnelles.

Cette société annonce sur sont site être partenaire de Signal-Spam et du SNCD.

Au bout de quelques jours j'obtiens finalement une réponse assez évasive mais qui confirme les dires du gérant de I-Consulting.be (dont le site a aujourd'hui disparu...) :

Votre email il a été fourni par Partenaire Premium (sic).

A la question « mais qui est Partenaire Premium », je n'aurai malheureusement pas de réponse, ou plutôt celle-ci reçue il y a une semaine :

Nous n'avons pas encore la réponse de notre partenaire. On vous tient au courant dès que possible.

Fin de l'histoire ? Pas tout à fait...

...en passant par P Comme Performance !

Bien que le gérant de I-Consulting m'ait assuré sur LinkedIn n'avoir jamais travaillé avec P Comme Performance ni avec aucune filiale d'Arthur Media Group, j'ai retrouvé la trace de cette société dans l'enquête que j'avais menée il y a un peu moins d'un an.

I-Consulting me semblait bien être en contact avec P Comme Performance - qui gérait déjà en exclusivité la base du groupe Prisma Média - société récemment rachetée par son propre client, Prisma. Il figurait déjà sur la cartographie de ces échanges que j'avais alors dressée.

Ce qui fait sens : P Comme Performance doit probablement toujours revendre les données que j'avais renseignées lors d'un jeu-concours en ligne organisé par le magazine Voici, propriété de Prisma Média... il y a près de deux ans !

Des bases « poubelles »... mais parfaitement légales

Et c'est bien là le grand paradoxe de la loi du 6 janvier 1978 et de la plus récente LCEN de 2004.

Les bases de données dites « en opt-in partenaires » passent, moyennant finance, de brokers en agences de e-marketing, parfois rachetées plusieurs fois à quelques mois d'intervalles, quittant la France pour la Belgique avant d'y revenir et sont servies à des clients qui n'ont pas (vraiment ?) idée du circuit emprunté par ces adresses « premium » poussant des messages qui iront s'entasser dans le dossier spam de leurs propriétaires.

Et de commettre à leur tour, comme Look Voyages, de gros impairs en matière de gestion des désinscriptions, par-dessus le marché.

Ce business aux rouages absurdes génère chaque année plusieurs dizaines de millions d'euros mais peut parfois se faire au détriment de l'annonceur et sûrement de l'internaute. Au final, c'est tout une profession qui en pâtit.

Nous verrons dans un prochain billet qu'il est possible de ne plus être dépendant de prestataires quelquefois peu scrupuleux (mais aussi de clients peu regardants), de mettre fin à la grogne justifiée des internautes et de redonner de la crédibilité à l'e-mailing commercial, donc de la valeur.

A condition de s'en donner les moyens...

Mise à jour au 13/11/2013 : Je reproduis ici la réponse d'Edouard Ducray de Dreamlead Interactive à un commentaire que j'ai laissé à la suite d'une de ses tribunes publiée sur le Journal du Net :

Mais si mais si Guillaume Vialet c'est bien eux!

Par contre vous semblez peu informé en la matière: Dans l'article auquel vous faites référence sur votre blog, notre société Dreamlead Interactive agit en tant que tiers. Elle dispose d'un droit d'usage limité dans le temps sur des adresses emails collectées par des partenaires, dans le cadre d'un contrat de partenariat.

N'étant pas responsable du traitement des données nous ne saurions disposer d'informations personnelles sur ces adresses car si tel était le cas (faut-il vous l'apprendre?) cela serait répréhensible par la loi (Art. 226-22 du Code pénal)

Sur le fond nous avons bien compris dans votre article que vous en voulez à l'ensemble des acteurs marketing et annonceurs du Net: Look Voyage, Dreamlead Interactive, I-Consulting, Prédictys, P Comme Performance, Prisma Media etc ... nous sommes tous de méchants spammeurs sans foi ni loi.

Comme je crois comprendre que vous êtes à la recherche d'un nouveau poste de chef de projet, je m'interroge sur le type de société qui trouvera grâce à vos yeux (et réciproquement)

Comment couper la branche sur laquelle on est assis ...

Spammé par K Vern Street

Guillaume Vialet — Mon, 16 Sep 2013 15:34:00 +0200

Le site Internet d'un couple d'amis tourangeaux a été la cible d'un spammeur qui aura d'une manière ou d'une autre, mais illicitement, récupéré l'adresse de contact afin de la commercialiser. Explications.

Un peu plus d'un an après avoir mis en place le site du mariage de mes amis, je devais recevoir une sollicitation commerciale pour un certain cabinet de recouvrement parisien, le cabinet d'Ormane.

L'e-mail indique que le message est poussé par K Vern Street ainsi qu'un numéro d'enregistrement CNIL n°1426102. Les liens de désinscription ou de tracking reposent sur le nom de domaine host606.com déposé et hébergé chez OVH.

De la Touraine à l'Ile Maurice

K Vern Street Communication qui se définit elle-même comme une agence de communication n'est pas française mais mauricienne, plus précisément domiciliée à Port Louis. Son représentant serait un certain M. Pierre Gougeon, toujours selon le site de la société.

Le nom de domaine host606.com est quant à lui déposé par un certain M. Denis Ledoux tandis que le domaine kvernstreet.net est déposé au nom de la société Email For You Ltd. dont le représentant, d'après son whois, serait Joan Gougeon domicilié à la même adresse que K Vern Street (14D Eneskinen Street à Port Louis). Cette dernière n'est en fait qu'une marque commerciale.

Appelé le 10 septembre par mes soins lors de la réception du premier spam, la société n'a pas encore daigné m'adresser de réponse sur l'origine de la collecte de cette adresse e-mail. Et c'est bien là tout le problème.

Une adresse collectée de manière déloyale ?

Que dit la loi française de 1978 notamment à l'article 25 ? Que la « collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite. »

Tout d'abord cette adresse n'est pas diffusée sur le site du mariage de mes amis mais est utilisée lors de l'envoi de l'accusé de réception du formulaire de contact. Ensuite, elle n'est pas non plus présente dans le whois du nom de domaine. Ce site revêt évidemment un caractère privé et n'est pas un outil à vocation commerciale ou professionnelle.

Dès lors, le consentement préalable doit être obtenu avant de router le moindre e-mail de prospection.

Trois jours plus tard, un second spam est routé, cette fois au profit du site www.defy-entreprises.org faisant la promotion du logiciel Sage. Le site en question est hors service l'heure où j'écris ce billet, comme en témoigne cette capture d'écran :

L'adresse de désabonnement est cette-fois ci traitée par le sous-domaine nuntius.defy-entreprises.org dont le whois ne donne aucune information sur son propriétaire.

L'adresse e-mail récupérée de manière déloyale ou illicite aura manifestement été intégrée à un programme B2B.

On peut dès lors supposer que la source de cette société peut être un spyware récupérant les adresses e-mails des carnets d'adresses de machines infectées ou bien un outil forgeant des adresses e-mail génériques au petit bonheur la chance.

Alerté sur Twitter, le cabinet d'Ormane n'a pas non plus souhaité me répondre sur les pratiques de son prestataire.

Mise à jour au 22/09 : Grâce à la pleine collaboration du Cabinet d'Ormane, de la régie d'affiliation Touchvibes.com et finalement de K Vern Street, je suis maintenant en mesure de savoir où cette adresse a été achetée par cette dernière : sur le site WSData qui n'est qu'une grosse base de données de noms de domaine et données associées, poussée par une société chinoise, AsiaWS Network et totalement illicite en France ou en Europe.

Ce billet est le parfait exemple des mauvaises pratiques en matière d'e-mailing et d'affiliation : une base « pirate », un affilié hors de toute juridiction française, un affiliateur dans l'incapacité de contrôler efficacement l'utilisation qui est faite de sa plateforme, un client peu regardant sur l'origine des campagnes qui sont pourtant poussées en son nom.

Envoi massif de courrier indésirable par Efficiency Network et Cap Décision

Guillaume Vialet — Tue, 23 Apr 2013 00:58:00 +0200

Où l'on parle encore de sociétés de routage peu regardantes et de bases de données d'adresses e-mail dites « en opt-in partenaires » qui ne le sont pas. Les protagonistes de ce billet ne seront pas étrangers aux lecteurs de ce blog, puisqu'ils sont déjà cités (une pure coïncidence) dans un précédent billet.

« Les bons plan d'Espace Privilèges »

Du 9 au 18 avril, ce sont pas moins de 45 e-mails (et quelques autres que je ne retiendrai pas ici) qui me sont poussés dans une de mes boîtes Voila.fr par la société Efficiency Network (connue aussi sous le nom d'Effi-Net) en qualité de routeur.

Les annonceurs sont nombreux et les publicités proviennent certainement de quelques plateformes d'affiliation, l'une d'entre elles étant TradeDoubler : NAF-NAF, ParuVendu.fr, Cofinoga, Yves Rocher, Sexy Avenue, FDJ, Kingoloto, etc. Rien que du classique en matière de « spam à la française ».

Il est d'ailleurs cocasse de compter dans cette liste Dayak, le nouveau projet des gérants de (feu) WellPack.

Je demande donc au routeur des explications envoyées par e-mail à trois personnes de la société Effi-Net le 16 avril, non sans leur rappeler dans mon message leur propre charte de qualité :

« Allo la CNIL ? »

Dans l'intervalle et après étude des spams, je trouve le nom du commanditaire, parfois présent dans dans l'objet (Espace Privé) ou le pied de page des e-mails (sous forme d'une image révélant un numéro CNIL et un nom : Espace Privilèges) :

J'appelle donc la CNIL le 17 avril, qui me dit que pour obtenir l'identité de la personne physique ou morale qui se cache derrière ce numéro, je dois leur adresser un courrier ou une télécopie en faisant valoir l'article 31 de la loi Informatique et libertés. Ce que je fais dans la foulée. A la date de publication de ce billet, je n'ai pas encore eu de réponse de la CNIL.

Pourquoi suis-je aussi sûr que cette adresse est sans opt-in partenaire ?

Une adresse sans opt-in

Je n'ai en effet jamais donné mon accord pour recevoir de la publicité à cette adresse comme l'exige la Loi du 21 juin 2004 pour la confiance dans l'économie numérique, qui établit le régime de consentement préalable.

Et pour cause : mon compte Voilà a été effacé avant 2005 (faute d'avoir relevé mon courrier régulièrement, adieu archives...) et n'a donc pu recevoir les demandes de mise en conformité avec loi que les propriétaires ou éditeurs de bases de données se devaient d'adresser aux internautes.

Aucun e-mail de prospection ne peut donc m'être envoyé sans contrevenir à la loi qui expose les contrevenants à des peines prévues aux articles 226-18-1 (jusqu'à 300 000 euros d'amende et 5 années d'emprisonnement) et 226-24 (peine d'amende multipliée par 5 pour les personnes morales) du code pénal.

L'adresse a été réactivée à ma demande courant 2011, après sa libération de la quarantaine par Orange (où elle était restée toutes ces années, à mon grand désespoir).

Pas de réponse non plus de l'annonceur

Je contacte aussi France Loisirs un peu au hasard parmi la liste des nombreuses marques ou enseignes annonceurs concernées par les spams poussés par Effi-Net. Et bien que mon message ait été reçu et lu, aucune réponse ne m'a été adressée à ce jour.

Sans réponse d'Efficiency Network, je décide d'écrire à une quatrième adresse e-mail elle-aussi renseignée sur leur site français. J'ai plus de chance cette fois, puisqu'on me répond rapidement.

J'obtiens deux éléments de réponse :

La mise en liste noire (sic) de mon adresse e-mail Voila.fr, ce que je n'avais pas demandé (et non pas la mise en liste noire du client fautif, allez comprendre). Faut-il en déduire qu'Effi-Net ne peut pas garantir que les e-mails qu'il pousse sont légitimes ?
Le nom de leur client : il s'agit de Cap Décision.

Effi-Net restera muet sur le fait qu'ils m'ont poussé en 10 jours, 45 e-mails pour le compte de cette société sur une seule et unique adresse personnelle sans opt-in partenaire, contrevenant à la fameuse charte affichée sur leur site. Aucune explication ni excuses ne me seront adressées.

Cap Décision, éditeur de la liste Espace Privilèges

Une recherche sur Google me donne l'identité du représentant légal de la société Capdécision, qui serait dirigée par M. Alexandre METZLER selon Societe.com. Domiciliée au 1 bis Boulevard Cotte à Enghien-les-Bains, elle est donc bien soumise au droit français.

Je décide donc d'écrire à l'adresse indiquée dans les données publiques du domaine CapDecision.fr, via un whois (admin@capdecision.fr), car aucun e-mail (ni même de mentions légales, pourtant obligatoires) n'est indiqué sur le site.

E-mail qui reste à ce jour sans réponse (il partira en fin de compte à une autre adresse, mon plug-in Virtual Identity pour Thunderbird ayant identifié que cette personne avait pour adresse commercial@capdecision.fr - cet expéditeur ne m'était donc pas totalement inconnu : un récidiviste en quelque sorte).

Infogreffe me donne aussi quelques précisions, notamment sur le fait qu'aucun chiffre n'a été publié depuis 2010 ni aucun acte enregistré depuis 2007-2008. Cependant, il est possible d'obtenir les éléments financiers suivants :

Cap Décision explique sur son site avoir en sa position une base en opt-in partenaires de 1 600 000 adresses e-mail, ce qui est considérable pour un acteur de cette taille, d'autant plus que cette base serait qualifiée. Enfin, le CPM débuterait à 190 €. Le site de la société est hébergé par OVH et elle n'est pas totalement inconnue pour les clients de l'hébergeur français, si l'on se réfère aux plaintes déposées sur leur forum. D'autres internautes ont d'ailleurs déjà dénnoncé les méthodes de Cap Décision.

Cependant, Cap Décision est-il derrière le programme Espace Privilèges ? Ce dernier n'est-il pas client à son tour de Cap Décision qui lui a eu recours aux services d'Efficiency Network ? Ou bien Cap Décision pousse-t-il lui-même de la publicité via des programmes d'affiliation sur la base qu'il est censé louer aux annonceurs ?

Personne pour répondre aux e-mails ou au téléphone

Difficile à dire sans réponse de la part de l'intéressé.

Après en avoir attendu une par e-mail, je me décide le 19 avril à appeler directement la société au 01 39 34 95 05 où plus personne ne semble présent un vendredi après-midi, toutes les lignes ayant été renvoyées sur la pauvre standardise qui ne peut me renseigner (ce qu'avait déjà constaté l'auteur du blog sedlex.fr).

Je lui demande non sans malice comment ferait un client s'il venait à appeler la société ? On me dit qu'il lui faudra laisser un message.

J'obtiens cependant une nouvelle adresse e-mail qui serait consultée par M. METZLER, le seul habilité à gérer ces questions selon mon interlocutrice.

Un second e-mail est donc envoyé le 20 avril à cette personne ainsi qu'à d'autres adresses trouvées sur les différentes fiches renseignées par l'entreprise, toujours dans l'espoir de faire valoir mes droits : obtenir la source ou la méthode de captation et l'ensemble de mes données personnelles ici collectées à des fins commerciales, comme la loi m'en donne le droit (et théoriquement les y oblige).

Je n'oublie pas de mettre Effi-Net en copie afin qu'ils puissent en informer leur client, si celui-ci ne recevait toujours pas mes e-mails. Un message sera même poussé sur le compte Facebook personnel du gérant de Cap Décision, mais là encore sans plus de résultat.

Au final, personne ne semble responsable de rien : l'annonceur France Loisirs n'a pas envoyé cet e-mailing dont il profite pourtant via un programme d'affiliation auquel il a lui-même souscrit, Efficiency Network n'a fait « que » le router sur la bonne foi de son client Cap Décision qui, lui, ne souhaite pas s'expliquer ni par téléphone, ni par e-mail. Il ne me reste plus qu'une solution : la plainte auprès de la CNIL, qui équivaut souvent à envoyer un message à /dev/null et espérer une réponse...

Voici la liste de tous les annonceurs concernés par ces spams (je tiens à leur disposition la source des messages en question) :

AFPA (formation en alternance)
After Plastie nutrition
Aujourdhui.com
AutoMotoCompare.fr
Belambra
BMW Event
Café Coton
Camping Numéro 1
Cetelem
Cofinoga
Comptoir du bagage
Cyrillus
Dayak Assurances
Devis Régions Alarme
Française des Jeux
FinaPrêts
France Loisirs
François Saget
Kingoloto
Lemeilleurexpert.com
LeMondeDuBagage.com
Lucky Surf Camping car
Mutuelle Bleue
Mutuelle.fr
NAF NAF
Op-encre (op-encre.fr)
ParuVendu.fr
Private Sport Shop
PSA Banque
Royal Slim
SexyAvenue
Slimturbovital.org
So-Mutuelle
Textiles de Granges sur Vologne
Toutes-les-mutuelles.org
Toys'R'Us
Ventealapropriete.com
VeryChic
Westwing
Willemse (willemsefrance.fr)
Yves Rocher

Mise à jour au 24/04 : J'ai obtenu une réponse de France Loisirs, ce qui est positif, m'indiquant que des « recherches sont nécessaires pour répondre à [ma] demande » et que l'on me recontactera « dans les meilleurs délais ».

Mise à jour au 26/04 : La CNIL m'a adressé l'identité derrière le numéro renseigné dans les e-mailings. Contrairement à ce à quoi je m'attendais, il s'agit d'un numéro déposé par Efficiency Network et non pas du réel propriétaire ou locataire de la base de données (à savoir Cap Décision). De plus, France Loisirs continue à enquêter sur l'origine du spam et m'a demandé la source de l'e-mail qui les concerne.

Les travers de l'opt-in partenaire

Guillaume Vialet — Thu, 29 Nov 2012 20:28:00 +0100

L'opt-in partenaire est un mécanisme accordé au secteur du marketing direct dans le cadre de la LCEN permettant aux éditeurs de sites de revendre les données de leurs membres avec leur autorisation. Malheureusement, le manque total d'encadrement du mécanisme donne lieu à des pratiques totalement contraires à l'esprit de la loi et in fine à « légaliser » le spam.

Ce billet fait écho au reportage « Toute ma vie sur Internet » de Nicolas Combalbert diffusé dans Envoyé Spécial sur France 2 le 29 novembre dernier, reportage auquel j'ai très modestement participé et permet d'approfondir les propos que j'y tiens.

Lorsque le législateur français, dans le cadre de l'application des directives européennes, a mis en place la LCEN, il a notamment renforcé les droits des internautes en matière de protection de leurs données personnelles en exigeant des éditeurs de sites ou services d'obtenir le consentement explicite du membre avant de commercialiser ses données (opt-in actif), et la capacité de mettre fin à tout moment à cette commercialisation (opt-out).

En clair, il faut cocher une case ad hoc pour recevoir autre chose que la communication directe (newsletter, annonce, message de service, etc.) d'un site sur lequel vous auriez laissé votre adresse e-mail et d'autres données personnelles socio-démographiques. C'est le fameux opt-in partenaire. Nous ne parlons donc pas des sociétés qui commercialisent vos données sans même votre accord, comme ce fut le cas avec Smartdate.

La théorie voudrait que les offres poussées vers l'internaute correspondent à ses attentes et ses centres d'intérêt et que la fréquence des envois soit modérée. Certains professionnels recommandent même de pousser à l'internaute une demande d'adhésion lors d'un premier envoi (on peut parler de « double opt-in ») plutôt que de lui réserver la surprise d'un abonnement d'office.

Vous serez amenés à cocher cette case à plusieurs occasions : lors de la création d'un compte client d'un site Web, l'abonnement à une newsletter ou bien lors de la participation à des jeux en ligne (tirage au sort, concours, etc.).

Ce faisant, vos données personnelles auront un destin qui variera en fonction de l'acteur auquel vous aurez affaire et de ses prestataires à qui il les confiera.

Il y a d'abord la société qui va lier les offres partenaires aux siennes : le mot partenaire prend alors tout son sens. Il peut s'agir par exemple de services ou produits qui étendent les capacités et la satisfaction client suite à une première transaction. Dans ce cadre, les données personnelles sont souvent gérées directement par le site à qui vous avez donné cette autorisation.

C'est malheureusement un cas de figure rare et pourtant le seul qui réponde à l'esprit de la loi.

Ensuite, une même société peut décider de commercialisation vos données personnelles afin d'y pousser de la publicité. Cette pratique est essentiellement là apporter de nouveaux revenus publicitaires à ceux déjà existant. La commercialisation se fait en interne et les données ne sont pas communiquées à des tiers, si ce n'est à un routeur (société chargée d'envoyer les d'e-mails en question).

La valeur ajoutée de ces publicités pour l'internaute est généralement nulle. Elles sont très rarement ciblées et peuvent relayer des offres proches de la vente pyramidale, comme nous l'avons vu dans ce billet. Les publicités sont souvent issues de régies et sont donc par définition extrêmement génériques et répétitives, même avec des programmes prétendument ciblés comme ceux d'Email Attitude ou d'autres racoleuses comme cet exemple poussé via Slip Software :

Mais au moins, votre adresse e-mail ne quitte pas le giron de la société qui l'a collectée. Cependant, la grande majorité des autorisations de commercialisation de vos données personnelle se fait à travers un réseau plus ou moins dense et opaque de prestataires.

Vos données personnelles vont alors voyager. Beaucoup voyager. Elles quitteront les bases de la société à qui vous avez donné l'autorisation de les diffuser auprès de « partenaires » pour alimenter un nombre virtuellement illimité de bases de données pendant de nombreux mois, pour ne pas parler d'années.

Jeu de piste pour données personnelles

S'engage alors une sorte de course à la diffusion de vos données dans laquelle vous serez la plupart du temps perdant. Si le site sur lequel vous avez laissé vos données personnelles en opt-in partenaire existe encore (ce qui exclu donc tous les sites événementiels et ceux qui auront fermé boutique entre temps), vous aurez peut-être la chance de tarir la source avant qu'elle ne devienne incontrôlable et que vous receviez des messages avec comme signature improbable :

Vous recevez ce message parce que vous etes inscrit sur le site de mktg-uranus.fr

Dans le cas contraire, vous n'aurez jamais en face de vous la société qui a récolté vos données personnelles. Les liens de « désinscription » des e-mails qui vous seront poussés ne concernent que les sociétés de routage, qui elles-mêmes font souvent barrage entre eux et leur client ou le fournisseur de leur client.

En face de vous, des Emailvision, des Arthur Media Group, des Canal Mail, des Slip Emailing, des Efficiency Network mais jamais les commanditaires.

Les mentions légales présentes dans ces e-mailings sont très peu explicites lorsqu'elles ne se contentent pas de vaguement citer la loi informatique et libertés de 1978 et de proposer un lien de désinscription. Jamais la raison sociale du client (bien souvent lui-même prestataire e-marketing), l'origine ou la date de la captation de vos données personnelles pourtant protégées, ne sont mentionnées.

Les sociétés multiplient les noms de programmes fantaisistes en reprenant des termes à la mode (comme les ventes ou clubs privés), font usage d'une profusion de noms de domaine, omettent de mettre en place un reply fonctionnel dans leurs e-mails, renvoient vers des pages de désinscription sans aucunes mentions légales (ni même parfois sur les sites censés présenter ces « programmes »), associent souvent les noms de domaine ou les sites à des filiales à l'étranger (quand les sociétés n'ont tout simplement pas d'existence en France), etc.

Il est donc très souvent difficile, pour ne pas dire impossible de connaître l'identité de la société qui détient vos données et parfois même celle du routeur, comme dans cet exemple détaillé.

Lorsque vous soumettez votre demande par e-mail au routeur, bien souvent vous obtiendrez ce genre de réponse type :

Nous avons bien pris en compte votre demande et nous avons effacé votre adresse email des bases de nos clients.

La seule chose que vous pourrez obtenir, c'est votre « désinscription » assortie parfois d'une « mise en liste noire » de votre e-mail chez ce routeur. Cette mesure n'est bien sûr aucunement satisfaisante et vos données continuerons de circuler librement puisqu'on vous dit que « vous avez laissé votre opt-in quelque part ».

Un schéma basé sur des cas réels, dans la plus totale légalité, illustre bien la complexité et la profonde ambivalence du système :

L'adresse e-mail collectée sur un site de jeu concours du groupe Prisma Media (j'aurais pu prendre pour exemple Le Figaro, un opérateur mobile tant les exemples sont nombreux) l'a été grâce au programme Mailorama (dont je détaille le fonctionnement dans ce billet). L'adresse n'a donc en soi que peu de valeur. Le jeu concours incite l'internaute a laisser ses coordonnées complètes ainsi que de cocher la fameuse case opt-in à travers la promesse de chances de gains supplémentaires.

Une fois l'adresse captée, elle ne va pas être utilisée par Prisma Media mais confiée à un ou plusieurs brokers dont le métier est de commercialiser ces bases de données. Leur nombre est à ce stade totalement inconnu de l'internaute et le restera. Dans cet exemple, l'adresse collectée en mars 2012 était toujours louée à de nouveaux clients en novembre de la même année.

Plusieurs sociétés rachètent alors les données personnelles au(x) broker(s) et vont à leur tour les commercialiser et vous abonner à leurs newsletters qui ne sont constituées à 99% que de publicité.

A qui profite le crime ?

Certainement pas à l'internaute qui, à juste titre, considérera ces envois comme du courrier indésirable et ne fera pas le lien entre une inscription faite 8 mois plus tôt et l'abonnement à un nouveau programme de bons plans constitué en réalité de messages publicitaires.

Pas non plus à l'annonceur, dont la marque ou le produit sera assimilé à du spam. L'internaute - si jamais son filtre laisse passer un tel message - aura très vite fait de le bloquer et les messages suivants finiront dans le dossier « junk » de son client e-mail préféré. Le côté répétitif de certains messages ou annonceurs (comme Yves Rocher ou Spartoo) ont un effet contre-productif sur le prospect dont on attend au final de l'empathie vis-à-vis de la marque, un clic et un achat.

Il faut se tourner vers les acteurs intermédiaires entre l'internaute et le client final (qui n'a souvent pas conscience de passer par ces circuits) afin d'identifier à qui profite réellement ce système.

Il y a d'abord le « propriétaire » de la base (ici Prisma Media ou un prestataire en marque blanche) qui la loue à des tarifs très variables (environ 15 € du CPM). Ensuite les nombreuses sociétés intermédiaires qui vont agréger les données et les louer à d'autres sociétés spécialisées dans le marketing, toujours au CPM et parfois au CPA ou au CPL.

Entre les deux, des régies publicitaires souvent basées sur le principe de l'affiliation ou de la marque blanche, qui fournissent en publicités ces sociétés qui commercialisent « leurs » bases de données plus ou moins qualifiées.

Enfin, la société qui s'occupera de router les e-mails touche quelques centimes d'euros par adresse. Tous les routeurs ont bien sûr une politique anti-spam très ferme, mais à part Mailjet, je n'ai jamais eu aucun retour suite à une plainte remontée à leurs services. On vous explique même parfois « qu'on est solidaire de nos clients » :

Certaines de ces sociétés affichent un chiffre d'affaires de plusieurs millions d'euros, toutes activités confondues.

Pour une évolution des pratiques et de la législation

La profession se repose pour l'essentiel sur des chartes de bonnes conduites qui n'engagent bien sûr que ceux qui prennent la peine de les lire. Autrement dit, moins il y a de régulation, mieux le secteur se porte. L'arrivée de la LCEN en 2004 (transposition d'une directive européenne) avait notamment fait grincer des dents la profession qui avait alors parlé de véritable « tsunami ».

Une nouvelle fois, le législateur européen n'a pas attendu l'auto-régulation promise, et une nouvelle loi est en cours d'élaboration. Celle-ci est déjà décriée par le SNCD, notamment en ce qui concerne « l'introduction de l'obligation de fournir aux personnes des informations relatives à l’origine de leurs données ». Un comble donc, quand on voit l'urgence de la mise en place de cette mesure (qui n'est pas attendue avant 2016 au plus tôt).

Pourtant, il est nécessaire de respecter certains principes afin de garantir les droits de l'internaute et permettre la transparence en matière d'utilisation de ses données personnelles, notamment :

En établissant une durée de conservation et de (re)vente clairement établie.
En limitant le nombre de reventes des données personnelles (et en interdisant la vente aux brokers).
En indiquant clairement l'identité et les coordonnées du premier dépositaire des données, du client et du routeur.
En offrant la possibilité à l'internaute de se désinscrire à la fois de la base du client mais aussi de la source, avec l'obligation pour cette dernière de maintenir ce droit même après la disparition de l'évènement responsable de la collecte.
En limitant l'envoi de l'offre partenaire à un seul et unique e-mail de prospection (plus d'abonnement d'office à des « newsletters »).

D'un point de vue pratique, l'e-mailing devrait toujours mentionner le nom du cédant, et l'e-mail devrait être envoyé en son nom, sous une forme explicite : « untel vous recommande les services ou le produit de ... ».

La revente à des fins purement publicitaires (router les messages d'une régie) devrait être interdite et la communication du partenaire (et pas des partenaires) devrait être directe. Or, elle prend un forme complexe : cédant -> acquéreur(s) -> régie(s) -> annonceur(s). Ce dernier, en bout de chaîne, n'a souvent aucun contrôle de l'origine ni de la qualité de l'adresse e-mail collectée.

Il ne devrait pas être possible pour une société d'abonner une adresse à plusieurs programmes ou newsletters. L'envoi pour une société (qu'il s'agisse d'un groupe ou d'une simple entreprise) devrait donc être unique. Il ne devrait donc pas être possible de relayer des messages à caractère publicitaire sous plusieurs bannières, sous prétextes que ces sociétés ou entités commerciales appartiennent à un groupe qui a fait l'acquisition de ces adresses pour le compte de ses filiales.

La désinscription (ou opt-out) doit pouvoir se faire automatiquement et sans plus de recherche de la part de l'internaute, à partir de l'e-mail :

auprès de la base cédante,
auprès de la base qui a acquis l'adresse.

Avec à chaque fois la possibilité de refuser tout autre futur démarchage auprès de ces sociétés qui doivent donc maintenir des listes rouges. Au final, ces mesures rétabliraient la confiance entre l'internaute et l'annonceur et réduiraient fortement ce « spam légal ».

Le législateur devrait enfin prévoir un mécanisme de sanction simplifié, sous la forme d'amendes lorsqu'une infraction est constatée, la CNIL qui est bien seule dans son rôle de gendarme du Web (et qui a audité une des sociétés citées dans ce billet) n'a tout simplement pas les moyens de sa mission.

L'encadrement strict ou à défaut l'abrogation de l'opt-in partenaires permettrait d'assainir ce marché, tout comme la LCEN a pu le faire il y a quelques années et améliorer sensiblement la crédibilité de l'e-mail marketing, la délivrabilité et le taux d'ouverture.

Le retour de l'opt-in partenaires

Guillaume Vialet — Wed, 20 Jun 2012 11:04:00 +0200

Il y a quelques jours, je vous faisais part de mon agacement face à la revente (« légale » mais mal encadrée et selon moi abusive) d'adresses e-mail via l'opt-in partenaires. J'y découvrais la société Arthur Media Group, qui vient de nouveau de m'envoyer du courriel publicitaire.

J'évoquais notamment le fait que les identités, les noms commerciaux ou les noms de domaine sont généralement multipliés et génèrent pour l'internaute qui reçoit ces publicités, une grande confusion à la fois sur l'origine et la nature de ces envois et au final le sentiment (à tord) d'avoir été « spammé ».

Un nom commercial différent...

Le nouvel e-mail reçu ne contient toujours aucune mention légale ni identité de l'expéditeur, si ce n'est qu'il indique dans les liens ou le code source les noms de domaine utilisés (applicationdujour-news.com et adj-news.com) et bien sûr le nom commercial « Application du Jour », un service (que je ne connais pas et auquel je ne me suis pas abonné) qui vous propose de découvrir une sélection d'applications mobiles et qui aurait réalisé en 2010 un chiffre d'affaires de 1,5 millions d'euros.

Il n'est plus du tout fait référence au programme Distraction & Cie, animé par la société Arthur Media Group. Pourtant, le whois des deux noms de domaine me donne rigoureusement le même résultat qu'avec sport-mail.fr, erreur typographique dans le patronyme et mauvais numéro de téléphone compris.

Ce courriel publicitaire - reçu bien qu'ayant maintes fois manifesté mon désir de ne plus recevoir de sollicitations d'autres programmes de cette holding - m'invite à « découvrez (une) sélection d'app mobiles gratuites ». Le site Application du jour doit peut-être être un client d'Arthur Media Group ? Tous comme le sont Hyperassure.com, Jeux.com, Libération, BNP Paribas et d'autres annonceurs plus obscurs.

...mais toujours le même expéditeur

Cependant, en creusant du côté de Welcome Media, l'éditeur de ce site, nous trouvons une nouvelle fois le 11 rue Farcot à Saint-Ouen et les mêmes dirigeants.

A aucun moment la société qui a collecté mon adresse e-mail (en réalité ici rachetée) n'indique clairement ou même indirectement son identité. Seul un lien de « désinscription » (il y a donc un processus de désinscription par programme et non un seul et unique pour tout le groupe) est présent dans l'e-mail.

Les CGU du site Application du jour peuvent paraître en totale contradiction avec l'utilisation qui est faite de mes données personnelles, puisqu'elles interdisent la communications d'informations personnelles à des tiers. Mais ne leur ayant jamais communiqué de données et n'étant donc pas « membre » de ce site (qui plus est propriété d'Arthur Media Group), elles ne peuvent s'appliquer à l'adresse e-mail rachetée par la holding du groupe et qui semble aujourd'hui descendre toutes les sociétés qui en font partie. Il s'agit là d'une nouvelle contradiction de la loi censée protéger l'internaute mais permet pourtant de tels « abus ».

Cette fois, l'e-mailing a été routé par la société française Splio.

On se rend donc compte de la relative difficulté à sortir de la boucle de l'opt-in partenaires dans certaines situations comme celle-ci et de la trop grande liberté que la LCEN offre à la prospection publicitaire dans le cadre de ce fameux consentement de l'internaute (consentement parfois obtenu après incentive).

Je pense que je n'ai pas fini de découvrir l'ampleur des sites et de sociétés de ce groupe.

MAJ au 24/06 : il n'aura fallu attendre que quelques jours pour recevoir un nouveau courriel publicitaire de ce groupe, cette fois pour la société my-art.com, qui semble aussi propriété d'Arthur Media Group car domiciliée à la même adresse qu'Application du Jour ou Distraction & Cie.

Un article sur my-art est disponible sur FrenchWeb.fr. Notez que l'e-mailing est là encore poussé par Splio.

MAJ au 22/08 : après avoir été amicalement contacté par l'un des fondateurs qui m'a rassuré sur la méthode de collecte de mon adresse e-mail, j'ai retiré puis amendé et re-publié mes deux billets afin de faire disparaitre les noms des dirigeants et les qualificatifs de spam qui me semblent exagérés. Enfin, j'ai reçu une nouvelle vague d'e-mails publicitaires de Welcome Media sous la forme d'une newsletter pour NRJ.

A ce jour, j'ai reçu une quarantaine d'e-mails du groupe, ne m'étant désabonné que du programme D et C, en majorité au profit de NRJ (17 e-mails), my-art.com (8 e-mails) et Application du Jour (7 e-mails).

MAJ au 31/08 : bien que désinscrit de la « base » Distraction & Cie, je reçois de nouveaux leurs messages depuis quelques jours. Enfin, le site www.distraction-et-cie.com qui était le seul à donner quelques informations sur ce programme, a été fermé depuis.

Mettre un nom derrière l'envoi de courriel en opt-in partenaires

Guillaume Vialet — Sat, 16 Jun 2012 11:45:00 +0200

Mais qui est Distraction & Cie (D et C), cette société de e-marketing direct spécialisée dans l'e-mailing qui a récupéré mon adresse e-mail sans doute via la viralité de l'opt-in partenaire d'un jeu concours ? Enquête.

Un whois du nom de domaine utilisé dans leur dernier courriel (sport-mail.fr) me donne comme nom de société Arthur Media Group. Le numéro de téléphone indiqué dans le whois est une suite binaire : +33.101010101.

Le nom de domaine est enregistré chez Gandi et la société indique être domiciliée au 11, rue Farcot à Saint-Ouen. Google Street View nous restitue cette photo de leurs locaux présumés.

Arthur Media Group a bien entendu sa page Facebook (et 46 likes), ses associés sur Viadeo ou LinkedIn, et sa fiche sur Societe.com qui nous indique les noms de deux gérants (dont l'un est co-fondateur de lentilles-moins-cheres.com, membre du groupe Sensee créé par Marc Simoncini).

On retrouve d'ailleurs les deux entrepreneurs chez AdVideum au concept très proche de celui développé par Beezik et diffusé en B2B par BeeAd.

Un des gérants est aussi en charge de la société P COMME PERFORMANCE, domiciliée à Saint-Ouen au 11 rue Farcot. Le site Societe.com nous dit que c'est une « régie publicitaire de médias ». On y retrouve d'ailleurs les mêmes personnes dans la liste des associés. Même scénario pour The Optin Machine.

C'est une des caractéristiques de ce milieu parfois un peu « borderline » dont certaines, moins scrupuleuses, multiplient les noms de domaine et sous-domaines, ajoutent des noms de programmes ou commerciaux, limitent ou compliquent l'accès à l'identité du diffuseur, le tout permettant sans doute de brouiller les pistes et éviter poursuites, coupures, black-listage.

Vous trouverez donc dans les e-mails reçus des D et C - Horoscope (horoscope-info.fr), D et C - Cinéma (cinema-mail.fr) en plus du D et C - Sport (sport-mail.fr) avec pour chacun un processus de désabonnement par lequel il vous faudra passer (vous recevez de la publicité au nom et par le biais de ces bases, sans bien sûr n'avoir jamais été inscrit nulle part, « résultat » de l'opt-in partenaires concédé plusieurs semaines ou mois à un site inconnu à ce stade de l'investigation).

Le processus de « désabonnement » fait lui référence au nom de domaine distraction-service.com, ce qui doit être le programme à multiples thématiques auquel vous avez été associés.

Et tous ces noms sont en parking chez Gandi. Donc pas de mentions légales, de coordonnées, etc. afin de faire valoir vos droits malgré le laconique message CNIL présent dans chaque e-mail reçu. Les e-mails de D et C font tous état d'une déclaration simplifiée faite auprès de la CNIL (je cite : « norme simplifiée du vingt six avril deux mille sept »).

Cette modification de la loi du 6 janvier 1978, détaillée sur cette page, concerne malheureusement aussi la location de fichiers, comme le fait ici Arthur Media Group qui est alors dispensé d'une véritable - et plus contraignante - déclaration.

Revenons à la page Facebook d'Arthur Media Group (qui serait en réalité la holding de ces différentes structures) sur laquelle on peut lire cet unique commentaire :

Comme ce monsieur, j'ai moi aussi cliqué sur tous les liens de « désabonnement » (sic) sans plus de succès (malgré la promesse d'une désinscription en 72 heures), après avoir reçu 6 e-mails commerciaux en l'espace d'une dizaine de jours.

Heureusement pour moi, l'adresse e-mail revendue aux clients de cette société (ou d'une régie, d'un programme d'affiliation, etc.) est une adresse poubelle, qui me sert notamment à tester la fiabilité des programmes marketing et parfois à remonter l'information aux clients de ces derniers. Le dernier en date a été envoyé pour BNP Paribas poussé via D et C - Sport, sans qu'il y ait le moindre rapport avec cette thématique.

L'e-mailing en question est routé par la société eCircle GmbH.

Mise à jour à 15h : en « googlant » par curiosité Distraction & Cie, je suis enfin tombé sur deux pages (sommaires) distraction-et-cie.com qui affichent adresse postale, coordonnées (dont téléphoniques, les bonnes cette fois) et listent trois des publications auxquelles j'ai été associé : horoscope, voyance et cinéma (notez l'absence de la thématique sportive), sans doute après revente de mon adresse e-mail via le fameux opt-in partenaire. Méthode marketing tout à fait légale mais qui brille malheureusement par son absence de traçabilité.

Le site Cinéma & Cie semble être une coquille vide ne proposant que l'inscription à la « newsletter des sorties cinéma » et de nombreux liens sponsorisés aux visiteurs.

Smartdate, ce n'est pas tout à fait fini

Guillaume Vialet — Tue, 17 Jan 2012 17:01:00 +0100

Smartdate a fermé son site il y a quelques jours, mettant fin à deux ans de développement, 5,5 millions d'euros investis et plusieurs semaines de polémique après la démission de membres du conseil d'administration et le départ des salariés.

L'histoire n'est pour autant pas totalement finie, puisque Smartdate faite encore parler de lui de la même manière qu'il m'avait amené à m'intéresser de plus près à cette société : c'est-à-dire en envoyant du courrier indésirable à ses dorénavant anciens abonnés (le site étant je le rappelle fermé, les comptes Twitter et Facebook supprimés : plus de possibilité de changer ses préférences utilisateurs, de lire les C.G.U., d'entrer en contact avec les responsables, etc.).

Mais revenons plus d'un an en arrière.

Inscription et départ de Smartdate

Inscrit sur Smartdate à la fin de l'année 2010, avec d'autres sites de rencontre afin de les évaluer et de souscrire à un abonnement sur le site qui aura répondu à mes attentes, je quitte le service début 2011 après avoir demandé et obtenu la suppression de mon compte personnel.

Celui-ci ne sera d'ailleurs jamais totalement détruit, puisque d'une part je recevrais plus tard des sollicitations commerciales de la part de Smartdate mais je constaterais aussi qu'en tentant de me ré-identifier sur le site, le message suivant s’affiche à l'écran :

Le compte est donc mis « en sommeil » et toujours présent dans la base de données en ligne puisqu'il reconnait mon identifiant (notez que la législation française impose la conservation des données utilisateurs afin de les présenter à toute commission rogatoire, mais qu'il n'est nullement obligatoire de les laisser en ligne).

Définition du spam et législation française

Avant d'aller plus loin, il faut tout d'abord définir ce qu'est un spam selon la loi française. En matière de législation du spam, il faut se référer à trois textes :

la fameuse loi n° 78 -17 du 6 janvier 1978 « informatique, fichiers et libertés » qui est applicable pour la collecte frauduleuse d’adresses électroniques ;
la directive européenne n°2002/58 du 12 juillet 2002 relative à la vie privée et aux communications électroniques ;
et la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), transposition de la directive européenne « vie privée et communications électroniques ».

Que disent ces textes ? Qu'une adresse e-mail est considérée comme une donnée personnelle et donc protégée, que la collecte des adresses doit être faite dans le respect des règles d'usage et déclarées à la CNIL, que la durée de conservation des données doit être limitée dans le temps (et déterminée) et enfin que « le consentement préalable des internautes est obligatoire avant de pouvoir leurs envoyer des courriers électroniques promotionnels » (source caspam.org).

C'est le fameux opt-in plus spécifiquement appelé opt-in partenaires dans le jargon du e-marketing.

De plus, « il est interdit d’émettre [du courrier] électronique, sans indiquer de coordonnées valables auxquelles le destinataire puisse transmettre une demande tendant à obtenir que ces communications cessent sans frais autre que ceux liés à la transmission de celle-ci. »

Le législateur a décidé que toute société ou individu qui ne respecterait pas l'une de ces règles s'exposerait à des peines de 5 ans d'emprisonnement et 300.000 € d'amende, ce qui est relativement dissuasif, sur le papier tout au moins.

Première série de courriers indésirables

Ayant totalement oublié Smartdate, je suis plutôt surpris de recevoir un e-mail le 26 juin 2011 envoyé de la part d'un certain Luc Prevot, conseiller de Smart Shopping m'expliquant alors que :

Lors de votre inscription sur le site Smartdate, vous avez souhaité bénéficier des offres partenaires. C'est à ce titre que nous avons l'honneur de vous informer que vous êtes à présent intégré à notre programme gratuit de bons plans shopping Smart Shopping. Vous recevrez régulièrement notre sélection des meilleures offres shopping du net ou encore notre newsletter thématique des ventes privées en cours.

Près de 6 mois se sont donc écoulés depuis ma désinscription du site et pourtant mes données personnelles sont toujours conservées et utilisées par Smartdate. Je reçois 9 autres e-mails suite à mon « abonnement d'office » à ce programme de bons plans, bien loin du cœur d'activité du site sur lequel j'étais inscrit : ventes privées, achat ou réparation de voitures, jeux concours, etc.

Particularité de ces envois, que l'on retrouvera ultérieurement : ils sont tous poussés sur l'adresse Facebook manifestement captée par l'application Smartdate lorsque j'ai eu le malheur de lier mes comptes Smartdate et Facebook pendant quelques minutes. Et je n'avais pas encore le réflex d'utiliser l'adresse e-mail proxy proposée par Facebook.

Le 15 juillet 2011, on souscrit pour moi à un autre programme de bons plans. Il s'agit cette fois du programme Effimail. L'e-mail sera envoyé avec comme objet Smartdate par Effimail. Cette fois, c'est l'adresse e-mail strictement réservée au site Smartdate qui est utilisée, et non plus mon adresse Facebook (unique elle aussi). Une certaine Sylvie Deschamps m'écrit donc :

Vous êtes inscrit(e) sur la base de notre partenaire Smartdate. Nous aurons dorénavant le plaisir de vous transmettre par email des offres valorisantes en affinité avec vos attentes. En intégrant notre programme Effimail, vous recevrez gratuitement les meilleures offres spécialement sélectionnées pour vous.

Suivront ensuite 9 autres e-mails toujours poussés par Smart Shopping via le nom de domaine smartypromos.com pour « les ventes privées du jour ». Le premier push commercial d'Effimail arrivera le 30 juillet 2011 pour l'annonceur Le Monde du Bagage (et un second le 23 août).

Le 7 août, alors que j'ai déjà écrit un billet sur ces envois intempestifs, prévenu Smartdate à travers son formulaire de contact et que son P-Dg est lui aussi informé et me menace déjà de poursuites judiciaires pour diffamation, je suis de nouveau abonné à un programme marketing, celui de FunnyMel. Cette société exploitera là encore mon adresse Facebook.

J'ai cherché sans succès à contacter Effimail et sa société mère dans l'intervalle. Malheureusement l'adresse e-mail contact@effimail.com trouvée sur leur site minimaliste - qui ne présente aucune des mentions légales pourtant obligatoires - n'existe pas et mon message envoyé via un formulaire de contact à l'éditeur du site restera lettre morte.

Mes recherches concernant le programme Smart Shopping me feront remonter jusqu'au site ShoppingActu et au service PerformAds.fr, deux sites gérés par M. Sylvain Eche. Je laisserais un commentaire sur le forum de ShoppingActu auquel l'administrateur du site répondra avant de supprimer purement et simplement le thread. Une copie d'écran est tout de même disponible ici.

La page des références de PerformAds sera même un temps agrémentée du témoignage du P-Dg de Smartdate (ce dernier m'ayant dit ne pas avoir été informé de cette utilisation).

Après plusieurs échanges avec le P-Dg de Smartdate, j'obtiens finalement des informations sur ces ventes. Les voici :

Smartdate n'aurait contracté qu'avec Shopping Actu.
Il s'agirait d'un petit test ne concernant qu'une partie de la base de données.
Le test n'aurait duré que 10 jours.
Le chiffre d'affaires généré par ce test avoisinerait les 1000 €.

Enfin, l'opt-in partenaires existerait bien sur le site Smartdate (sans que l'on me précise où).

J'ai donc procédé à une nouvelle inscription afin de détecter à quel moment il était proposé à l'utilisateur de recevoir des offres commerciales de partenaires (l'acte doit être volontaire, c'est-à-dire que le membre doit lui-même cocher la case ; elle ne peut être pré-cochée).

Mais je n'ai trouvé aucune trace de cet opt-in. La série de captures d'écran que j'ai effectuées peut en attester :

Et de toute manière, bien qu'on en tienne alors aucun compte chez Smartdate, je ne suis plus membre de ce site depuis des mois.

Finalement le 11 août, après quelques échanges, le P-Dg de Smartdate conviendra avec moi des pratiques douteuses de Smart Shopping (18 e-mails reçus entre le 26 juin et le 24 juillet pour « 10 jours » de tests sans parler d'Effimail ou FunnyMel) par cette phrase : « C dingue ce truc, ils appellent ça smart shopping en plus! ».

Je me « désabonne » alors de tous ces programmes marketing (Smart Shopping, Effimail et FunnyMel) à travers les liens ad hoc pensant avoir réglé le problème à la source.

Deuxième série d'envois

Plusieurs mois s'écoulent lorsque je reçois de nouveau un spam de FunnyMel le 15 novembre, mais cette fois à l'adresse Smartdate et non plus Facebook (j'espère que vous suivez !).

Je prends donc contact avec cette société afin de l'alerter de la situation et j'en profite pour prévenir le P-Dg de Smartdate, pensant que Smart Shopping avait dépassé une nouvelle fois le cadre de leurs anciens accords comme le sous-entendait Smartdate.

J'obtiendrai deux réponses.

La première de FunnyMel, par l'intermédiaire de M. Edouard Ducray, P-Dg de Dreamlead Interactive (l'éditeur du site) que je remercie de m'avoir répondu. Voici notamment ce qu'il m'écrira :

La liste de nos partenaires reprend uniquement les annonceurs au nom et pour le compte desquels nous relayons des offres commerciales par mail. C'est la raison pour laquelle nous avons pris la peine de vous envoyer cet email de bienvenue vous informant de notre partenariat avec la société Smartdate. Si vous avez contacté le fondateur de Smartdate, je ne doute pas que celui-ci vous aura effectivement confirmé le partenariat commercial qui lie nos deux sociétés.

La seconde du P-Dg de Smartedate, plus laconique et véritable petite « bombe » dans le Landerneau du Web français :

SD a été revendue.. Je n’y peux rien

A cette date, le site ne répond effectivement plus. Après quelques recherches sur le Net, je décide de publier un billet annonçant la fin de Smartdate.

Je cherche donc à trouver qui est responsable de cette nouvelle vente de mes données personnelles qui, encore une fois, se fait sans mon accord.

Mais les choses se compliquent lorsque j'apprends que la société n'a pas été vendue mais que ce sont des membres du conseil d'administration qui ont démissionné, selon leurs déclarations et la publication au Journal Officiel du 19/12/2011. De plus, le projet semble toujours porté (ou du moins supporté) par son ancien P-Dg selon Societe.com et son blog personnel.

Qui est donc responsable de ce nouvel envoi ?

Troisième série d'envois

Pensant une nouvelle fois ne plus entendre parler de Smartdate, ce service s'est rappelé à moi le 25 décembre dernier sous la forme d'un énième e-mail commercial poussé par... eDarling ! Ils s'agit alors d'une « offre exclusive réservée aux membres de Smartdate : 1 mois Premium offert sur eDarling.fr pour la souscription d'un abonnement de 6 mois ! »

L'envoi est fait sur l'adresse Facebook, comme cela avait été le cas pour le tout premier e-mailing commercial de Shopping Actu.

eDarling enverra deux autres e-mails qui seront suivis par un envoi de Fotochat (12/01/2012), un de Cupid.com (12/01/2012) puis de ParAffinite.com (17/01/2012), tous trois des sites de rencontres. La base Smartdate, qui à cette date a cessé de maintenir en ligne son site Internet, est donc de nouveau commercialement exploitée.

Des 4 sites de rencontre, seul Fotochat m'a répondu à ce jour (à travers M. Nicolas Grumbach que je remercie) m'indiquant qu'il a bien récupéré des données chez Smartdate, qui lui a répondu (en anglais) suite à ma plainte :

the email he sent you is not in the database... so he used another... and since we don't keep last names in the database its hard to find...

Je lui ai alors communiqué plus de détails et toutes les adresses en question, j'attends maintenant sa réponse.

Spam ou pas spam ?

Si nous faisons abstraction de la législation française et que nous nous contentons des conditions d'utilisation du site Smartdate, aucune trace n'est trouvée d'une hypothétique utilisation commerciale de nos données. C'est tout le contraire qui ~~est~~ était écrit :

Ainsi que :

Sans parler de l'absence avérée de l'opt-in, seule la case Newsletter (qui était décochée pour le compte en question) s'approche de très loin du concept d'abonnement à des offres commerciales de partenaires (voir les captures plus haut).

L'étude des conditions générales d'utilisation ne prévient pas non plus de l'usage commercial qui pourrait être fait de vos données sans votre accord. Elles sont consultables ici.

Le fait est qu'en qualité d'ancien membre de Smartdate, j'ai reçu 32 e-mails commerciaux non sollicités sur deux adresses différentes toutes connues de Smartdate en l'espace de 6 mois malgré mes efforts pour alerter l'éditeur du site et ses différents clients ou partenaires marketing. Sans parler de la CNIL, Signal Spam et d'autres organismes luttant contre le spam.

J'aimerais donc comprendre qui d'autre que Smartdate possède et vend leur base de données, que ce soit pour la période estivale, celle de novembre et enfin la toute dernière de décembre/janvier avec à chaque fois des interlocuteurs ou des messages qui se prévalent d'accords avec Smartdate.

Je tiens bien entendu toutes les sources des e-mails reçus, des échanges par e-mail et des captures d'écrans effectuées à qui voudra bien traiter cette affaire afin de tourner définitivement la page Smartdate.

Mise à jour au 30 janvier : j’ai obtenu quelques réponses à mes e-mails signalant l’utilisation frauduleuse de mes données personnelles. Pour mémoire, ces demandes ont été envoyées à Cupid.com, Fotochat, eDarling, ParAffinite.com et EmailVision, le routeur de certaines de ces campagnes commerciales.

Tout d’abord un message de Fabrice Le Parc via LinkedIn, que je reproduis ici :

« Hello! je n'ai plus rien à voir avec SD mais suis intrigué par ton dernier billet et vais investiguer. Quels sont tes emails toujours présents dans cette fameuse base qui circule? »

Ma réponse envoyée le 19 janvier dernier n'a pas encore eu de suite.

Ensuite, après Fotochat qui m’a dit avoir contracté avec Smartdate, sans pour autant me dire avec qui malgré ma demande de précision, c’est la Valérie Fer de eDarling qui m’a donné cette information et cite nommément le responsable, selon elle, de ces ventes. Elle me « confirme que [mon] adresse [leur] a été transmise par la société SmartDate. [eDarling a] signé un contrat avec Fabrice le Parc, PDG de Smartdate, [leur] garantissant que les adresses transmises ont bien été récupérées en opt-in partenaire. »

J’ai demandé à Mme Fer quand ce contrat avait été signé et le nombre d’adresses e-mails achetées, mais je n’ai eu depuis aucune réponse de sa part.

ParAffinite.com et Cupid.com ont pour leur part préféré me répondre en suivant une procédure standard sans prendre la peine de lire mon message, et n’ont pas encore réagi au complément d’information que je leur ai communiqué. Seul Cupid.com m’a demandé de transférer ma plainte à leur administrateur système après les avoir relancé sur Twitter. Envoi resté lui aussi sans réponse.

Mise à jour au 19 février : j'aurai finalement reçu un total de 6 spams de la part d'eDarling, dont trois après les avoir averti (et accusé réception de cet avertissement) que la base utilisée n'était pas légalement exploitable, preuves à l'appui. J'ai le sentiment qu'on se moque de la législation et des internautes chez certains « professionnels » de la rencontre...

Dans le même temps, on peut lire sur certains forums ou blogs que des prélèvements bancaires sont toujours effectués sur les comptes de certains (ex) abonnés Smartdate.

Ne tirez pas sur les artistes !

Guillaume Vialet — Sat, 03 Jul 2010 22:46:00 +0200

Revue de presse de l'industrie de la musique numérique.

Voici le retour de la revue de presse de l'industrie de la musique numérique.

La baisse de la valeur de la musique

Aujourd'hui, à quoi tient la valeur de la musique sur Internet ? Certainement aux fonctions sociales et aux petits plus offerts au consommateur, selon PaidContent UK.

Lire l'article sur Paidcontent.co.uk

Le contrôle du téléchargement illégal, c'est deux euros chez Orange

L'opérateur commercialise une option permettant à ses clients de bloquer les logiciels de P2P sur trois PC. La Hadopi n'aurait pas fait mieux. Il semblerait que le passage de Christine Albanel du gouvernement à Orange ait porté ses fruits...

Note : vous aurez remarqué que le projet a depuis été abandonné suite à de nombreuses critiques et révélations sur les failles de ce logiciel. Mais cette initiative est importante car c'est une première étape vers l'ouverture d'un marché plus ou moins officiel de la « sécurisation » de la connexion Internet à l'ère Hadopi.

Lire l'article sur 01.net

La carte musique jeune serait en panne

L'industrie du disque met la pression sur le gouvernement, qui tarde à annoncer le lancement de la carte musique jeune.

Lire l'article sur 01.net

La Cnil ouvre la voie au premier volet d'Hadopi

La Commission nationale de l'informatique et des libertés a délivré une autorisation à quatre société civiles : la SCPP, SPPF, SDRM et Sacem. Le relevé des infractions a commencé !

Lire la brève sur Musique Info

Méta-données de la musique : c'est le foutoir

Le business de la musique en ligne est un panier percé. Un gruyère avec bien plus de trous que de fromage. C'est tellement le foutoir qu'une part conséquente des revenus qu'il génère n'est même pas répartie, faute de pouvoir identifier les bons ayant droit en bout de chaîne. En cause : la pauvreté des méta-données.

Lire le billet sur ZDNet

Google Music, peut-être à l'automne ?

Selon des sources citées par CNET News, le nouveau service de musique en ligne de Google, Google Music, pourrait se lancer à l'automne prochain... Google, futur adversaire d'Apple dans l'entertainment ?

Lire la brève sur Musique Info

Télécharger tue (littéralement) les artistes

Une campagne de communication chinoise en vue de lutter contre le piratage au concept assez étrange, révélée par le blog TorrentFreak. En essayant de télécharger illégalement de la musique sur le faux site FreeMusicHK, vous n'arriverez qu'à mitrailler ou faire exploser vos artistes favoris Une idée qui buzz.

http://www.freemusichk.com/en/ (via TorrentFreak)

Les chiffres de la musique et du piratage en une seule image

Et pour finir, Deviantart nous offre en une seule image, comme ils en ont pris l'habitude, le portrait de la musique et du piratage.

http://curseofthemoon.deviantart.co...