Vialet.org - Mot-clé - emploi

La recherche d'emploi face au spam

Guillaume Vialet — Mon, 15 Aug 2022 19:25:00 +0100

En matière de collecte illicite de données personnelles, il existe une catégorie dont nous avons déjà parlé à plusieurs reprises sur ce blog : la recherche d'emploi. Rappelez-vous notamment du cas Qapa (aujourd'hui repris par la société Addeco). Malgré la mise en œuvre du RGPD, force est de constater que certaines entreprises prennent de sérieuses libertés avec nos données.

Le cas WebEngineering

Fin novembre 2021, et bien que n'ayant pas postulé en ligne sur le site www.webengineering.fr, j'ai commencé à recevoir régulièrement des e-mail intitulés Dernières offres d 'emploi - Ingénieur ASP .NET, à un rythme d'environ un e-mail par semaine. Les e-mails reçus (32 à ce jour, le dernier en date du 15/08/2022) portent tous sur cette même recherche d'ingénieur ASP .NET.

Pour votre recherche d'emploi pensez à WebEngineering : n°1 sur l'emploi ingénieur.

Dans ces e-mails, il est toujours indiqué que je reçois ces messages « dans le cadre de [ma] recherche d'emploi ». Il est aussi précisé ceci :

Conformément à la loi “règlement général sur la protection des données à caractère personnel” du 25 mai 2018 (sic), vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à contact@webengineering.fr

La page des mentions légales du site Web est hélas réduite au plus stricte minimum, voire non conforme au RGPD. Elle nous indique des informations contradictoires avec le pied de page de l'e-mailing concernant l'adresse de la société (Bordeaux pour l'e-mailing, Paris pour le site Web). Un numéro de déclaration CNIL est présent (cette démarche n'est plus obligatoire depuis la mise en œuvre du RGPD).

Vérification faite, la déclaration existe, en voici l'extrait qui est aussi consultable sur le site de la CNIL :

Organisme déclarant (raison sociale) : ROY Alexandre
38 RUE DE LUBECK 75116 PARIS
Date d'enregistrement : 30/05/2012
Finalité du fichier déclaré : NS48 - Fichiers clients-prospects
Catégories et destinataires des données : n/a
Numéro de déclaration : 1591032 - v0
Type de déclaration : Déclaration simplifiée

La société est française, donc soumise aux obligations relatives à la protection des données personnelles lors de leur traitement.

M. ROY se déclare CEO de la société WebEngineering, selon son profil LinkedIn. D'après le registre du commerce et des sociétés, WebEngineering est enregistrée à Bordeaux et non pas Paris. Peut-être le siège a-t-il été déplacé à Bordeau ? Les mentions légales du site ne sont donc probablement pas mises à jour.

Sur le descriptif LinkedIn de la société, on peut lire notamment que :

WebEngineering est le leader français pour l’emploi des ingénieurs : plus de 20 000 offres d’emploi ingénieurs, 300 000 CV d'ingénieur, 6 500 nouveaux CV / mois (plus grande communauté d'ingénieurs en recherche d'emploi en France), 80% des ingénieurs en recherche d'emploi en France utilisent WebEngineering, 1 000 recruteurs (industriels, sociétés de conseil en ingénierie, cabinets de recrutement...

Deux autres noms de domaine sont en support de ces traitements :

service-engineer.fr pour le tracking des clics dans les e-mails,
aplitrak.com pour celui des offres.

Pour la partie offre aux entreprises, il faut se tourner vers le site Strateos qui détaille les fonctionnalités, les tarifs proposées pour exploiter la CVthèque de WebEngineering. Le chiffre de 50 millions d'e-mails envoyés par an est évoqué, ainsi que des « profils » candidats. Étant référencé dans cette base d'envoi, suis-je aussi automatiquement fiché ?

Des données personnelles en provenance de l'Apec

Bien souvent, les données personnelles confiées à un site d'annonces d'emploi (un « job board »), aussi connu soit-il, nous exposent quasi inévitablement aux spammeurs. Souvent occasionnel, parfois systématique, comme dans cet exemple.

Fin 2021, j'ai réactivé mon profil sur le site de l'Apec et débuté la consultation d'offres d'emploi. Ce site fonctionne dans les deux sens : pour faire simple, des offres sont publiées sur l'Apec et les recruteurs consultent votre profil. Vous pouvez soit postuler sur le site de l'Apec, et fournir votre profil Apec ou votre propre CV, soit directement sur le site du recruteur ou via un agrégateur (donc un tiers entre vous et le recruteur, c'est là que les choses se gâtent généralement). Les recruteurs peuvent eux aussi vous contacter après consultation de votre profil Apec. C'est ce que font nombre d'ESN, par exemple.

Il y a donc dans le monde de la recherche d'emploi et de son modèle économique, pléthore d'acteurs, d'intermédiaires, qui parfois se rémunèrent qui au contrat (pourcentage ou honoraires), qui au profil fourni, qui au clic, qui à la publicité affichée...

Pour ma part, je ne connaissais pas WebEngineering, n'ayant jamais consulté le site avant d'être spammé et donc n'ayant jamais répondu à une offre d'emploi sur leur plateforme. D'ailleurs, je ne suis pas « ingénieur ASP .NET », je ne l'ai jamais été et je ne sais comment ce rapprochement a pu se faire, surtout sur le site leader en France pour l'emploi des ingénieurs. Et pour couronner le tout, les annoncent qui me sont proposées à travers cette alerte n'ont aucun lien avec le développement ASP !

Quant aux données personnelles, elles proviennent du site de l'Apec : je suis en effet spammé sur l'adresse e-mail laissée sur ce site et qui apparaît aussi sur les candidatures que j'ai pu soumettre via cette plateforme. Il est donc évident que mon adresse circule en dehors du site de l'Apec, qu'elle a été captée par plusieurs acteurs du marché et utilisée, notamment par WebEngineering.

Que dit le site de l'Apec à ce sujet ?

En publiant votre profil depuis votre compte Apec.fr, vous consentez à partager vos données à caractère personnel avec les recruteurs titulaires d'un compte sur apec.fr (entreprises qui recrutent, entreprises de travail temporaire et cabinets de recrutement ayant accès à la Candidapec (base de Profils, CV) qui peuvent consulter les données que vous aurez accepté de rendre visibles et vous contacter à des fins de mobilité professionnelle et de recrutement. Les recruteurs deviennent responsable des traitements de données contenues dans les Profils, CV, dès l'instant où ils procèdent à l'utilisation et à l'enregistrement de vos données dans leurs propres bases de données.

Et :

Toute utilisation des informations personnelles du candidat pour une finalité différente doit faire l'objet d'une nouvelle information préalablement à ce nouvel usage et d'un consentement spécifique.

En d'autres termes, le recruteur ou son mandataire (site tiers) ont eux aussi des obligations à remplir en matière d'information, formalités et protection des données personnelles des candidats. Toute utilisation de ces données autre que le traitement d'une candidature, comme par exemple, l'abonnement à alerte d'emploi, nécessiterait d'obtenir le consentement de la personne concernée.

Il n'est pas non plus légalement possible de se faire passer pour un recruteur sur un job board afin de récupérer des CV ou coordonnées de demandeurs d'emploi afin d'alimenter par la suite son propre service de recherche d'emploi.

Que dit le RGPD ?

Il s'agit d'un cas classique de traitement illicite de données personnelles, dont la captation s'est faite de manière malhonnête, comme le souligne le Règlement. La finalité du traitement (l'envoi d'alertes d'emploi) n'a pas de base légale sans consentement. Ne sont pas non plus précisées les données traitées ni la durée de conservation (je reçois ces spams depuis plus de 9 mois).

Les manquements de WebEngineering

Quelles sont les informations que la société WebEngineering auraient du me communiquer préalablement au traitement de mes données personnelles ? Là encore, reprenons les informations publiées sur le site de l'Apec :

La source d'où proviennent ces données
L'identité et les coordonnées du responsable de traitement
Le cas échéant, les coordonnées du délégué à la protection des données (DPD/DPO)
La finalité du traitement
La base légale du traitement
Les destinataires des données
Un éventuel transfert de données vers un pays tiers à l'Union européenne et le dispositif juridique appliqué à ce transfert
La durée de conservation des informations
L'existence et les conditions d'exercice des droits applicables tels que ceux d'accès, de rectification ou l'effacement des données, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données
La possibilité d'introduire une réclamation auprès de la CNIL
Le cas échéant, de l'existence d'une prise de décision automatisée, y compris un profilage (la presse parle d'IA et de Machine Learning concernant Strateos)

Spammé par le site d'emploi Qapa

Guillaume Vialet — Tue, 21 Jan 2014 11:44:00 +0100

Qapa est un site d'annonces d'offres d'emploi comme il en existe beaucoup sur le Web. Mais leur modèle économique semble par contre reposer sur la revente de données personnelles, même sans votre accord. Explications.

Lancé en juillet 2011, Qapa s'est positionné sur le marché encombré de la recherche d'emploi en proposant, je cite, un « algorithme de matching [qui] compare chaque jour des centaines de milliers d'offres d'emploi et de candidats afin de mettre en relation les bons profils avec les bonnes offres ».

Qapa annonce avoir recruté près d'un million et demi de candidats et levé 1,7 millions d'euros auprès de Partech Ventures, 360° Capital Partners ainsi que des business angels.

Le lecteur assidu notera que 360° Capital Partners avait aussi financé la tristement célèbre aventure Smartdate qui s'est soldée par le retrait des investisseurs, le départ précipité de son fondateur Fabrice Le Parc pour les États-Unis et le leaking de la base de données des membres qui n'en finit plus d'être revendue deux ans après les faits.

Revente de données personnelles...

A assez rapidement insatisfait du service rendu par Qapa, j'ai été très désagréablement sollicité par e-mail par Juritravail via Qapa me demandant si « j'étais prêt pour mon entretien d’embauche » fin avril 2013.

Plusieurs sollicitations suivront pour l'ESSEC Business School (deux spams), Willymail (un programme marketing sans intérêt) et « P&R Formation » pour le compte de Conso Client du groupe Rentabiliweb.

Vous recevez ce message car vous êtes référencé dans la base de données Qapa.

Mes nom et prénom et que sais-je d'autre ont ainsi été revendus à ces « partenaires » en plus de l'adresse e-mail confiée à Qapa.

...même après désinscription

Doublement déçu par Qapa, de part les services offerts et évidemment à cause des graves manquements en matière de traitement et de respect des préférences relatives aux données personnelles communiquées au moment de mon inscription, je me suis décidé à quitter le site.

Sous réserve de votre accord préalable, QAPA est susceptible de vous faire parvenir des offres promotionnelles et publicitaires de certains de ses partenaires. Si vous préférez ne pas recevoir de telles offres promotionnelles, et ne pas participer à nos programmes de personnalisation des publicités, vous pouvez l’indiquer lors de votre inscription, ou à tout moment, par courrier postal à l’adresse indiquée ci-dessus dans les Mentions Légales.

Las, les envois n'ont pas cessé pour autant. J'ai eu droit à de la publicité pour EFC Formations ainsi que pour... HugAvenues ! Un autre site de rencontres sur lequel j'ai d'ailleurs très envie d'écrire. Nous sommes très loin de l'univers de l'emploi.

Chez Qapa, on ne répond pas

J'ai bien entendu contacté via Twitter et Facebook l'équipe Qapa afin de leur signaler le problème mais je n'ai à ce jour jamais eu la moindre réponse de leur part.

La société de Stéphanie Delestre ferait donc la sourde oreille face mes plaintes que j'estime pourtant légitimes.

Je n'ai bien sûr jamais donné mon accord au fait que mes données soient commercialisées et utilisées afin d'y pousser des « offres promotionnelles » et quand bien même l'aurais-je fait, cela ne donne pas le droit à Qapa de les exploiter après ma désinscription du site.

A noter que les CGU du site ne sont pas directement lisibles en ligne mais téléchargeables au format PDF.

J'espère donc obtenir plus d'explications que Qapa m'a jusqu'ici refusées.

Mise à jour au 12/02/2014 : j'ai pu échanger par e-mail puis par téléphone avec l'équipe dirigeante de Qapa qui évoque un « mauvais concours de circonstance ». Nous aurions été très peu (sic) à être impactés par ce « bug » dans leur base de données qui nous aurait fait passer dans les fichiers loués à leurs partenaires. Dont act.

Par contre, je regrette de n'avoir pas eu de réponse quant à l'ampleur de ces locations, bien qu'elles se soient définitivement arrêtées après nos échanges téléphoniques. D'après les commentaires laissés depuis, ça ne semble pas être le cas de tout le monde...

Merci donc à Stéphanie Delestre ainsi qu'au fond d'investissement 360 Capital Partners pour leur réactivité et leur grande disponibilité !

Mise à jour au 12/06/2014 : faisant suite aux commentaires laissés sur ce billet, j'ai de nouveau contacté Qapa mais qui cette fois n'aura pas daigné me répondre. La question de la location illicite de vos données hébergées par Qapa reste donc entière.

Mise à jour au 02/09/2014 : je ferme les commentaires de ce billet et laisse le soin aux internautes de prendre contact avec Qapa afin que ses équipes puissent directement intervenir si vous aviez encore des difficultés à vous désabonner des e-mails partenaires.

Je considère ce litige personnel comme étant résolu. Je tiens à remercier Qapa et notamment sa fondatrice d'avoir toujours répondu à mes sollicitations, un cas relativement unique depuis que je consacre ces colonnes au spam.