Soyons honnêtes, nous ne pourrons jamais empêcher un individu ou une société de constituer ou revendre des bases de données illicites.

Par contre, nous pourrions empêcher qu'elles soient utilisées en responsabilisant les prestataires par lesquels sont obligés de passer ces acteurs parfois sans scrupules.

Ces prestataires sont les plateformes de routage d'e-mailings et les programmes d'affiliation, tous deux généralement disponibles en self-service.

Une remontée à la source toujours laborieuse et incertaine

A quelques mois de la mise en application de la nouvelle directive européenne, si les lobbies à l'œuvre ne viennent pas retarder ou limiter la portée du texte, on s'étonne de voir encore et toujours à l'œuvre de telles pratiques.

Tout débute par la réception d'un spam poussé au profit de la société d'assurance santé SwissLife, de la part de « Swisslife par Plan VIP du Web » et intitulé « Remboursement optimum sur l'optique et le dentaire ».

Les mentions légales sont un peu longues mais on le verra, totalement fausses :

SwissLife Prévoyance et Santé - Siège Social : 7 rue Belgrand 92300 Levallois-Perret SA au capital de 150 000 000 € - Entreprise régie par le Code des Assurances - 322.215.021 RCS Nanterre www.swisslife.fr-www.swisslife-direct.fr. Loi du 06/01/1978 modifiée : le responsable de traitement de vos données personnelles est le Département Marketing Swiss Life, 1 rue du Maréchal de Lattre de Tassigny 59671 Roubaix Cedex 01, auprès duquel vous pourrez exercer vos droits d'accès et de rectification. Ces données seront utilisées pour le suivi de votre dossier et l'envoi de documents sur les produits du groupe Swiss Life, destinataire, avec ses mandataires de l'information.

S'ensuit le laconique mais rituel lien de désinscription.

Pour vous désinscrire, suivez ce lien.

L'étude des liens hypertextes et des entêtes HTTP me révèle plusieurs informations.

La toute première URL est stats.santegenerale770.com : c'est elle qui va rediriger les clics effectués dans l'e-mail. C'est aussi via cette URL que l'on se « désabonne » de cette « newsletter ».

Une requête du type whois sur ce nom de domaine révèle les informations suivantes :

owner-contact: P-HAD671
owner-organization: kovetz online
owner-fname: hadjadj
owner-lname: dov
owner-street: 11 rue moshe levi
owner-city: rishon letzsion
owner-zip: 75858
owner-state: 
owner-country: IL
owner-phone: +972.39636700
owner-phone ext: 
owner-fax: 
owner-fax ext: 
owner-email: abuse@kovetz-online.com

La société dépositaire du nom de domaine santegenerale770.com serait donc Kovetz On Line.

Sur son site, on peut lire qu'elle routerait « plus 1 milliard de messages numériques [...] par mois. »

Capture d'écran du site Kovetz, tous droits réservés

Mais Kovetz n'est pas une société française, c'est une structure basée en Israël. Malgré cela, elle fait valoir sur son site son appartenance au programme Signal Spam sans qu'il m'ait été possible d'en trouver trace sur le site (j'attends une réponse de Signal Spam à ce sujet) et au CPA à travers leur charte sur l'e-mail (responsable, faut-il croire).

C'est bien cette société qui serait responsable de la constitution et de l'envoi de l'e-mailing commercial, ce sont donc leurs mentions légales qui devraient figurer dans l'e-mail et non celles de SwissLife.

Où l'on retrouve encore une plateforme d'affiliation...

La seconde URL, clk.tradedoubler.com, me permet d'identifier sans doute possible le nom du « sponsor » si je puis dire, de ce spam.

Logotype Tradedoubler - Tradedoubler AB, tous droits réservésEt derrière chaque base constituée généralement à l'étranger (rappelez-vous : la Moldavie, l'Ile Maurice ou encore la Suisse) se trouve une société d'affiliation marketing.

Ce nouvel exemple ne déroge pas à la règle et c'est encore TradeDoubler qui fera payer à SwissLife les quelques clics réalisés pour cette « campagne ».

Les différents identifiants passés via l'URL de tracking nous donnent peu d'informations. J'attends d'ailleurs de TradeDoubler qu'elle m'en dise plus sur l'expéditeur à partir de ces éléments.

...et une autre agence de marketing-direct ?

Plus étrange, le dernier lien qui fait cette fois appel aux outils de tracking de SwissLife elle-même, révèle que la campagne aurait été organisée par un certain « DarwinInt », qui est un des paramètres du lien de suivi (utm_source). Ce code UTM permet à l'annonceur, à travers l'outil Google Analytics, de connaître la provenance des visiteurs sur son site parmi les nombreuses campagnes et sources de captation d'audience.

D'après mes recherches, le code DarwinInt serait celui de l'agence Darwin Interactive, filiale du groupe de communication Darwin Group et qui se définit comme « une agence de communication digitale spécialisée en performance marketing ».

Le tout envoyé par EmailStrategie

Icône WeWmanager, tous droits réservésPas d'e-mailing sans routeur qui serait cette fois la solution WeWmanager de la société EmailStrategie.

C'est d'ailleurs sur leur plateforme que le sous-domaine stats.santegenerale770.com et le mécanisme de désabonnement pointent.

Membre du SNCD et de Signal Spam, la société indique sur le site de WeWmanager qu'elle « ne dispose d'aucune base de données emails en propre mais réserve ses services uniquement aux clients et partenaires qui adhèrent à sa politique de lutte anti-SPAM et respectent la législation en vigueur en France et/ou à l'international ».

Cette solution semble être hébergée chez TAS France. Enfin, la page de désinscription ne vous donnera pas plus d'indications sur l'origine du spam ni par où sont passées ou ont été stockées vos données personnelles.

Capture d'écran de la page de désabonnement hébergée par WeWmanager

C'est donc par 4 intermédiaires que vos données personnelles auront transité mais seul le « client final » sera exposé à la vindicte légitime de l'internaute qui se voit encore spammé par des prestataires français qui tous indiquent en respecter la législation.