Le fabuleux voyage des données personnelles de Viadeo à CCM Benchmark Group (Groupe Le Figaro), en passant par un mystérieux Espace Direct. Quand une inscription au sein d'un réseau social destiné notamment à faciliter le retour à l'emploi fait-elle de vous une cible B2B ?
Viadeo racheté par le Groupe Figaro...
Viadeo est un réseau social professionnel dédié, lors de sa création en 2003 (alors appelé Viaduc), à mettre en relation anciens élèves, étudiants, salariés, entrepreneurs, futurs employeurs... au sein d'un site Web sur un modèle équivalent au populaire LinkedIn (aujourd'hui propriété de Microsoft).
Face à ses mauvais résultats et placée en redressement judiciaire, la marque est rachetée 1,5 millions d'euros par le Groupe Le Figaro en décembre 2016.
Le Groupe Le Figaro est lui-même propriétaire de CCM Benchmark depuis 2015, éditeur entre autres du Journal du Net (JDN). Le site Viadeo, après quelques années passées dans un état végétatif, est refondu courant 2020 et rattaché à la marque JDN.
Cette refonte est présentée ainsi à ses membres :
Cher membre, Viadeo - votre réseau social français - évolue, et nous souhaitions partager avec vous cette nouvelle étape importante. Ce changement se traduit d'abord par une association avec la marque leader sur l'information Tech, le Journal du Net, et par un nouveau nom : Viadeo by JDN. Au-delà de ce changement de nom, notre objectif est de vous proposer un nouveau site et une nouvelle expérience recentrés autour de notre promesse initiale : vous permettre de constituer un réseau professionnel de qualité. Pour mieux répondre à vos attentes et vous aider à faire évoluer votre carrière, l'ensemble de nos services seront désormais entièrement gratuits !
...devient Viadeo by JDN
Devenu Viadeo by JDN, le site mise sur la gratuité de ses services. Ce qui hélas est souvent synonyme de commercialisation des données personnelles des utilisateurs et parfois sans leur consentement.
Et c'est précisément ce qui s'est produit pour ma part début janvier 2021 avec l'arrivée de premiers e-mails promotionnels indésirables.
Ces spams ont pour point commun un seul et unique expéditeur : le site espacebusiness.com, qui, après quelques recherches, se révèle être édité par la société Espace Direct.
Sur le profil LinkedIn :-) du co-fondateur d'Espace Direct, on apprend que « l'entreprise a rejoint en juillet 2018, la société CCM Benchmark, activité digitale du Groupe Figaro ».
Espace Direct indique aussi sur son site posséder « 2,5 millions d'adresses emails qualifiées de dirigeants et de cadres opérationnels (et) le meilleur de la data b2b ».
La réalité est un peu plus compliquée : Espace Direct serait une marque déposée par la société Touchvibes et non pas une société.
Touchvibes, de son côté, a bien été rachetée par CCM Benchmark mais en 2013 et s'appelle maintenant CCM PERFORMANCE.
Pourtant, en se désabonnement des e-mailings d'EspaceBusiness.com, il est clairement indiqué sur le site de destination que l'éditeur est bien Espace Direct, SAS au capital de 40 000 €, immatriculée au RCS de Paris sous le n° B 394 248 280 et dont le siège social est situé 94 rue de Provence à Paris.
Cependant, cette société n'existe plus depuis le 18 janvier 2019. La confusion est totale. Voici des extraits des mentions légales :
EspaceBusiness.com : (radiée au RCS le 18/01/2019)
Le site EspaceBusiness.com est édité et géré par la société Espace Direct, SAS au capital de 40 000 €, immatriculée au RCS de Paris sous le n° B 394 248 280 et dont le siège social est situé 94 rue de Provence - 75009 Paris.
Sur le site Espace Direct : (immatriculée au RCS le 04/07/2013)
TOUCHVIBES SAS au capital de 15 769 euros Siège social : 94 rue de Provence – 75009 Paris RCS Paris : B 509 247 912 SIREN : 509 247 912 00066 NAF : 7022Z
Sur le site CCM PERFORMANCE : (établissement fermé le 03/01/2017)
CCM PERFORMANCE (TOUCHVIBES SAS) Siège social : 94 RUE DE PROVENCE, 75009 PARIS Société Anonyme au capital de 15 375€ 522 869 593 RCS Paris Siret : 52286959300064
Sur la page Facebook dédiée à CCM Performance, on peut lire notamment : Crée en Décembre 2016, fruit de la fusion entre CCM Data & Marketing, et CCM Business, CCM Performance est la nouvelle entité entièrement dédiée au marketing à la performance appartenant au group Figaro/CCM Benchmark.
Qui est donc le porteur juridique de ce traitement ?
« La société CCM Benchmark Group respecte votre droit à la vie privée »
En résumé, le site Viadeo by JDN transfert à travers sa maison-mère CCM Benchmark les données personnelles de ses membres (la liste des données transmises reste introuvable) à une société du groupe, TOUCHVIBES SAS (radiée au RCS selon ses propres mentions légales), qui ensuite les commercialise auprès de ses clients.
CCM Benchmark appartient au Groupe Figaro, lui-même propriété du Groupe Dassault.
Que dit le RGPD ?
Le site Viadeo sur lequel vous vous étiez inscrit, n'existe plus. Il a été refondu en 2020 à travers la nouvelle marque Viadeo by JDN.
Cependant, CCM Benchmark Group, son nouvel éditeur et responsable de traitement, a conservé données personnelles et paramètres (préférences, confidentialité, vie privée, etc.).
Il précise sur la page dédiée à sa politique de confidentialité, que :
...sous réserve de votre consentement lorsqu'il est requis ou sauf autres options de votre part, les données personnelles concernant les abonnées et titulaires de comptes Viadeo (…) sont partagées entre les entités du Groupe Figaro[1] à des fins de gestion centralisée de la relation client, d'étude, analyse et segmentation, ainsi qu'à des fins de prospection commerciale.
Ainsi, nos données personnelles sont transmises à des fins commerciales à d'autres entités du Groupe Figaro (qui devient co-responsable de traitement avec CCM Benchmark Group, éditeur du site) sans qu'il soit possible de déterminer lesquelles ni de mesurer l'ampleur et la fréquence de ces transferts.
Les mentions légales sont donc ici lacunaires du point de vue du RGPD.
En matière de prospection électronique B2B, que nous dit la CNIL ? En admettant que Viadeo soit un annuaire B2B, ce qui est discutable, la personne doit, au moment de la collecte de son adresse de messagerie :
- être informée que son adresse électronique sera utilisée à des fins de prospection,
- être en mesure de s'opposer à cette utilisation de manière simple et gratuite,
- l'objet de la sollicitation doit être en rapport avec la profession de la personne démarchée (par exemple nous dit la CNIL : un message présentant les mérites d'un logiciel à paul.toto@nomdelasociété, directeur informatique).
Sur la page d'inscription du nouveau site Viadeo by JDN, un paragraphe écrit en petits caractères nous précise que :
(Les) informations recueillies ci-dessus sont destinées à CCM Benchmark Group pour assurer la création et la gestion de votre compte, ainsi que des abonnements et autres services souscrits. Elles seront également utilisées sous réserve des options souscrites, à des fins de ciblage publicitaire et prospection commerciale au sein du Groupe Le Figaro, ainsi qu'avec nos partenaires commerciaux.
La prospection s'étend ici à des partenaires commerciaux qui ne sont pas non plus identifiés dans les mentions d'information[2]. Cette prospection semble cependant encadrée par la présence d'une case à cocher dans le formulaire d'inscription, que l'on retrouve dans l'espace utilisateur.
Ayant déjà réglé par le passé - mais sur l'ancien site - mes « options en matière de prospection » comme signifié sur la page d'inscription et n'ayant pas reçu de spam avant janvier 2021, que s'est-il passé lors de la refonte de Viadeo ?
Soit mes choix ne sont plus respectés, soit le responsable de traitement a pris le parti de considérer que l'opt-out s'appliquait ici.
Vous recevez ce message car vous êtes référencé dans la base de données Espace Direct
Attardons-nous maintenant sur les e-mails commerciaux qui m'ont été envoyés.
Comme je l'écrivais plus haut, ces e-mails sont routés via une adresse et des URL de tracking détenues par EspaceBusiness.com, propriété de la société Espace Direct Touchvibes SAS. C'est cependant le nom d'une marque qui est utilisé en signature de l'e-mail (Espace Direct), en plus du nom de la société cliente pour le compte de laquelle la communication est émise (c'est d'ailleurs une obligation légale).
Notre objectif est de réduire le volume de publicités que vous recevez pour ne sélectionner que celles que (sic) vous intéressent réellement (CCM PERFORMANCE).
Il n'est jamais fait mention de Viadeo/CCM Benchmark Group ou de CCM PERFORMANCE/Touchvibes, c'est-à-dire les responsables de traitement qui ont pourtant la responsabilité de la collecte, du transfert et du traitement des DCP. Dès lors, l'internaute ne peut agir directement à la source mais uniquement se « désabonner » des pourriels envoyés par un « Espace Direct » sur un site maintenu par une société qui n'existe plus.
Entre le 6 janvier et le 28 janvier, Espace Direct m'a adressé 20 e-mails commerciaux. Soit près d'un spam par jour.
Voici la liste des messages poussés (souvent à l'identique) :
- Sage France (8 spams) pour le téléchargement d'un livre blanc
- Bodet Software (3 spams) concernant le contrôle et filtrage des accès aux locaux d'entreprise
- Total Direct Energie (1 spam) concernant la fin des tarifs pour la société Almavia (sic)
- Verizon Connect (6 spams) afin de faire la promotion d'un logiciel de gestion de flotte de véhicules
- Perhentia (1 spam), une agence de communication
- NEOMA Business School (1 spam) promotion de formations
Un responsable marketing de Bodet Sotftware témoignage d'ailleurs sur le site commercial d'Espace Direct :
Espace Direct a toujours su anticiper nos besoins et nos attentes, l'équipe est une véritable force de proposition. Les campagnes sont d'une qualité irréprochable et je sais que je peux m'appuyer à 100% sur leur expertise pour sélectionner les meilleurs fichiers.
La suppression de mon compte Viadeo by JDN le 14 janvier n'a manifestement pas arrêté l'envoi de spams, malgré la promesse d'Espace Direct de mettre à jour quotidiennement sa base de prospection.
Plus grave, le spam poussé au profit de Total Direct Energie fait spécifiquement référence à un ancien employeur que j'ai quitté il y a 3 ans et s'adresse directement à cette société et non pas à moi, à travers mes données personnelles.
Ce traitement est donc une exploitation illicite et potentiellement dangereuse du fait de l'utilisation erronée des données collectées. Enfin, il est important de noter qu'Espace Direct est membre du SNCD et que les e-mails sont routés par OVHcloud (qui a été plusieurs fois alertée).
Demande d'accès à mes données personnelles
Extrait des mentions d'information de Viadeo by JDN :
Sous réserve de votre consentement lorsqu'il est requis, elles peuvent également être partagées avec les autres entités du Groupe Le Figaro et nos partenaires commerciaux, afin de nous permettre de vous faire bénéficier d’offres promotionnelles, y compris de tiers, ainsi qu’à des fins de publicité le plus souvent adaptées à vos centres d’intérêt et/ou votre localisation.
Étant donné que le site Viadeo (by JDN) a transmis, sans m'en informer, mes données personnelles potentiellement à l'ensemble du Groupe Figaro comme stipulé ci-dessus, mais qu'il n'est pas fait mention de l'existence d'un DPO pour le groupe CCM Benchmark (qui est pourtant le responsable de traitement de Viadeo by JDN) voire du Figaro, je me suis tourné vers les contacts DPO d'Espace Direct et de Touchvibes alias CCM PERFORMANCE. Le Figaro a lui-aussi été averti.
J'attends maintenant l'envoi de la copie intégrale de mes données personnelles, la finalité et la base légale du traitement ainsi que la liste de l'ensemble des filiales ou partenaires du CCM Benchmark Group à qui mes données auraient été transmises.
Sanctions RGPD
Si l'on se fie au chiffre d'affaires de Touchvibes (ceux de 2011), cette société risque 73 268,00 € d'amende. CCM Benchmark Group (2017) risque quant à elle 1,5 millions d'euros et le Groupe Figaro (2017) 22 millions d'euros.
Mise à jour au 02/02/2021 : malgré le fait que l'adresse e-mail indiquée sur le site de CCP Performance semble fausse, j'ai très rapidement reçu une réponse de leur DPO m'indiquant que, « dans un objectif purement professionnel, on m'avait proposé les nouveaux services de leurs partenaires ».
Ensuite, les données fournies par le DPO m'ont donné le vertige : en réalité, CCM Performance cible la société Almavia dont elle m'a fourni le SIRET, à travers mon adresse personnelle déposée sur le site Viadeo by JDN.
Enfin, toujours selon leur DPO, j'aurais reçu le 18 septembre 2020 un e-mail m'informant que mon adresse e-mail personnelle était entrée dans la base de données de CCM Performance et que je pouvais m'y opposer (principe de l'opt-out).
Notes
[1] La liste de ces entités est disponible sur la page groupe.lefigaro.fr
[2] Il faut aller consulter la page de la politique de confidentialité de la société CCM PERFORMANCE afin de trouver la liste de ces fameux partenaires.