En matière de collecte illicite de données personnelles, il existe une catégorie dont nous avons déjà parlé à plusieurs reprises sur ce blog : la recherche d'emploi. Rappelez-vous notamment du cas Qapa (aujourd'hui repris par la société Addeco). Malgré la mise en œuvre du RGPD, force est de constater que certaines entreprises prennent de sérieuses libertés avec nos données.

Le cas WebEngineering

Fin novembre 2021, et bien que n'ayant pas postulé en ligne sur le site www.webengineering.fr, j'ai commencé à recevoir régulièrement des e-mail intitulés Dernières offres d 'emploi - Ingénieur ASP .NET, à un rythme d'environ un e-mail par semaine. Les e-mails reçus (32 à ce jour, le dernier en date du 15/08/2022) portent tous sur cette même recherche d'ingénieur ASP .NET.

Pour votre recherche d'emploi pensez à WebEngineering : n°1 sur l'emploi ingénieur.

Dans ces e-mails, il est toujours indiqué que je reçois ces messages « dans le cadre de [ma] recherche d'emploi ». Il est aussi précisé ceci :

Conformément à la loi “règlement général sur la protection des données à caractère personnel” du 25 mai 2018 (sic), vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à contact@webengineering.fr

La page des mentions légales du site Web est hélas réduite au plus stricte minimum, voire non conforme au RGPD. Elle nous indique des informations contradictoires avec le pied de page de l'e-mailing concernant l'adresse de la société (Bordeaux pour l'e-mailing, Paris pour le site Web). Un numéro de déclaration CNIL est présent (cette démarche n'est plus obligatoire depuis la mise en œuvre du RGPD).

Mentions légales WebEngineering.fr, août 2022

Vérification faite, la déclaration existe, en voici l'extrait qui est aussi consultable sur le site de la CNIL :

Organisme déclarant (raison sociale) : ROY Alexandre
38 RUE DE LUBECK 75116 PARIS
Date d'enregistrement : 30/05/2012
Finalité du fichier déclaré : NS48 - Fichiers clients-prospects
Catégories et destinataires des données : n/a
Numéro de déclaration : 1591032 - v0
Type de déclaration : Déclaration simplifiée

La société est française, donc soumise aux obligations relatives à la protection des données personnelles lors de leur traitement.

M. ROY se déclare CEO de la société WebEngineering, selon son profil LinkedIn. D'après le registre du commerce et des sociétés, WebEngineering est enregistrée à Bordeaux et non pas Paris. Peut-être le siège a-t-il été déplacé à Bordeau ? Les mentions légales du site ne sont donc probablement pas mises à jour.

Sur le descriptif LinkedIn de la société, on peut lire notamment que :

WebEngineering est le leader français pour l’emploi des ingénieurs : plus de 20 000 offres d’emploi ingénieurs, 300 000 CV d'ingénieur, 6 500 nouveaux CV / mois (plus grande communauté d'ingénieurs en recherche d'emploi en France), 80% des ingénieurs en recherche d'emploi en France utilisent WebEngineering, 1 000 recruteurs (industriels, sociétés de conseil en ingénierie, cabinets de recrutement...

Deux autres noms de domaine sont en support de ces traitements :

  • service-engineer.fr pour le tracking des clics dans les e-mails,
  • aplitrak.com pour celui des offres.

Pour la partie offre aux entreprises, il faut se tourner vers le site Strateos qui détaille les fonctionnalités, les tarifs proposées pour exploiter la CVthèque de WebEngineering. Le chiffre de 50 millions d'e-mails envoyés par an est évoqué, ainsi que des « profils » candidats. Étant référencé dans cette base d'envoi, suis-je aussi automatiquement fiché ?

Extrait du site Strateos (chiffres), août 2022

Des données personnelles en provenance de l'Apec

Bien souvent, les données personnelles confiées à un site d'annonces d'emploi (un « job board »), aussi connu soit-il, nous exposent quasi inévitablement aux spammeurs. Souvent occasionnel, parfois systématique, comme dans cet exemple.

Fin 2021, j'ai réactivé mon profil sur le site de l'Apec et débuté la consultation d'offres d'emploi. Ce site fonctionne dans les deux sens : pour faire simple, des offres sont publiées sur l'Apec et les recruteurs consultent votre profil. Vous pouvez soit postuler sur le site de l'Apec, et fournir votre profil Apec ou votre propre CV, soit directement sur le site du recruteur ou via un agrégateur (donc un tiers entre vous et le recruteur, c'est là que les choses se gâtent généralement). Les recruteurs peuvent eux aussi vous contacter après consultation de votre profil Apec. C'est ce que font nombre d'ESN, par exemple.

Il y a donc dans le monde de la recherche d'emploi et de son modèle économique, pléthore d'acteurs, d'intermédiaires, qui parfois se rémunèrent qui au contrat (pourcentage ou honoraires), qui au profil fourni, qui au clic, qui à la publicité affichée...

Pour ma part, je ne connaissais pas WebEngineering, n'ayant jamais consulté le site avant d'être spammé et donc n'ayant jamais répondu à une offre d'emploi sur leur plateforme. D'ailleurs, je ne suis pas « ingénieur ASP .NET », je ne l'ai jamais été et je ne sais comment ce rapprochement a pu se faire, surtout sur le site leader en France pour l'emploi des ingénieurs. Et pour couronner le tout, les annoncent qui me sont proposées à travers cette alerte n'ont aucun lien avec le développement ASP !

Quant aux données personnelles, elles proviennent du site de l'Apec : je suis en effet spammé sur l'adresse e-mail laissée sur ce site et qui apparaît aussi sur les candidatures que j'ai pu soumettre via cette plateforme. Il est donc évident que mon adresse circule en dehors du site de l'Apec, qu'elle a été captée par plusieurs acteurs du marché et utilisée, notamment par WebEngineering.

Que dit le site de l'Apec à ce sujet ?

En publiant votre profil depuis votre compte Apec.fr, vous consentez à partager vos données à caractère personnel avec les recruteurs titulaires d'un compte sur apec.fr (entreprises qui recrutent, entreprises de travail temporaire et cabinets de recrutement ayant accès à la Candidapec (base de Profils, CV) qui peuvent consulter les données que vous aurez accepté de rendre visibles et vous contacter à des fins de mobilité professionnelle et de recrutement. Les recruteurs deviennent responsable des traitements de données contenues dans les Profils, CV, dès l'instant où ils procèdent à l'utilisation et à l'enregistrement de vos données dans leurs propres bases de données.

Et :

Toute utilisation des informations personnelles du candidat pour une finalité différente doit faire l'objet d'une nouvelle information préalablement à ce nouvel usage et d'un consentement spécifique.

En d'autres termes, le recruteur ou son mandataire (site tiers) ont eux aussi des obligations à remplir en matière d'information, formalités et protection des données personnelles des candidats. Toute utilisation de ces données autre que le traitement d'une candidature, comme par exemple, l'abonnement à alerte d'emploi, nécessiterait d'obtenir le consentement de la personne concernée.

Il n'est pas non plus légalement possible de se faire passer pour un recruteur sur un job board afin de récupérer des CV ou coordonnées de demandeurs d'emploi afin d'alimenter par la suite son propre service de recherche d'emploi.

Que dit le RGPD ?

Il s'agit d'un cas classique de traitement illicite de données personnelles, dont la captation s'est faite de manière malhonnête, comme le souligne le Règlement. La finalité du traitement (l'envoi d'alertes d'emploi) n'a pas de base légale sans consentement. Ne sont pas non plus précisées les données traitées ni la durée de conservation (je reçois ces spams depuis plus de 9 mois).

Les manquements de WebEngineering

Quelles sont les informations que la société WebEngineering auraient du me communiquer préalablement au traitement de mes données personnelles ? Là encore, reprenons les informations publiées sur le site de l'Apec :

  • La source d'où proviennent ces données
  • L'identité et les coordonnées du responsable de traitement
  • Le cas échéant, les coordonnées du délégué à la protection des données (DPD/DPO)
  • La finalité du traitement
  • La base légale du traitement
  • Les destinataires des données
  • Un éventuel transfert de données vers un pays tiers à l'Union européenne et le dispositif juridique appliqué à ce transfert
  • La durée de conservation des informations
  • L'existence et les conditions d'exercice des droits applicables tels que ceux d'accès, de rectification ou l'effacement des données, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données
  • La possibilité d'introduire une réclamation auprès de la CNIL
  • Le cas échéant, de l'existence d'une prise de décision automatisée, y compris un profilage (la presse parle d'IA et de Machine Learning concernant Strateos)