Journal Où il est question de données personnelles

Posté par  . Licence CC By‑SA.
55
14
jan.
2024

Cher journal,

Attention, aujourd'hui, ça dénonce grave!

En fin d'année dernière, j'ai reçu trois courriers publicitaires qui m'étaient personnellement adressés. En temps normal, ces courriers seraient passés immédiatement de la boîte à lettres à la corbeille à papier. Néanmoins, je me suis trouvé l'esprit taquin et ai décidé de mettre ça de côté durant les fêtes et de me pencher sur la question en début d'année.

Début janvier donc, j'empoigne mon clavier et transmets ce simple message aux trois entités:

Madame, Monsieur,

J'ai bien reçu votre courrier du DATE. Je ne vais malheureusement pas y donner suite.

Je vous écris car je ne vous ai jamais transmis mes coordonnées alors que le courrier m'était directement adressé. Selon la loi sur la protection des données, je vous demande donc:

  1. de me transmettre toutes les informations me concernant dont vous disposez;
  2. de m'indiquer d'où proviennent ces données;
  3. de supprimer l'ensemble des données me concernant de vos bases de données.

Selon les dispositions en vigueur, merci de me donner réponse d'ici 30 jours, soit d'ici le DATE.

Dans l'attente de vos nouvelles et meilleures salutations.

Oui, en Suisse aussi nous avons une ordonnance sur la protection des données.

Bon, qu’on soit sincère, je suis loin d’être compétent dans ce genre de texte de loi. J’ai parcouru la page en diagonale et me suis arrêté sur les articles intéressants.

Premier constat, et plutôt réjouissant, sur trois mail envoyés, deux ont reçu réponse dans les sept jours. Les réponses dénoncent des sociétés tierces que j’ai alors contacté de la même manière.

L’une d’elle, KünzlerBachmann Directmarketing AG pour ne pas la citer, a réagit dans les 4 jours en m’envoyant un joli courrier papier. En allemand… Après scann des documents, reconnaissance optique des caractères et traduction automatique, voici un résumé du contenu.

En première page, rien d’intéressant.

On a bien reçu votre demande… Aux pages suivantes, les informations qu’on a sur vous… Voici qui contacter en cas de questions… Bisou.

La deuxième page donne le ton.

On emmagasine des données personnelles pour constituer et entretenir des bases de données complètes et actuelles. Nous mettons ces données à la disposition de nos clients, qui les utilisent à leurs propres fins. Nous traitons vos données aussi longtemps que nos objectifs de traitement, les délais de conservation légaux et nos intérêts légitimes l'exigent. L’origine de vos données est La Poste Suisse (Ah ben tiens!). Nos clients sont n’importe qui du moment qu’ils payent, y compris un État, y compris à l’étranger (sympa) dont les États-Unis (youpi). Mais puisque vous l’avez demandé, on bloque votre adresse maintenant. Et sinon, si vous ne voulez plus recevoir de pub, vous pouvez vous inscrire sur la liste Robison.
Il est a relever que ce sont les deuxièmes qui me proposent de donner mon nom et mon adresse à un site pour éviter de donner mon nom et mon adresse… Paradoxal, non?

Et enfin, en troisième page, mes fameuses données!
On y trouve en vrac ma langue, mon titre, mon nom et prénom, mon adresse postale, depuis quand je vis à cette adresse, si l’adresse est active, mon état civil, ma date de naissance, ma classe de pouvoir d’achat,… il est même sous-entendu que je pratique l’art de la scène! On termine avec un traditionnel «Vous trouverez de plus amples informations dans notre déclaration de protection des données sous https://kbdirect.ch/fr/protectiondesdonnees/» qui se trouve être un document de 29 pages… Je vous avoue que je n’ai pas encore trouvé le courage de m’y plonger.

Ce qui me choque, étant un tantinet sensible à la question des données personnelles, c’est que malgré le fait que je ne communique quasiment pas mon adresse, c’est simplement La Poste Suisse, qui connaît de fait l’adresse de tout le monde, qui en fait commerce. Je ne me souviens pas avoir signé une quelconque autorisation pour la vente de ces informations.

Affaire à suivre donc.

À la prochaine, journal!

  • # Heureusement qu'en France...

    Posté par  . Évalué à 10.

    …la poste nationale ne ferait jamais rien de ce type…

    Ah merde : https://www.francetvinfo.fr/economie/cash-investigation-quand-la-poste-vend-vos-donnees-personnelles_1109993.html.

    …bon, mais au moins nos amis Européens sont mieux lotis que nous…

    Ah merde : https://www.rfi.fr/fr/emission/20190111-autriche-scandale-poste

    Bon, je suis à court à "Ah merde" ; mieux vaut arrêter là. En tout cas merci pour ton post, qui à défaut d'ébranler des convictions permet encore un peu plus de savoir dans quel monde on vit…

    • [^] # Re: Heureusement qu'en France...

      Posté par  . Évalué à 5.

      Wow, je ne savais pas que Cash s'était penché sur la question.

      Il y a +/- 20 ans, je pense que c'est la Poste qui m'a fait un coup de pˆHTrafalgar.
      C'était à l'occasion d'un changement d'adresse, rempli sur un comptoir.
      La petite case, en bas, en gris, vous la voyez ?

      C'est du opt-out, pas du opt-in. Tout est fait pour que vous alliez vite (et vous êtes pressés, comme toujours), que ce soit difficilement lisible, et du coup, vous acceptez d'être emmerˆWtracassé par ces merˆénervantes publicités parce que vous N'AVEZ PAS coché la case pour leur interdire de le faire.

      La CNIL m'a indiqué le coupable de l'arnaque, après un échange et l'envoi d'un des courriers. Les petites annotations leur permettent de remonter jusqu'au Kingpin.

      Bien évidemment, cette pratique n'a pas changé depuis il me semble. Quelqu'un a déménagé il y a peu ?

  • # C'est tout de même assez inquiétant

    Posté par  (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 15 janvier 2024 à 11:46.

    Pas tant (mais quand même au moins un peu) le fait que la Poste suisse revendre tes données, mais celui qu'elle en ait autant, qui n'ont pas forcément de rapport avec son métier de transporter du courrier et quelle revende tout et sans ton autorisation.

    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

  • # Pareil !

    Posté par  (site web personnel) . Évalué à 10.

    C'est amusant, il m'est arrivé presque la même chose, en France, à peu près au même moment. Merci d'en avoir fait un journal d'ailleurs.

    Dans mon cas, c'était une lettre m'annonçant l'ouverture d'un genre de centre commercial multi-marques à Giverny. Un truc donc je n'ai strictement rien à cirer, c'est à une heure de bagnole de chez moi et j'ai mieux à faire de mon temps que de rouler pour aller passer une journée à faire des courses, merci.

    Bref, comme c'était du courrier adressé, je les ai aussitôt contactés par courrier électronique pour leur demander l'intégralité des données personnelles qu'ils avaient sur moi et d'où ils les sortaient. À noter que c'est tout ce que je leur demandais, en particulier, je ne leur ai à ce moment-là pas du tout demandé de supprimer quoi que ce soit.

    Réponse : ça vient d'un partenaire. Point. Pas plus de détail. Ils n'avaient manifestement pas compris ou pas voulu comprendre ma demande, donc je leur réponds en leur rappelant que je leur demande communication de ces données et que je veux savoir de quel partenaire il s'agit, avec adresse et numéro SIRET ou enregistrement au RCS, merci.

    Pas de réponse en quinze jours. Je décide de les dénoncer à la Cnil, et je les en informe au passage. Et là, ils répondent – mais trop tard, la Cnil est déjà au courant qu'ils déconnent – en m'expliquant qu'ils n'ont pas de données sur moi, qu'ils ont juste demandé à Mediapost de faire une campagne de publicité pour leur compte. C'est donc Mediapost qui a des données sur moi, et ils leur transmettent ma demande de suppression. Ma demande de suppression, quelle demande de suppression ‽ Je n'ai jamais rien demandé de tel moi !

    Bref. Pour info, c'est comme dans ton cas, parce que Mediapost c'est La Poste française. Qui évidemment ont moyen d'avoir des infos sur à peu près tout le monde. Et n'ont absolument pas le droit de les collecter ou pire, de les utiliser comme ça.

    Une autre chose que je remarque presque tout le temps, lorsqu'on écrit à une entreprise pour leur demander les données personnelles relatives à un envoi publicitaire, s'ils répondent, c'est presque tout le temps pour indiquer :

    • soit que c'est un partenaire, sans plus de précision, ce qui ne répond pas à la demande ;
    • soit pour expliquer qu'ils ont bien pris en compte la demande de suppression, ce qui ne répond pas non plus à la demande.
    • [^] # Re: Pareil !

      Posté par  . Évalué à 7.

      À noter quand même que vendre les données personnelles des gens et vendre un service permettant de relayer un courier à tout le monde, c'est légèrement différent. Dans le second cas la Poste exploite les données personnelles pour fournir un service mais ne les commercialise/diffuse pas.

      • [^] # Re: Pareil !

        Posté par  (site web personnel) . Évalué à 10.

        C'est moins craignos en effet, mais quand même illégal. Il s'agit d'un traitement de données personnelles effectué sans consentement.

        Ah, au fait, à propos de consentement, il y a un truc important à savoir. Pour qu'un traitement de données personnelles destiné à une prospection commerciale soit légal, il faut un consentement libre, spécifique, éclairé et univoque :

        • Libre : le fait de refuser un traitement qui n'est pas nécessaire ne doit pas avoir d'impact sur un service. Par exemple, si un site de vente exige que vous consentiez à recevoir des messages de prospection pour que vous puissiez acheter des produit, eh bien ce consentement n'est pas libre et n'est donc pas valide.
        • Spécifique : lorsqu'il y a plusieurs traitements de données on doit pouvoir consentir de façon indépendante à chacun d'entre eux.
        • Éclairé : le responsable du traitement doit être précisé, ainsi que le but du traitement, les données collectées, etc.
        • Univoque, le plus important : le consentement doit être donné par un acte positif univoque. Genre cocher une case. Le fait de ne pas décocher une case pré-cochée n'est, par définition, pas un acte positif, par conséquent : les cases pré-cochées ne peuvent pas produire un consentement valide.

        Donc, en particulier, si vous avez comme moi pris l'habitude de ne jamais cocher les cases de consentement au partage de vos données personnelles, vous pouvez être sûr que tout traitement de vos données personnelles par une entreprise avec laquelle vous n'avez jamais été en rapport est illégal puisque vous n'y avez jamais explicitement consenti. Et si vous avez laissé une case pré-cochée, aucune importance, ces saloperies ne valent pas consentement.

        • [^] # Re: Pareil !

          Posté par  . Évalué à 5. Dernière modification le 15 janvier 2024 à 12:24.

          C'est la théorie, mais la pratique c'est que tant qu'il n'y a pas de plainte et de jugement qui explicite que le "consentement" recueilli n'est pas valable tout le monde s'en fiche. C'est ce que les ricains appellent le "court testing".

          Et comme le péquin moyen n'a pas trop envie de se lancer dans une action en justice, il faut passer par des masochistes dans le genre de noyb ou La Quadrature du Net (y a-t-il un équivalent en Belgique? je n'en connais pas), auxquels je vous encourage à souscrire.

          A défaut il est aussi possible de se plaindre auprès du service juridique d'un groupement de consommateurs généraliste (Test-Achats, 30 millions d'amis 60 millions de consommateurs, etc) qui ont les épaules suffisamment larges et qui pourraient réagir avec assez de signalement.

          Oui y'a aussi la CNIL…


          Fun fact, la théorie indique aussi que le tracking ne peut pas commencer tant qu'il a été accepté, or je doute que ce soit le cas en pratique ou quand on masque / ferme la petite boite. La théorie veut de toute façon que le consentement recueilli par beaucoup de ces petites boites à cookie remplies de dark patterns est invalide car obtenu par tromperie (layout qui change tout le temps, lien "refuser tout" gris clair sur fond blanc qui finit remplacé par un lien "accepter tout", etc.)

          En pratique on sait bien que tout le monde s'en cognera tant que quelqu'un n'aura pas été condamné.

          • [^] # Re: Pareil !

            Posté par  (site web personnel) . Évalué à 4.

            Il y a encore du travail :

            Le RGPD en 2023, où en est-on ?
            https://video.passageenseine.fr/w/8vkg3ZnCRoMfKaMj7Knct2

            Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

          • [^] # Re: Pareil !

            Posté par  (site web personnel) . Évalué à 8.

            C'est la théorie, mais la pratique c'est que tant qu'il n'y a pas de plainte et de jugement qui explicite que le "consentement" recueilli n'est pas valable tout le monde s'en fiche. C'est ce que les ricains appellent le "court testing".

            Une défense d'une entreprise qui se prémunirait d'un consentement recueilli par case pré-cochée ne tiendrait pas une seconde devant un tribunal, tellement le RGPD est clair. Préambule, paragraphe 32 :

            Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité.

            Ce n'est même pas une déduit du texte, c'est écrit dedans de façon on ne peut plus explicite. Le juge est parfois là pour essayer de deviner l'intention du législateur, mais là il n'y a aucune place pour une interprétation quelconque, c'est juste écrit noir sur blanc : il n'y a pas de consentement par cas pré-cochée. Fin de la discussion.

            • [^] # Re: Pareil !

              Posté par  . Évalué à 5.

              C'est fort probable mais pour que le tribunal statue il faut une plainte.

              • [^] # Re: Pareil !

                Posté par  (site web personnel) . Évalué à 4.

                C'est à dire que les boîtes qui pratiquent ce genre d'abus n'en ont juste rien à torcher de la loi, comptant sur le fait que personne ne se plaindra. À ce compte-là, autant déconner à plein tube, pas la peine de se faire chier à respecter quoi que ce soit du RGPD en fait.

              • [^] # Re: Pareil !

                Posté par  (site web personnel) . Évalué à 4. Dernière modification le 16 janvier 2024 à 13:50.

                À noter que le fait qu'il y ait une plainte qui aboutisse ne changerait strictement rien pour la suite : chaque cas d'abus nécessite une plainte pour être sanctionné.

                Je veux dire, si je suis une entreprise prête à abuser des données personnelles de gens, je sais que je cours un risque en le faisant. Le fait qu'il y ait un précédent juridique ou non ne change rien au risque en question, puisque la loi est écrite d'une façon qui ne laisse aucune ambiguïté : ce que je fais est illégal et, en cas de procès, sera sans aucun doute considéré comme tel.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.