Au deuxième semestre 2019, le Ravi proposait de signer une pétition de soutien éditée et hébergée par We Sign It. En 2022, j'ai reçu deux emails émis par le Ravi via Sendinblue portant sur un appel au don. Ils ont été envoyés à l'adresse emails dérivée dédiée à la signature de la pétition de 2019. We Sign It collecte (et utilise) une adresse emails essentiellement pour fiabiliser une pétition en évitant les fausses signatures par des robots (j'ai refusé la newsletter). Il s'agit donc d'un détournement de finalité (fiabilité / sécurité -> appel au don) pour laquelle le consentement était obligatoire (ça ne relève pas de l'exécution d'un contrat ni de l'intérêt légitime). Comment l'adresse emails et le pseudo des signataires de 2019/2020 ont pu être exportés par le Ravi et réutilisés deux ans plus tard via un autre prestataire ? Deux ans est une durée de conservation démesurée pour le motif « validation d'une signature ».
ÉDIT DU 23/11/2022 : suite à la liquidation judiciaire du Ravi, j'ai demandé à la CNIL de clôturer ma plainte. FIN DE L'ÉDIT.
Du coup, hop, plainte à la CNIL :
Bonjour
À partir de 2019 et jusqu'à mi 2020 (environ), le journal Le Ravi, édité par l'association La Tchatche, ci-après « Le Ravi », proposait de signer une pétition accessible à l'adresse http://leravienproces.wesign.it/fr (elle n'est plus accessible aujourd'hui, voir https://web.archive.org/web/20190701000000*/http://leravienproces.wesign.it/fr pour une version archivée).
Lors de la signature de cette pétition, je n'ai pas accepté la newsletter et je l'ai, de ce fait, jamais reçue.
Notons que la pétition est publiée via le prestataire « WE SIGN IT POUR LA PARTICIPATION CITOYENNE », ci-après « We Sign It », qui émet ses emails depuis l'hébergeur informatique Octopuce (sources : mentions légales + constat pratique).
Le 04/03/2022 et le 08/03/2022, j'ai reçu un email du Ravi concernant un appel au don (PJ 1). Ils ont été envoyés à l'adresse emails « <CENSURE>+wesign @ <CENSURE> » qui est une adresse emails dérivée dédiée à ma signature de la pétition du Ravi auprès de We Sign It. Je ne l'ai pas utilisé pour quoi que ce soit d'autre.On notera que le pied de page des emails indique « You've received this email because you've subscribed to our newsletter », ce qui n'est pas le cas, j'ai été inscrit de force, il s'agit du modèle de pied de page par défaut.
Les informations techniques de ces emails (PJ 2) montrent qu'ils sont envoyés via la société commerciale Sendinblue, pas via l'association We Sign It. Mon adresse email et le nom que j'ai donné (voir sujet de l'email du 08/03/2022) ont été extrait de la liste des signataires de la pétition We Sign It par Le Ravi, puis exportés chez un autre prestataire pour envoyer un appel au don.
Il s'agit d'un détournement de finalité. We Sign It collecte (et utilise) une adresse emails essentiellement pour fiabiliser une pétition en évitant les fausses signatures par des robots. (Les autres cas prévus par la politique de confidentialité, https://news.wesign.it/index.php/charte-de-confidentialite/, newsletter et facilité de navigation ne s'appliquent pas ici puisque j'ai décliné la newsletter.) Quand j'ai communiqué mon adresse emails à cette fin, je ne pouvais pas légitimement m'attendre à recevoir un appel au don.De plus, la temporalité interpelle : je signe une pétition fin 2019 et je reçois un appel au don début 2022, soit plus de deux ans plus tard. Il s'agit d'une durée de conservation excessive pour une validation de pétition, c'est-à-dire pour un motif de sécurité / fiabilité.
J'ai utilisé les liens de désinscription contenus dans les emails du 04/03/2022 et du 08/03/2022. À ce jour, je n'ai pas reçu de nouvelle sollicitation sur cette adresse emails dérivée.Le 11/03/2022, j'ai exposé les griefs ci-dessus au Ravi. La concision et la légèreté de la réponse (PJ 3), « Pour le RGPD on reste vigilent grâce aussi à vos retours, alors merci », rédigée par la « Responsable marketing » (ce qui illustre l'absence, en interne, d'une personne compétente sur le sujet des données personnelles), me convainc que des abus auront à nouveau lieu car la problématique n'est pas maîtrisée.
Le Ravi est fautif puisqu'il est le donneur d'ordre, mais une faute de l'association We Sign It pourrait également être à rechercher en cela qu'elle permet, à l'auteur d'une pétition, l'exportation des signataires d'une pétition pour des finalités visiblement très larges (premier grief), au-delà d'un délai raisonnable (deuxième grief). Ou alors, Le Ravi a extrait hâtivement la liste des signataires et l'a conservé "au cas où" (donc sans motif valable) pendant deux ans ?Les faits relatés ci-dessus, détournement de finalité non consenti deux ans après la dernière interaction consentie, constituent des manquements au RGPD qui justifient à eux seuls le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.
Bonne journée.