L'opérateur d'opérateurs Cogent continuent à m'envoyer des emails (sondage, démarchage pour de nouveaux projets, activation de nouveaux services, etc.) sur mon adresse emails personnelle alors que je ne suis plus le contact technique / administratif de deux de ses clients depuis janvier 2019. Mon droit d'opposition, exprimé à deux reprises en 2020, n'a pas été mis en œuvre. D'ailleurs, en 2020, j'ai reçu un email dont notre ingénieur commercial me dit que ça n'aurait pas dû arriver puisque je n'étais déjà plus contact d'un quelconque service d'après leur outil d'avitaillement… Paye ton système d'information daubé.
Cogent est connu pour son démarchage agressif, surtout aux États-Unis, cf. le liste de discussion des opérateurs NANOG.
ÉDIT DU 24/11/2022 : réponse de la CNIL. Voir ci-dessous. FIN DE L'ÉDIT du 24/11/2022.
Du coup, hop, plainte à la CNIL :
Bonjour,
Entre 2015 et 2019, j'étais membre de deux associations loi 1901, Grifon et Alsace Réseau Neutre (« ARN » ci-après). Elles ont souscrit des contrats auprès de la société commerciale Cogent Communications France, filiale de Cogent Communications (États-Unis), « Cogent » ci-après. J'étais l'un des contacts techniques et/ou administratifs de ces contrats, pour le compte des deux assos.
Le 10/04/2020, j'ai reçu un email de notre ingénieur commercial Cogent. Par retour d'email, je l'ai informé ne plus faire partie de l'association et je lui ai demandé à ne plus recevoir d'emails de Cogent. Le 14/04/2020, il me confirme m'avoir retiré de leurs bases (PJ 1).Le 25/04/2020, j'ai reçu un email de surveillance auto des services numériques de l'asso (objets des contrats avec Cogent). J'ai demandé au même ingénieur commercial de me retirer de cette base de données. Le 27/04/2022, il m'informe que je n'étais déjà plus enregistré comme contact, qu'à ce titre, je n'aurais pas dû recevoir l'email, et qu'il a effectué les démarches pour me faire retirer de ladite base (PJ 2).
Le 14/10/2020, j'ai reçu un email de Cogent m'invitant à remplir un sondage. J'ai utilisé le lien pour me désinscrire (PJ 3, page 1).
Le 09/02/2021, j'ai reçu un email de démarchage de la responsable du compte client de l'asso chez Cogent. J'ai pris aucune action (PJ 3, page 2).
Le 12/07/2022, j'ai reçu un email du service européen de facturation de Cogent. J'y ai, une nouvelle fois, demandé à ne plus recevoir d'emails et à être effacé de toutes les bases de données (PJ 4).
Tous les emails sus-référencés m'ont été envoyé en tant que contact de l'asso Grifon. J'ai également reçu l'email du 12/07/2022 en tant que contact de l'asso ARN, comme l'atteste le journal de mon serveur emails personnel (PJ 5, page 1). Il est probable que j'ai également reçu les emails du 14/10/2020 et du 09/02/2021, mais je ne conserve pas aussi longtemps le journal de mon serveur emails pour l'affirmer (et, depuis 2019, j'ai désactivé l'adresse emails dérivée qui me servait dans l'asso ARN, donc je n'ai pas de copie de ces emails).
Je précise que tous ces emails ont été reçus sur mon adresse emails personnelle, que j'ai communiquée à Cogent en tant que contact technique et/ou administratif des associations.
Sur l'espace français de son site web (https://www.cogentco.com/fr/), Cogent déclare un DPO états-unien. Dans sa page « GDPR », seules des adresses postales sont listées. Pas question que j'envoie un courrier. Je n'ai pas trouvé de contact français dans la liste des DPO déclarés à la CNIL (https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/).Les associations dont j'étais membre ont contracté avec Cogent Communications France (PJ 5, pages 2-3 et 4-5), donc je dois pouvoir faire valoir mes droits, par email, et en français.
Je constate que mon opposition à la réception d'emails Cogent et/ou mon effacement des bases de données Cogent, pourtant réclamés à deux reprises, n'ont pas été respectés ni mises en œuvre en avril 2020.Cet historique illustre un manque de volonté de Cogent en matière de bon traitement des données personnelles, et/ou un manque de formation aux outils internes, ou un système d'information inadapté ou dysfonctionnel.
Dans tous les cas, il s'agit de manquements au RGPD qui justifient à eux seuls le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.
Bonne journée.
Pour info, mon email envoyé à Cogent le 09/09/2022 en réponse à celui du 12/07/2022 :
Bonjour,
Je ne fais plus partie de Grifon depuis janvier 2019.
En avril 2020, j'ai demandé, à deux reprises, à <CENSURE, nom de notre ingénieur commercial>, de ne plus recevoir d'emails de Cogent et d'être effacé de toutes vos bases de données. Il avait fait les démarches nécessaires auprès du support UE, cf. PJ. Mais, ça ne suffit pas…
J'ai reçu un email "répondez à notre questionnaire" le 14/10/2020, un email de nouvelle année / démarchage en février 2021, et désormais, cet email.
Ça commence à faire beaucoup. Je vous rappelle que ceci est mon adresse emails personnelle.
Pouvez-vous, svp, me retirer effectivement de toutes vos bases de données et faire en sorte que je ne reçoive plus d'emails provenant de Cogent ?
Attention : j'ai également reçu les emails sus-cités en tant que contact d'ARN (Alsace Réseau Neutre), dont je ne fais plus partie non plus depuis 2019. Merci donc de procéder à ma demande ci-dessus à la fois en tant que contact de Grifon ET en tant que contact d'ARN.
Bonne fin de semaine.
P.-S. : pour l'entité Alsace Réseau Neutre, mon adresse emails (que vous utilisez et qu'il faut supprimer de vos bases) est <CENSURE>. À des fins d'autorisation, le présent email est émis avec ladite adresse.
ÉDIT DU 24/11/2022 :
Après deux mois sans réponse de la CNIL (ma plainte était toujours au greffe) ni de Cogent, j'ai relancé la CNIL. Ma plainte a été traitée. Réponse (morceau utile) :
La CNIL est intervenue à l’appui de votre demande auprès de l’organisme mis en cause. Elle lui a rappelé ses obligations et lui a demandé d’effacer les données vous concernant de ses fichiers de prospection conformément à l’article 21 alinéa 2 du règlement général 2016/679 sur la protection des données (RGPD).
Il ne s'agit pas d'emails de prospection, mais bon… On va voir ce qu'en pense Cogent…
FIN DE L'ÉDIT du 24/11/2022.
ÉDIT DU 19/07/2023 :
Suite à une demande de communication de documents, la CNIL m'a transmis, le 30/01/2023, la prose qu'elle a envoyée à Cogent le 18 novembre 2022 :
Madame, Monsieur,
La Commission nationale de l’informatique et des libertés (CNIL) a reçu une réclamation à l'encontre de votre organisme de la part d’un usager rencontrant des difficultés dans l’exercice de son droit d'opposition à recevoir de la prospection commerciale.
En effet, l’usager nous informe qu’il ne souhaite pas recevoir de prospection commerciale de votre organisme et demande que ses données soient supprimées de vos bases de prospection commerciale. Il indique avoir tenté, sans succès, de s’opposer à ces sollicitations commerciales en adressant une demande à vos services dont vous trouverez une copie jointe au présent courrier.
Dans ce contexte, je vous informe que toute personne a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à des fins de prospection commerciale en application de l’article 21 2. du règlement général 2016/679 sur la protection des données (RGPD).
Lorsque vous êtes saisis d’une telle demande d’opposition, vous devez supprimer les données de la personne concernée de l’ensemble de vos fichiers de prospection (article 17 1. c du RGPD). Vous devez également notifier cette demande d'opposition aux partenaires commerciaux auxquels votre organisme a communiqué les données de la personne concernée (article 19 du RGPD).
Vous devez enfin fournir à cette personne des informations sur les mesures prises dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à partir de la réception de sa demande (article 12 3. du RGPD). Ce délai peut être prolongé de deux mois en raison de la complexité de la demande ou du nombre de demandes. Dans ce cas, vous devez en informer la personne concernée et lui indiquer les motifs de ce report.
Si vous ne donnez pas une suite favorable à sa demande, vous devez l’informer des motifs de votre inaction, de la possibilité d'introduire une réclamation auprès de la CNIL et de former un recours juridictionnel (article 12 4. du RGPD).
Par conséquent, je vous remercie de bien vouloir supprimer de vos fichiers de prospection les données personnelles de l’usager dont l’identité figure dans la pièce jointe au présent courrier, le cas échéant, de notifier cette demande à l’ensemble de vos partenaires destinataires de ses données et d'informer l’usager des mesures prises.
L’usager va être informé de la présente intervention auprès de votre organisme et être invité à revenir vers la CNIL s’il ne reçoit pas de réponse satisfaisante de votre part.
Afin de vous aider à assurer la conformité de vos traitements de données à caractère personnel, la CNIL met à votre disposition une fiche pratique qui vous rappelle vos obligations en matière de prospection commerciale également jointe au présent courrier.
A ce stade, ce courrier n’appelle pas de réponse de votre part auprès de la CNIL. Sachez néanmoins que si la CNIL est saisie de nouvelles réclamations concernant votre organisme, elle pourrait procéder à la vérification de vos traitements de données à caractère personnel, notamment en effectuant un contrôle et, si la situation l’exige, fera usage de ses pouvoirs de sanction.
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées.
Je constate :
Cogent ne m'a jamais informé de la suite qu'elle avait donnée. Je n'ai plus reçu d'emails non plus, ce qui laisse à penser qu'elle a traité ma demande. Affaire à suivre.
FIN DE L'ÉDIT DU 19/07/2023.