Mi-janvier 2017, j'ai souscrit un contrat de réexpédition définitive nationale de mon courrier avec La Poste. Comme je commence à être un peu habitué du formulaire, j'ai machinalement coché « Je m'oppose à l'utilisation de mes coordonnées postales à des fins de prospection commerciale par La Poste, ses filiales et ses partenaires. ».
D'habitude, l'employé-e de La Poste me remettait la copie carbone du formulaire que j'ai rempli à la main, mais cette fois-ci, non, il a saisi mon formulaire sur un ordinateur et il m'en a remis un exemplaire imprimé. En arrivant chez moi, je me rends compte que la case anti-spam n'est pas cochée. Je me dis que, peut-être, le logiciel ne sait pas imprimer une case cochée (en fait si, et je me suis rendu compte depuis : la case « contact privilégié » est bien cochée, par exemple)… Et puis je n'ai pas envie de retourner à La Poste, ça prend du temps, ça emmerde des employé-e-s déjà débordé-e-s, etc. Grosse erreur !
Je déménage et c'est l'avalanche : bon d'achat Decathlon le 23/02, Établissement Français du Sang le 25/02, Chronodrive le 28/02, Casino Supermarchés le 01/03, SNCF Mobilités le 14 ou le 15/03. Certains prospectus, comme celui de Decathlon, contiennent des mentions légales détaillées « Ce message est adressé à l'aide des informations mises à disposition par l'intermédiaire des sociétés du Groupe La Poste. Si vous ne souhaitez pas être destinataire de ces messages, il suffit de […] ». D'autres prospectus, comme celui de l'EFS, de Casino Supermarchés et de la SNCF indiquent uniquement leur adresse sans indiquer la source des données personnelles. Enfin, mention spéciale à Chronodrive qui n'indique aucune mention légale. Aucune. Pffff !
Vu que l'adresse de destination du contrat de réexpédition est l'adresse d'une connaissance et que ça m'ennuie vraiment de lui pourrir sa boîte aux lettres, je décide de faire appliquer les droits dont dispose la loi informatique et libertés. En plus, ça tombe bien, je n'ai jamais vraiment regardé cette loi de près. Voici le mail que j'ai envoyé le 24/02/2017 à l'adresse mail « adresse chez mediapost point fr » (elle est indiquée sur le prospectus Decathlon) :
Bonjour,
J'ai reçu, par courrier postal, le prospectus joint au présent email.
D'une part, comme en dispose les articles 39 et 32 de la loi Informatique et libertés du 06/01/1978, je veux communication, sous une forme accessible, de l'ensemble des données personnelles me concernant qui sont en votre possession ainsi que des caractéristiques de votre traitement de données personnelles et notamment :
- la durée de conservation des données ;
- l'origine des données ;
- la preuve de mon consentement éclairé à recevoir ce type de démarchage publicitaire (article 40 de la loi informatique et libertés du 06/01/1978) ;
- si vous avez communiqué mes données à des tiers (y compris à des sous-traitants ou à des partenaires) et/ou si vous êtes susceptibles de l'avoir fait et/ou si vous êtes susceptibles de le faire.
D'autre part, comme en dispose l'article 38 de la loi informatique et libertés du 06/01/1978, je m'oppose à l'utilisation de mes données personnelles à des fins d'enquêtes et de prospections commerciales.
Conformément à la loi informatique et libertés du 06/01/1978 et aux recommandations de la CNIL, vous trouverez ma carte nationale d'identité en pièce jointe afin de prouver mon identité.
Cordialement.
Mediapost (filiale du groupe La Poste qui œuvre dans le marketing relationnel) dispose de deux mois max pour me répondre. Pour le justificatif d'identité, la CNIL nous précise : « Attention, le responsable de fichier ne doit pas vous demander des pièces justificatives abusives et disproportionnées par rapport à votre demande. ».
Mediapost me répondra le 27/02 :
Je pense que ces informations sont incomplètes :
Entre ma demande et la réception de la réponse de Mediapost, j'ai reçu le spam de l'EFS. Celui-ci n'indique pas l'origine des données et cela m'intrigue, surtout vu la réponse de Mediapost. Voici donc le mail que j'adresse à Mediapost le 27/02/2017 :
Bonjour,
Je vous remercie pour ces informations.
Vous n'avez pas répondu à l'une de mes questions : avez-vous communiqué mes données à des tiers (y compris à des sous-traitants ou à des partenaires) et/ou êtes-vous susceptibles de l'avoir fait et/ou de le faire ? Ce que je veux savoir c'est si les organismes désireux de se faire connaître achètent ou louent votre fichier ou s'ils passent forcément par votre service pour envoyer leurs prospectus sans jamais avoir connaissance des données personnelles ?
Exemple concret : depuis l'envoi de cette demande, j'ai reçu un prospectus de l'établissement français du sang (EFS) dont la première phrase est identique à celle du prospectus Decathlon qui faisait l'objet de ma demande, à savoir « Vous venez d'emménager à TOULOUSE et […] vous souhaite la bienvenue ». Les mentions légales en bas de page ne mentionnent pas l'origine des données. Est-ce que l'EFS est un de vos clients ? Sera-t-il averti que je m'oppose à recevoir toute sollicitation ou faut-il aussi que j'exerce mon droit d'opposition auprès de lui ?
Concernant mon consentement : si je vous ai contacté, c'est justement parce que j'ai coché la case en question sur le contrat de réexpédition définitive, ce qui fait que je ne comprends pas pourquoi je reçois des prospectus. Avez-vous une copie de mon formulaire de souscription au service de réexpédition qui montre que cette case n'est effectivement pas cochée ?
Cordialement.
Ma demande sera remontée à La Poste et je recevrai une réponse le lendemain (28/02/2017) :
J'en déduis que le traitement de données personnelles de La Poste n'est pas conforme à l'exigence de la loi informatique et libertés concernant la collecte du consentement éclairé. Le troisième point remplit parfaitement les exigences de la loi que j'exposais au round précédent. Le deuxième point tend néanmoins à le nuancer : si La Poste a besoin de mes signalements, cela ne signifie-t-il pas que la traçabilité n'est pas au top chez les partenaires Mediapost et Cartegie ?
Le reste de nos échanges à trois (moi, La Poste, Mediapost) seront dédiés à remonter les spams reçus et à indiquer que ma demande a bien été prise en compte. J'apprendrais néanmoins qu'il y a au moins deux offres :
J'en retiens :
Hé oui, la loi informatique et libertés est très contraignante pour les responsables de fichiers, mais elle me semble juste : il s'agit de données personnelles, bon sang, pas de données publiques, pas de données de test ! Produire un système d'information qui traite des données personnelles, ce n'est pas trivial : il y a des contraintes techniques de sécurisation et de traçabilité (qui a accédé aux données ? À qui les a-t-on refilées ? Y'a-t-il eu fuite/piratage ? Etc.) ainsi que des contraintes légales sur les usages. Mais tout ceci est incompatible avec le business qui impose de chier un SI à la va-vite, sans réfléchir, en mode "on stocke juste quelques infos sur nos client-e-s, osef, ce sont juste des client-e-s lol, ça va quoi il-elle-s n'ont pas vraiment de droits autre que celui de rémunérer nos actionnaires et accessoirement de nous payer nos salaires, mdr".