Depuis trois ans, un Règlement Général de Protection des Données est censé verrouiller la manière dont sont collectées et traitées nos informations personnelles. Si dans la pratique, la plupart des entreprises respectent autant que faire se peut cette "loi", certaines parviennent à la contourner grâce à quelques subterfuges. Notre témoin de 29 ans, active elle-même dans le marketing, a participé à un concours sur Facebook pour gagner en camping-car. Elle n'a rien gagné. En revanche, elle a perdu quelques données personnelles. L'Autorité de Protection de Données fait le point.
Le RGPD, vous en avez beaucoup entendu parler il y quelques années, lors de la mise en application de ce Règlement Général de Protection des Données. Une initiative européenne qui encadre – et la tâche est délicate, complexe – la manière dont peuvent être utilisées vos données personnelles. Cela va d'une photo de vous à une adresse postale, en passant par votre poids ou vos antécédents médicaux.
Longuement réfléchi, ce règlement adopté en 2016 a eu de nombreuses conséquences pour toutes les entreprises qui possédaient la moindre donnée personnelle d'un citoyen européen. Elles ont dû revoir complètement la manière dont elles demandaient et géraient les noms, adresses, numéros de téléphone (etc…) de leurs clients.
La plupart des entreprises ont joué le jeu, mais pas toutes. Une situation énervante pour les professionnels du marketing qui suivent à la lettre les règles parfois contraignantes des autorités européennes. Cécile (nom d'emprunt) a contacté la rédaction de RTL info via le bouton orange Alertez-nous car elle a "piégé" des entreprises françaises qui occultent visiblement les initiales RGPD. En tant que particulière, elle a sans doute obtenu plus de réponses que nous en tant que média.
Son constat est sans appel: "Ces personnes n'ont aucune éthique ni aucun respect ; elles donnent une mauvaise image du marketing en général, image qui est déjà très fragilisée".
Un "faux concours Facebook" pour "faire le test"
Cécile a 29 ans et habite en région liégeoise. Elle est titulaire d'un Master en marketing et travaille depuis quelques années en tant que marketing manager. Elle l'admet, pour une entreprise, c'est devenu "difficile de se faire une place, car le marketing a parfois une mauvaise image".
Et selon elle, c'est entre autre à cause de personnes et d'entreprises aux "méthodes douteuses". Aurélie parle, par exemple, du matraquage publicitaire par tous les canaux de communication possible, envers des personnes qui ont cédé (souvent involontairement) leurs données personnelles. C'est ce qu'on appelle le spam, ça existe depuis toujours et ça ne s'arrêtera sans doute jamais. De l'email au coup de téléphone, en passant par les toutes-boîtes, on est envahi de publicité indésirable.
Or, toutes les entreprises qui communiquent vers des Européens sont supposées respecter le RGPD. D'après notre témoin – ce que tout le monde constate en ouvrant sa boîte email – c'est loin d'être le cas. Et ça l'enrage. "Là où j'ai travaillé, avec le RGPD, on a fait les choses proprement: on a demandé aux 1.200 contacts (professionnels) qu'on avait de confirmer qu'ils voulaient rester dans notre base données. Pour respecter vraiment les règles (ce que peu d'entreprises ont fait), il fallait une démarche active de la part de nos contacts, donc ils devaient cliquer sur un lien. Au final, il ne nous en restait que 100 !".
Beaucoup d'entreprises ne sont pas donné tout ce mal. Pire, d'autres continuent d'agréger et de vendre des données personnelles.
Cécile appuie ses dires par "un test" qu'elle a mené, en participant à l'un de ses innombrables concours sur Facebook. Certains sont authentiques, par exemple ceux réalisés par une boutique que vous suivez depuis longtemps, ou une grande marque de jouets dont la page est authentifiée. Mais beaucoup d'autres sont des façades destinées à vous soutirer, au mieux, quelques données personnelles.
En une minute on trouve cette page pratiquement vide avec 145.000 abonnés et trois photos-concours publiées
"Je me suis inscrite à un concours pour gagner un camping-car", le "fameux concours avec le cadeau remis en jeu car le gagnant ne s'est pas manifesté". Cécile l'a repéré sur son fil d'actualité Facebook. "A chaque fois, ce genre de concours est partagé par une cinquantaine de personnes. Je savais que c'était une arnaque, c'est facile à voir: la page (qui organise le concours) avait été créée deux jours plus tôt".
Elle ne donne aucun accord mais est inondée de publicité
Pour participer au concours, il suffit bien souvent de remplir un formulaire. "J'ai fourni une partie de mes informations personnelles de base (adresse, email, téléphone, etc). Il fallait aussi dire chez quel opérateur on était, quel fournisseur d'énergie… J'ai rempli un peu au hasard. Je n'ai par contre jamais marqué mon accord pour le partage des infos", nous assure-t-elle.
Sans surprise, quelques heures plus tard, "le harcèlement commence". Cécile se rend compte que ses données ont été transférées à bon nombre d'entreprises actives dans le marketing. "Démarchage téléphonique 24h sur 24, des dizaines d'emails par jour, ma boîte aux lettres (physique) qui explose".
Quant au concours: "plus rien, la page a disparu et de nouvelles ont été créées". Cécile "les signale à Facebook sans arrêt", mais c'est le jeu du chat et de la souris, et le réseau social ne parvient pas (encore) à démêler le vrai du faux quand il s'agit de concours lancés par de nouvelles pages.
Cécile remonte la source et découvre TROIS intermédiaires
Dans plusieurs newsletters qu'elle a reçues, Cécile identifie l'expéditeur, assez clairement présenté en haut de l'email:
"C'est Welcome Media". Une marque de l'entreprise française Welcoming Group, qui se dit (sur son site web) "acteur majeur de la diffusion de contenus ciblés par newsletters". Les services de cette marque "accompagnent les clients dans leurs stratégies d’engagement et d’extension de leurs audiences", peut-on lire. Du pur marketing, donc.
Bref, une entreprise (dans les exemples envoyés par Cécile, on a reconnu Le Figaro, L'Obs, Mon Intérieur Privé, etc…), fait appel à eux pour atteindre de nouveaux clients/abonnés, Welcome Media se charge de réaliser de belles newsletters, et de les distribuer aux bonnes personnes.
Mais pour ça, il faut les données personnelles fiables de clients potentiels. Des listings actualisés et de bonne qualité. Et rien de tel pour en trouver qu'un concours Facebook: les gens – qui pensent avoir leur chance de gagner un camping-car – fournissent plus facilement des coordonnées authentiques.
Cependant, c'est là que ça se complique. Car Welcome Media ne se salit pas les mains et paie d'autres entreprises pour lui trouver ces listings. En se plaignant auprès de Welcome Media via email, du mauvais usage qui a été fait de ses données personnes, Cécile a reçu une réponse et découvert un deuxième intermédiaire :
"Cette société, c'est Confluent Digital". Il s'agit d'une entreprise française également, mais basée à Lyon. Sur son site web, cette 'agence webmarketing' décrit son business: 'accompagner au quotidien de nombreux annonceurs dans la mise en application de leurs stratégies webmarketing, en fonction de leurs besoins : notoriété, trafic, collecte de contacts, ventes et fidélisation'.
Welcome Media a donc fait appel à eux pour leur service de 'collecte de contacts'. Donc a priori, ce sont eux qui ont réalisé le concours Facebook bidon ? Oui… mais non. Quelques jours plus tard, en effet, Cécile est parvenue à obtenir une réponse (par email, toujours) de Confluent Digital. Qui lance la patate chaude à… un autre prestataire, impossible à identifier:
"Confluent Digital est un prestataire externe pour le compte de la société Welcome Media. Nous avons pour mission de mettre en relation des sociétés collectant des données et des sous-traitants possédant des jeux concours. Notre rôle s’arrête dans la mise en relation entre ces deux parties", explique un employé de Confluent Digital dans le courrier envoyé à Cécile.
Bienvenue dans le monde du travail moderne, qui consiste à ne prendre aucune responsabilité en confiant des tâches à des prestataires, qui utilisent la même méthode. Au sommet de la cascade, il y a forcément un responsable, celui qui "possède des jeux concours" sur Facebook, mais impossible de l'identifier. C'est à se demander si ces agences de webmarketing ne sont pas nées avec le RGPD pour que des entreprises 'propres' puissent contourner ce règlement en toute légalité.
Que disent les deux entreprises identifiées ?
Nous avons contacté Confluent Digital, mais notre demande d'interview s'est soldée par un échec. "Confluent Digital respecte la réglementation européenne en vigueur en matière de protection des données et s’efforce de la faire respecter à l’ensemble de ses partenaires", s'est contenté de répondre son DPO (Digital Protection Officer), donc la personne dans l'entreprise chargée de veiller au respect du RGPD. Il n'a pas voulu nous donner le nom du fameux organisateur de concours Facebook.
La société Welcoming Group, située en bout de cascade et qui se contente de réaliser et envoyer des newsletters "pour la presse et les médias", a joué la transparence. "Notre entreprise existe depuis 8 ans, et ne cesse de prendre de l'ampleur", nous a expliqué Anne Dumon, directrice des opérations. Elle reconnait que la collecte de profils et de données personnelles vers lesquelles Welcome Media (une des marques du groupe) envoie ses newsletters est liée "aux jeux concours, via des partenaires".
Ces partenaires comme Confluent Digital sont sélectionnés par Welcome Media "car ils adhèrent au CPA". Il s'agit du Collectif Pour les Acteurs du marketing digital et effectivement, les noms de Welcoming Group et Confluent Digital apparaissent parmi "les membres" (soit 120 acteurs qui se sont "engagés à proposer leurs services dans le respect de la déontologie et des bonnes pratiques de la profession", peut-on lire sur le site).
Welcoming Group, comme on l'imagine, se retranche donc derrière la sous-traitance de la collecte des données. "Ce n'est pas notre métier", dit sa directrice, qui précise que ses partenaires "ont signé après la mise en place du RGPD ce qu'on appelle un 'avenant RGPD', qui les engagent à respecter les nouvelles normes".
Il n'empêche que malgré ses précautions, Welcome Media a bel et bien envoyé un tas de courriers indésirables à Cécile, car Confluent Digital, qui rappelons-le n'a pas souhaité répondre à nos questions, l'aurait mis en relation avec un organisateur de concours foireux sur Facebook. Foireux mais surtout illégal, vous aller le voir.
L'Agence de Protection des Données est formelle: il y a infraction
Lors de la mise en place du RGPD au niveau européen en 2016, des 'agences' locales ont été mises en place dans chaque pays. En Belgique, c'est l'Autorité de Protection de Données (APD) qui veille au grain.
Nous lui avons soumis le cas de Cécile, et sans surprise, de gros manquements au respect du RGPD ont été soulevés.
Une pratique illégale. "Premièrement, quand on organise un concours, on peut seulement récolter les données nécessaires à ce concours. Par exemple, si c'est pour gagner des tickets, on ne peut demander que le nom et l'adresse pour les envoyer. Les données ne peuvent servir qu'à la gestion du concours. C'est le principe de finalité", nous a expliqué Aurélie Waeterinckx, porte-parole de l'APD.
Ensuite, "si (l'organisateur du concours) récolte plus de données personnelles, ou s'il utilise ces données pour une nouvelle finalité – dans ce cas-ci envoyer de la publicité (ou vendre ces données) – il faut une base légale distincte, en l'occurrence un consentement spécifique".
Ce consentement spécifique (au droit de partage des données à des fins marketing, par exemple), doit obligatoirement être une "démarche active". Typiquement, il faut cocher une case qui ne l'était pas au préalable (sinon la démarche n'est pas considérée comme active). "Mais ça peut aussi être le faire d'activer un bouton 'interrupteur' par glissement, ou d'écrire soi-même OUI" dans un champ de texte à côté du consentement explicite.
Comme on le pressentait, "une phrase indiquant que vous consentez à l’utilisation de vos données à des fins marketing pré-écrite et cachée dans des conditions d’utilisation n’est pas un consentement valide", confirme l'Autorité de Protection des Données.
Il y a donc bien infraction à plusieurs niveaux.
Des amendes administratives qui peuvent aller jusqu’à 20 millions d’euros
Quelles sont les démarches, les plaintes, les sanctions ?
Vous l'avez compris, dans le cas de Cécile, le plus dur n'est pas d'identifier les infractions, mais plutôt celui qui les a commises. Welcome Media dit que c'est Confluent Digital. Confluent Digital dit que le concours a été organisé par un prestataire externe qu'il ne nomme pas.
C'est donc vers ce prestataire externe, pour autant qu'on puisse un jour l'identifier, que Cécile doit orienter sa plainte. L'Autorité de Protection des Données explique la marche à suivre.
"On a des droits", qui sont rassemblés et expliqués sur ce site. "Il faut contacter le responsable du traitement des données (donc l'organisateur du concours bidon sur Facebook). La première étape est de l'interpeller afin qu'il rétablisse la situation". Donc pour "qu'il efface toutes les données collectées" illégalement.
"Si le responsable de traitement ne répond pas, ou pas de manière satisfaisante, le citoyen peut se tourner vers nous (l’Autorité de protection des données)". Les explications de cette démarche sont rassemblées sur cette page. Pour résumer, il y a d'abord une tentative de médiation pour trouver un arrangement, et si rien ne change une plainte est déposée. La procédure est plus lourde et fera intervenir la 'Chambre contentieuse', qui peut "imposer des sanctions de type financier (des amendes administratives qui peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial) ou non financier (par exemple : l’effacement d’une base de données, l’arrêt d’un traitement de données)".
Dans le cas de Cécile, s'il elle décide de déposer une plainte, il s'agira d'un cas plus complexe car les entreprises ciblées semblent localisées en France. Pas un problème, selon l'APD. "Les différentes autorités nationales collaborent quand il s’agit de traiter des dossiers transfrontaliers".
Entretemps, et parce qu'elle a pris la peine d'identifier les entreprises concernées et de les contacter, elle est parvenue à se désinscrire de certaines chaînes d'envoi de publicité. "Mais je continue à recevoir plusieurs courriers par jour" et des SMS "parfois très louches" :
Conclusion
Le Règlement Général de Protection de Données a changé de manière fondamentale la manière dont quiconque peut demander, conserver ou manipuler les données personnelles des citoyens européens.
Si la plupart des entreprises s'y sont conformés de manière plus ou moins précises (les changements étaient lourds et toutes n'ont pas pris la peine de modifier complètement leurs procédures ou de mettre aux normes leurs bases de données), certaines ont trouvé des solutions plus ou moins douteuses de contourner la collecte en données en personnelles en la confiant à des prestataires externes.
Des sociétés semblent donc spécialisées dans la collecte et la revente de données personnelles. Les questions posées par Cécile, notre témoin actif dans le marketing et qui a "testé" un concours bidon sur Facebook pour démontrer les méthodes illégales de certains acteurs, ont permis de remonter la source du problème jusqu'à un certain point.
On comprend donc qu'entre un concours et une newsletter ou un SMS, il y a eu trois intermédiaires collectant, vendant et exploitant l'adresse email et le numéro de téléphone de Cécile. De quoi brouiller les pistes de l'Autorité de Protection des Données (APD) qui a pourtant un arsenal de procédures et de sanctions pour protéger les consommateurs. Au bout de la chaîne, il y a un fautif, celui qui a organise le concours, mais l'intermédiaire Confluent Digital qui aurait pu nous donner son identité a refusé de le faire. Une procédure judiciaire, assistée par l'APD, pourrait contraindre Confluent Digital à le faire. Des sanctions pourraient être infligées, Cécile pourrait obtenir réparation. Pour autant qu'elle prenne la peine de porter plainte. Elle "réfléchit à le faire".
Notre témoin "trouve surtout hallucinant que des entreprises vendent des listings à l'aide de faux concours". Elle estime aussi que "c'est terrifiant de savoir tout ce qu'ils ont récoltés (jusqu'à l'adresse IP)".
Vos commentaires