Si vous avez passé une commande sur le site de la Fnac ou de Darty, votre nom, votre adresse postale et votre numéro de téléphone ont terminé dans la base de données d’un partenaire sans votre consentement. Plus de la moitié de la population française y est répertorié.

Un beau matin, j’ai reçu un courrier postal de la Ligue contre le cancer. Ce courrier était nominatif. Cela signifie que la Ligue contre le cancer avait dans sa base de données mon nom, mon prénom et mon adresse postale. Problème, je n’ai jamais fait de don à la Ligue contre le cancer et n’ai jamais donné mon consentement pour cette prospection. Suite à une enquête approfondie, j’ai découvert que j’étais répertorié à mon insu dans une base de données de 37 millions de personnes.

Comme je l’explique dans cette vidéo, le courrier de la Ligue contre le cancer ne mentionnait aucune des mentions d’information obligatoires. Je ne pouvais pas savoir pourquoi je recevais ce courrier alors que l’article 14 du RGPD précise bien que la source d’où proviennent les données à caractère personnel doit être présente dans les informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée. Après avoir contacté le délégué à la protection des données de la Ligue du cancer j’ai réussi a obtenir cette réponse :

Monsieur, La source de provenance de vos coordonnées est la mégabase « profilia ». Celle-ci regroupe les entités suivantes : M6 Boutique, ABC Baby, Notre Temps, TF1.fr, Editions Atlas, Jacques Briant, Club Alpin Français, TF1Conso.fr, Handicap International, Téléshopping, France Abonnements, Moto Journal, Camping caravaning, L'Automobile magazine, Le Cycle, Golf Magazine, Jogging, Geo, National Géographic. Vous avez donc du donner vos données personnelles à l’une de ces entités et consentir à leur transmission. Si vous êtes client de l’une de ces structures je vous invite à retirer votre consentement auprès d’elle. En espérant vous avoir été utile.

De là commençait réellement la chasse au divulgateur de données. Parmi les sociétés indiquées, aucune d’entre elles me disait quelque chose, et le nom de la base de données Profilia non plus. Tout en déposant des demandes d’accès au titre de l’article 15 du RGPD aux entreprises responsable de traitement de la base Profilia, j’ai cherché quel était la dernière fois que j’avais transmis mon adresse. J’ai fait un achat chez Darty le 10 octobre. Je parcours la politique de confidentialité, et en plein dans le mille. Darty indique transférer les adresses postales et les numéros de téléphone aux entreprises Data Company et Adresse Company du groupe Groupe Neptune Media qui sont en charge du fichier Profilia.

Sur leurs sites, Fnac et Darty indiquent un intérêt légitime à la prospection commerciale par voie postale et par téléphone (y compris profilage) par eux-même ou par des tiers et qu’il est possible de s’opposer à ce démarchage dans les options du compte client. Le problème est que je me souviens très bien avoir vu cette option lors de ma commande le 10 octobre dernier et m’être opposé dès que je le pouvais. Mon compte Darty affiche bien une opposition de ma part dans les options. Il y a donc un problème quelque part. Pourquoi mes coordonnées sont enregistrés dans cette base tiers et que je reçois de la prospection, alors que je m’y suis opposé ?

Tweet de Darty SAV : 'Bonjour, Nous avons bien pris connaissance de l'ensemble de votre demande. Nous pouvons vous assurer que votre dossier est suivi par le plus haut niveau de la direction qui ne manquera pas de revenir vers vous. Wassila'

Darty a réagit très rapidement sur Twitter et a assuré que mon dossier était suivi « par le plus haut niveau de la direction ». Oups, les plaintes à la CNIL sont déjà parties…

Est-ce légal ?

Il semble loin le temps du scandale du fichier SAFARI qui aurait initié la création de la CNIL dans les années 70. On craignait pour la constitution d’un fichier rassemblant tous les français. Aujourd’hui, plus de la moitié d’entre-elleux sont tranquillement répertoriés par une entreprise de prospection. Le pire dans tout ça est que la CNIL pourrait déclarer la pratique légale.

Dans plusieurs pages de leur site, la CNIL indique que la prospection par voie postale ou téléphonique (hors automate d’appel) serait légale même sans consentement et même lorsqu’on transmet les coordonnées à des partenaires.

Site web de la CNIL. Prospection commerciale, la transmission de données à des partenaires. Les données transmises vont-elles être réutilisées à des fins de prospection commerciale par voie électronique (courrier électronique, SMS, etc.) ? Non. La prospection sera faite par courrier postal ou par téléphone (hors automate d’appel). Le consentement préalable n’est pas nécessaire à la transmission. Les personnes doivent être informées et mises en mesure de s’opposer de manière simple et gratuite.

Selon moi la CNIL commet une erreur juridique sur la prospection par voie postale. Dans les textes de référence sur le sujet, elle cite l’article 6 du RGPD sur les bases de licéité, l’article 21 du RGPD sur le droit d’opposition, l’article L34-5 du code des postes et des communications électroniques et une décision du conseil d’État (11/03/2015, 368624). Le code des postes et des communications électronique, tout comme la décision du conseil d’État précitée, indiquent que la prospection par voie électronique n’est autorisée que lorsque le consentement est demandé et acquis. Avant la mise en place du RGPD, cela signifiait que la prospection par voie postale et téléphonique était alors autorisée même sans consentement. Cependant, selon moi le RGPD a changé les choses et la CNIL n’a pas mise à jour sa doctrine.

Dans le cas de la prospection par une entité privée (entreprise, association…), deux principales bases de licéité peuvent intervenir. Soir il s’agit de l’intérêt légitime, soit il s’agit du consentement. Pour ce dernier, on l’aura compris, il faut informer et demander à la personne concernée son accord. Pour l’intérêt légitime, il n’est pas nécessaire de demander l’accord de la personne car le service proposé doit procéder à ce traitement de données pour fonctionner. Dans le cas de mon achat sur le site de Darty, cela coule de source que mon adresse postale soit transmise à l’entreprise de livraison pour qu’elle puisse me livrer par exemple. Mais est-ce que le fait que je reçoive une lettre de la Ligue contre le cancer après un achat sur le site de Darty est vraiment ce à quoi on peut s’attendre ?

Le considérant 47 du RGPD précise bien que la personne doit raisonnablement s’attendre à ce que le responsable de traitement procède au traitement de ses données. Et la prospection est également citée comme pouvant être considéré comme étant réalisé pour répondre à un intérêt légitime. Cependant, pour que l’intérêt légitime soit choisi, le traitement ne doit pas heurter les droits et intérêts des personnes. J’estime que la transmission de mon adresse postale à des tiers (et ici à toute personne qui achète la base de données Profilia) pourrait porter une atteinte grave à ma sécurité (atteinte physique ou cambriolage) tel que prévu par le considérant 83 du RGPD (dommages physiques ou matériels).

En outre, la société responsable du fichier Profilia ne garantit pas la sécurité des données. D’après leur site, « Les Parties reconnaissent que le Client est le seul responsable de la détermination des finalités et moyens relatifs au traitement des données personnelles et qu’il intervient en tant que responsable de traitement ». Ainsi, les données sont transmises aux clients de Profilia et aucun contrat de sous-traitance ne protège l’utilisation qui faite de mes données par ces clients comme le prévoit l’article 29 du RGPD. Donc mes données sont dans la nature et n’importe qui peut en faire n’importe quoi (de la prospection ou autre chose).

Concernant la prospection dont j’ai fait l’objet de la part de la Ligue contre le cancer, j’avais déclaré mon opposition à Darty pour toutes les prospections commerciales. Ainsi, et comme l’indique bien l’alinéa 3 de l’article 21 du RGPD, mes données ne doivent plus être traitées à cette fin. Le problème étant que Darty a communiqué à des tiers (Profilia), qui eux même ont communiqué à potentiellement plusieurs autres tiers et que tout ces tiers n’ont pas respecté mon droit d’opposition déclaré auprès de Darty.

Ce qui est intéressant dans cette affaire c’est que l’ensemble de la chaine (Darty, Profilia, Ligue contre le cancer) pourrait être poursuivit et sanctionné par la CNIL. Il ne reste plus qu’à attendre une réaction de la CNIL.