WTF? Comment ont-ils obtenu mon adresse ?

Dans le monde de l’emailing, les plaintes et le non-respect des lois sont nombreux. Chez Badsender, les experts qui enquêtent sur ces cas sont membres d’une unité d’élite appelée les Dézingueurs. Voici leurs histoires ! DUNDUUUUUUN!!!! Pardon… je m’égare.

Les noms des sociétés incriminées ici sont tous anonymisés, car j’estime que chacun a le droit (le devoir !) de faire peau neuve dans ses pratiques et de ne pas pâtir de ses erreurs passées ad vitam.

Voici mon histoire…

J’ai récemment eu l’occasion de remonter la piste d’un email envoyé sur ma boite mail perso de la part d’une société inconnue au bataillon. Messagerie qui est strictement réservée aux échanges avec mes proches, qui bien qu’assez simple à deviner n’est communiquée que dans certains cas bien précis.

Voici, devant vos yeux ébahis, une copie du fameux email.

On peut donc en déduire assez rapidement que cet email m’a été envoyé sans mon consentement. Ce genre de cas me titille particulièrement et comme se plaisent à dire mes collègues, je ne représente pas la majorité des internautes et leurs actions face à ce type de communication non souhaitée. J’entends par là que lorsque je reçois une campagne pour laquelle je n’ai, de mémoire, jamais donné mon accord… je ne clique pas sur le lien de désinscription. Non, mesdames et messieurs ! Je remonte les manches de mon imper, chausse mon monocle et tente de suivre les petits cailloux disséminés de ci de là.

Taïaut à l’attaque !

Très sincèrement, je ne m’attendais pas à recevoir une réponse à ma demande, dans laquelle pour résumer j’exprimais mon désir à cette société de recevoir une copie des données personnelles en leur possession me concernant, ainsi que leurs provenances et bien évidemment la preuve de mon consentement (peut être suis-je somnambule et m’inscris sur des listes de diffusion pendant mon sommeil à mon insu… qui sait). Je me suis également permis de rappeler les risques encourus par une société en cas de violation du RGPD, juste au cas où.

A mon grand étonnement, il ne s’est pas passé 2h entre ma torpille mon email et la réponse du co-fondateur de ladite société. Très transparent, il me communique la provenance de la liste shootée : une agence spécialisée dans les datas, qui je cite « scrute le web pour vous adresser des prospects qualifiés et automatise toutes les tâches chronophages liées à la prospection ». Mauvaise pioche pour eux, je ne suis pas de ceux qu’on peut qualifier facilement (déformation professionnelle j’imagine… ou juste chiante ^^).

Après ce premier palier, franchit assez facilement il faut l’admettre, me voilà toute ragaillardie ! Continuant sur ma lancée, je fouine un peu sur le site de cette agence qui se vante d’identifier et sourcer les meilleurs prospects. Autant vous dire qu’ils ne viennent pas de se faire une amie. Passons !
Je leur transfère ma demande. Après quelques jours, je reçois une réponse de la part de leur Customer Success Manager, avec cette fois-ci la liste complète des informations me concernant dans leur base. On y retrouve la région dans laquelle j’habite, mon poste, évidemment mon nom et prénom, des informations à propos de Badsender, un lien vers ma page Linkedin (tilt !)… et la source : une autre agence.

A cette étape, autant vous dire que j’avais l’impression d’être une simple adresse email revendue à qui enchérit le mieux. Prenant mon mal en patience, je transfère à nouveau mon email (oui, il faut du dévouement), dans lequel j’ai évidemment à chaque fois demandé à être désinscrite.
Il m’aura cette fois-ci fallu une relance avant d’obtenir réponse de la part de cette 3ème agence. Ma démarche a dû être prise un peu plus au sérieux : réponse du CEO en moins de 10min. Enfin, suis-je arrivée à la 1ère agence, détentrice et revendeuse de la liste de prospects « qualifiés » ? C’est avec un peu de stupeur que j’apprends la provenance de mes données. Pas si naïve, j’avais compris que la fuite venait de mon compte Linkedin… néanmoins, mon adresse perso n’y est pas renseignée !

Et la méthode expliquée par l’agence pour récolter les emails…

« Votre email a été trouvé grâce à l’extension Rapportive de Sales Navigator en supposant l’email avec votre nom et prénom. »

Plutôt flou à mon goût, je demande plus d’informations sur la provenance.

« La provenance de vos données provient de LinkedIn Sales Navigator depuis une recherche, ces données sont publiques et ajoutées par vous lors de votre inscription, de même pour votre email personnel qui est automatiquement disponible lorsqu’une personne rentre en contact avec vous.
Nous n’avons pas obtenu votre email sous la forme direct (c’est à dire un achat de base ou autre), nous avons généré votre email […] en supposant prenom.nom@[gmail.com,outlook.com,yahoo.fr…] et ensuite proposé cet email à notre client qui a décidé de l’utiliser.

Dans l’avenir si vous ne souhaitez plus avoir ce genre de problème avec d’autres services, je vous conseille de ne pas rentrer votre email sur LinkedIn, car chaque personne qui rentre en contact avec vous pourra l’utiliser et le trouver.»

Merci pour ce conseil !

Après avoir lu les conditions générales de Linkedin, il fait effectivement mention que nous donnons notre consentement à l’inscription sur l’utilisation de nos données par les services du réseau social ainsi que leurs partenaires :

« Lorsque les membres rejoignent LinkedIn, ils acceptent expressément nos Conditions d’utilisation, notamment de recevoir des messages promotionnels et d’autres messages de nous et de nos partenaires. »

Je ne reproche rien au réseau social. Je m’y suis inscrite de mon plein gré pour développer mon réseau professionnel et permettre à quiconque de me contacter dans ce cadre. Fut un temps, lorsque j’étais freelance, mon compte indiquait bien une adresse perso (mais pas celle shootée…) et depuis 2015 l’adresse email sur mon compte est celle de Badsender, également disponible sur le site de l’agence >> qui n’est donc pas un secret.

OK ! Mais alors, en dehors de recevoir un email sans mon consentement, pourquoi l’adresse utilisée n’est-elle pas mon adresse principale sur le réseau ?
Est-ce que « supposer » l’adresse email personnelle de quelqu’un, sous prétexte de faire partie de son réseau (et ce n’est pas le cas ici, je ne suis en relation avec aucune de ces agences) respecte le RGPD ? Est-on en droit de générer des adresses email (pro comme perso) à partir de données récoltées sur un réseau social ? Peut-on exploiter librement ces données ? Plus, est-ce légal de monnayer ces informations ?

Bien qu’ayant une petite idée des réponses, je vais tenter d’éclaircir prochainement ces points auprès de la CNIL et d’un juriste. Stay tuned !

A propos de Marion Moillet

Après un BTS en marketing spécialisé pour l’industrie hôtelière et une licence en nouvelles technologies appliquées au tourisme, Marion a travaillé plus de 3 ans chez un routeur email où elle a eu l’occasion d’apprendre l’ensemble des métiers liés à l’emailing et au eCRM. Chez Badsender, Marion est en charge de l’accueil des nouveaux clients et de leur accompagnement.

4 commentaires

  1. Héhé, bravo Marion !!! 🙂 ça c’est des articles comme je les aime 🙂

    Ce n’est pas la première fois que j’entends cela de la part de Sales Navigator & Linkedin.
    Cela pose un vrai problème pour les utilisateurs qui est multiple :
    – qui sait réellement ce à quoi il consent quand il utilise une extension, je veux dire réellement !
    – ces utilisateurs utiliseraient ils toujours ladite extension s’ils étaient au courant de ce à quoi cela les expose réellement ?

    L’autre problème dans ton article est : ton adresse a t’elle réellement été « supposée » – moi j’utilise le terme forgée car c’est ce qu’on fait réellement quand on « invente » des adresses qu’on ne connait pas formellement » – ou provient-elle d’une source encore moins glorieuse que l’extension dont ils parlent.
    Si l’adresse est forgée, on ne rentre pas dans le cadre du GDPR et on passe même de l’autre côté du miroir car c’est clairement des pratiques de spammeurs.

    J’ai hâte de lire la suite de l’histoire 😉

    PS: On voit en filigramme l’un des avantages de la RGPD, on a enfin une réponse à ses questions.

  2. Et du coup vous avez changé votre nom de famille sur Linkedin… :p

  3. bel article ! curieux de la suite 🙂

    sales navigator serait utilisé par business.linkedin.com
    or, j’ai retrouvé dans les options de mon compte linkedin une partie « partenaires et services », dans laquelle le service business.linkedin.com était autorisé ! Aucun souvenir d’avoir activé cette option :/

  4. Marrant ce billet ! J’ai tendance à faire la même chose à mes heures perdues avec les sociétés aux pratiques douteuses.

    Souvent je les signale au dispositif Signal Spam, aux associations de consommateurs et à la Répression des fraudes si vraiment leur offre me parait trompeuse… à terme cela devrait contribuer à l’effort pédagogique auprès des entreprises concernant l’utilisation de nos données personnelles. 😉

    2 choses à ajouter à votre billet, en particulier sur le fonctionnement de ces applis :

    1 – Dans Linkedin, dans le menu « Préférences et Confidentialité » puis dans la rubrique Confidentialité vous trouverez le paramètre « Votre adresse email » qui vous permet de choisir qui peut « voir » (et donc accéder, y compris des applications) à votre adresse email ou pas. Cela permet de se protéger un peu plus.

    2 – Malgré cela, la technique utilisée par la première agence peut tout à fait se faire sans connaître l’adresse email principale de votre compte Linkedin : à partir du moment où vous êtes repérée comme cible potentielle, un petit programme peut tout à faire accoler vos noms et prénoms en combinant des centaines de possibilités, puis router un email « test » pour vérifier l’existence ou non des dites adresses emails et enfin revendre celles qui sont valides (avec le risque pour l’acheteur qu’il s’agisse éventuellement d’une autre personne que vous qui recevra l’email de prospection, un homonyme par exemple).

    Cela fait partie des pires techniques de growth hacking qui contribuent à polluer le web et encombrer nos boites emails et les datacenters du monde entier.

    Je me doute bien des réponses de la CNIL sur le sujet, mais je vous laisse revenir vers nous 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *