La poste et « cloud de confiance » 🤣🤣🤣

Un incident technique empêche les clients de La Banque Postale d'effectuer des virements en ligne avec leur compte depuis plus de 24 heures. Sur les réseaux sociaux, les utilisateurs expriment leur colère.

Il y a des entreprises qui reçoivent entre 50 et 100 objets signalés par jour, le facteur et le réceptionnaire ou vaguemestre n'ont pas matériellement le temps de se consacrer à cette contrainte sur le champ.
Il y a donc ce qu'ils appellent les "clients importants" où les LRAR sont remisent en lot accompagnées d'un bordereau qui liste les différentes produits signalés (LRAR, lettres recommandées ,lettres suivies, colis avec et sans signature).

«Si le chiffre d'affaires sur les 6 premiers mois de l'année est quasi-stable à périmètre et change constant (+0,9 %, à 12,8 milliards d'euros), le résultat d'exploitation dévisse, lui, de 33 %, à 572 millions. Le résultat net suit logiquement le mouvement, et s'affaisse à 474 millions d'euros (-25,5 %).»

«Votre colis a déjà été égaré ou livré avec du retard ? Vous attendiez un courrier qui n'est finalement jamais arrivé ? Particulier ou entreprise, vous pouvez signaler en ligne les problèmes liés à la livraison d'un colis ou d'un courrier.»

Copie débarrassée de cette merde qu'ils appellent l'écriture inclusive  :



Mi-janvier 2017, j'ai souscrit un contrat de réexpédition définitive nationale de mon courrier avec La Poste. Comme je commence à être un peu habitué du formulaire, j'ai machinalement coché « Je m'oppose à l'utilisation de mes coordonnées postales à des fins de prospection commerciale par La Poste, ses filiales et ses partenaires. ».

D'habitude, l'employé de La Poste me remettait la copie carbone du formulaire que j'ai rempli à la main, mais cette fois-ci, non, il a saisi mon formulaire sur un ordinateur et il m'en a remis un exemplaire imprimé. En arrivant chez moi, je me rends compte que la case anti-spam n'est pas cochée. Je me dis que, peut-être, le logiciel ne sait pas imprimer une case cochée (en fait si, et je me suis rendu compte depuis : la case « contact privilégié » est bien cochée, par exemple)… Et puis je n'ai pas envie de retourner à La Poste, ça prend du temps, ça emmerde des employés déjà débordés, etc. Grosse erreur !

Je déménage et c'est l'avalanche : bon d'achat Decathlon le 23/02, Établissement Français du Sang le 25/02, Chronodrive le 28/02, Casino Supermarchés le 01/03, SNCF Mobilités le 14 ou le 15/03. Certains prospectus, comme celui de Decatlon, contiennent des mentions légales détaillées « Ce message est adressé à l'aide des informations mises à disposition par l'intermédiaire des sociétés du Groupe La Poste. Si vous ne souhaitez pas être destinataire de ces messages, il suffit de […] ». D'autres prospectus, comme celui de l'EFS, de Casino Supermarchés et de la SNCF indiquent uniquement leur adresse sans indiquer la source des données personnelles. Enfin, mention spéciale à Chronodrive qui n'indique aucune mention légale. Aucune. Pffff !



Vu que l'adresse de destination du contrat de réexpédition est l'adresse d'une connaissance et que ça m'ennuie vraiment de lui pourrir sa boîte aux lettres, je décide de faire appliquer les droits dont dispose la loi informatique et libertés. En plus, ça tombe bien, je n'ai jamais vraiment regardé cette loi de près. Voici le mail que j'ai envoyé le 24/02/2017 à l'adresse mail « adresse chez mediapost point fr » (elle est indiquée sur le prospectus Decathlon) :

   Bonjour,

   J'ai reçu, par courrier postal, le prospectus joint au présent email.

   D'une part, comme en dispose les articles 39 et 32 de la loi Informatique et libertés du 06/01/1978, je veux communication, sous une forme accessible, de l'ensemble des données personnelles me concernant qui sont en votre possession ainsi que des caractéristiques de votre traitement de données personnelles et notamment :

       la durée de conservation des données ;
       l'origine des données ;
       la preuve de mon consentement éclairé à recevoir ce type de démarchage publicitaire (article 40 de la loi informatique et libertés du 06/01/1978) ;
       si vous avez communiqué mes données à des tiers (y compris à des sous-traitants ou à des partenaires) et/ou si vous êtes susceptibles de l'avoir fait et/ou si vous êtes susceptibles de le faire.

   D'autre part, comme en dispose l'article 38 de la loi informatique et libertés du 06/01/1978, je m'oppose à l'utilisation de mes données personnelles à des fins d'enquêtes et de prospections commerciales.

   Conformément à la loi informatique et libertés du 06/01/1978 et aux recommandations de la CNIL, vous trouverez ma carte nationale d'identité en pièce jointe afin de prouver mon identité.

   Cordialement.

Mediapost (filiale du groupe La Poste qui œuvre dans le marketing relationnel) dispose de deux mois max pour me répondre. Pour le justificatif d'identité, la CNIL nous précise : « Attention, le responsable de fichier ne doit pas vous demander des pièces justificatives abusives et disproportionnées par rapport à votre demande. ».

Mediapost me répondra le 27/02 :

   Mon droit d'opposition est bien pris en compte ;

   Les données qu'ils ont sur moi émanent bien du contrat de réexpédition ;

   Les données personnelles qu'ils ont sur moi sont : numéro du contrat (de réexpédition), dates d'effet du contrat, nom, prénom, ancienne et nouvelle adresse postale ;

   Durée de conservation des données personnelles : le temps de la réexpédition + archivage 5 ans ;

   Preuve de consentement = je ne me suis pas opposé à cette réutilisation en cochant la case dédiée sur le formulaire.

Je pense que ces informations sont incomplètes :

   D'une part, le récépissé de souscription au contrat de réexpédition fait apparaître que j'ai prouvé mon identité avec ma carte nationale d'identité, le numéro de celle-ci, sa date de délivrance, son lieu de délivrance et l'autorité qui l'a délivré. J'ai du mal à croire que ces infos n'ont pas été stockées. Peut-être que seul le système d'information de La Poste en garde trace, mais que ce n'est pas communiqué aux partenaires comme Mediapost ? Alors pourquoi Mediapost a mon ancienne adresse postale ? Bref, j'aurai aimé savoir.

   Ensuite, la preuve de mon consentement est inexistante : il faudrait, a minima, que Mediapost me montre que je n'ai effectivement pas coché la case adéquate, car juste le dire, ce n'est pas une preuve.

   Enfin, silence complet sur le fait d'avoir communiqué ou non mes données à des tiers. Je ne suis pas sûr que la loi impose la communication de cette information, mais je suis certain que la loi impose un droit d'opposition transitif : le collecteur de données persos doit prévenir ses partenaires/clients/etc. de l'opposition d'une personne à la réutilisation des données collectées la concernant.



Entre ma demande et la réception de la réponse de Mediapost, j'ai reçu le spam de l'EFS. Celui-ci n'indique pas l'origine des données et cela m'intrigue, surtout vu la réponse de Mediapost. Voici donc le mail que j'adresse à Mediapost le 27/02/2017 :

   Bonjour,

   Je vous remercie pour ces informations.

   Vous n'avez pas répondu à l'une de mes questions : avez-vous communiqué mes données à des tiers (y compris à des sous-traitants ou à des partenaires) et/ou êtes-vous susceptibles de l'avoir fait et/ou de le faire ? Ce que je veux savoir c'est si les organismes désireux de se faire connaître achètent ou louent votre fichier ou s'ils passent forcément par votre service pour envoyer leurs prospectus sans jamais avoir connaissance des données personnelles ?

   Exemple concret : depuis l'envoi de cette demande, j'ai reçu un prospectus de l'établissement français du sang (EFS) dont la première phrase est identique à celle du prospectus Decathlon qui faisait l'objet de ma demande, à savoir « Vous venez d'emménager à TOULOUSE et […] vous souhaite la bienvenue ». Les mentions légales en bas de page ne mentionnent pas l'origine des données. Est-ce que l'EFS est un de vos clients ? Sera-t-il averti que je m'oppose à recevoir toute sollicitation ou faut-il aussi que j'exerce mon droit d'opposition auprès de lui ?

   Concernant mon consentement : si je vous ai contacté, c'est justement parce que j'ai coché la case en question sur le contrat de réexpédition définitive, ce qui fait que je ne comprends pas pourquoi je reçois des prospectus. Avez-vous une copie de mon formulaire de souscription au service de réexpédition qui montre que cette case n'est effectivement pas cochée ?

   Cordialement.

Ma demande sera remontée à La Poste et je recevrai une réponse le lendemain (28/02/2017) :

   « Si vous aviez coché la case dédiée de non diffusion, il n’y a pas raison de ne pas vous croire et nous n’allons pas vérifier auprès du bureau qui semble avoir omis d’enregistrer votre souhait initial. Même s’il ne s’agit en rien de nous dédouaner, cette communication est la conséquence d’une erreur humaine, difficile à éviter malgré les informations, sensibilisations ou contrôles mis en œuvre. » ;

   Il est possible que des envois programmés antérieurement à ma demande d'opposition me soient adressés auquel cas La Poste me propose de lui indiquer les coordonnées de l'annonceur afin qu'elle lui adresse un courrier lui faisant part de mon opposition ;

   La Poste sollicite ses partenaires, Mediapost et Cartegie, afin qu'ils enregistrent et informent de mon opposition les clients vers lesquels ils auraient pu diffuser mes données.

J'en déduis que le traitement de données personnelles de La Poste n'est pas conforme à l'exigence de la loi informatique et libertés concernant la collecte du consentement éclairé. Le troisième point remplit parfaitement les exigences de la loi que j'exposais au round précédent. Le deuxième point tend néanmoins à le nuancer : si La Poste a besoin de mes signalements, cela ne signifie-t-il pas que la traçabilité n'est pas au top chez les partenaires Mediapost et Cartegie ?



Le reste de nos échanges à trois (moi, La Poste, Mediapost) seront dédiés à remonter les spams reçus et à indiquer que ma demande a bien été prise en compte. J'apprendrais néanmoins qu'il y a au moins deux offres :

   Celle où les partenaires de La Poste gèrent eux-mêmes la campagne de spam pour le compte des annonceurs, ce qui fait que l'annonceur n'a pas connaissance des données persos. C'est le cas de Decathlon et de Chronodrive dont les campagnes ont été gérées intégralement par Mediapost ;

   Celle où l'annonceur achète le fichier (petit nom donné au tas de données persos) et se débrouille (en interne ou en externalisant) pour la campagne en elle-même. C'est, par exemple, le service « nouveaux voisins » de Mediapost. C'est le cas de EFS, Casino supermarchés et SNCF mobilités.



J'en retiens :

   Qu'il faut toujours aller embêter quelqu'un qui t'a vendu quelque chose tant que la prestation ne répond pas 100 % à ce que tu veux, car, loi de Murphy oblige, si quelque chose de nuisible (comme l'envoi de spam…) est susceptible de se produire alors ça se produira.

   Que l'enchevêtrement des acteurs rend, une fois encore, difficile la compréhension du mécano et l'effectivité des droits et libertés.

   J'ai des doutes sur l'effectivité du droit d'accès (il me semble incomplet), sur l'effectivité du droit d'opposition (il me semble incomplet à cause d'une traçabilité incomplète) et sur la traçabilité de la preuve du consentement mis en place par le groupe La Poste. Je me tâte à interroger la CNIL sur la portée de la preuve du consentement. ÉDIT DU 08/04/2017 À 17H42 : plainte déposée auprès de la CNIL. Leur outil en ligne est juste affreux : Chromium/Chrome échoue (j'ai signalé ce problème), la plainte doit faire 300 caractères minimum, 3000 max, il faut uploader les justificatifs un par un, la session expire après 60 minutes, etc. FIN DE L'ÉDIT.



Hé oui, la loi informatique et libertés est très contraignante pour les responsables de fichiers, mais elle me semble juste : il s'agit de données personnelles, bon sang, pas de données publiques, pas de données de test ! Produire un système d'information qui traite des données personnelles, ce n'est pas trivial : il y a des contraintes techniques de sécurisation et de traçabilité (qui a accédé aux données ? À qui les a-t-on refilées ? Y'a-t-il eu fuite/piratage ? Etc.) ainsi que des contraintes légales sur les usages. Mais tout ceci est incompatible avec le business qui impose de chier un SI à la va-vite, sans réfléchir, en mode "on stocke juste quelques infos sur nos clients, osef, ce sont juste des clients lol, ça va quoi il-elle-s n'ont pas vraiment de droits autre que celui de rémunérer nos actionnaires et accessoirement de nous payer nos salaires, mdr".

Via https://liens.nonymous.fr/?AZh16A

Merci pour ces explications très intéressantes.
D'ailleurs, j'ai vu une MTP travailler et pour le béotien que je suis, c'est très impressionnant.

Merci à http://sameganegie.biz/shaarli/?2QRYdw