Commentaires : J'ai (enfin) découvert pourquoi des marques inconnues me ciblaient sur Facebook

Facebook
Vie privée
données-personnelles
réseaux-sociaux
Tags: #<Tag:0x00007f9218b58130> #<Tag:0x00007f9209fb7fa0> #<Tag:0x00007f9209fb7e38> #<Tag:0x00007f9209fb7c80>

#2

Bravo pour cette enquête et bienvenue dans les méandres du pistage publicitaire qui se terminent en queue de poisson.

Ces gens brassent des données illégalement obtenues, ou soit-disant expurgées de leur fraction illégale, au point qu’ils ne savent même plus ce qu’ils font. Ils s’en foutent. Quand il y a une réclamation sur un million, ils proposeront l’opposition. Ce qu’ils faisaient déjà avant le RGPD. Et le business continue.


#3

bien non dev_tty, toutes les données sont bien légal. C’est entièrement légal de créer une fausse page et affiché un concours où personne ne va gagner juste pour récolter les profils


#4

Je fais allusion a des sociétés de mailing, qui ne pouvaient en aucun cas avoir mon adresse privée, que j’ai contactées, et qui m’ont avoué avoir acheté des fichiers “certifiés légaux”. Ils ne l’étaient pas.

Même chose pour un cabinet qui a acheté un fichier d’emails B2B, qui contenait aussi mon email privé, à sa grande surprise.

Cet email n’a jamais été utilisé sur le web. Il a fui par la négligence de personnes qui l’on rediffusé, soit par maladresse (j’envoie à tous mes contacts sans utiliser le Bcc), soit parce que leur PC a été compromis. Elle se retrouve par des chemins tortueux dans divers fichiers vendus ou rachetés par des plate-formes d’emailing.

Une fois entré dans ces fichiers, il est impossible d’en sortir. Je reçois encore du spam sauvage, mais aussi venant de sociétés ayant pignon sur rue. Liste sur simple demande.


#5

Je n’ai pas lu tout l’article mais que les sites ne s’étonnent que les gens naviguent sur internet en mode privée, via un VPN, avec Adblock, Ghostery, privacy badger, Ublock activés pour éviter un maximum de se faire spammer ! Mais dès qu’on doit donner ses vraies coordonnées sur un site marchand ça devient compliqué de savoir ce que deviennent nos données et qui les a vendu à qui…


#6

Perso, comme je gère mon serveur de mail, je crée un alias par site (en général le nom du site). Comme ça non seulement je sais qui a vendu (ou perdu) mon adresse, mais en plus je peux décider de couper l’alias pour avoir la paix.

La plus belle ayant été un éditeur d’antivirus et autre outils, chez qui je m’étais inscrit comme revendeur.

Deux jours plus tard je reçois une pub d’un tiers sur l’adresse !

Mon contact commercial m’a juré la main sur le cœur qu’il ne comprenait pas.

Moi j’ai annulé ma demande de cotation de 150 licences :slight_smile:


#7

Sans gérer son serveur de mail, tu peux faire des adresses ‘plussées’. Mais il y a des idiots qui les refusent.


#8

Une personne, qui n’est visiblement pas moi, aurait inscrit mon adresse email. « Il peut bien entendu s’agir d’une faute de frappe ou d’une fausse déclaration de cette personne au moment de la collecte », précise LiveRamp, qui m’indique que puisque les données ne sont pas les miennes, je ne pourrais en obtenir une copie au titre du RGPD.

C’est juste magnifique.
Bravo pour ta persévérance :slight_smile:


#9

C’est surtout exactement ce que je répondrais si j’étais pris en faute. Si on est titulaire d’une adresse email, on devrait pouvoir se faire communiquer les renseignements associés, même erronés.

Bref, la foire continue dans l’opacité la plus totale et la CNIL roupille.


#10

J’aime bien ces articles sur le ciblage publicitaire.
J’espere qu’il y aura un article de ce genre sur l’obfuscation.


#11

Il n’y a rien dans RGPD concernant la double opt-in ?
Normalement, une inscription doit être validée, ce qui justement, éviterait de telles situations.


#12

Jolie enquête, on attend encore des développements.
Le business de boîtes de CRM, marketing digital, etc… est trop souvent proche du piratage pur et simple. Ils font très souvent des salons et des conférences, il faudrait se faire une plongée en apnée dans leur méthodes et leur vocabulaire, ça pourrait être instructif.


#13

Bravo d’avoir réussi à obtenir des réponses.

J’ai une boite mail où je reçoit énormément de spam. Les liens de désinscription étant forcement inopérants, j’ai fait une liste de 18 sociétés (la plupart situées à Sarcelles) qui détenaient les noms de domaines des mails d’expéditeurs (tous en .fr). J’ai envoyé 18 mails et 18 recommandés aux contacts administratifs associés à ces noms de domaines au titre du RGPD. J’ai reçu une seule réponse d’une société Lyonnaise (un mail d’abord, suivi d’un courrier) avec mes données personnelles détenues.
Les autres recommandés sont tous revenus soit avec “inconnu à l’adresse indiquée”, soit avisés non retirés. Les contacts administratifs n’ayant pas répondu ou ne semblant pas exister, j’ai fait des demandes de blocage à l’Afnic sur ces noms de domaine pour non respect de leurs propres règles sur l’identité des détenteurs de noms de domaines en .fr. Il a fallu plusieurs aller-retour avant que ces demandes soient prises en compte car, bien que un utilisateur unique soit associé à plusieurs noms de domaine et que l’existence même de cet utilisateur est mise en cause, il fallait faire une demande par nom de domaine… (la procédure de réclamation prévoit pourtant de pouvoir donner un identifiant de contact).
Après une soi-disant vérification, l’Afnic a clos mes demandes en disant qu’ils avaient vérifié les coordonnées des détenteurs des sites (la Poste ne peut pas trouver une personne ou une société par son adresse mais l’Afnic-Chuck-Norris le peut) en regardant de plus près les décisions prises par l’Afnic, on se rend vite compte qu’ils ne traitent vraiment les demande que s’il y a un risque de violation de droit d’auteur. Pour le reste, c’est un peu du pipo.

J’ai voulu faire appel à la CNIL mais les demandes ne peuvent être prises en compte que si on a obtenu une réponse négative (il faut fournir les mails/courriers envoyés et les réponses). Autant dire, qu’ils ne servent à rien et qu’ils s’en moquent.

PS : Pour ce qui est de la communication des données personnelles par l’administration lors d’une demande de carte grise, c’est une réalité. Et le pire c’est qu’ils ne tiennent pas compte de l’opposition faite au moment de la demande en cochant la case. C’est la même chose si on fait une demande de permis de construire, les listes sont fournies aux vendeur de cuisine par exemple. C’st beau de faire des règlements pour les autres et de ne même pas se les appliquer. Bel exemple. Un peu comme les cyclistes ou motards qui gueulent contre les automobilistes mais ne respectent pas le code de la route… mais c’est un autre débat.


#14

Alors là, je n’ai qu’un mot : chapeau.

J’ai fait moins de démarches mais j’ai eu la chance de tomber sur des sociétés qui répondaient (après un petit jeu de piste pour déjouer les sociétés-écran). Au téléphone, j’ai eu droit à des “oups, notre fichier n’est pas à jour”. Un aveu en demi-teinte qu’il a été acheté sur le marché noir, voire constitué par la société elle-même ou une de ses filiales-croupion avec des méthodes très peu cashères.

Le “oups” est suivi d’une proposition de désinscription immédiate, ce qui est la moindre des choses. Dans les cas les plus récalcitrant, réciter les pénalités pour collecte déloyale suffit à motiver : 750 € pour chaque message irrégulièrement expédié (R.10-1 du code des postes et des communications), cinq ans d’emprisonnement et 300 000 euros d’amende pour collecte déloyale
(226-18 et 226-18-1 du code pénal).

Placer une mention au “Procureur de la République” ou à la CNIL peut aussi faire bouger les choses.

Si je manque de temps, ça se solde par un blocage de domaine et sous-domaines. Mais c’est moins hédonique.

Ces galaxies de société se présentent sur le web comme des spécialiste de l’emailing dans un jargon marketeux. Il n’est pas trop difficile de faire le lien entre le domaine d’émission et la maison-mère, ainsi d’obtenir son téléphone.

Le mêmes fichier, ou ses rejetons, a été vendu à des PME qui se livrent au spam artisanal via smtp.orange ou free.fr. Ceux-là chient littéralement dans leur froc quand ils découvrent le risque abominable que leur fait courir ce fichier.

Tout ceci m’a convaincu que ces sociétés surfent sur la zone grise de données mal appropriées, yaka passer en mode damage control quand un teigneux râle.


#15

Woaaah ! Génial @perrinesignoret !
J’avoue qu’avoir la suite de ton article précédent n’était pas dans ma top list des choses à attendre (la release date de Last Of Us 2 passe devant, désolé ^^).
Cela dit, je suis très agréablement surpris, d’autant plus après avoir lu le passage sur la carte grise qui a été, de souvenir, proposé par un lecteur (ce qui signifie donc lecture et prise en compte des comms :slight_smile: )
Content aussi de lire une nouvelle fois un article de fond, de qualité, et pas une simple redite de l’AFP (ce que je reproche en partie a numerama, mais c’est un autre sujet*).

J’espère que la série va continuer et ne pas s’arrêter au meilleur moment :slight_smile:
En parallèle, pourquoi ne pas essayer de faire quelque chose de plus grand, tel qu’une action “coup de poing”. J’entends par là : essayer de rassembler le plus d’utilisateurs possibles, afin que chacun fasse un mail de demande d’infos, le même jour sur une de ces sociétés (avec relance a jour+X).**
En utilisant numerama et ses partenaires/potes du milieu/whatever, ça pourrait faire du grabuge dans la société ciblée. ET, de la mise en avant pour numerama, en mode “on est a l’origine de ce mouvement”

* Reprochait serait plus exact. J’ai l’impression de voir un changement ces derniers mois, pour le meilleur évidemment !
** ce genre d’action existe peut être déjà, je ne me suis pas renseigné.


#16

Il se peut que la collecte date d’avant le RGPD (impossible d’en être certaine puisqu’ils refusent de confirmer ou non)…


#17

Il se pourrait qu’il y ait un épisode 3 dans quelques semaines…


#18

Merci beaucoup pour ce message (bien que nous ne soyons pas abonnés à l’AFP ;)). Nous allons essayer de continuer la série, il y a encore beaucoup de choses à dire sur le sujet effectivement !


#19

La collecte sans consentement était déjà interdite avant le RGPD (LCEN, CP 226-18 de mémoire).

Chouette !


#20

The hype is real :smiley:

C’est encore pire que ce que je croyais. Numerama pique les dépêches AFP ! :smile:
Just kidding, of course


#21

Votre mail personnel ne correspondant pas à votre nom chez LiveRamp pourquoi ne pas porter plainte pour usurpation d’une partie de votre identité numérique ? Ainsi LiveRamp sera contraint d’expliquer comment ils rapprochent nom et adresse mail.