ALTER1FO : Bonjour Thierry, peux-tu nous dire quelle a été ta première réaction en découvrant le SMS de Carole Gandon ?

J’ai tout d’abord été extrêmement surpris car je n’ai pas pour habitude de laisser mes coordonnées à n’importe qui, et encore moins dans le but de recevoir des messages promotionnels d’un parti politique. Et puis, la colère a vite pris le dessus…

ALTER1FO : Et tu n’es pas le seul ! De nombreux messages scandalisés ont été postés sur les réseaux sociaux. Beaucoup de personnes s’interrogent sur l’utilisation de leur numéro de téléphone à des fins politiques. De ton côté, tu as voulu aller plus loin que la simple interpellation via Twitter ou Facebook…

Cela fait déjà pas mal d’années que je suis sensibilisé aux problématiques liées à la protection de la vie privée et aux libertés numériques sur internet. Des organisations comme le collectif Cryptoparty Rennes (NDLR, lire ici leur interview) et des évènements comme le Festival des Libertés Numériques m’ont grandement aidé dans cet apprentissage.

J’ai aujourd’hui cette capacité à exercer régulièrement mes droits. Par exemple, je n’hésite pas à demander la suppression de mes données lorsque je n’utilise plus un service informatique. Avec cette habitude, je connais quelles démarches sont possibles et quels sont les interlocuteurs à contacter.

ALTER1FO : Justement, à la suite de ce SMS, qui as-tu contacté en premier et pourquoi ?

La première difficulté fut de trouver la société responsable de cet envoi, et le nom d’un interlocuteur. Généralement, il s’agit du DPD (délégué à la protection de Données). Mais dans ce cas précis, ni le SMS, ni la page internet sur laquelle nous étions renvoyés, ne permettait de le déterminer avec précision. Ce n’est pas tout à fait à l’honneur de Carole Gandon que d’avoir permis une telle opacité.

J’ai donc contacté l’équipe « Révéler Rennes ». Très vite, elle me donne le nom et l’adresse mail du DPD de la société ADREXO, filiale du groupe HOPPS, mandatée pour effectuer cette campagne publicitaire…

ALTER1FO : En suivant cette histoire par procuration, nous avons remarqué que « Révéler Rennes » a très vite botté en touche en exposant publiquement le contact d’ADREXO, comme pour dire « voilà, démerdez-vous avec eux… ce n’est plus notre histoire. » Toi-même, tu as pris contact avec cette personne ?

Oui et je me suis confronté à une deuxième difficulté. Après l’avoir contacté, je me suis retrouvé avec des réponses automatiques d’absence. On voit que l’adresse qui m’a été fournie est routée vers différents mails. De quoi nuire une nouvelle fois à la fluidité dans les échanges…

ALTER1FO : Et de quoi décourager une personne « non initiée » à poursuivre son action ! Peux-tu nous préciser les différentes questions envoyées ?

Je demandais plusieurs choses. Je souhaitais d’abord connaitre les modalités de la collecte des données qui ont permis à ADREXO d’être en possession de mon numéro de téléphone.

Ensuite, l’équipe de Carole Gandon s’est très vite défaussée derrière ADREXO, j’ai donc demandé explicitement de connaitre les responsabilités de chacun vis-à-vis de ce traitement de données.

Enfin, j’ai demandé des précisions sur la base légale de l’utilisation de mes données personnelles et leurs finalités. Si cette base légale est le consentement, alors celui-ci doit être libre, spécifique, éclairé et univoque, d’après le RGPD (NDLR, règlement général sur la protection des données) et les finalités explicites. Par exemple, un fichier de recrutement ne peut pas être utilisé pour proposer des offres commerciales aux candidats à un emploi dans votre société.

ALTER1FO : Légalement, ADREXO a l’obligation de répondre dans un délai de 1 mois à compter de la réception de la demande (NDLR, délai qui peut être toutefois prolongé de 2 mois si les demandes sont complexes et nombreuses-article 12 du RGPD) … Délai tenu ?

Adrexo a effectivement utilisé la totalité des 30 jours pour me faire une réponse circonstanciée. J’avais pris soin deux jours avant la date fatidique de faire une piqure de rappel sur les réseaux sociaux afin de donner une visibilité à ma demande. Mais je n’en tire aucune conclusion. En période de vacances estivales, il leur était peut-être difficile de me répondre plus rapidement…

ALTER1FO : Voilà pour la forme, qu’en est-il du contenu à présent ?

Malheureusement, cette première réponse n’est pas satisfaisante du tout. Elle n’explique pas l’origine précise de la collecte de mes données. Je suppose fortement que cela a pu se produire lors d’une transaction commerciale effectuée par mes soins avec l’une des sociétés appartenant à la holding HOPPS, comme COLIS PRIVE, par exemple. Quand on commande en ligne, il est souvent impératif de donner un numéro de téléphone afin d’être joignable en cas de besoin, mais cela ne veut absolument pas dire que l’on accepte de recevoir n’importe quelles publicités et encore moins de la comm’ politique. On consent, à contre-cœur parfois, à fournir nos données personnelles mais pour une finalité précise. Et il est strictement interdit de la détourner. C’est le principe même du RGPD !

Sur la question des finalités, il est indiqué que j’ai consenti à fournir des données pour une finalité commerciale, mais qu’au vu de ma requête, la société comprend que je ne souhaite pas qu’elles soient utilisées à des fins de prospection électorale ! Du coup, le DPD d’ADREXO se met tout seul « dans la merde » pour parler vulgairement puisqu’il avoue que son entreprise a utilisé une base de données commerciale à des fins de communication politique. Rien qu’en disant ça, ADREXO affirme qu’elle ne respecte pas le RGPD.

Ce qui est paradoxal, c’est que j’ai dû redonner mon numéro de téléphone car visiblement ADREXO avait du mal à identifier à quel moment mes coordonnées ont été utilisées. Ces derniers invoquent l’intérêt légitime de leur société, leurs propres intérêts donc, pour justifier la base légale du traitement de mes données personnelles, au lieu du consentement, ce qui me semble contradictoire avec le reste de leur réponse et pour le moins extrêmement contestable !

ALTER1FO : Tu as donc demandé un complément d’informations et là, surprise, ADREXO lâche une petite « bombe ».

Voilà, même si cette deuxième réponse reste toujours aussi vague et incomplète, ADREXO déclare tout de même qu’ils ne sont pas les uniques responsables dans ce traitement de données et que l’équipe de Carole Gandon est aussi co-responsable.

Cela contredit ce que « Révéler Rennes » avait rapidement communiqué, comme quoi tout était légal et qu’il fallait chercher les responsabilités uniquement auprès d’ADREXO. L’équipe d’ « En marche » a donc sous-estimé leur part de responsabilité, peut-être par méconnaissance, mais nul n’est censé ignorer la loi. En tout cas, il n’est pas possible de faire appel à une société sous-traitante de manière aussi aveugle et désintéressée.

ALTER1FO : En parallèle, tu as fait un signalement auprès de la CNIL…

La CNIL a mis en place une plateforme dédiée à la communication politique dans le cadre des municipales permettant de faire un signalement de manière assez rapide, ce que j’ai fait dès fin juin. Aujourd’hui, avec tous ces éléments, j’ai donc formalisé une vraie demande auprès de la CNIL au sujet de la responsabilité et du caractère licite du traitement des données.

J’ai reçu une réponse positive de la CNIL fin juillet, qui m’indique que ma plainte a été jugée recevable et transmise pour instruction. J’attends maintenant leur conclusion.

ALTER1FO : ADREXO, CNIL, Révéler Rennes… Des interlocuteurs variés, des réponses erronées pour certaines, peu claires parfois mensongères pour d’autres. Franchement, faire respecter nos droits ne semble pas être une sinécure, non ?

Effectivement, cela peut sembler compliqué pour quelqu’un qui souhaite aller au bout de l’exercice. Mais pour moi, cette démarche est nécessaire afin de faire bouger les lignes. Il est très important que nous prenions conscience de l’enjeu des « datas ». Les données personnelles occupent une place de plus en plus importante et sont au cœur des priorités stratégiques de certaines entreprises. Il faut donc veiller à ce que nos droits et nos libertés soient toujours respectées, encore plus particulièrement dans le contexte d’une campagne électorale politique. En tant qu’électeur, je n’accepte pas d’être considéré comme un simple client d’une marque de lessive. C’est totalement irrespectueux à mon encontre, d’où la colère légitime que j’évoquais en début d’interview.

Enfin, j’espère que d’autres personnes, dans d’autres contextes, pourront également faire l’effort d’engager ces démarches. L’indignation publique est très honorable, moi-même je le fais régulièrement, mais bien souvent, elle ne sert à peu près à rien. Ce n’est qu’en allant au bout des choses que, tous ensemble, nous pouvons ébranler ce système dit de « capitalisme de surveillance » qui permet à des sociétés d’utiliser nos données personnelles pour en faire des valeurs marchandes. Il me parait intolérable, encore aujourd’hui, que celles-ci continuent de prospérer tout en piétinant nos droits à la vie privée.

_________

PLUS D’1FOS

• (CNIL) : Vie politique et citoyenne
• (CNIL) : La communication politique par téléphone
• (CNIL) : Élections municipales : la CNIL rappelle les règles à respecter avant le second tour

• Rennes : les milliers de SMS de la candidate LREM, Carole Gandon, sont-ils légaux ? La candidate entendue par la CNIL
• Envoi de SMS à des lycéens: Laurent Wauquiez rappelé à l’ordre par la CNI