25
Avr, 2024

Comment mes données pro ont été revendues ?

Mon retour d’expérience

Mon constat

J’ai été contacté plusieurs fois sur mon téléphone portable pour des démarchages professionnels, alors que mes appels sont habituellement filtrés par mon secrétariat et que peu de personnes ont mon numéro de portable professionnel.

Je trouve cela étrange et répétitif. Un soir, vers 18h45, journée terminée mais encore au bureau, je reçois un appel sur mon portable. Le numéro est affiché mais inconnu pour moi. Je décide de répondre et entame une conversation avec l’interlocuteur, qui cherche à me vendre des solutions logicielles dont je n’avais aucun besoin. Il le comprend rapidement, mais avec une sympathie dans la voix, nous plaisantons ensemble un moment. Curieux, je saisis l’occasion pour lui demander comment il a obtenu mon numéro de portable.

Il m’explique qu’il est abonné à une plateforme appelée Kaspr, laquelle fournit un outil en complément au navigateur. Cet outil lui permet d’obtenir l’adresse e-mail et le numéro de téléphone du profil LinkedIn qu’il est en train de consulter.

Je pense d’abord à Casper, mon ami d’enfance, mais ce n’est pas lui ; l’orthographe n’est pas la même.

Je ne connaissais pas Kaspr et je fonce sur leur site pour voir s’il s’est moqué de moi ou pas.

Je tape Kaspr dans Google et voici le résultat :

Donc, il ne m’a pas menti, ce logiciel fournit bien les adresses e-mail et les numéros de téléphone des profils LinkedIn ?! Mais comment est-ce possible ?!

J’avais évidemment la conviction d’avoir correctement sécurisé mon profil ; toutes les options de partage sont désactivées et je n’ai jamais autorisé la diffusion de mon adresse e-mail ou de mon numéro de téléphone professionnel. Je suis un peu contrarié, mais je continue l’exploration.

La promesse est bien là, expliquée sur leur site, les numéros et mails sont bien affichés, dans une petite fenêtre d’un complément au navigateur quand on consulte un profil LinkedIn.

Moi qui n’est pas encore décoléré, je regarde les gros titres des témoignages d’utilisateurs qui se tapent sur le ventre :

Je lis aussi :

Je ne sais pas si cela a le don de m’inquiéter ou de me rassurer, je suis un parmi 500 millions ! ?

Je cherche à savoir ce que sont ces 150 sources ? Après tout, LinkedIn est peut-être le support de la consultation, comment savoir d’où viennent les informations ? LinkedIn ou pas ??

Je cherche, je cherche, c’est bien caché, je trouve ceci :

Je ne peux donc pas déterminer si mes données proviennent directement de LinkedIn ou si un fournisseur “premium” a revendu mes informations.

La véritable force de Kaspr réside dans sa capacité à établir un lien entre mon nom, mon prénom, mon profil LinkedIn et d’autres données qu’ils ont récupérées ailleurs.

Mon article ne porte aucun jugement sur qui que ce soit. Il offrira autant de visibilité à Kaspr pour certains qu’il sensibilisera à la sécurité des données pour d’autres.

Puis-je demander la suppression des informations me concernant ?

Je cherche, je cherche, tout bascule en anglais, les pages dont je parle à partir d’ici sont en anglais.

Dans un coin du site, une option “Opt-Out” et je trouve ce formulaire :

Mais je ne vais pas demander à suppression à ce stade, j’aimerais essayer de comprendre d’où viennent mes données et à qui elles ont été données. (conformément au RGPD)

Puis-je savoir où sont stockées les données me concernant ?

Je fouille leur site, et je trouve :

Je trouve que c’est plutôt pas mal, après, à partir du moment où ils ont mes données, elles vont transiter entre la France et les USA, probablement qu’elles sont même répliquées, je n’en sais trop rien.

Puis-je savoir quelles données le site Kaspr a en sa possession ?

En ligne, impossible de savoir, j’ai passé toutes les pages en revue. La liste de mes droits est bien listée mais pour en savoir plus, je dois les contacter, ce que je vais faire.

Je contacte Kaspr

Je suis la procédure décrite, je les contacte à l’adresse privacy@kaspr.io et leur demande de me transmettre toutes les informations qu’ils détiennent à mon sujet, ainsi que l’utilisation qu’ils ont faite de ces données.

Réponse de Kaspr

A partir de là, tout va se faire en anglais, pas de support francophone.

Kaspr me répond 15 jours calendaire après ma demande et me transmets deux mails :

  • Un mail avec un fichier excel contenant mes données, protégé par un mot de passe
  • Un second mail avec le mot de passe.

Je trouve que c’est assez gadget mais pourquoi pas.

Je m’empresse d’ouvrir le fichier Excel (avec le fameux mot de passe) et je trouve… mes données LinkedIn.

L’histoire ne dit pas d’où viennent les données, c’est le fichier de synthèse des informations qu’ils ont sur moi :

  • First Name
  • Last Name
  • Linkedin_Url
  • Data shared with
  • Headline
  • Company
  • Location
  • Email-1
  • Phone-1
  • Job_Title-1
  • Job_CompanyName-1
  • Job_Location-1
  • Job_Title-2
  • Job_CompanyName-2
  • Job_Location-2
  • Job_Title-3
  • Job_CompanyName-3
  • Job_Location-3
  • Job_Title-4
  • Job_CompanyName-4
  • Job_Location-4
  • Job_Title-…
  • Job_CompanyName-…
  • Job_Location-…

Chacun des emplois est soigneusement repris sur 3 enregistrements (colonnes)

Ce qui est intéressant et auquel je n’avais pas trop mis d’espoir, c’est d’obtenir la colonne

  • Data shared with

En effet, dans cette colonne, j’ai la liste des mails à qui mes coordonnées ont été “vendues”.

Je suis bon pour écrire à tous les mails pour faire valoir mon droit à suppression et à opposition de transmission de mes données. La liste se termine par “Cognism.com”, ce n’est pas une adresse mail, c’est un site.

Et voilà, Cognism est le petit frère de Kaspr, je vais devoir les contacter également.

J’ai contacté Cognism, ils sont très réactifs, ils m’ont confirmé qu’ils détenaient les données via Kasper et me confirment la suppression de celles-ci.

Revenons à la réponse de Kasper à ma demande de provenance des données :

Kaspr me répond : “As you can see from the attached, we collect limited business data such as full name, company name and job title from publicly available online sources. You can find more information about Kaspr at the following link: https://kaspr.io/”. Cela est inexact puisque dans le fichier reçu il y a mon mail et mon numéro de portable professionnel.

Je ne saurais donc pas où mes informations ont été récupérées.

Je demande la suppression de mes informations personnelles

Dans leur message, ils me proposent de demander moi même la suppression via leur formulaire soit par mail, tête de pioche, je leur demande d’effectuer la suppression et de m’en tenir informé.

Suite … dans quelques temps…

En attendant, je vais sur mon LinkedIn tout vérifier

Je dédie un mail à LinkedIn et je change de mail

Je me fais un petit linkedin@monnomdedomaine.xx et je vais changer le mail. Ce nouveau mail est redirigé vers mon mail habituel, si ce mail réapparait un jour dans une base, je saurai que c’est LinkedIn le fautif. A ce stade, je n’en sais rien, ce peut être un recoupement de plusieurs bases de données.

Je supprime mon numéro de téléphone

Après une multitude de messages m’expliquant que l’on me demande mon numéro par sécurité, que c’est une bonne chose d’en avoir un et que je ne devrais pas le supprimer, après avoir retapé mon mot de passe, récupéré un code sur le mail, j’arrive enfin à supprimer mon numéro de téléphone !!

J’ajoute une identification en deux étapes

Cela ne coute rien, j’en profite, c’est un peu hors sujet, mais autant l’avoir pour sécuriser mon compte.

Qui peut voir mon adresse mail ?

Dans visibilité : 

Je parcours tous les paramètres de configuration

Je n’ai rien relevé de particulier, j’ai parfois activé, parfois désactivé les options de LinkedIn, chacun configure comme il le souhaite en fait.

Ma conclusion

Comme toujours, chacun est responsable de ses propres données et de leur utilisation, et doit en assumer les conséquences.

Concernant LinkedIn, en dehors des incidents passés de fuites de données, rien n’indique qu’ils vendent nos informations. Le rachat de LinkedIn par Microsoft inspire l’espoir d’une meilleure gestion et sécurité, supervisée par leurs meilleurs experts en sécurité.

Il est toujours judicieux de revoir régulièrement les paramètres de confidentialité sur des plateformes comme LinkedIn, où nos données sont stockées. Ces options ne sont pas toujours évidentes, mais elles permettent de limiter la diffusion de nos informations personnelles.

Quant à des entreprises comme Kasper, Waalaxy ou Cognism, leur activité est légale et elles ont le droit de fonctionner. Il est raisonnable de supposer qu’elles sont vigilantes lors de l’acquisition de bases de données, et nous espérons qu’elles ne collectent que des données légitimes et respectent les droits des individus concernés.