Hier je me suis « énervé » contre une RH / chasseuse de têtes. Enfin RH, c’est un grand mot, tellement de cabinets de recrutement se sont créés sur des bases purement technologiques (de rapprochements de profils) et non plus humains. Et ce cabinet, comme beaucoup, ont parfois des comportements un peu cavaliers par rapport au nouveau Règlement Général sur la Protection des Données (RGPD).

Il y a une grosse semaine, je reçois sur mon adresse perso, un courriel intitulé « PROPOSITION DE POSTE ». Il n’arrive pas en spam, il n’est adressé qu’à moi (mon email perosnnel seul en champ « To : »). Je l’ouvre, car toujours « à l’écoute du marché » comme on dit. Et là, la recruteuse me propose un job de comptable junior. Je ne suis ni comptable, ni junior. Mismatch complet.

J’aurais pu en rester là. C’est d’ailleurs souvent le bon comportement à avoir avec les innombrables sollicitations email que l’on peut recevoir… quand c’est de la pub pure et simple, bien sûr je ne réponds jamais, mais là c’est un peu différent. Mon profil professionnel est en ligne sur des sites, je suis en contact avec des RH & des cabinets de recrutement, et voici qu’un autre cabinet a associé des informations totalement incohérentes à mon email.

Une entreprise de RH qui associe ton email à un profil totalement erroné, c’est un risque : les fichiers et la mauvaise information peuvent circuler, et puis il faudrait réussir à remonter à la source de la mauvaise information. Est-ce qu’ils sont nazes et ont mélangé leurs données, ou bien est-ce qu’ils ont puisé celà d’une autre base aussi erronée, ou bien y a-t-il une usurpation d’identité derrière ça… il y a quelques années, j’avais été victime d’un soucis similaire avec un escroc du web qui vendait des packs de CV pré-formattés, et il avait dans ses modèles un CV qui avait été pompé du mien, anonymisé… sauf que cet imbécile n’avait pas modifié le champs « mailto: » de l’adresse email, et une de mes adresses était restée en lien dans les packs qu’il vendait. Et pendant 1 an, j’ai reçu des emails de recruteurs qui me proposaient tout et n’importe quoi — une horreur.

Je réponds donc à la recruteuse en lui demandant pourquoi je reçois ça, et que ce n’est a priori pas conforme à la Règlementation Générale de Protection des Données (RGPD), qui a été mise en place en Europe. Cette personne ne me répond bien évidemment pas, comme c’est le cas dans ces échanges email toujours unilatéraux, elle est payée au nombre de profils proposés aux clients et ne va pas perdre de temps avec ce qui ne correspond pas exactement à sa recherche… alors là, un gars qui ne correspond pas à son besoin et en plus lui pose des questions un peu légales, elle se dit « fuck ».

Sauf que non, et là est le sujet de cette publication : il faut arrêter de laisser passer les utilisations non souhaitées de non données personnelles. C’est chiant, ça prend un poil de temps, mais il ne faut pas laisser faire. Il faut forcer les entreprises à se conformer à RGPD. Soyez chiens (au sens « ne lâchez pas le nonos »), forcez-les à perdre du temps eux-aussi à se conformer, car cette réglementation est fondamentale pour nos libertés et la protection des données personnelles. Une quantité incroyable d’entreprises ne respectent pas la RGPD, car c’est nouveau, car ils ne sont pas formés, car ça coûte de l’argent et n’a aucun bénéfice (si ce n’est la mitigation du risque de ne pas payer d’amende)… donc il faut que les usagers, les clients forcent ces entreprises à être clean.

6 jours plein ont passé, pas de réponse, je rentre épuisé d’une séance de tournage pour les amis de Karate-Bushido et je reçois un autre email non sollicité (une agent immobilière cette fois-ci… elle tombe en spam, je l’ouvre même pas) qui me rappelle cette foutue recruteuse. Je relance, plus sèchement, en lui indiquant ma surprise de ne pas avoir reçu de réponse, et en rappelant que le non-respect de la RGPD peut conduire à des amendes pouvant aller jusqu’à 4% du CA de l’entreprise (ce qui, croyez-moi, attire l’attention de tout dirigeant). Pour être sûr qu’elle réponde, je rajoute en cc, en plus du « webmaster » (déjà mis dans le 1e email car figurait dans les mentions légales du site de leur boîte comme responsable technique/données…), le Président Directeur Général du Groupe.

Oui, d’ailleurs c’est une astuce qui a toujours marché ça. Je l’ai apprise quand je travaillais dans une grande entreprise française au service clients, ils avaient un service « VIP & courriers présidence » qui était aux petits oignons avec les clients qui avaient envoyé un courrier à un membre du « board » et les « VIP » (le VIP étant uniquement mesuré par rapport à sa capacité de nuisance pour l’entreprise… avocats, politiques, journalistes, influenceurs…). Depuis, pour tous mes soucis de service client dans lesquels il y a de l’argent en jeu (un remboursement, une erreur, une commande non reçue, ma banque, etc.), je fais un premier courrier ou email au service clients « normal » de premier niveau (pour leur laisser une chance d’être bons), et ensuite si la réponse ne convient pas ou ne vient pas, j’escalade très rapidement — souvent dès le 2e shoot (ou 3e, selon les cas). Le dernier cas était par exemple avec les autoroutes APRR, leurs travaux (gérés par eux, prévus de longue date, etc.) avaient créé un ralentissement quasi à l’arrêt de plus d’1 heure (sur un trajet de 4), beau foutage de gueule, petit email au service client pour demander un geste, pas de réponse, relance 1 semaine après avec le DG en cc, et hop réponse dans la journée et remboursement de 50% du trajet. Coup d’avant avec ma banque et ma conseillère qui ne répondait pas à une demande de remboursement de frais non légitimes ; la directrice d’agence a été adorable, elle ^^. Dans une autre banque, le conseiller m’avait mal parlé par email (je demandais un rdv pour renégo d’un emprunt), la copie au directeur des service client & de la qualité du groupe a été radical… ils m’ont changé de conseiller et le nouveau était très serviable. J’ai même plusieurs fois eu des remerciements des dirigeants en copie, car ils ne savent souvent pas ce qu’il se passe au niveau opérationnel, car les mauvaises pratiques sont évidemment cachées sous le tapis. Peu de gens font ça, car peu de gens sont capables de trouver le bon email à mettre en cc. Cela pourra faire l’objet d’un nouvel article ou d’un prochain paragraphe d’un Protegor…

Là dans le cas Recrutement/RGPD en question, la boîte de recrutement fautive dépend d’un groupe (holding) dont le nom du président est dans les mentions légales. Un petit coup d’oeil sur hunter.io avec le nom de domaine de l’email des mentions, je trouve le format de l’email (prenom.nom@lenomdelaboite.fr, un classique) et le tour est joué. Email envoyé à 22:19, retour de la recruteuse à 23h… ça a marché de mettre son N+4 ou 5 en copie apparemment.

Excuses, ton mielleux (tu parles, le sur-surchef est en copie), elle me dit « nous avons du être en contact pour un poste dans le secteur financier » et que mon email va être supprimé. Sauf que non, nous n’avons jamais été en contact ; ai-je une tête à vouloir bosser dans le secteur financier ?

Là, elle a tenté une esquive en balançant un gros mensonge pour ne pas perdre la face, et se débarasser de moi. Donc j’y retourne, car elle ne répond pas à l’email. Extrait :

Non Madame, nous n’étions pas en contact pour un poste dans le secteur financier. Ce n’est pas du tout mon secteur.

Comme expliqué, je ne souhaite pas simplement que vous supprimiez mes coordonnées, je souhaite :
– accéder à l’ensemble des informations que vous avez stockées à mon sujet (associées à mon email)
– connaître l’origine des informations en question
– accéder aux informations qui ont conduit à la décision de l’envoi de cet email
– le nom du responsable du fichier

Cette demande est légale et formelle. Elle sera escaladée à la CNIL en cas de non réponse.

Bonne soirée à vous aussi,
Guillaume Morel

Pour rappel :
https://www.cnil.fr/fr/respecter-les-droits-des-personnes

*** Les droits d’accès et de rectification
Toute personne peut :
– accéder à l’ensemble des informations la concernant,
– connaître l’origine des informations le concernant,
– accéder aux informations sur lesquelles le responsable du fichier s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion ou le score attribué par une banque et qui a conduit au rejet de votre demande de crédit),
– en obtenir la copie (des frais n’excédant pas le coût de la reproduction peuvent être demandés)
– exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.

Ca a du la stresser car à 23:45 elle me répondait en s’excusant à nouveau, elle me dit être allé voir dans la base, etc. et répond partiellement aux questions (il me manque le comment mon email est arrivé entre leurs mains & le nom du responsable fichier). Je me suis arrêté là car je l’avais déjà bien affichée face à son surboss et fait bosser à 23h… mais si j’avais été de mauvais poil, j’aurais remis une couche sur les deux informations manquantes.

Pourquoi je vous raconte tout ça ? Pour me défouler peut-être mais surtout pour deux messages :
– savoir trouver rapidement l’accès (contact) à un décideur d’une entreprise est clé aujourd’hui ; face à des commerciaux, supports clients, services divers qui se multiplient avec des niveaux de formation très aléatoires, et des sujets à traiter de grande complexité, via des processus souvent mal ficelés, il est très facile, au quotidien, de se faire avoir, de subir des injustices… et pour pas y passer des heures et des heures, l’escalade (formelle, polie, factuelle, circonstanciée) à un décideur a toujours marché très efficacement pour moi
– last but not least, la protection de nos données personnelles est fondamentale. Vraiment. On en donne déjà énormément à Facebook, à Google, à Amazon, à nos banques (surtout d’ailleurs)… pas la peine d’en semer encore plus ailleurs, donc non seulement il faut faire attention dans ses pratiques numériques (et un livre entier est en gestation sur le sujet tellement il y a de choses à dire), mais surtout il faut participer à imposer la RGPD, en poussant les entreprises avec qui l’on a un échange, dès qu’il y a une utilisation inappropriée, abusive de votre email, de vos coordonnées… les tâcler et faire valoir vos droits imposés dans toutes l’Europe par cette réglementation bienveillante. Stressez toutes les startups qui, parce qu’elles sont jeunes & dynamiques font n’importe quoi avec leurs fichiers contenant vos infos, forcez les grandes entreprises à utiliser leurs processus RGPD souvent mis en place « sur le papier », signalez aux associations dont vous faites partie qu’elles aussi doivent être conformes à la RGPD… finis les fichiers d’adhérents qui passent d’une personne à l’autre et traînent d’un ordi à un autre, il faut lutter contre l’illectronisme tout autant qu’il faut éduquer les gens à l’importance de RGPD

A lire :

https://www.service-public.fr/professionnels-entreprises/vosdroits/F24270

https://www.cnil.fr/fr/respecter-les-droits-des-personnes

https://www.associations.gouv.fr/IMG/pdf/fiche_pratique_rgpd.pdf

https://protegor.net/?s=protection+donn%C3%A9es

Update : CA MARCHE AUSSI AU TEL
Aujourd’hui, je suis avec un ami qui est dérangé par un appel entrant d’escrocs démarcheurs. Je hais le démarchage par téléphone, je pense l’avoir déjà un peu dévoilé. C’est Bouygues, avec une téléconseillère à l’accent d’Europe de l’Est qui commence à poser des questions sur « vous avez quoi comme box, comme abonnement mobile ? ». Je prends le téléphone des mains du poto qui était un peu en mode « euh, vous êtes qui ? », et lance un « conformément à la loi RGPD, merci de retirer immédiatement ce numéro de votre base de données ». Elle répond d’accord, merci bla bla au-revoir. Mais en fait j’aurais du faire pareil que par email, la faire chier. Du coup, je me note un texte à lire pour le prochain démarchage que je partage avec vous à toutes fins utiles :
« Je vous remercie de ne pas raccrocher, je vais vous faire une demande formelle et légale. Si vous la refusez, notamment en raccrochant, vous exposez votre société à une amende pouvant aller à 4% du chiffre d’affaires de l’année. Conformément au Règlement Général sur la Protection des Données, je vous sommes de m’indiquer de suite par quel moyen vous avez pu avoir accès à ce numéro de téléphone ainsi que le nom du responsable du fichier que vous exploitez. Ceci est une obligation légale du RGPD, vous devez me le fournir. Ne pas le faire serait commettre une infraction à la loi. Je vous laisse me répondre. » 🙂

COMMENTAIRES RESEAUX SOCIAUX

Pour commenter cet article, vous pouvez soit utiliser le module réseaux sociaux ci-dessous (s'il ne s'affiche pas c'est que votre ordinateur bloque l'affichage de facebook sur les sites tiers), ou bien le module traditionnel du blog situé un peu plus bas.

4 Commentaires

  1. bonjour. Intéressante expérience!
    Elle suppose par contre qu’on ait une adresse mail de contact. Si je reprends votre exemple avec APRR, leur site (aprr.fr) ne donne accès qu’à un formulaire de contact : formuler une réclamation comme vous l’avez fait en mettant le PDG en copie me parait difficile dans ces conditions. Que faire ?
    j

  2. david d

    je doit bien dire que cet article va bien me servir , très intéressant et instructif.On se trouve sur de la défense mentale. du fait de mon métier je suis extrêmement sollicité par de nombreux démarchages en tout genre , courtiers, formateurs ..
    ils sont extrêmement intrusifs et surtout abusifs dans leurs démarches , voir malhonnêtes.
    les seules solutions jusque ici a ma disposition , étaient de me défouler au téléphone , ou encore de les passer directement en liste noire , pas très constructif.
    si je peut leurs faire perdre un peu de temps et pourquoi pas , qu’ils aient la petite goutte de sueur au coin du front , je passerai ,je pense , une meilleure journée.

Laisser un commentaire