Un outil permettant de mettre automatiquement des gens sur la liste ‘ne m’appelez plus’ suscite le ressentiment au sein de l’organisation à l’initiative de celle-ci. L’action bien intentionnée ignore une menace juridique.
La liste ‘ne m’appelez plus’ (Do-not-call-me ou DNCM) succède à la liste Robinson. Quiconque s’enregistre sur Dncm.be, ne peut plus être contacté à des fins publicitaires. Il s’agit là d’une initiative du secteur lui-même, afin d’éviter que les gens soient contactés de manière indésirable.
Mais le système intègre quelques points faibles. C’est ainsi qu’il faut décliner son nom, son genre et son adresse mail pour ajouter un numéro à la liste, mais il n’existe aucun contrôle de qui ajoute quoi. Il est donc possible avec n’importe quelle adresse mail d’ajouter une série de numéros de téléphone. Aucun contrôle n’est effectué pour savoir si l’adresse mail est correcte et/ou si le numéro ajouté appartient bien à quelqu’un.
729.216 numéros de téléphone ajoutés
Voilà ce que M, un hobbyiste, a découvert. Il a mis par conséquent au point un outil permettant d’ajouter automatiquement des numéros à la liste DNCM. ‘L’outil génère des numéros aléatoires à ajouter à votre compte. En soi, ce n’est rien à côté de ce qui était encore possible, mais cela automatise quand même le processus.’
Le développeur, M, ne tient cependant pas à être nommément cité, mais son nom est connu tant de Data News que de DNCM.
L’outil connut un succès inespéré. En l’espace de deux jours, plus de sept cent mille numéros de téléphone ont été automatiquement ajoutés à la liste ‘ne m’appelez plus’. Cela n’est pas passé inaperçu chez l’a.s.b.l. à l’origine de DNCM, qui a mis le site hors ligne le 15 mai. L’API fut alors adaptée, ce qui fait que l’outil n’était plus utilisable.
35.000 euros de frais
Mais DNCM n’apprécia ni l’outil ni l’appel lancé par M d’ajouter le plus de numéros possible. Quelques jours plus tard s’ensuivirent un mail vocal du président de l’a.s.b.l. DNCM et un courriel de son bureau d’avocats avec une mise en garde claire de stopper l’outil. M y est accusé de sabotage informatique, et il y est mentionné que DNCM a subi par son action pour 35.000 euros de dommages.
‘Ce que fait cet homme, est illégal’, déclare la président Burt Riské à Data News. Vous ne pouvez pas ainsi ajouter sur la liste un numéro qui ne vous appartient pas. Ce n’est pas à lui de décider d’enregistrer mon numéro ou ceux d’autres personnes. Il enfreint ainsi le libre arbitre des gens.’
Pour être complet, sachez que Burt Riské est aussi general manager de Trends Business Information qui, tout comme Data News, est édité par Roularta.
DNCM a rapidement découvert que plus de sept cent mille numéros avaient été enregistrés, et se vit par conséquent forcée de faire très vite appel à un partenaire IT durant le week-end en vue de colmater l’API. En même temps, l’organisation dut entreprendre une opération minutieuse pour éviter que les 729.216 numéros de téléphone n’aboutissent sur la liste ‘ne m’appelez plus’.
Voilà qui explique, selon Riské, les dommages de 35.000 euros causés: ‘Nous avons été occupés tout le week-end à faire face à la situation. Si nous ne l’avions pas fait, ce sont en l’espace d’une semaine 202 millions de combinaisons qui auraient indument abouti sur le liste.’
Aucune mauvaise intention
Le débat dépend en grande partie de la façon dont on considère cette affaire. M lui-même insiste sur le fait qu’il n’avait aucune mauvaise intention, mais qu’il voulait surtout démontrer de manière ludique que DNCM même n’effectue aucun contrôle et que le système peut être facilement abusé.
Côté DNCM, on déclare que ce genre de chose ne peut se passer et qu’on aurait préféré que M ait mentionné les failles dans le système avant de créer ce type d’outil et d’inciter à ajouter des numéros aléatoires. L’a.s.b.l. entend avec sa liste offrir précisément la possibilité de se désinscrire simplement, et veiller à ce que ses utilisateurs ne prennent pas contact avec des gens qui ne le veulent absolument pas.
‘Opt in’ face à ‘opt out’
Il existe aussi à l’arrière-plan une exception bizarre pour la téléphonie. Ce genre d’appel téléphonique est-il possible? Pour recevoir de la publicité par mail, il convient, conformément au GDPR, de donner son autorisation explicite (‘opt in’). Et pour ce qui est des offres téléphoniques, il faut précisément indiquer que vous ne désirez pas en recevoir (‘opt out’).
Il n’appartient pas à DNCM d’adapter la loi, mais l’organisation signale qu’elle gère la liste avec de bonnes intentions, afin de s’assurer que les firmes de télémarketing ne contactent pas spontanément quelqu’un. Celles qui ne le respectent pas, peuvent, selon DNCM, être considérées comme des acteurs mal intentionnés.
Amélioration en vue
Actuellement, l’outil ne fonctionne pas, mais il reste toutefois possible d’enregistrer sur dncm.be sans le moindre contrôle des numéros un par un. DNCM déclare que la sécurité du système sera améliorée à l’avenir. ‘L’une des améliorations consistera en un ‘captcha’ permettant d’empêcher ce genre d’abus. Mais la sécurité sera à l’avenir également améliorée’, précise Riské. Et d’insister sur le fait que l’a.s.b.l. elle-même dispose de moyens limités et que la modernisation du système demandera aussi du temps.
M en personne affirme être prêt à collaborer: ‘Je veux bien réexaminer l’API pour vérifier si pareille chose est encore possible.’ Il n’a pourtant pas l’intention de laisser son outil opérationnel. Il voulait ainsi surtout démontrer que c’était possible. ‘Je ne suis moi-même pas informaticien et j’ai agi par pur intérêt pendant une heure ou deux.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici