Avant de rentrer dans le vif du sujet, laissez-moi introduire le contexte. Il y déjà plusieurs années de cela, j’ai configuré ma première adresse mail FAI en tant qu’adresse bis de contact administratif pour la gestion de la connexion internet de mes parents. Cela n’a pas été plus utile que ça, à part pour suivre l’évolution du montant de la facture de l’abonnement et vérifier l’absence de problème. Je n’avais en revanche jamais pris la peine de remarquer que cette opération avait eu pour effet d’inscrire mon adresse sur la liste publicité pour les nouvelles offres de SFR en matière d’abonnement, etc. Jusqu’à présent, les mails que je recevais finissaient à la corbeille et leur fréquence n’était pas suffisamment haute pour être réellement dérangeante. Jusqu’au mardi 17 mai 2016…
Tout commence par un premier mail. Un simple mail vantant les mérites de la fibre. Chose cocasse, le serveur mail de SFR considère son propre mail comme du spam. Tout aurait pu s’arrêter là. Le mail aurait fini à la corbeille pour suppression, et je ne serai pas en train de rédiger ces lignes. Pourtant, le lendemain, nouveau mail, identique au premier; lui aussi atterrit dans la corbeille. Le surlendemain, rebelote. Déjà trois mails identiques à 24 h d’intervalles, tout cela commence doucement à m’énerver, d’autant plus que la ligne concernée n’est pas éligible à la fibre, pas raccordée et sans raccordement prévu à l’avenir. J’essaie donc le formulaire de désabonnement depuis mon mobile et tombe sur un bug : « Ce champ est obligatoire ». Pourtant, tout est rempli, tout est vert !
Je ne vais pas plus loin et me dis que je n’en recevrais certainement pas un 4e, il faudrait être fou… Cela aurait été trop beau. Nouveau mail le vendredi et le samedi. Désabonnement également impossible sur PC, même erreur… Cette fois c’en est trop, j’ouvre la console de mon navigateur et plonge dans le code. Cette histoire de champ obligatoire constatée sur mobile m’a mis la puce à l’oreille. Comme tous les champs affichés sur la page sont remplis correctement, c’est donc qu’il existe des champs cachés pour le formulaire. Je parcours le code HTML de la page et là bingo, une palanquée de champs cachés :
- csrfmiddlewaretoken
- campaign_id
- sollicitation_id
- code_campagne
- code_lot
- code_traitement
- list
Comme vous pouvez le constater, tous ces champs portent l’attribut type= »hidden » indiquant au navigateur que ces derniers ne doivent pas être affichés. Le message d’erreur laisse supposer que l’un des champs n’est pas rempli correctement. Je m’intéresse à l’attribut value des champs et constate que celui-ci manque à l’appel pour le champ sollicitation_id. Avant de le compléter avec une chaîne de caractère aléatoire comme la chaîne « 0 » par exemple, je jette un dernier coup d’œil au mail et plus particulièrement au lien de désabonnement fourni :
https://sh.sfr.fr/short/748/qISYsF2kqUVXL_Sq0Hfmjlpm4nJdE_cgwHlpj41hbdHYADHmAiJjbOceMHKwiS5e/748_2625_35/?cl=C00000944803&ct=000080294&sid=&email=monmail%40sfr.fr&unsubscription_list=L2&campaign_id=748&ID_Sollicitation=&code_traitement=000080294&code_lot=C00000944803&code_campagne=C000009448
Dans cette URL, nous constatons que le paramètre ID_Sollicitation est vide. L’absence de valeur a donc pour effet de proposer un formulaire incomplet à l’utilisateur et l’empêche de se désinscrire. Pas de problème, j’édite le code HTML, ajoute une valeur bidon au champ sollicitation_id et valide le formulaire. Cette fois ça y est, un message m’indiquant que ma « demande a été prise en compte » s’affiche.
Une autre solution consiste à modifier l’URL pour compléter directement le paramètre ID_Sollicitation dans cette dernière :
https://sh.sfr.fr/short/748/qISYsF2kqUVXL_Sq0Hfmjlpm4nJdE_cgwHlpj41hbdHYADHmAiJjbOceMHKwiS5e/748_2625_35/?cl=C00000944803&ct=000080294&sid=&email=mon.mail%40sfr.fr&unsubscription_list=L2&campaign_id=748&ID_Sollicitation=0&code_traitement=000080294&code_lot=C00000944803&code_campagne=C000009448
Bonne nouvelle, je devrais maintenant être tranquille et arrêter de recevoir ces mails totalement inutiles. À condition bien évidemment que le code côté serveur fonctionne mieux que ce formulaire.
Je trouve ce formulaire extrêmement mal conçu. Un problème sur un champ caché ne devrait jamais bloquer l’utilisateur, sans lui indiquer un problème de fonctionnement interne et lui proposer un moyen de le signaler. Par ailleurs, la désinscription devrait avoir lieux dès l’arrivée sur la page responsable du traitement, avec une validation éventuelle. La soumission du formulaire ne devrait apparaître qu’ensuite, afin d’être un élément non bloquant du processus de désabonnement.
En résumé, sur cette campagne de mails, nous avons donc à mon sens un spam massif des clients. Ne pas être capable de n’envoyer un tel mail aux seuls clients éligibles, pour un FAI, c’est toute de même un comble. Outre le spam, nous pouvons ajouter une procédure de désinscription présente mais défectueuse. Osons même parler de lien de désabonnement non fonctionnel. Allons plus loin, ceci me semble constituer une infraction du code des postes et des communications électroniques (article L. 34-5) ainsi que du code de la consommation (article L. 121-20-5), qui précisent le cadre applicable à la prospection par courrier électronique. Comme le mentionne le Journal Officiel du Sénat du 27/11/2014 page 2655 :
Le professionnel doit proposer un moyen simple de s’opposer à la réception de nouvelles sollicitations et la CNIL recommande que le droit d’opposition puisse être accompli par le biais, par exemple, d’une case à cocher (ou un lien pour se désinscrire à la fin du message). Les infractions à ces dispositions sont punies d’une amende de 750 euros par message expédié. En conséquence, si un internaute juge qu’aucun moyen simple et praticable de se désabonner d’une liste de diffusion n’est mis à sa disposition ou que les pratiques du gestionnaire de la liste de diffusion sont contraires aux dispositions en vigueur, et que le responsable de traitement n’a pas donné suite à ses demandes de désabonnement dans un délai raisonnable, il peut saisir la CNIL […].
Selon l’analyse que pourrait rendre la CNIL de ces manquements, une amende serait donc envisageable pour ces mails en infraction (et tous les autres mails défectueux).
J’aurais reçu en tout et pour tout 6 exemplaires du même mail sur une période de 7 jours (pas de mail le dimanche). Ayant réussi à soumettre le formulaire, le samedi soir, il aura tout de même fallu attendre 48 h pour que la demande soit prise en compte. J’ai donc reçu un dernier mail lundi, mais pas le lendemain mardi. J’espère donc que la désinscription est effective et que cette absence de mail ne provient pas d’un arrêt de la campagne de spam, mais bien de la demande de désabonnement. Par ailleurs, si de nouveaux mails du même acabit devaient atterrir dans ma boite mail avec un lien de désabonnement non fonctionnel, je n’hésiterais pas à contacter la CNIL.