older post »

Le respect du RGPD, lol

Cet article raconte comment mes différentes demandes de droits d'accès à mes données personnelles auprès de PayPal sont restées lettre morte pendant 7 mois.

J'ai tellement été ennuyé par cette histoire que j'ai décidé d'en faire un article blog, moi qui n'ai pourtant jamais trop eu la passion de l'écriture.

Une demande de droit d'accès à ses données, c'est quoi ?

La loi européenne, plus précisément le règlement général sur la protection des données permet à chacun de faire une demande de droits d'accès, c'est à dire demander à un organisme la liste exhaustive des données dont cet organisme dispose sur nous-même, ainsi que sur la finalité de ces données.

Par exemple, les sites Internet sur lesquels nous avons un compte disposent de données nous concernant: souvent notre nom, notre numéro de téléphone, mais aussi le contenu de la messagerie interne du service, les données de connexion comme la date et l'heure, l'IP utilisée, ...

Pourquoi j'en suis venu à faire une demande de droits d'accès

A la base, je n'avais pas spécialement l'intention de "tester" la demande de droit d'accès et d'en faire un article de blog. Mais le sort en a décidé autrement, et il faut dire qu'il a pas mal insisté.

Tout commence le 14 décembre 2020, lorsque je reçois une lettre de PayPal, indiquant que "d'importants changements vont être apportés à mon compte paypal". En fait, on m'indique que mon compte est inactif depuis plus de 12 mois, et que des frais s'appliqueront s'il n'est pas réactivé avant le 16 décembre.

La lettre est datée du 23 novembre mais je l'ai seulement reçue le 14 décembre : elle a mis 3 semaines pour arriver du Luxembourg (probablement acheminée à dos d'âne, et encore il a dû faire un détour). Il n'y avait pas de cachet de poste sur l'enveloppe pour voir quand elle a effectivement été envoyée, et le décodage du Code Barre fluo sur l'enveloppe ne semble pas contenir de date.

Bref, cela me laisse 2 jours pour réactiver mon compte.

lettre envoyée par PayPal

Voyons en quoi cela consiste. La lettre dit:

Vous pouvez réactiver votre compte simplement en:

  • Faisant des achats avec PayPal
  • Envoyant de l'argent à vos amis, à votre famille et à des commerçants
  • Virant de l'argent de votre compte
  • Faisant un don à une association qui vous tient à coeur
  • Vous connectant à votre compte PayPal

On déduit assez rapidement de cette liste qu'il ne s'agit pas d'un "ET", mais que remplir un seul de ces critères suffit pour réactiver son compte, sinon ça n'a pas de sens. D'ailleurs, la FAQ du site est encore plus claire à ce sujet, puisque le "OU" est explicite (page archivée).

Je choisis l'option la moins contraignante, c'est à dire simplement se connecter à son compte. J'en profite d'ailleurs pour changer mon mot de passe, ça fait un moment que j'utilise le même. Je reçois un mail de confirmation à ce sujet (c'est important pour la suite).

Le moment où je me fais enfumer de 10 euros

Vous l'aurez compris puisque j'écris un article... ça n'a pas loupé, deux jours plus tard, je reçois un mail m'indiquant que 10 euros de frais ont été prélevés sur mon compte. Eh oui, il se trouve j'ai de l'argent "stocké" chez PayPal (une sombre histoire de remboursement de commande groupée de beaufort), et ils se sont servi là dessus.

Bref, un peu remonté, je décide de contacter PayPal. Néanmoins, j'y vais relativement confiant, car j'ai bien suivi ce qui m'a été demandé, et d'expérience, ces boîtes américaines, même si elle ont une fâcheuse tendance à pratiquer l'évasion fiscale, ont en général un bon support client. Je trouve le numéro de téléphone et j'appelle. On est le 19 décembre. Après avoir bataillé plusieurs minutes avec l'automate, on m'annonce que le support n'est pas disponible le samedi... coin. C'est vrai, j'aurais pu m'en douter, mais un message dès le début pour le dire ne serait pas un luxe.

J'attends donc le lundi pour appeler, et je change de stratégie. Puisque ce jour là je travaille, je choisis d'utiliser la messagerie web pour pouvoir répondre quand j'ai le temps. Mon premier interlocuteur m'indique que comme je n'ai pas fait de transaction depuis un an, des frais ont été prélevés. Alors je lui explique que sur la lettre que j'ai reçue, il est indiqué qu'il suffit de se connecter à son compte, et que je veux être remboursé. Il me demande la photo de la lettre. Puis il transfère la demande à son supérieur, qui doit me rappeler dans la journée.

Effectivement, l'après-midi, on me contacte à ce sujet. On me dit que je vais être remboursé. Je demande à recevoir un mail pour me le confirmer, et la personne me dit "bien sûr, je vous l'envoie tout de suite". Je raccroche, en me disant que le problème est reglé.

HAHA quel naïf je fais.

Premier chemin de croix, où je pense pouvoir récupérer mes 10 euros

Le lendemain, je n'ai pas reçu de mail de confirmation, alors je décide de recontacter le support. Je crois que là ça se passe de commentaires.

Moi:

Bonjour, comme prévu j'ai reçu hier un appel hier concernant ma demande. On m'a indiqué que je serai remboursé des 10€ de frais d'inactivité d'ici début janvier. On m'a assuré que j'aurai une confirmation écrite, mais je n'ai rien reçu. Serait-il possible d'avoir cette confirmation par mail ? Merci

PayPal (2e interlocuteur):

Nous avons introduit des frais d'inactivité pour gérer les comptes inactifs. L'applicabilité des frais de service est limitée et vise à impacter uniquement les comptes qui n'ont pas été actifs au cours des 12 derniers mois. Pour éviter de devoir payer ces frais, il vous suffit de vous connecter à votre compte, de faire vos achats partout où PayPal est accepté ou d'effectuer une transaction telle que l'envoi d'argent à vos proches, un don à une association caritative ou un virement depuis votre compte.

Sur ce, je vous informe que vous ne serai pas remboursé de la somme de 10€ parceque la dernière fois que vousq avez effectué une transaction date du 15 novembre 2017.

Merci et bonne journée!

Et galère, je suis reparti à 0. Et là, le support devient flippant de mauvaise foi. Je mets tous les logs, je vous laisse juger.

Moi:

Bonjour, j'ai été contacté par téléphone hier à ce sujet, et on m'a indiqué que je serai remboursé. Comme je l'ai expliqué précédemment, je me suis connecté à mon compte le 15 décembre pour le réactiver, et il est précisé dans la lettre que j'ai reçue (voir pièce jointe plus haut) ainsi que dans la FAQ (voir lien plus haut) que c'est suffisant. Je ne comprends pas pourquoi ce changement d'avis ?

PayPal (2e interlocuteur):

Je suis vraiment navrée de savoir que vous avez été débité des frais d'inactivité de votre compte. Je comprends que cela ne vous plaise, mais je vous informe que lorsque votre compte est inactif durant les 12 derniers et que vous avez reçu des notifications concernant cela, vous devriez premièrement réavoir accès à votre compte, une fois cela fait, vous devriez au moins faire une action transactionnelle dans votre compte avant la date buttoir indiquée dans les notifications pour ne pas que vous soyez débité de ces frais.

Dans votre cas, vous n'avez pas effectué de transaction pouvant rendre effectivement votre compte actif au moment où vous vous y êtes connecté, ce qui justifie en effet le débit des frais d'inactivités.

Je vous informe que ces frais ne sont pas remboursables, et aucun litige ne peut être signaler pour cela.

Je vous invite donc, à utiliser votre compte PayPal éventuellement de manière active pour éviter que cela ne se reproduise.

Je vous remercie de votre compréhension et vous souhaite une excellente journée.

Moi:

Merci pour votre réponse. Cependant, elle est contraire à la FAQ de paypal https://www.paypal.com/fr/smarthelp/article/FAQ4427 "Elles contiennent des mesures simples à prendre avant le 16 décembre 2020 pour éviter les frais : Connectez-vous à votre compte", contraire à ce qui est écrit sur la lettre que j'ai reçue (voir pièce joint plus haut), et contraire à la réponse que l'on m'a donné hier au téléphone. En conséquence, merci de bien vouloir effectuer le remboursement, sans quoi je me verrais dans l'obligation de contacter l'association de consommateur dont je suis membre. Cordialement

Bon là j'avoue j'ai un peu pipoté, je suis pas (encore) membre d'une association de consommateur, mais vous l'avez vu, je suis naïf, alors j'ai pensé que ça pouvait aider.

PayPal (2e interlocuteur):

Je comprends parfaitement mais c'est ainsi, il fallait suivre ce qui est dit, mais là un remboursement ne sera pas possible.

Moi:

Bonsoir, contrairement à ce que vous expliquez,j'ai suivi ce qui est indiqué sur la lettre reçue et sur la FAQ. Avez-vous lu le lien que je vous ai envoyé ? Il est clairement indiqué que se connecter à son compte suffit. Vous ne m'avez donné aucun élément (lien, conditions générales, ...) étayant vos propos.

Plus de réponse ce jour là. Je dois relancer le lendemain. Mais le lendemain, même si ça part pas trop mal, ça devient rapidement ridicule...

PayPal (3e interlocuteur):

J'ai bien pris en compte votre demande concernant votre remboursement.

Je vous informe que PayPAL est conscient de toutes ses actions. Il est possible qu'il vous attribue un geste commercial de 5€ ou de 10€ si votre compte est actif et suite un BUG, PayPal a facturé les frais d’inactivité.

Moi:

Bonjour, merci de votre réponse. Comme je l'ai indiqué précédemment, la lettre que j'ai reçue tout comme la FAQ de paypal précise qu'il suffit de se connecter à son compte pour l'activer. J'ai effectué cette opération le 15 décembre, avant la date limite. Les frais n'auraient donc pas du être prélevés et doivent être remboursés.

PayPal (3e interlocuteur):

Je comprends, je vous invite à patienter.

Moi:

Pouvez-vous me dire combien de temps dois-je patienter avant de revenir vers vous ? Quand pourrais-je savoir si je vais être remboursé ? Merci

PayPal (3e interlocuteur):

Je ne saurai vous le dire

Moi:

Vous me dites ne pas savoir si je serai remboursé, et ne pas savoir non plus quand vous saurez. Vous comprenez bien que ce n'est pas une réponse satisfaisante. Qui peut me donner cette information ?

PayPal (3e interlocuteur):

Après vérification, je vous informe que je ne vois aucune activité de votre part le 15 décembre 2020.

Donc vous n'aurez pas un remboursement.

Sympa ce beau mensonge qu'il me balance avec applomb. Allez, je tente un truc.

Moi:

Je me suis connecté à mon compte le 15 décembre à 10h, et j'ai même modifié mon mot de passe. J'ai reçu un mail de confirmation de changement de mot de passe. Ce mail est signé (signature DKIM) par le serveur d'envoi, je peux donc prouver son authenticité. Merci de bien vouloir regarder à nouveau.

Petite parenthèse sur la signature DKIM

Voir l'article de wikipedia pour plus d'information sur DKIM.

Le mail que j'ai reçu le 15 décembre pour me confirmer mon changement de mot de passe est effectivement signé. Cette signature est principalement utilisée pour se défendre contre le spam. Voyons un extrait des headers de ce mail:

From service@paypal.com Tue Dec 15 10:02:21 2020
Return-path: <service@paypal.com>
Envelope-to: XXXXXXXXXXX@droids-corp.org
Delivery-date: Tue, 15 Dec 2020 10:02:21 +0100
Received: from mx2.slc.paypal.com ([173.0.84.227] helo=mx1.slc.paypal.com)
        by mail.droids-corp.org with esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256)
        (Exim 4.92)
        (envelope-from <service@paypal.com>)
        id 1kp6Ds-0004Sw-JM
        for XXXXXXXXXXX@droids-corp.org; Tue, 15 Dec 2020 10:02:21 +0100
DKIM-Signature: v=1; a=rsa-sha256; d=paypal.com; s=pp-dkim1; c=relaxed/relaxed;
        q=dns/txt; i=@paypal.com; t=1608022827;
        h=From:From:Subject:Date:To:MIME-Version:Content-Type;
        bh=iNvay75DMGl6fLFnhNd95XmPmZUb5ghqH1lCkti8p1k=;
        b=voy3QrqGwxMwoBloL8L6lXn7l8oiiMUHKexq2lqPJfhskZwAWrcmBJChKCHzOWE4
        9ZDBX1qnA4m+safj1uv2X+ICh5wbO7eZzzWR8Hr86LCIIEykWPds2SrpnTcdeKt/
        MT0x8tgVtjwTELso0mEuRPuVndlf0QHnbFhhdXRiccDAj2+nGmQwk+vMgiY5dLdM
        pCMz9TPBLJ1KYr4kONKDkuDlVSxNk/bqsiozu5shlDRY80aCf15e8vkQ8UbQbCbV
        1H+Jb61sdRHRFaF1siQYpZYcIgebEu+OboqetNYwejMfmDAArtXhS7PAlMeB/iAJ
        do4BimPMUVSPZgckp4QWLg==;
(...)
Subject: =?UTF-8?Q?Vous_avez_modifi=C3=A9_votre_mot_de_passe?=
To: XXXXXXXXXXX@droids-corp.org
From: <service@paypal.com>

La ligne "h=From:From:Subject:Date:To:MIME-Version:Content-Type;" indique les champs concernés par la signature. Cette signature permet donc de prouver que ce message a bien été envoyé par le domaine paypal.com à l'heure indiquée dans le mail.

On peut vérifier que la signature du mail est valide:

$ dkimverify < /tmp/mail-paypal.eml
signature ok

Fin de parenthèse, retour au pipo

PayPal (3e interlocuteur):

Je ne vois aucun message datant du 15 décembre 2020. Vos activités sur le compte date du 21 décembre 2020 et je vois aussi un premier message qui date le 22 décembre 2020 à 02:33:36 pm pour confirmation de numéro de téléphone.

Je suis désolée mais vous ne serez pas remboursé.

Moi:

Je n'ai pas envoyé de message le 15 décembre. En revanche, je me suis connecté à mon compte. Je vous recontacterai par le biais de mon association de consommateur ou assurance juridique.

PayPal (3e interlocuteur):

D'accord!

Je décide d'appeler mon service d'assistance juridique, inclus dans mon contrat d'assurance.

Mon interlocutrice me confirme que je suis dans mon bon droit, mais elle me conseille de laisser tomber: rien que l'envoi du recommandé pour envoyer une mise en demeure, j'en ai déjà pour plus de 5 euros, sans aucune garantie de résultat. Et de leur coté, ils ne font rien tant que le préjudice ne dépasse pas 150 euros.

Les bras m'en tombent (je vous l'ai dit, je suis naïf). On peut donc se faire voler 10 euros, et à moins d'avoir du temps et de l'argent à dépenser, on ne peut que le subir. Elle me confirme que certaines societés (dont elle ne cite pas les noms) profitent largement de cet état de fait.

On arrive à la demande de droit d'accès

À ce moment je ne crois plus vraiment que je reverrai mes 10 euros. Mais pour prouver à nouveau que je me suis bien connecté le 15 décembre (et aussi un peu pour me venger), je décide de demander l'accès à mes données personnelles, qui je l'espère, contiennent mes données de connexion, ou bien la date de mon dernier changement de mot de passe. Je suppose que c'est le cas, puisque le support semble y avoir accès.

Hop, je balance grossomodo le modèle récupéré sur le site de la CNIL. Le détail des conversations dessous est absolument navrant.

Moi:

Je vous prie de bien vouloir me communiquer les données me concernant figurant dans vos fichiers informatisés ou manuels. Mon compte Paypal est associé à l’adresse XXXXXXXXXXX@droids-corp.org et au numéro de téléphone +33 6 XX XX XX XX XX

Je souhaiterais obtenir une copie, en langage clair, de l’ensemble de ces données (y compris celles figurant dans les zones « blocs-notes » ou « commentaires »), en application de l’article 15 du Règlement général sur la protection des données (RGPD).

Je vous remercie de me faire parvenir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de ma demande (article 12.3 du RGPD).

A défaut de réponse de votre part dans les délais impartis ou en cas de réponse incomplète, je me réserve la possibilité de saisir la Commission nationale de l’informatique et des libertés (CNIL) et la Comission nationale pour la protection des données (CNPD) d’une réclamation.

A toutes fins utiles, vous trouverez des informations sur le site internet de la CNIL : https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.

PayPal (3e interlocuteur):

Via votre compte PayPal vous pouvez avoir tous vos données et les télécharger vos fichiers concernant PayPal.

Gni ? Bon, je crois qu'il a juste pas compris.

Moi:

Très bien. Merci de m'indiquer comment récupérer en langage clair toutes les données me concernant et dont dispose Paypal depuis mon compte.

Il est indiqué sur le point 10/ de votre politique de confidentialité qu'il faut vous contacter pour cela. Voir https://www.paypal.com/fr/webapps/mpp/ua/privacy-full#2

PayPal (3e interlocuteur):

Je vous ai donné tous les renseignements nécessaires et exactes sur votre compte mais si vous voyez le contraire je n'y peut rien. Je vais pas vous dire des mensonges alors que mon travail en dépend. Si vous vous voulez poursuivre ce cas en justice cela vous concerne. Faites vos démarches.

Hein ? Mais quoi ? En fait, il sait peut être juste pas ce que c'est le RGPD. Bon, j'en remets une couche.

Moi:

Bonjour, je ne cherche pas à remettre en cause votre probité. Cependant ma demande est tout à fait légale (loi RGPD), et je vous prie de bien vouloir y accéder. Cette demande est indépendante du litige concernant les frais d'inactivité.

Plus de réponse, alors je relance le lendemain.

Moi:

Bonjour, pouvez-vous me confirmer que ma demande d'accès à mes données personelles formulée hier a bien été prise en compte ? Merci

PayPal (3e interlocuteur):

Vous n'avez pas besoin de mon approbation pour accéder à vos données personnels.

En fait, c'est fou, mon interlocuteur ne cherche même pas à comprendre ma demande.

Moi:

Bonjour, il s'agit d'une demande officielle d'accès à toutes les données telle que l'autorise le RGPD. Merci de bien vouloir vous renseigner.

Pour information : RGPD = https://fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protection_des_donn%C3%A9es

l'article 10 de votre politique de confidentialité y fait référence. Voir https://www.paypal.com/fr/webapps/mpp/ua/privacy-full#2

PayPal (3e interlocuteur):

En vérifiant vos données je viens de voir que vous avez essayer de vous connecter le 15 décembre mais vous n'avez pas réussi. Et vous avez pu accéder à votre compte le 19 décembre 2020 à 08:44:11, donc PayPal ne pourra pas vous rembourser.

Mouahaha c'est vraiment M. Pipo à l'autre bout.

Retenez bien le "vous ne vous êtes pas connecté, donc on ne vous rembourse pas", c'est la 2e fois qu'il me dit ça. C'est parce qu'après c'est rigolo.

Bon là, je passe en mode chiant. J'ai l'impression qu'il ne peut pas mettre fin à la "conversation" tant que je suis le dernier à avoir parlé. Alors dès que je vois qu'il a répondu, je fais pareil.

Moi:

Merci, mais c'est inexact. Je vous prie de bien vouloir accèder à ma demande concernant l'accès à mes données, telle que la loi me l'y autorise.

Avez-vous bien compris et pris en compte ma demande s'il vous plait ?

PayPal (3e interlocuteur):

du moment ou vous avez accès à votre compte vous avez accès à vos données personnelles.

Concernant les frais prélevés dont vous voulez un remboursement, je vous dit que ce sera pas fait.

Si vous voulez des explications veuillez contacter notre Responsable de la protection des données en écrivant à l'adresse suivante : PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal L-2449, Luxembourg.

J'espère que ces éclaircissements vous serviront. Bonne fête de noël et bonne fête fin d'année!

Ah oui, je l'ai pas dit, mais on est déjà le 24 décembre (y'a vraiment des gens qui ont rien à faire de leur veille de Noël).

Moi:

Merci pour votre réponse. Je ne cherche pas des explications, je cherche à faire une demande d'accès à mes données personnelles (pas uniquement celles disponibles depuis mon compte évidemment). Pouvez-vous s'ils vous plaît me confirmer que cette démarche ne peut se faire de manière électronique ? Cela me semble contraire à ce que je lis sur le site de la CNIL.

Référence: https://www.cnil.fr/fr/le-droit-dacces-connaitre-les-donnees-quun-organisme-detient-sur-vous "Vous pouvez exercer votre demande de droit d’accès par divers moyens : par voie électronique [...]"

Je vous souhaite également un Joyeux Noël, et de bonnes fêtes !

PayPal (3e interlocuteur):

Merci d'avoir choisi PayPal et de nous avoir contactés, si vous n'avez plus de questions, merci de fermer cette conversation. Pour cela sélectionnez terminer la conversation ou cliquez sur le signe en forme X en rouge en haut de votre fenetre.

Hahaha, finalement, ça me ferait presque marrer.

Moi:

Je me permets de vous relancer, car vous n'avez pas répondu à ma dernière question. Merci !

PayPal (3e interlocuteur):

contactez notre Responsable de la protection des données en écrivant à l'adresse suivante : PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal L-2449, Luxembourg.

Moi:

Ma question était: Pouvez-vous s'ils vous plaît me confirmer que cette démarche ne peut se faire de manière électronique ? Cela me semble contraire à ce que je lis sur le site de la CNIL.

Référence: https://www.cnil.fr/fr/le-droit-dacces-connaitre-les-donnees-quun-organisme-detient-sur-vous "Vous pouvez exercer votre demande de droit d’accès par divers moyens : par voie électronique [...]"

PayPal (3e interlocuteur):

Je n'ai pas ces informations.

contactez notre Responsable de la protection des données en écrivant à l'adresse suivante : PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal L-2449, Luxembourg

Ah, il est fort, il botte en touche.

Moi:

Très bien. Merci de votre réponse. J'ai une dernière question concernant le litige (je vous remercie d'ailleurs de votre patience). Afin de bien comprendre, pouvez-vous me confirmer que si vous aviez constaté cette connexion, il y aurait bien eu un remboursement ?

PayPal (3e interlocuteur):

Non!

lol

Bon allez, je relance un coup quand même alors.

Moi:

Ah, mais alors je ne comprends pas pourquoi avoir vérifié mes informations de connexions ? Pouvez vous m'indiquer à quel endroit dans vos conditions générales se trouve ces règles ?

PayPal (3e interlocuteur):

contactez notre Responsable de la protection des données en écrivant à l'adresse suivante : PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal L-2449, Luxembourg

Moi:

Cette demande ne concerne pas la protection des données personnelles. Vous n'avez pas la réponse à cette question ?

PayPal (3e interlocuteur):

Sur activités vous pouvez tout y trouver.

Moi:

J'ai bien trouvé la FAQ, qui confirme ce qu'une simple connexion suffit à activer un compte. https://www.paypal.com/fr/smarthelp/article/FAQ4427 "Elles contiennent des mesures simples à prendre avant le 16 décembre 2020 pour éviter les frais : Connectez-vous à votre compte"

PayPal (3e interlocuteur):

Je n'ai plus d'informations à vous donner.

Moi:

Je trouve cela contradictoire avec votre précédente réponse. Vous indiquez qu'il n'y aurait pas eu de remboursement, pourtant c'est bien ce qui est indiqué sur la FAQ.

PayPal (3e interlocuteur):

contactez notre Responsable de la protection des données en écrivant à l'adresse suivante : PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal L-2449, Luxembourg

Bon, il en a vraiment marre, et moi aussi, j'arrête.

Moi:

Très bien, je vois que vous ne pouvez pas me renseigner. Je vous remercie. Bonne fêtes.

PayPal (3e interlocuteur):

Merci d'avoir choisi PayPal et de nous avoir contactés, si vous n'avez plus de questions, merci de fermer cette conversation Pour cela sélectionnez terminer la conversation ou cliquez sur le signe en forme X en rouge en haut de votre fenetre.

Moi:

Bonne fête de noël et bonne fête fin d'année!

Le 2e chemin de croix

Maintenant, plus question des 10 euros. Mais je veux obtenir l'accès à mes données. Parce que j'en ai le droit. Je décide donc de relancer régulièrement PayPal afin d'avoir une réponse.

  • D'abord, le 12 janvier 2021, voici la réponse que j'obtiens:

    Je suis désolée d'apprendre que votre demande semble avoir été ignorée.

    Oui en effet après formulation de la demande vous devez normalement recevoir par mail et dans un délai de 30 jours à compter de la date ou vous avez émis la demande, une réponse.

    Je vous prie de bien vouloir émettre à nouveau une nouvelle demande , je vais également à mon niveau faire la remontée de cette incident.

    Je vous présente mes excuses pour le désagrément et vous souhaite de passer une excellente journée.

    [...]

    Veuillez patienter dans un délai de 10jours un dossier a été ouvert pour votre demande.

    Rassurez-vous on vous recontactera dans les plus brefs délais.

  • Puis le 1er mars 2021

    Moi:

    [...]

    Je me permets de vous rappeller que vous avez l'obligation de répondre aux demandes de droits d'accès dans un délai d'un mois (article 59 du RGPD). Ma demande initiale a été faite le 24 décembre, il y a donc environ 2 mois de demi. Pouvez-vous s'il vous plait m'indiquer quand disposerai-je de ces données, ainsi que les raisons de ce retard ?

    Réponse:

    Je vous informe que vous avez parfaitement raison et vous avez le doit sur cela mais vu que la procédure est déjà ouverte il faudra patienter pour que ce département nous réponde afin de vous tenir informer car c'est le département adéquate qui prend en charge votre demande.

Plainte auprès de la CNIL

Le 14 mars, je décide de déposer une plainte en ligne auprès de la CNIL. Je passe un certain temps à compiler les logs pour faire un dossier valable.

Je reçois une confirmation par courrier le 17 mars, qui m'indique que ma plainte est recevable et qu'elle a été transmise au service des plaintes de la CNIL. On me prévient aussi que les délais de traitement peuvent être importants en raison du grand nombre de saisines que la CNIL reçoit.

En effet, à ce jour (plus de 4 mois après), aucune nouvelle.

Le rapport d'activité de la CNIL (lien vers le rapport complet en pdf) nous apprend que 13585 plaintes ont été déposées en 2020. Je n'ai pas trouvé d'information sur le pourcentage de plaintes ayant donnée lieu à une action ou à une sanction, ni combien ont été "résolues". Le rapport indique que 247 contrôles ont été effectués en 2020, 15 sanctions et 49 mises en demeures prononcées. Ça me semble peu.

La lecture de quelques articles n'incitent pas à l'optimisme concernant la capacité d'agir de la CNIL:

Le chemin de croix continue... longtemps... très longtemps

Je relance PayPal le 14 avril... mais à partir de cette date, il se passe quelque chose d'étrange sur mon compte: la procédure qui permet de joindre le support via la messagerie web ne fonctionne plus. Ça ressemblait initialement à un bug, mais j'ai essayé plusieurs fois, avec plusieurs navigateurs, depuis plusieurs postes, et ce jusque fin mai, date à laquelle je décide de les joindre par téléphone.

Au téléphone, mon interlocuteur est aimable. Je lui résume la situation, et lui reformule une nouvelle fois ma demande de droit d'accès. Il n'est pas très au courant de ces choses, mais prend le temps de se renseigner auprès de sa hiérarchie. Il me confirme que ma demande est bien prise en compte. Je reçois un message sur mon compte:

Nous avons reçu votre demande d'accès à la personne concernée. Nous vous demandons également de nous préciser, en répondant à cet email, si vous recherchez des informations spécifiques, par exemple une période donnée ou un problème sur votre compte.

Seules les données personnelles vous concernant seront fournies et nous ne partagerons pas les informations de compte d'autres clients ou les procédures internes de PayPal.

En raison du volume d'informations à compiler, cette opération peut prendre jusqu'à 30 jours à partir de la date de votre premier contact.

Ne vous inquiétez donc pas si vous n'avez pas de réponse immédiatement.

Je réponds à ce message, grossomodo avec mon message type que j'ai dû copier une bonne dizaine de fois.

Deux mois plus tard, le 26 juillet, je me connecte à mon compte pour faire une nouvelle relance, en répondant à nouveau à ce message. Après l'envoi, alors que le site m'indique que mon message a bien été envoyé, il n'apparaît pas dans le fil de discussion... de même que le message envoyé 2 mois plus tôt. Je sais pas si c'est normal, mais du coup impossible de savoir s'ils sont réellement partis.

Je reprends mon téléphone. Là encore, la personne au bout du fil est professionnelle et aimable, mais elle ne peut m'apporter aucune information. Elle me promet de me rappeler dans la semaine. Aujourd'hui, vendredi 30 juillet, toujours pas de nouvelle.

En revanche, ma réponse via la messagerie était finalement bien partie, puisque j'ai eu un retour (inutile, évidemment):

Nous avons répondu à votre demande le 27/05 en vous demandons également de nous préciser, si vous recherchez des informations spécifiques, par exemple une période donnée ou un problème sur votre compte.

Seules les données personnelles vous concernant seront fournies et nous ne partagerons pas les informations de compte d'autres clients ou les procédures internes de PayPal.

Nous prenons le service mailing au sérieux et c'est avec un énorme plaisir que nous assurons que vous êtes un client PayPal satisfait.

Ma réponse:

Bonjour,

Comme indiqué dans mes différentes demandes, je souhaite récupérer l'intégralité des données me concernant.

C'est pourtant clair.

Pourquoi cet article

Finalement, 7 mois après ma demande initiale, je n'ai toujours pas eu accès à mes données (le délai légal est 1 mois), et bien sûr je n'ai pas été remboursé de mes 10 euros.

La plainte à la CNIL n'a rien donné non plus, du moins pour le moment.

Je laisse au lecteur le soin de mettre des mots sur cette situation, et sur l'attitude de PayPal.

Alors, faut-il porter plainte pour qu'il se passe quelque chose ? Parler de ça sur mon blog, ça me donne l'impression de pas rester sans rien faire, mais c'est aussi pour informer les lecteurs. Et peut-être d'ailleurs que quelqu'un va m'expliquer que je m'y prends mal. Ou peut-être que des gens décideront de fermer leur compte PayPal.

Ou alors, peut-être que le community manager (lol) de PayPal m'enverra ce que je demande et m'offrira un bon d'achat de 1000€ en dédommagement. Qui sait ?

Bien sûr, je ne manquerai pas de mettre à jour cet article (ou j'en ferai un nouveau) pour donner la conclusion de cette histoire !

older post »

links