Boutiques en ligne, forums, jeux vidéo, médias... la vie d'un internaute est faite de nombreuses inscriptions, dont on perd le compte au fil des années. Depuis l'été dernier, votre serviteur a mené une longue expérience : supprimer ou mettre à jour plus de 200 comptes, en mettant à l'épreuve les sociétés concernées.
Après plus d'une décennie en ligne, c'est décidé, il est temps d'assainir ma présence numérique. En août 2017, j'ai entrepris de répertorier mes comptes, supprimer les inutiles et lier ceux restant à une nouvelle adresse e-mail personnelle, centralisant ainsi mes inscriptions.
L'expérience, menée sur plus de 230 comptes en ligne, créés au fil des années, montre à quel point il est encore difficile d'avoir le plein contrôle de ses données personnelles. La méthode est simple : exporter un fichier Excel à partir de gestionnaires de mots de passe (Dashlane et KeePass), contenant la majorité des comptes créés, puis fouiller dans ses vieux e-mails et dans sa mémoire pour le reste.
Le projet a duré d'août à fin avril, principalement à cause du temps requis par chaque modification, étonnamment important. Contrairement à ce que l'on pourrait croire, changer son adresse e-mail, voire supprimer un compte, se limite rarement à une visite dans ses paramètres. E-mails au support, relances sur Twitter, voire lettres sont monnaie courante.
Deux difficultés sont aussi venues égayer l'expérience. Tant que possible, chaque service dispose de son propre alias (prenom+nomDuService@monSite.tld), ce qu'une partie d'entre eux interdit. Aussi, certaines adresses e-mail ont disparu voilà des années. Bienvenue dans le monde de l'accès aux données personnelles et de leur rectification.
Sur plus de 230 sites, une cinquantaine supprimés
Commençons par quelques statistiques. Une fois vidée de ses doublons, la liste comporte 235 comptes. Plus d'un quart sont liés à des boutiques en ligne, du magasin d'informatique (Grosbill, LDLC, Top Achat...) aux éditeurs de logiciels ou de services (Adobe, Sony...). Dans mon cas c'est la plus grande catégorie, suivie par une cinquantaine de services divers (de GitHub à wallabag en passant par Patreon), puis de loin par les médias et les sites de streaming (musique, replay, VOD...) avec une vingtaine d'entrées chacun.
Selon les sites, j'ai tenté un changement d'e-mail avec alias (pour tracer d'éventuels spams) ou une suppression du profil. À défaut d'en supprimer certains, j'ai changé l'adresse. Résultat : 47 comptes effacés, 121 autres associés à un alias unique et 17 liés à mon adresse e-mail simple (faute de pouvoir y insérer un « + »). La majorité accepte les alias sans broncher. Il reste tout de même 49 instances devenues inaccessibles avec les identifiants enregistrés ou associés à un service mort.
Bonne nouvelle : la plupart des changements d'adresse e-mail sont possibles directement depuis chaque espace utilisateur. Sur la double centaine de sites étudiés, au moins 10 % comportent une fonction de suppression de compte, certains avec des comportements uniques (comme une effectivité sous 15 ou 30 jours). Elle est parfois difficile à trouver, n'apparaissant qu'après une fouille intensive dans les paramètres, une recherche sur des forums ou un contact au support. Tirer des statistiques par catégorie de sites serait hasardeux, l'échantillon étant peu représentatif.
Aucun site ne ressemble à son voisin. Certains ne demanderont aucune confirmation, d'autres réclameront de retaper son mot de passe avant ou après modification, d'autres encore envoient un lien par e-mail (valable quelques minutes ou 24h), quand de rares boutiques s'affranchissent encore du HTTPS...
Chaque changement d'adresse ou suppression de compte est une aventure en soi. Les petites différences (comme l'activation des champs via un bouton Modifier) sur cette page ajoutent à la confusion. Il est impossible de modifier à la chaine des adresses e-mail, voire d'automatiser le processus.
Pour obtenir un changement d'adresse e-mail ou la suppression de profil, il a été nécessaire de contacter une bonne trentaine de sociétés ou organisations, en invoquant la loi CNIL de 1978 la plupart du temps. Si certains services indiquent clairement qu'il faut passer par le support, bien d'autres laissent cela à l'astuce de l'internaute confronté à des coordonnées impossibles à modifier. Et là, c'est la loterie, à la fois sur la méthode (formulaire ou e-mail à trouver en farfouillant) et sur le temps de réponse, allant de quelques minutes à plus d'une semaine.
De petites entreprises (comme Beepa, derrière FRAPS, ou Vostok Games, le studio ukrainien à l'origine de Survarium) modifient une adresse e-mail en quelques minutes, en croyant le requérant sur parole. Une partie des sociétés contactées ne réagissant pas par e-mail, il faut passer par Twitter pour obtenir une réponse.
Le fichier de travail avant suppression des doublons : en vert les adresses modifiées, orange les comptes supprimés
Les médias semblent parmi les moins bien lotis. Adresses e-mail avec « + » refusées (Le Monde), espace client inaccessible (Le Quatre Heures), oubli immédiat du changement d'adresse e-mail (ZDNet), impossibilité de la modifier manuellement (Les Jours)... Des médias papier (comme Le Canard Enchainé ou Politis) imposent l'envoi d'un e-mail pour supprimer son compte client. Heureusement, ces requêtes externes amènent des réactions rapides. Maigre consolation.
De nombreux courriels, un brin de découragement
La démarche fonctionne la plupart du temps. Pourtant, 49 comptes n'ont pas pu être modifiés. Outre ceux inaccessibles ou les services décédés (paix à toi Vessel), d'autres impossibilités sont venues des entreprises elles-mêmes. Ces tentatives infructueuses ont constitué la majorité de mes échanges.
Le 20 décembre, je contacte en anglais Dell (via une adresse trouvée via le forum officiel) pour obtenir la suppression de mes deux comptes (éventuellement présents sur le forum). Aucune réponse. Je constate que, sur ledit forum, un modérateur réclame l'envoi en public de l'adresse e-mail du profil « forum » à supprimer, avec le pseudonyme et le mot de passe associés en privé.
Le service client est relancé via Twitter. Après deux semaines d'échanges, il me répond que la procédure de suppression d'un compte client via le forum n'existe pas. Il me redirige vers privacy@dell.com. J'associe mes deux comptes Dell à la même adresse (via deux alias) et envoie une demande officielle. Deux mois plus tard, toujours aucune réponse. Un mutisme potentiellement assimilable à un refus implicite.
Un autre cas est celui de Fitbit. En décembre, je missionne le support client (via le formulaire officiel) pour réduire en cendres mon compte, associé à une ancienne adresse e-mail. Pendant plusieurs jours, un dialogue de sourds s'installe entre mes requêtes et une entreprise incapable d'agir si les échanges n'ont pas lieu avec l'adresse associée au profil. Las, je la modifie puis relance la procédure en mars. Le service client me promet alors un e-mail avec lien de suppression... qui ne viendra jamais.
D'autres acteurs, comme Boulanger et Canal+, réclament l'envoi d'une lettre au service client ou au correspondant Informatique et libertés (CIL) pour espérer voir ses données supprimées. Alors que l'inscription passe par un simple formulaire en ligne. Pire, Studio+ (service de VOD par abonnement pour jeunes de Canal+) impose de se réabonner pour accéder à ses paramètres via le web ou l'application iOS. Difficile donc de modifier simplement son adresse e-mail sans payer ou activer un abonnement gratuit, valable une fois par client.
Selon le Règlement général sur la protection des données (RGPD), entré en application ce vendredi 25 mai, il doit être « aussi simple de retirer que de donner son consentement ». Cette méthode serait donc désormais hors des clous.
Impossible d'accéder aux paramètres Studio+ sur le web sans activer un abonnement
Sans parler de ceux qui utilisent l'adresse e-mail comme identifiant. Dashlane, par exemple, permet de modifier l'adresse de contact mais condamne l'utilisateur à s'identifier au service avec celle d'inscription. Sauf à recréer le compte et perdre son (coûteux) abonnement.
Sur les 235 sites passés en revue, Pixmania fut la pire expérience. Il ne fournit aucun contact direct aux clients, hors commandes. Impossible donc de demander simplement une suppression de profil. Une tentative via une commande factice n'a amené aucune réponse, sinon un message automatique de clôture de la requête. « Nous constatons que votre ticket est resté sans interactions depuis plus de 3 semaines » indique l'e-mail, m'invitant à rouvrir un ticket au besoin. Il ne reste donc plus qu'à appeler le site, au prix d'une communication locale.
Face à une demande d'accès, un titre d'identité réclamable
En parallèle, fin décembre, une demande d'accès à mes données est envoyée à Spotify. Réponse du service : impossible d'obtenir une telle copie sans envoyer une photocopie d'une carte d'identité, quand bien même elle n'a jamais été vérifiée jusque-là. Un scrupule très éloigné des exports d'archive en un clic de Facebook, Google ou Twitter. Pour m'assurer de la légalité de la demande, je contacte la CNIL.
Après plus deux mois de silence, la commission répond le 19 février, validant la demande de Spotify. « Un organisme recevant une demande de droit d'accès non accompagnée d'un titre d'identité signé est donc dans son bon droit en vous demandant communication de ce document » tranche-t-elle. Quelque peu découragé, l'affaire en reste là pour l'instant.
Vous voulez couper votre compte ? Voici notre newsletter
Le cas le plus cocasse reste celui de Conforama. Il montre qu'il est difficile de garantir la suppression d'un compte. Le 15 décembre, un e-mail est envoyé au service client, réclamant une copie des données et leur suppression, associé à une vieille adresse. Après deux semaines sans réponse, je modifie l'adresse associée vers ma nouvelle boîte.
Le 2 janvier, une lettre me parvient. « Conformément à votre demande, nous avons procédé à la suppression de votre compte » assure l'entreprise. Pourtant, mon ancienne adresse, mentionnée dans le corps de ma demande de suppression, commence à recevoir la newsletter de la chaine. Après recherche, il semble que l'adresse n'a jamais été inscrite à cette liste commerciale, qui envoie une vingtaine de messages jusqu'en mars.
Surprise : le profil « supprimé » est bien actif avec la nouvelle adresse. Contacté par message privé sur Twitter, le service client pointe justement le changement d'adresse courriel fin décembre. Aucune autre explication ne sera fournie sur la fausse suppression du compte ou l'inscription à la newsletter. Ma dernière demande restera sans réponse.
Extrait du dernier échange avec le service client, juste avant l'annonce d'une plainte à la CNIL
Fin avril, le compte client concerné était introuvable par un employé de magasin. Une plainte a été déposée à la CNIL à la mi-avril, sans lien apparent avec cette suppression. L'ancienne boîte e-mail ayant disparu fin avril, elle ne reçoit plus la newsletter.
Le malheur des adresses e-mail perdues
Les plus anciens comptes, même actifs, peuvent toujours être associés à des adresses disparues. C'est le cas d'une quarantaine ici. Si la plupart des services en ligne permettent de modifier les coordonnées avec, pour simple confirmation, un e-mail à la nouvelle adresse, d'autres sont plus tatillons.
Cela concerne notamment des éditeurs de jeux vidéo, ArenaNet (Guild Wars) et Ubisoft. Pour modifier son adresse e-mail, ce dernier envoie un message avec lien d'activation à l'ancienne coordonnée. Seule alternative : ouvrir un ticket auprès du support client, dont les notifications de réponses sont envoyées... à l'adresse disparue. Il faut donc vérifier régulièrement les tickets ouverts, pendant plusieurs jours, pour tomber sur la réponse et éviter une clôture de la demande pour inactivité.
ArenaNet et Ubisoft réclament de nombreuses informations sur le compte, ainsi que sur les jeux achetés (avec preuves d'achat et clés CD). Un client qui perdrait à la fois son adresse e-mail, l'accès au profil ou les copies physiques de ses jeux pourrait donc être bloqué à la porte de sa bibliothèque. Aussi scrupuleux, Robert Space Industries (Star Citizen) impose un interrogatoire au client souhaitant supprimer son compte, comme s'il l'avait perdu.
Quelques bonnes nouvelles sont tout de même à noter, comme l'apparition d'une fonction de suppression sur Mastodon, et la très bonne tenue des agrégateurs de flux RSS, constatée ces dernières semaines, proposant pour la plupart une suppression automatisée.
Il reste encore du travail, entre des contacts à relancer, des lettres papier à envoyer et des comptes oubliés à revérifier. Voici pourtant le résultat après quelques mois, aux périodes marathon entrecoupées des pauses de quelques semaines : des adresses changées sur près des deux tiers des sites et 20 % de profils supprimés. Un tel tour est aussi l'occasion d'activer la double authentification sur de nombreux services, la plupart du temps par SMS ou application dédiée.
Une conséquence étonnante de ces changements d'adresses et suppressions a été une disparition des spams. Avant d'attaquer, mon adresse personnelle en recevait des centaines chaque mois. Quelques semaines après le début du ménage, le flot s'est tari sans que les sources n'aient pu être identifiées.
S'agit-il d'une coïncidence ? Peut-être, mais cet arrêt renforce le sentiment d'un nettoyage efficace, que chaque internaute devrait mener. Peut-être sans attendre une décennie.
