L'annuaire téléphonique constitue une gigantesque base de données personnelles des Françaises et des Français, le tout en accès libre et gratuit sur le web. Peut-on le considérer comme une fuite de données massive ?

« Quelqu’un vient de me livrer une fuite de données massive. Tout est dedans : noms, adresses, numéros de téléphone. C’est énorme ! ! ! » L’auteur de ce message, c’est l’américain Troy Hunt, reconnu à l’échelle mondiale comme « monsieur fuite de données » pour son travail de publication sur HaveIBeenPwned. D’habitude, des chercheurs en cybersécurité l’avertissent sur des fuites de données qu’ils ont identifiées sur des serveurs mal protégés ou sur des forums de hackers au fin fond du dark web. Mais cette fois, Troy Hunt vient tout simplement de recevoir l’annuaire par la poste.

Son commentaire est ironique, mais il n’en reste pas moins vrai. À l’heure où les données personnelles sont considérées et protégées comme des ressources précieuses, les annuaires continuent à les exposer publiquement. En France, l’épais et lourd annuaire des Pages jaunes n’est plus distribué depuis 2019. Mais sa version web fonctionne toujours, et attire plus de 20 millions de visiteurs par mois. Et elle n’est pas seule : 118712.fr, infoannuaire.fr, et bien d’autres proposent le même service. Infoannuaire vante d’ailleurs l’exhaustivité de sa base de données, qui « permet d’accéder à plus de 32 millions de numéros de téléphone de professionnels et de particuliers  ».

Vos données personnelles se trouvent sur plusieurs sites, sans que vous ne le sachiez. // Source : Numerama

Mais la « fuite » des millions de données ne se limite pas à ces services très encadrés par la loi. Il est très probable que la base des annuaires téléphoniques soit stockée (illégalement) par d’autres personnes. Et pour cause : il suffit de quelques connaissances en informatique pour aspirer les données sur les pages de ces sites, malgré des protections toujours plus renforcées. Certains services sont même spécialisés dans la récupération automatisée des informations.

Autrement dit, une personne un peu débrouillarde peut répliquer la base qui contient les données personnelles de millions de Françaises et Français. Même si les annuaires se protègent.

Savez-vous si votre adresse figure dans l’annuaire téléphonique ?

Dans notre rédaction, personne ne savait avec exactitude si ses données figuraient sur les Pages jaunes. Certains se rappelaient vaguement avoir retiré leur nom ou s’être inscrits sur la fameuse liste rouge censée retirer les données personnelles de l’annuaire. Aucun ne se rappelait d’avoir coché une case ou exprimé un quelconque consentement sur la collecte des données.

Pourtant, la moitié de l’équipe de Numerama y figurait. « Où as-tu trouvé mon adresse ? » s’étonnent mes collègues, inquiétés à l’idée que leurs données aient fuité quelque part. Parmi les annuaires en ligne, 118712.fr et les Pages jaunes se distinguent, car il suffit du nom de la personne pour trouver son adresse et son numéro de téléphone. Leurs concurrents requièrent quant à eux le nom de la ville avant de fournir l’adresse exacte.

Ces données peuvent nourrir un doxing, des ping calls ou du phishing

Cette accessibilité aux données personnelles peut être dangereuse. Concrètement, les Pages jaunes permettent de faire du « doxing », une pratique qui consiste à publier des données personnelles d’une personne à des fins malveillantes. Les annuaires font partie d’un ensemble d’outils accessibles en ligne qui permettent de recréer le profil complet d’une personne à partir d’une seule information. Par exemple, il est relativement facile de retrouver le nom d’une personne à partir de son adresse email. Puis vous pouvez retrouver son adresse grâce aux Pages jaunes, ce qui vous permet de resserrer géographiquement les recherches sur son emploi, ses loisirs… En quelques clics, vous pouvez dérouler tout un pan de vie.

Bref, le doxing est un risque à prendre en compte , plus ou moins sérieusement selon les personnes. Et l’annuaire peut alimenter d’autres pratiques malveillantes : par exemple, les Pages jaunes sont une mine d’or pour les « ping calls », ces escroqueries téléphoniques qui veulent s’en prendre à votre porte-monnaie. Sans parler de la possibilité de trouver l’adresse d’un influenceur qui publierait des photos de lui en vacances, pour cambrioler son logement que l’on saurait inoccupé.

Il est donc essentiel que les personnes concernées sachent que leur adresse et leur numéro de téléphone se trouvent sur les annuaires, pour qu’elles puissent décider — en faisant leur propre calcul de risque — si elles souhaitent y figurer ou non.

Comment les Pages jaunes ont-elles eu mon adresse ?

Pour savoir si ses données sont sur l’annuaire, il faut savoir comment et quand elles ont été collectées. Pas de pratique douteuse, tout est encadré de façon détaillée par un ensemble de lois et de décrets sur l’Annuaire universel, dont la base est inscrite dans le Code des Postes et Télécommunications. Le dispositif fait même l’objet d’une surveillance spécifique de l’Arcep, l’autorité de régulation du secteur.

Lorsque vous souscrivez à une box qui donne accès à un numéro de fixe (en plus d’Internet et d’autres services), vos données seront envoyées à une base de données régulièrement mise à jour, ouverte aux services d’annuaires téléphoniques. N’importe quelle entreprise peut demander un accès (complet ou partiel) à cette base pour créer son propre service, mais elle doit tout de même montrer patte blanche sur un ensemble de critères, et payer un contrat.

Tout le monde respecte la loi

Si vous voulez retrouver une trace du traitement de vos données, il faut fouiller dans le détail des Conditions générales de vente des Box d’Orange, Free, Bouygues ou encore SFR. Autant dire que pratiquement personne n’ira lire l’alinéa 8.3 ou 2.6 de ces contrats légaux, et qu’en conséquence, aucun utilisateur ne saura qu’il a donné son accord pour la publication de ses données dans l’Annuaire universel. Contactés par Numerama, aucun des quatre opérateurs n’a commenté ce point.

Résumons. Les opérateurs et les entreprises d’annuaire téléphonique respectent la loi. Le problème, c’est qu’elle permet d’envoyer des données personnelles d’utilisateurs à plusieurs entreprises, sans que les personnes concernées en soient clairement averties. La Cnil, l’autorité française des données, explique elle-même que votre numéro de téléphone fixe et votre adresse seront publiés par défaut sur les annuaires. Étrange, non ?

Pourquoi ne me demande-t-on pas mon consentement ?

Le fonctionnement des annuaires téléphoniques paraît antinomique avec le règlement général sur la protection des données, en vigueur depuis deux ans. Ce texte de loi européen a renforcé la protection des données personnelles et insisté sur la nécessité du consentement « libre et éclairé » des individus pour tout usage de leurs données personnelles. Symbolique, le texte a même élevé ces questions au rang de valeurs européennes.

Dans son document de référence, Solocal (l’entreprise mère des Pages jaunes) détaille abondamment le corpus légal sur lequel elle s’appuie pour son activité d’annuaire téléphonique. Impeccable sur les questions juridiques, le groupe se montre un peu inquiet quant à l’avenir de son activité historique. Il pointe dans sa rubrique «  risques judiciaires » que « l’application des législations et réglementations en vigueur régissant le secteur des annuaires et du digital est en train d’être clarifiée en France et dans l’Union européenne. » Solocal concède même que les futures évolutions législatives et réglementaires pourraient avoir « un impact négatif important sur les activités de l’entreprise et sa situation financière. »

Un consentement préalable dans le futur ?

Le projet de règlement européen sur la ePrivacy, dont les bases ont été jetées en 2016, est encore en discussion. Il pourrait tout changer pour les annuaires téléphoniques, en demandant un consentement préalable explicite pour les numéros de téléphone fixes.

Mais en attendant, les annuaires sont encadrés à peu de choses près comme en 2005, date du dernier décret-cadre : les opérateurs inscrivent par défaut leurs clients sur les annuaires. Cette étrangeté ne s’applique en revanche pas aux numéros de portables : si vous voulez que votre 06 apparaisse sur l’annuaire, il faudra en faire la demande expresse. Preuve qu’un autre fonctionnement est possible.

Comment ne plus figurer sur les annuaires téléphoniques ?

Si la loi facilite la publication des données personnelles, elle encadre aussi leur modification ou retrait. La Cnil recense les moyens de disparaître des listes :

  • Demander un retrait par le formulaire prévu sur le(s) site(s).

Les Pages jaunes proposent de remplir un formulaire en ligne facile à trouver (avec la possibilité de l’envoyer par la poste) pour être rayé de leurs listes. Simple à réaliser, la procédure demande en revanche de communiquer une autre donnée, son adresse email, à l’entreprise. Sur les tests que nous avons faits, le retrait était effectué sous 48 heures. Détail saugrenu : il est possible de retirer de la liste n’importe qui, puisque Solocal ne vérifie pas l’identité du demandeur, ce qui est aussi contraire à toute bonne pratique en matière de données personnelles.

Cette pratique est limitée puisque vos données seront reprises par d’autres annuaires en ligne, et le second acteur du marché, 118712, ne propose pas de formulaire, et renvoie vers les listes rouges (voir dessous). Mais avec le droit à l’oubli, il est légalement possible de faire supprimer vos données. En cas de refus, il est possible de le signaler à la Cnil.

Toutes ces corrections ou suppressions doivent être gratuites.

  • S’inscrire sur la liste rouge via votre espace opérateur

La meilleure solution pour ne plus être indexé sur les annuaires est de s’inscrire sur liste rouge, auprès de votre opérateur. Dans votre espace client, vous devriez avoir plusieurs options. Orange, par exemple, distingue la « liste rouge » pour le retrait des coordonnées téléphonique, et la « liste adresse partielle » qui permet de réduire l’adresse à la ville.

Crédit photo de la une : Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux