Madame, Monsieur,

Début janvier, je me suis garé dans l'un de vos parking toulousains. Au moment de régler, j'ai eu la très désagréable surprise de constater qu'aucune des bornes de paiement ne fonctionnait. Après avoir désespérément cherché un être vivant, j'ai avisé un discret interphone qui m'a mis en contact avec votre service client, lequel permit à la barrière de s'ouvrir, moyennant mon numéro de téléphone. Et je me mis à attendre les instructions pour le règlement, qui devaient arriver par SMS.

Un vrai roman d'espionnage.

Le SMS vint (voir illustration), et... non, ça ne va pas être possible comme ça.

SMS-2.png

Et voici pourquoi :

  1. Rien n'indique, dans ce SMS, qu'il provient bien d'Indigo. Vous rétorquerez que c'est marqué en haut mais vous et moi savons bien que cette information est sous le contrôle exclusif de l'émetteur. Qui peut être vous, comme un tiers malfaisant qui aurait eu accès à l'une de vos bases de données.
  2. Un lien vers Google ? Qu'est-ce donc que l'ogre dataphage vient faire ici ? Hormis, bien sûr, tracer la vie privée d'un internaute ? Vous m'expliquez ?
  3. Ce lien renvoie, par rebond, vers le site de sellsy.fr, que je ne connais pas et qui n'a absolument aucun lien, évident ou non, avec vous. Mais qui demande mon numéro de carte bancaire.

Il est inutile d'avancer que seuls vous pouvez connaître la date de mon non-passage en caisse ainsi que le montant à régler : en cas de compromission de votre système d'informations, ces données seront plus que probablement prélevées.

Le numéro de carte bancaire étant une donnée à caractère personnel, son traitement est soumis au RGPD, catégorie « données sensibles ». Je n'ai rien vu qui, de près ou de loin, aborde le sujet sur le site de sellsy.fr. Enfin, si, il y a une page mettant en avant les prestations de Sellsy en matière d'accompagnement à la mise en conformité. Mais sur la page demandant le numéro de carte bancaire, c'est un vide abyssal en la matière, et donc une non-conformité absolue.

En résumé : un SMS non authentifiable, un lien anonyme dont on ne sait pas sur quoi il va déboucher, un site d'arrivée n'ayant aucun rapport avec vous, sur lequel il faut indiquer son numéro de carte bancaire, et une totale non-conformité au RGPD.

Si vous voulez entraîner vos clients à se faire arnaquer sur Internet, tout en étant responsable de l'incurie de vos prestataires, vous avez le combo gagnant.

Merci de me proposer un autre moyen de régler mon stationnement (je ne conteste nullement cette créance) fiable et conforme au RGPD. Par exemple, par chèque, pour peu que vous me transmettiez la facture.