Suite à ma plainte CNIL portant sur l'utilisation du CDN de la société commerciale états-unienne Fastly et d'un paquet de ressources web hébergées sur des serveurs de sociétés commerciales ricaine, j'ai résilié mon abonnement à Mediapart. Je reconnais la qualité journalistique, mais je déplore l'irrespect de la vie privée des lecteurs et l'absence de progrès en quatre ans (c'est même l'inverse avec le recours à Fastly depuis 2021). Je ne veux plus financer cela.
Lors de la confirmation de la résiliation, Mediapart propose de remplir une enquête client (pourquoi tu pars, etc.). Elle est hébergée derrière le CDN états-unien de Cloudflare par le prestataire belge Selligent spécialisé dans le marketing ciblé et personnalisé. Je n'en parle pas dans ma plainte CNIL ci-dessous, car je n'ai pas conservé une quelconque trace, et que, venant d'envoyer la première plainte, j'avais pas envie de recommencer tout de suite.
L'email de confirmation est émis par Selligent. Celle-ci a une présence aux États-Unis (Selligent Inc.). Elle est une marque du CM Group (rachat intervenu en 2020), société commerciale ricaine qui dispose de plusieurs bureaux aux États-Unis, et, vu sa stature, de nombreux clients ricains. Vu la quantité et la nature des emplois pourvus aux États-Unis, des décisions stratégiques pour CM Group et Selligent sont prises aux États-Unis. On retrouve ici de nombreux critères permettant d'apprécier la soumission d'une entité européenne au CLOUD Act. Dans sa politique de confidentialité, Selligent reconnaît transférer des données personnelles à des filiales états-uniennes du CM Group. Transfert illégal de données personnelles hors de l'UE.
L'email contient des images et des liens traçants (contenant un identifiant unique permettant de détecter l'ouverture de l'email et un clic sur un lien). Aucune nécessité ni recueil du consentement. Infraction au RGPD.
L'image traçante est téléchargée depuis les serveurs de Microsoft. Les images rédactionnelles sont téléchargées via le CDN de Fastly. Nouveaux transferts illégaux de données personnelles hors de l'UE (adresse IP, langue, modèle et caractéristiques du logiciel de messagerie, etc.).
Du coup, hop, nouvelle plainte à la CNIL.
Bonjour,
L'email de résiliation d'un abonnement envoyé le 03/11/2022 par le journal Mediapart contient plusieurs infractions au RGPD :
- Utilisation de liens et d'images de traçage sans nécessité ni recueil du consentement ;
- Hébergement d'images sur les serveurs informatiques de sociétés états-uniennes, donc transfert illégal de données personnelles vers les États-Unis (articles 44 et suivants du RGPD) ;
- Recours au prestataire d'e-mailing Selligent donc transfert de données personnelles (adresse emails, etc.) à une entité soumise au Cloud Act états-unien.
Je vais signaler ses manquements à Mediapart en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte pour sanction auprès d'une APD en cas de violation du RGPD.
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Bonne journée.
Bonjour,
Le 03/11/2022, j’ai résilié mon abonnement au journal Mediapart (« MP » ci-après). J’ai reçu un email de confirmation. Cf. PJ 1 (son affichage est rustique, car je désactive l’affichage HTML dans mon logiciel de messagerie).
D’abord, la version HTML de cet email contient une image de traçage (à son début), d’après votre terminologie (cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). De même, tous les liens qu’il contient sont des liens de traçage, y compris ceux renvoyant vers le site web officiel de MP, son application mobile, et les réseaux sociaux. Cf. PJ 2.L’image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du lecteur MP. Il s’agit d’une image transparente (gif) de dimensions 1 pixel sur 1 pixel, dit autrement, d’une image invisible. Elle a donc pour seul objectif de détecter et de consigner l’ouverture de l’email.
Elle est téléchargée via un nom de domaine Internet dédié (« traitement.mediapart.fr ») que MP délégue à son prestataire d’e-mailing, Selligent (cf. entêtes de l’email, dont « Received », dans PJ 2) :
$ dig +short traitement.mediapart.fr | xargs whois | grep netname
netname: SELLIGENTPar contraste, les images qui participent au contenu (logo de l’entête, logos des réseaux sociaux dans le pied de page) sont téléchargées directement depuis le site web officiel de MP (« marketing.mediapart.fr »).
Quant à eux, les liens pointent d’abord sur des serveurs web du prestataire Selligent (nom de domaine « traitement.mediapart.fr ») qui redirigent vers les destinations finales.
Dans l’URL de chaque lien, constatons un identifiant unique commun à tous les liens qui doit servir à identifier de manière unique l’email parmi tous ceux émis, et un identifiant unique à chaque lien qui sert à identifier un lien précis dans l’email et à coder la véritable destination du lien (vers laquelle il convient de rediriger après traçage).
MP ne peut se prévaloir d’une quelconque obligation légale à traquer ses ex-lecteurs. La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final).
Le lecteur MP, destinataire de cet email, n'est pas informé de l’aspect traçant des liens et de l’image qu’il contient et son consentement n'est pas récolté.
Il découle des deux derniers points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Première infraction au RGPD.
Ensuite, d’une part, la même version HTML du même email contient une image qui est automatiquement téléchargée, à l’ouverture de l’email, depuis les serveurs informatiques de la société commerciale états-unienne Microsoft :$ dig +short gridinbound.blob.core.windows.net | xargs -L1 whois | grep OrgName
OrgName: Microsoft CorporationIl s’agit d’une image transparente (png) de dimensions 1 pixel sur 1 pixel, dit autrement, d’une image invisible. Elle a donc pour seul objectif de détecter et de consigner l’ouverture de l’email. Elle est insérée dans l’email par le prestataire d’e-mailing Selligent (spécialisé, pour rappel, dans le marketing ciblé et personnalisé).
D’autre part, les images qui participent au contenu (logo de l’entête, logos des réseaux sociaux dans le pied de page) sont téléchargées directement depuis le site web officiel de MP (« marketing.mediapart.fr »). Pour sa diffusion, MP a recours au CDN de la société commerciale états-unienne Fastly :
$ dig +short marketing.mediapart.fr | xargs -L1 whois | grep OrgName
OrgName: Fastly, Inc.Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :
- Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être MP dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
- Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.
Dans le cas présent, Fastly est un CDN du deuxième type. Pour s’en assurer, il suffit de constater la présence des entêtes HTTP ajoutés par Fastly dans sa réponse à une requête web (cf. sa documentation officielle https://developer.fastly.com/reference/http/http-headers/X-Served-By/) :
$ curl -s -o /dev/null -D - 'https ://marketing.mediapart.fr/mailing_nv_gabarit_sept2015/Logos/twitter.jpg' | grep -E '^x-(served|cache)'
x-served-by: cache-cdg20764-CDG, cache-hhn4063-HHN
x-cache: HIT, HIT
x-cache-hits: 3059, 1Dans les deux cas (Microsoft et Fastly), il y a donc un contact direct entre, d’un côté, le terminal du lecteur MP, et, de l’autre, les serveurs de Fastly ou de Microsoft.
Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, les téléchargements d’images sus-référencés depuis les serveurs informatiques des sociétés commerciales états-uniennes Microsoft et Fastly génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur MP : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de son ouverture de l’email envoyé par MP, la marque, le modèle et des caractéristiques techniques de son logiciel de messagerie (et de son navigateur web s’il clique sur un des liens contenus dans l’email) et de son terminal (entête HTTP User-Agent, etc.), etc.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique, comme Fastly et Microsoft, qui, par sa présence dans les coulisses de nombreux sites web, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.
À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.
Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
Dans sa politique de confidentialité (https://www.mediapart.fr/confidentialite), MP ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat. De plus, on peut avoir la certitude que MP met en œuvre aucune mesure technique complémentaire, car son email inclut des instructions techniques ordonnant au logiciel de messagerie du lecteur MP le téléchargement automatique et en arrière-plan d’images directement auprès des serveurs informatiques de Fastly et de Microsoft. Dès lors, une requête de téléchargement émise par le logiciel de messagerie du lecteur MP ne chemine pas par l’infrastructure technique de MP (dit autrement, il y a un contact direct entre le terminal du lecteur MP d’une part et les serveurs informatiques de Fastly et de Microsoft d’autre part), donc elle échappe totalement à MP, qui peut, de ce seul fait, prendre aucune mesure technique.
Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.
MP ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.
La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable.
D’une part, comme nous l’avons vu au premier point, l’utilisation de l’image de traçage du prestataire Selligent est illégale (absence d’obligation légale, de nécessité et de recueil du consentement), donc un transfert de données personnelles permettant de récupérer l’objet / l’outil d’un traitement illégal ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
D’autre part, le recours au CDN de Fastly constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir MP et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue :
- Le nombre d’emails émis par MP et leur répartition dans le temps (un abonnement par-ci, une résiliation par là, un renouvellement par là-bas, etc.) ne sont pas tels qu’un hébergement web conventionnel ne puisse encaisser la charge générée par leur ouverture ;
- Les images peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN ;
- MP ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de MP). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
- En tout état de cause, MP peut recourir à un CDN (ou à tout autre type d’hébergement informatique) européen disposant de ses propres serveurs.
En conclusion, lors de l’ouverture de l’email envoyé par MP, les téléchargements automatiques d’images hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien (Fastly et Microsoft), et les transferts de données personnelles vers les États-Unis qui en découlent, sont donc illégaux. Deuxième infraction au RGPD.
Enfin, le prestataire d’e-mailing Selligent a une présence (filiale ou maison mère ?) aux États-Unis (Selligent Inc., cf. https://www.selligent.com/fr/privacy-policy/). Elle est une « marque » (je cite) de CM Group (rachat en 2020, cf. https://www.selligent.com/fr/resources/blog/selligent-rejoint-cm-group-et-son-portefeuille-de-marques-specialisees-dans-les-technologies-marketing/), une société commerciale états-unienne qui dispose de plusieurs bureaux aux États-Unis (cf. https://www.campaignmonitor.com/company/careers/ et https://cmgroup.com/cm-group-acquires-selligent-marketing-cloud/). De fait, et vu sa stature, Selligent / CM Group doit vraisemblable compter de nombreux clients aux États-Unis.Dans sa politique de protection de la vie privée (https://www.selligent.com/fr/privacy-policy/), Selligent reconnaît le transfert de données personnelles à des filiales de CM Group établies aux États-Unis et partout dans le monde, ainsi qu’à des fournisseurs de services établis aux États-Unis et partout dans le monde. Elle stipule également qu’elle peut divulguer les données personnelles lors d’une assignation ou d’une requête des forces de l’ordre (et des tribunaux) états-uniens.
De plus, à ce jour, CM Group propose 30 offres d’emploi aux États-Unis pour 15 dans l’UE (cf. https://campaignmonitor.wd5.myworkdayjobs.com/fr-FR/CM_Group). Vu la nature des emplois à pourvoir aux États-Unis (directeur de la conception des produits, directeur des opérations commerciales, chargé des comptes stratégiques, ingénieur logiciel, architecte informaticien, etc.), des décisions stratégiques pour le groupe, et donc pour Selligent, sont vraisemblablement prises aux États-Unis.
Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, de ces faits, Selligent Belgique et CM Group Limited (Angleterre) sont soumises au Cloud Act.
Avec une telle analyse, on en déduit, de la part de MP, un transfert de données personnelles (adresse emails du lecteur MP, etc.) à une entité soumise au Cloud Act, ce qui n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de Selligent (sur le secteur de l’e-mailing). Troisième infraction.
Je vais signaler, au DPO de Mediapart, ces manquements au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi plusieurs violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.