La coopérative des Mutins de Pangée propose des films sans DRM.
La partie technique est déléguée à la société commerciale française Kaemo (Kinow) qui, elle-même, a recours aux CDN et à l'hébergement informatique des sociétés commerciales états-uniennes Cloudflare et Amazon (services Cloudfront et AWS), y compris pour la diffusion des films. Les seuls moyens de paiement proposés sont les sociétés commerciales états-uniennes Paypal et Stripe.
Cela génère de fait des transferts illégaux de données personnelles (adresse IP, numéro de carte bancaire, films visionnés, informations techniques sur le navigateur web et l'ordinateur, etc.) aux États-Unis. Raisonnement ici. L'EDPS, l'APD des institutions européennes, a déjà sanctionné l'utilisation de Stripe dans sa décision 2020-1013.
Comme celle visant OpenStreetMap, cette réclamation, déposée il y a plusieurs mois, a été un crève-cœur : 1) j'aime ce que fait les Mutins, les films sans DRM, ça va dans le bon sens (cela exonère-t-il pour autant de toute critique ?) ; 2) je suis forcé de reconnaître que ça marchait moins bien avec l'ancien hébergeur, Infomaniak : téléchargements saccadés et faible débit depuis Orange, Free, et SFR (mais ça fonctionnait impec depuis OVH qui dispose d'une interconnexion avec Infomaniak, comme quoi, c'est possible d'agir sans recourir aux ricains).
Bonjour,
Le 14/03/2023, j'ai consulté le catalogue VOD (https://www.cinemutins.com/) des Mutins de Pangée.
L'hébergement informatique est sous-traité à la société commerciale française Kaemo (Kinow), qui, elle-même, a recours aux CDN et à l'hébergement informatique des sociétés commerciales états-uniennes Cloudflare et Amazon (services Cloudfront et AWS), y compris pour la diffusion des films (ce qui est étrange, puisque qu’Amazon, avec son service Prime Video, officie sur le même marché).
De plus, les seuls moyens de paiement proposés sont les sociétés commerciales états-uniennes Paypal et Stripe.
Cela génère de fait des transferts de données personnelles (adresse IP, numéro de carte bancaire, films visionnés, informations techniques sur le navigateur web et l'ordinateur, etc.) vers un État tiers non adéquat. De plus, dans sa décision numéro 2020-1013, l'EDPS a sanctionné l'utilisation de Stripe.
Ce qui s'approche le plus d'une politique de traitement des données personnelles sont les CGV de la plateforme (https://www.cinemutins.com/p/conditions-generales-de-ventes). Celles-ci n'exposent pas les mesures complémentaires que la société Les Mutins de Pangée mettrait en œuvre dans le cadre de ces transferts internationaux.
Le site web du prestataire Kinow (https://fr.kinow.com), qui est diffusé via Amazon Cloudfront et qui grouille de ressources web détenues et/ou hébergées par des sociétés commerciales états-uniennes (Google Analytics, Google Fonts, Google DoubleClick, Google Tag Manager, Fonticons / Cloudflare, etc.), ne met pas à disposition une quelconque politique de traitement des données personnelles qui permettrait de prendre connaissance des éventuelles mesures complémentaires mises en œuvre par ce sous-traitant dans le cadre de ces transferts internationaux.
En conséquence, les transferts de données personnelles sus-énumérés sont illégaux au sens des articles 44 et suivants du RGPD (Schrems II, votre mise en demeure du 10 février 2022 portant sur Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur Google Analytics, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement).
Cela illustre également une carence des Mutins de Pangée dans le choix, le pilotage et l'audit de leur sous-traitant en matière de données personnelles, ce qui constitue une entorse aux articles 24 et 28 du RGPD.
Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne les Mutins de Pangée.
Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.