La mairie de mon bled me propose d'accomplir une formalité administrative par emails… alors qu'elle se repose sur Microsoft Office 365. De même, elle utilise Google Analytics, une police de caractères Google Fonts, et la régie pub Google DoubleClick sur son site web.
Tout cela n'est pas conforme au RGPD (raisonnement général). Plusieurs Autorités de Protection des Données persos (APD) ont déjà sanctionné l'utilisation de Google Analytics (CNIL, 10 février 2022) et de Google Fonts (Cour régionale de Munich, 20 janvier 2022).
Du coup, hop, réclamation déposée à la CNIL il y a plusieurs mois.
Bonjour,
Le 16/03/2023, j'ai voulu déclarer la nouvelle direction d'un syndicat professionnel de salariés auprès de la mairie <CENSURE> (formalité administrative obligatoire).
Un agent de la mairie m'a indiqué que cela se fait par email auprès du directeur du service juridique de la mairie. On m'a communiqué son adresse emails professionnelle de la forme [prénom].[nom]@<CENSURE_nom_domaine_mairie>.
Avant l’envoi de mon email, je me suis rendu compte que la mairie <CENSURE> délégue son service emails à la société commerciale états-unienne Microsoft :
$ dig +short MX <CENSURE_nom_domaine_mairie>
0 <CENSURE>.mail.protection.outlook.com.J'ai prétexté un rejet de mon email par Microsoft, les agents de la mairie m'ont laissé procéder à une déclaration papier. Donc, une procédure d'évitement de Microsoft est encore possible… Pour combien de temps ?
L'utilisation d'un service emails de Microsoft par la mairie <CENSURE> n'est pas conforme au RGPD en cela qu'elle génère des transferts de données personnelles vers un État tiers non adéquat (Schrems II, votre mise en demeure du 10 février 2022 portant sur l'utilisation de Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur Google Analytics, absence d’obligation contractuelle et de recueil du consentement, absence de contrainte technique ou financière, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement), cf. articles 44 et suivants du RGPD.
La politique de confidentialité de la mairie <CENSURE> (https://<CENSURE>/confidentialite/) ne référence pas ces transferts de données personnels vers un État tiers non adéquat ni les mesures complémentaires que la mairie pourrait mettre en œuvre dans ce cadre.
Dans le cas d’espèce, afin de satisfaire la formalité déclarative, mon email devait contenir a minima les noms, prénoms, date et lieu de naissance, adresse postale actuelle, et fonction (au sein du syndicat) de l'équipe dirigeante d'un syndicat, ce qui associe, auprès d'un tiers non adéquat, une appartenance syndicale, donnée personnelle sensible, à des personnes clairement identifiées.
Cela illustre également une carence de la mairie <CENSURE> dans le choix, le pilotage et l'audit de sa sous-traitance en matière de données personnelles, ce qui constitue une entorse aux articles 24 et 28 du RGPD.
Autre sujet. Afin de remplir avec pertinence la présente, j’ai consulté le site web de la mairie <CENSURE> et notamment sa politique de confidentialité. Avant toute acceptation des cookies, le site web de la mairie <CENSURE> (https://<CENSURE>/) fait automatiquement télécharger Google Analytics, Google DoubleClick, et une police de caractères Google Fonts. Ces ressources web sont toujours actives et téléchargées même en cas de refus des cookies dans le bandeau dédié.Ces téléchargements induisent des transferts de données personnelles vers la société commerciale états-unienne Google, c’est-à-dire vers un État tiers non adéquat. La Cour régionale de Munich a déjà sanctionné l’utilisation de Google Fonts dans sa décision 3_O_17493/20.
La politique de confidentialité de la mairie (https://<CENSURE>/confidentialite/) ne mentionne pas un quelconque contact en matière de données personnelles.Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne la mairie <CENSURE>.
Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.