Première plainte il y a quelques semaines concernant l'impossibilité d'utiliser l'outil de suivi d'un envoi du site web de La Poste sans accepter le téléchargement d'un outil de ciblage et de suivi du parcours client hébergé sur les serveurs informatiques d'une société commerciale états-unienne. De même, le site web La Poste est gavé de ressources web facultatives téléchargées depuis de tels serveurs.
Aujourd'hui, deuxième plainte. Lors d'une livraison d'un achat en ligne par Colissimo, La Poste envoie un email « Votre Colissimo arrive ! » dont tous les liens sont traçants (identifiant unique + rebond via un intermédiaire avant d'atteindre la destination, afin d'enregistrer le clic sur tel lien) et qui contient une image traçante (1 x 1 pixel, transparente, avec un identifiant unique dans son nom, afin de détecter l'ouverture de l'email). Ni nécessité ni consentement.
L'envoi de l'email, le téléchargement de l'image traçante, et les redirections des liens traçants sont effectués depuis des serveurs chez Microsoft Azure par la société commerciale Isoskele, l'« agence data marketing et communication » du groupe La Poste. Sur ce grief, le même raisonnement juridique que d'habitude s'applique.
Du coup, hop, plainte à la CNIL.
Le raisonnement juridique reste identique aux précédentes plaintes.
Pour la première fois, le greffe de la CNIL a classé irrecevable ma plainte au motif que je devais d'abord contacter la DPO de La Poste.
Or, lors d'une violation du RGPD, celui-ci n'impose pas d'exercer ses droits (accès, rectification, opposition, limitation, etc.) au préalable ni même de contacter le DPO. Cela est confirmé par le Tribunal Supremo (Cour suprême) d'Espagne dans sa décision TS 1039/2022.
J'ai posé une demande « Où en est mon dossier ? » pour débloquer ma plainte. Elle a été transmise au service des plaintes. Ouf.
Voyons ça en détail.
Je vous confirme que le groupe La Poste a désigné un Délégué à la protection des données (DPO). Pour toute question relative aux traitements de données mis en oeuvre au sein de cet organisme, je vous invite, dans un premier temps, à prendre contact avec lui à l'adresse suivante : Madame la Déléguée à la Protection des Données CP C703 9 rue du Colonel Pierre Avia 75015 PARIS.
J'ajoute que le responsable d'un fichier dispose d'un délai maximal d'un mois à compter de la réception de votre demande pour vous répondre (article 12 3. du RGPD).
Vous pourrez nous adresser une réclamation, en joignant une copie de vos échanges, afin que l'on intervienne à l'appui de votre demande si au terme de ce délai aucune réponse ne vous est parvenue.
L'outil web de suivi des plaintes de la CNIL ne permet pas d'interagir quand sa plainte est clôturée. :(
Formulaire de contact que j'ai utilisé. (Pour le retrouver depuis la page d'accueil du site web de la CNIL : « Contact » dans le pied de page, puis lien « Je demande où en est mon dossier en cours » dans l'encart « Pour les professionnels » de la section « En ligne ».)
Objet : « Où en est mon dossier ? » ; Type de dossier : plainte ; Remplir le numéro de plainte.
Corps de la demande :
Bonjour,
Ce matin, ma récente plainte numéro <CENSURE> a été classée irrecevable. Il m'est demandé de contacter la DPO de La Poste.
Je pense qu'il s'agit d'une erreur, car, comme écrit dans ma plainte :
- Je vais contacter la DPO de La Poste en parallèle ;
- Quelles que soient la réponse et les actions, y compris correctrices, que la DPO La Poste entreprendrait, les faits relatés dans ma plainte constituent en soi des violations du RGPD qui justifient, à elles seules, le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle (APD) que vous êtes ;
- Dans son arrêt TS 1039/2022, le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas encore fait valoir ses droits auprès du responsable du traitement en question.
Pouvez-vous, svp, re-examiner la recevabilité de ma plainte numéro <CENSURE> ?
Bonne journée.
Bonjour <CENSURE>,
Nous vous remercions de nous avoir contactés.
Je vous informe qu'après une nouvelle analyse avec les agents en charge du greffe, votre demande n°<CENSURE> a été transmise au service des plaintes.
Cordialement,
ÉDIT DU 25/11/2022 : Elle contient au moins une erreur : c'est dans sa décision du 22/04/2022 que l'APD autrichienne rappelle que le RGPD ne prévoit pas d'approche basée sur le risque en matière de transferts de données personnelles hors de l'UE, pas dans sa décision 2021-0.586.257 (qui en est tout de même la première partie du film). FIN DE L'ÉDIT.
Bonjour,
Le 28/09/2022, j’ai acheté des produits sur la boutique web d’un commerçant. Livraison via Colissimo de La Poste (LP).
Le 30/09/2022, j’ai reçu un email « Votre Colissimo arrive ! » émis par La Poste (cf. PJ 1 pages 1 à 5 ; apparence étrange, car je désactive le HTML dans ma messagerie). C’est cet email qui fait l’objet de la présente plainte.
D’abord, je doute du bien-fondé de la base légale de ce traitement de données personnelles.En effet, cet email est-il vraiment nécessaire à l’exécution d’un contrat / d’une mission de service public (base légale sur laquelle repose ce traitement, cf. https://www.laposte.fr/pages/recevoir-un-colissimo/courriel#1) ?
Un achat auprès d’un commerçant web se déroule toujours en plusieurs étapes : commande, confirmation de celle-ci, paiement et émission d’une facture, envoi des produits. À chaque étape, le commerçant informe lui-même son client par email, car la date d’envoi peut différer de la date de paiement, qui peut différer de la date de commande, en fonction du moyen de paiement et/ou de la disponibilité des produits commandés, par exemple. Le numéro de l’envoi est toujours communiqué par le commerçant. L’email de LP est donc redondant.
L’email de LP est une information supplémentaire, du confort, mais, qu’il soit reçu ou non, lu ou non, le colis sera acheminé jusqu’au client du commerçant. Dit autrement, la prestation de livraison ira à son terme indépendamment de cet email. Email facultatif.
La Poste répliquera peut-être que son email est une mesure de sécurité puisqu’il contient un code qu’il faudrait communiquer au livreur afin de s’authentifier auprès de lui. Dans la pratique, les livreurs LP ne vérifient pas ledit code, mais un justificatif d’identité. Ce fonctionnement est par ailleurs plus sain puisqu’il minimise le nombre de traitements de données personnelles : l’identité du destinataire est déjà connue du livreur puisqu’elle figure sur le colis, inutile d’effectuer un traitement supplémentaire (l’email). Ce traitement, cet email n’est donc pas nécessaire, voire il est contre-productif.
Vu les infractions au RGPD contenues dans l’email LP (je vais développer ci-dessous) alors que mon commerçant en a commis aucune dans ses emails de suivi, une base légale fondée sur l’intérêt légitime est irrecevable : l’intérêt de l’email LP est faible (cf. ci-dessus) alors que l’atteinte aux droits des personnes qu’il constitue à date est forte.
Il apparaît que cet email est non-nécessaire à l’exécution d’un contrat / d’une mission de service public et qu’il ne peut pas être justifié par l’intérêt légitime de LP. Son envoi devrait donc être soumis au consentement du client d’un vendeur. Ce n’est pas le cas.
Il semble que les outils et les procédures de LP ne permettent pas à un commerçant en ligne de s’opposer à l’envoi de l’email litigieux tant que son client ne consent pas à le recevoir. La faute ne semble donc pas être du côté des commerçants, mais de LP.
Ensuite, tous les liens hypertextes contenus dans l’email envoyé par LP (même celui pour consulter les mentions légales / RGPD), notamment celui permettant de consulter le suivi en ligne de son envoi (cet outil publié sur le site web de LP est l’objet de ma plainte CNIL distincte numéro <CENSURE>) sont des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), cf. PJ 4. Exemple : « http ://t.notif-colissimo-laposte.info/TrackActions/NGJlYjE5NjZhZDlkODU0NzE3Yzg3Zjk3ODJkMmMxZWRjYTVkYmM2Yjg1NjZkNDI3NDI2OGU5MTFkOWVlODQzZDFmNzQ0MGM1OGMyYTYxYzM2MDc3NWNjMDU5YzFiYjQ3NTA4YjQ2OTUyMzg5ZmYwYTczOTdhMGM3NjEwNWIxYzFjMzAwMjQxODRiNjc1ZjcwMjFhNWNiM2NkNTczNTQxYTNkYTJhYjJlMjU5MmJlZTE0NDdjYzNlZjc3YzM0ZTRjNzI2MDdlN2VkY2Y4MWVmOGJiZjQ3MDQ0Yjk5NmY2Zjc3NzI0MDRiZjAyYzBmMzFiYmM1NDFhYjk2Zjk0ZjE5Nw ».Constatons :
- Un identifiant unique dans l’URL dont les 42 premiers caractères sont identiques entre tous les liens de l’email et qui doivent, à ce titre, servir à identifier ledit email. Le reste des caractères sert à identifier un lien précis dans l’email et à coder la véritable destination du lien, vers laquelle il convient de rediriger ;
- Le motif « TrackActions » dans l’URL parle de lui-même ;
- Le nom de domaine Internet dédié (« t.notif-colissimo-laposte.info ») est loué par LP et il est hébergé par les serveurs de noms du domaine internet « apostello.io » (cf ci-dessous). Apostello est un projet de la société commerciale Isoskele, filiale du groupe La Poste qui, sur son site web (www.isoskele.fr), se présente comme une « agence data marketing et communication » (source : je vais y revenir). Ce nom de domaine est donc dédié au traçage par sa filiale idoine (sinon LP aurait utilisé ses domaines conventionnels).
$ whois notif-colissimo-laposte.info | grep -E 'Registrant Organization|Name Server'
Registrant Organization: LA POSTE
Name Server: dns1.apostello.io
Name Server: dns2.apostello.ioPour deux des liens (« CREER MON ESPACE CLIENT LA POSTE » et « Mon espace client La Poste »), l'URL finale (après redirection) contient un code postal obscurci (« state=e71f2e36-73c5-4331-860a-7d057749a0ef ») et un identifiant client (« client_id=cf8351d661a11d883311306c36c4542e »), cf. PJ 3.
Si je cliquais sur ces liens, mon adresse IP, cette URL, les informations qu'elle véhicule, et plusieurs caractéristiques techniques de mon navigateur web seraient donc consignées dans le journal des serveurs web de LP qui hébergent cette page web, et elles seraient transmises à l’outil de ciblage et de suivi du parcours client (c’est ainsi qu’il est présenté par son éditeur) de Commanders Act, intégré par LP sur son site web. Toutes ces données pourraient donc être utilisées lors d’analyses (d’audience, statistiques, etc.) et de recoupements ultérieurs.
De même, l’email contient une image de traçage (cf. PJ 4, page 34) : « <img src="http ://t.notif-colissimo-laposte.info/cdn/content/3365c92347e1229f46fba86146eff8337b893f3acce7867684aa894b8d44abb64ff0c51216d5ce5cc83a06407904038b4e894506733d1a4cf2b78075f1c6e93c.png" height="1" width="1" alt=""> ».
Il s’agit d’une image transparente de dimensions un pixel sur un pixel au format png, autrement dit d’une image invisible. Il s’agit d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email.
Le pied de page de l’email contient un lien « Informations sur vos données personnelles » (https://www.laposte.fr/pages/recevoir-un-colissimo/courriel). Pour ma situation, « Vous avez reçu une notification pour un colis expédié depuis La France. », LP déclare : « Vos coordonnées nous ont été communiquées par l’expéditeur de votre envoi, pour les besoins exclusifs du suivi de votre colis, de sa livraison et la gestion des réclamations le cas échéant. Colissimo s’engage à en assurer la confidentialité et à ne pas les utiliser à d’autres fins. ». Pourtant, mon adresse emails est bien associée à mon ouverture de l’email LP et à mes éventuels clics sur les liens qu’il contient, ce qui dépasse le cadre de la finalité déclarée sur la même page web, à savoir : m’« informer des différentes étapes du parcours de votre colis conformément au mode de livraison choisi. »
La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final, comme l’outil de suivi des envois). De plus, la consultation du suivi d’un colis étant un service facultatif, complémentaire et incidente à l’envoi d’un colis, LP ne peut se prévaloir d’une quelconque obligation légale pour procéder à ce traçage.
Le client d’un commerçant, destinataire de cet email, n'est pas informé de l’aspect traçant des liens et de l’image qu’il contient et son consentement n'est pas récolté.
Il découle des deux derniers paragraphes qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).
Enfin, l’email fait télécharger deux polices de caractères depuis le service Fonts de la société commerciale états-unienne Google, cf. PJ 4 pages 1, 4, et 5. Ces téléchargements sont automatiques à l’ouverture de l’email.De même, l’image traçante sus-analysée est hébergée sur le service Azure de la société commerciale états-unienne Microsoft :
$ dig +short t.notif-colissimo-laposte.info
apo7prd-af-tracking.azurewebsites.net.
waws-prod-am2-261.sip.azurewebsites.windows.net.
waws-prod-am2-261.cloudapp.net.
13.69.68.5$ whois 13.69.68.5 | grep Organization
Organization: Microsoft Corporation (MSFT)De même, les liens traçants sus-analysés pointent d’abord vers un site web hébergé chez Microsoft Azure qui, lui, redirige vers la destination finale du lien (l’outil de suivi des envois du site web LP, par exemple) après avoir procédé au traçage. Même nom de domaine internet que pour l’image traçante, donc même preuve que ci-dessus.
De même, d’après ses entêtes « Received », « X-Mailer », et « Message-ID » (cf. PJ 1, pages 6 et suivantes), l’email est envoyé par l’infrastructure technique, hébergée chez Microsoft Azure, du projet Apostello de la société commerciale Isoskele, filiale du groupe La Poste qui, sur son site web (www.isoskele.fr), se présente comme une « agence data marketing et communication ». Cela crédibilise les analyses déroulées aux points précédents selon lesquelles les liens et l’image traçants servent une finalité dissimulée de mesure statistique, d’amélioration du parcours client, et de marketing qui ne peut pas être regardée comme étant nécessaire à l’exécution d’un contrat.
« Received: from mail29247.apostello.io » :
$ dig +short mail29247.apostello.io
51.137.29.247$ whois 51.137.29.247 | grep -E 'org-name|country' | sort -ru
org-name: Microsoft Limited
country: GBSi « apostello.io » est un site web qui répond du contenu JSON (probablement une API), « www.apostello.io » redirige, lui, vers le site web « www.isoskele.fr » :
$ wget -O /dev/null www.apostello.io |& grep -E 'Emplacement|Connexion'
Connexion à www.apostello.io (www.apostello.io)|217.70.184.56|:80… connecté.
Emplacement : https://www.isoskele.fr/ [suivant]
Connexion à www.isoskele.fr (www.isoskele.fr)|195.60.188.85|:443… connecté.
Emplacement : https://isoskele.fr/ [suivant]
Connexion à isoskele.fr (isoskele.fr)|195.60.188.85|:443… connecté.De plus, le nom de domaine apostello.io est loué par la société commerciale Cabestan…
$ whois apostello.io | grep Organization
Registrant Organization: Cabestan… qui est l’une des ex-filiales de La Poste qui ont fusionné pour devenir Isoskele : https://lehub.laposte.fr/reperes/poste-lance-isoskele-nouvelle-marque-data-marketing-communication.
Enfin, le projet Apostello est « la migration de notre infrastructure de routage sur le PaaS Azure » d’après le directeur général adjoint d’Isoskele, cf. https://customers.microsoft.com/en-ca/story/849836-la-poste-isoskele-national-government-azure-fr-france.
Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’intégration de Google Fonts à un site web), et comme vous l’avez analysé (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), le téléchargement automatique, à l’ouverture de l’email envoyé par LP, de polices de caractères Google Fonts et de l’image traçante, puis le téléchargement d’une page web de traçage et de redirection lors d’un clic sur l’un des liens traçants contenus dans l’email, génèrent, de facto et à l’insu du client d’un commerçant web, des transferts hors de l’Union européenne (UE) de plusieurs données personnelles dudit client : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de son ouverture de l’email et de ses clics sur les liens, la marque et le modèle de son logiciel de messagerie ainsi que, s’il clique sur un lien, la marque et le modèle de son navigateur web (entête HTTP User-Agent dans les deux cas), etc.
Pour rappel, la société commerciale Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées ci-dessus (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users).
De plus, l’hébergement du logiciel d’e-mailing et de traçage d’Isoskele et de ses serveurs émetteurs d’emails (MTA) sur le service Azure de Microsoft génère des transferts hors de l’Union européenne (UE) de plusieurs données personnelles supplémentaires du destinataire d’un colis, comme l’association de son adresse emails à un commerçant (il est nommé dans l’email), à un numéro de colis (idem), et à une date d’envoi et de réception estimée dudit colis (idem + horodatage de l’email).
Quand bien même des mesures complémentaires, comme du chiffrement, seraient mises en œuvre par Isoskele (ce qui reste à vérifier), une partie de ces données personnelles est forcément traitée en clair par Microsoft Azure (contrairement à du stockage inerte avec lequel le traitement peut être déporté), notamment lors des interactions entre le logiciel d’e-mailing et de traçage développé par Isoskele et le logiciel serveur d’emails (MTA) pour l’envoi des emails, fourni par Azure. Cette analyse est confortée par les propos du directeur général d’Isoskele qui déclare avoir recours au « PaaS Azure » (cf. ci-dessus), ce qui signifie que Microsoft fournit et maintient une partie du système et de l’environnement d’exécution sur et avec lesquels fonctionnent les logiciels développés par Isoskele, dont le logiciel serveur d’emails (MTA), les bases de données, les serveurs web, l’équilibreur de charge, et que plusieurs d’entre eux traitent nécessairement les données personnelles en clair.
Quand bien même Isoskele serait hébergée sur des serveurs de Microsoft Azure situés dans l’UE (cf. ci-dessus, l’IP du serveur emails qui m’a envoyé l’email litigieux est déclarée comme étant louée par la société anglaise Microsoft Limited), Microsoft est une société de droit états-unien, donc le Cloud Act est de pleine application.
Toutes les données personnelles sus-mentionnées renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web (et ses emails, dans le cas présent de Google Fonts) et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.
À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.
Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
Pour rappel, la mise en œuvre des clauses contractuelles types par Google ne couvre pas son service Fonts, cf. https://policies.google.com/privacy/frameworks.
Dans leurs politiques de confidentialité (https://www.laposte.fr/donnees-personnelles-et-cookies et https://isoskele.fr/politique-de-confidentialite/), La Poste et Isoskele ne mentionnent pas avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De ce fait, nous pouvons avoir la certitude qu’elles ne recourent pas à des instruments juridiques et/ou à des mesures supplémentaires prévus aux articles 46 et 47 du RGPD.
On peut également avoir la certitude que LP (dont Isoskele) met en œuvre aucune mesure technique complémentaire, car le téléchargement des polices de caractères auprès de Google Fonts lors de l’ouverture de l’email envoyé par LP s’effectue directement auprès de l’infrastructure technique de Google. Dès lors, les requêtes web émises par un logiciel de messagerie ne cheminent pas par l’infrastructure technique de LP (dit autrement, il y a un contact direct entre le terminal de l’internaute et les serveurs informatiques de Google), donc elles échappent totalement à LP, qui peut, de ce seul fait, prendre aucune mesure technique.
Il en va de même pour la requête de téléchargement automatique de l’image traçante à l’ouverture de l’email. Il en va de même pour les requêtes de consultation des pages de redirection lors d’un clic sur l’un des liens traçants contenus dans l’email.
Enfin, comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.
LP ne recueille pas explicitement le consentement du client d’un commerçant pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Donc, en l’état, ces transferts de données personnelles ne peuvent pas reposer sur le consentement.
La nécessité des transferts des données personnelles sus-énumérées vers les États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable :
- Les traitements que constitue l’image traçante et les liens traçants sont non-nécessaires et illégaux par absence de base légale (cf. analyse du point précédent), donc les transferts de données personnels vers les États-Unis que génèrent, de facto, les récupérations de l’image et des pages web de redirection aggravent l’infraction initiale ;
- Un hébergement internalisé (sur les serveurs informatiques de LP) des polices de caractères est techniquement et juridiquement possible à un coût nul alors que leur hébergement par Google porte une atteinte disproportionnée aux droits des usagers de LP. De même, il est possible d’utiliser un fournisseur européen de polices de caractères ou même une police de base embarquée dans toutes les messageries ;
- L’envoi de l’email en lui-même pourrait être illégal par absence de base légale fondée (cf. le premier point de la présente plainte), auquel cas le transfert de données personnelles vers les États-Unis pour effectuer cet envoi aggrave l’infraction initiale. En tout état de cause, le logiciel de « data marketing » et les serveurs emails pourraient être hébergés sur l’infrastructure technique interne à LP et/ou sur celle d’un prestataire européen.
L’envoi, par LP, de ses emails « Votre Colissimo arrive ! » depuis des serveurs détenus par Microsoft, l’hébergement, par Microsoft, des images et des pages de redirection des liens traçants contenus dans l’email, et par Google de leurs polices de caractères, ainsi que les transferts de données personnelles vers les États-Unis qui en découlent, sont donc illégaux.
Je vais signaler, à la DPO de La Poste, ces manquements au RGPD afin qu’elle s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’elle entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.Je vous rappelle l'arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a jugé qu'une APD peut agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.
P.-S. : je vous joins une version PDF correctement mise en forme de la présente plainte.