L'accès à l'espace client de Red by SFR est conditionné par Google reCAPTCHA. Or, son utilisation n'est pas conforme au RGPD (voir), comme en atteste plusieurs décisions de la CNIL (1, 2, 3, 4).
Le site web de Red by SFR incorpore plusieurs ressources web (images, scripts JavaScript) de sociétés commerciales états-uniennes et/ou qui sont hébergées par de telles sociétés : Google Tag Manager, Bing (Microsoft), Facebook, ups.analytics.yahoo.com (hébergement Amazon), analytics.tiktok.com (hébergement Akamai Technologies), smetrics.sfr.fr (Adobe Inc. marketing cloud dissimulé en tracker first-party), plusieurs dizaines de régies publicitaires et assimilées, etc. Ces ressources sont également téléchargées lors de la consultation de l’espace client, à l’exception des régies de pub et assimilées. Cela n'est pas conforme au RGPD (voir).
Du coup, hop, réclamation déposée auprès de la CNIL il y a plusieurs mois.
Bonjour,
Ce jour, j’ai accédé à mon espace client sur le site web de Red by SFR (https://www.red-by-sfr.fr/).
La connexion à cet espace client nécessite l’utilisation de Google reCAPTCHA sans recueil du consentement (le refus des cookies dans le bandeau dédié n’empêche pas son chargement), cf. PJ 1. Cela n’est pas conforme au RGPD, cf. vos décisions passées contre l’IGPN, l’Assurance-Maladie, la première version de l’application StopCovid ou, plus récemment contre la société commerciale CityScoot (délibération SAN-2023-003 du 16 mars 2023).
L’utilisation de Google reCAPTCHA génère également des transferts illégaux de données personnelles, dont l’adresse IP du client SFR et des données techniques concernant son terminal, vers la société commerciale états-unienne Google. Illégaux au sens des articles 44 et suivants du RGPD (Schrems II, aucune décision d’adéquation, absence de garanties, absence de mesures complémentaires suffisantes, etc.).
Le site web de Red by SFR fait automatiquement télécharger un paquet de ressources web (scripts, images, etc.) propriétés d’entités de droit états-unien et/ou hébergées sur des serveurs détenus par de telles entités : Google Tag Manager, Bing (Microsoft), Facebook, ups.analytics.yahoo.com (hébergement Amazon), analytics.tiktok.com (hébergement Akamai Technologies), smetrics.sfr.fr (Adobe Inc. marketing cloud dissimulé en tracker first-party), plusieurs dizaines de régies publicitaires et assimilées, etc. Ces ressources sont également téléchargées lors de la consultation de l’espace client, à l’exception des régies de pub et assimilées. Ces téléchargements génèrent des transferts illégaux de données personnelles du client SFR (adresse IP, données techniques sur le terminal, etc.) vers un État tiers non adéquat.
Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne SFR.
Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.