GuiGui's Show

Même topo que d'habitude : le site web de la DGFIP (www.impots.gouv.fr) et son espace particuliers embarquent des scripts, des feuilles de style, des images, etc. hébergées sur des serveurs informatiques, un CDN, détenus par des sociétés de droit états-unien, ce qui est incompatible avec le RGPD. L'espace particuliers et l'espace professionnels téléchargent également l'outil de mesure des audiences Xiti (de la société commerciale française AT Internet) depuis une société commerciale états-unienne. Juste pour rire jaune : la DGFIP est rattachée au sinistère de l'Économie, des finances et de la souveraineté industrielle et numérique. Tartufes…

Du coup, hop, plainte à la CNIL.

Le raisonnement juridique reste inchangé depuis les fois précédentes.

Nouveauté : je tente d'expliquer simplement les différents types de CDN, car, pour la première fois depuis le début de mes plaintes CNIL, c'est le responsable du traitement (le fisc) qui a recours à un CDN et pas l'un de ses "sous-traitants" (Google Fonts, cdnjs, etc.), donc ça me servira dans de futures plaintes. Je différencie un CDN qui héberge une copie du contenu (et accède, de ce fait, aux entêtes HTTP et donc à l'ensemble des données personnelles) d'un CDN qui nettoie les communications, comme les atténuateurs DDoS et les optimisateurs BGP, sans pour autant accéder aux entêtes HTTP (mais qui voient tout de même passer l'adresse IP, donnée personnelle s'il en est) ni les consigner.

Merci à Aeris et à Johndescs pour leur relecture. Merci à Aeris de défricher le terrain (c'est lui qui a débusqué quasiment toutes les décisions que je cite).

Ma plainte à la CNIL :

Elle contient une erreur : la décision TS 1039/2022 est celle du tribunal suprême espagnol, pas de l'APD espagnole.

Bonjour,

Le site web de la Direction Générale des Finances Publiques (https: //www.impots.gouv.fr) ainsi que son espace dédié aux particuliers (https: //cfspart.impots.gouv.fr) enfreignent le RGPD pour les motifs suivants :

• Téléchargement automatique de l'outil de mesure des audiences Xiti de la société commerciale française AT Internet. Cela se produit aussi sur l'espace dédié aux professionnels (https: //cfspro.impots.gouv.fr). Or, pour héberger son produit, AT Internet a recours aux services d'hébergement informatique de la société commerciale Amazon. Donc, le téléchargement de Xiti, indépendamment de la collecte de données personnelles effectuée par l'outil Xiti en lui-même (qui n'est pas le sujet de la présente), constitue de facto un transfert illégal de données personnelles vers les États-Unis au regard de l'arrêt dit Schrems II de la CJUE, de la décision 3_O_17493/20 de la Cour régionale de Munich, de votre mise en demeure du 10/02/2022 relative à l'utilisation de Google Analytics, de la décision 2020-1013 de l'EDPS, et de la décision 2021-0.586.257 de l'Autorité de Protection des Données (APD) autrichienne ;
  
  
• Téléchargements automatiques de ressources web (images, feuilles de style, scripts JavaScript, etc.) hébergées sur l'infrastructure informatique de la société commerciale de droit états-unien Edgecast Networks (qui semble elle-même la déléguer à la société commerciale Microsoft et à son produit Azure). Ces téléchargements constituent de facto des transferts illégaux de données personnelles vers les États-Unis au regard des mêmes décisions qu'au point précédent ;

Vous trouverez, en PJ, ma plainte détaillée.

Je vais signaler, au DPO du ministère de l'Économie, des finances et de la souveraineté industrielle et numérique, les manquements au RGPD énumérés dans la présente afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi des violations du RGPD qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes (article 77 du RGPD et décision TS 1039/2022 de l’APD espagnole).

Cordialement.

Plainte détaillée (la fameuse pièce jointe du blabla ci-dessus) :

Bonjour,

Le site web de la Direction Générale des Finances Publiques (www.impots.gouv.fr) ainsi que son « espace particulier » (cfspart.impots.gouv.fr) contreviennent au RGPD sur deux points.

Premier point. Lors de sa consultation, cet espace personnel, tout comme l’espace professionnel (cfspro.impots.gouv.fr), fait automatiquement télécharger, au navigateur web du contribuable, un script JavaScript (depuis logs1407.xiti.com avant authentification et depuis logs2.xiti.com après) propriété de la société commerciale française AT Internet. Or, cette dernière a recours au service de diffusion de contenus (CDN) de la société commerciale états-unienne Amazon.

Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20), et comme vous l’avez analysé (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), ces téléchargements en eux-mêmes génèrent de facto un transfert hors de l’Union européenne (UE) de plusieurs données personnelles du contribuable : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses consultations de l’espace personnel du fisc (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque et le modèle de son navigateur web (entête HTTP User-Agent), etc.

Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

Jusqu’à présent, j’ai évoqué les données personnelles transférées automatiquement lors du téléchargement de l’outil Xiti lui-même, pas la collecte et le traitement des données personnelles effectués par cet outil pour la finalité de mesure de l’audience. Mais, il est évident que cette deuxième collecte de données personnelles transite également par le CDN d’Amazon, comme le reconnaît AT Internet (j’y reviendrai). Il est impossible de dire, techniquement, depuis l’extérieur et en dehors des déclarations d’AT Internet, où est effectué le traitement réalisé par l’outil Xiti et où sont stockées les analyses qu’il produit, donc ça ne sera pas le sujet de la présente.

Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit, sans les déchiffrer ni accéder à la requête web, sur un ensemble de serveurs appartenant au client final. Il reçoit alors uniquement l’adresse IP du visiteur et le nom du site web de destination, mais pas les entêtes HTTP sus-référencées ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède le contenu à servir, il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il reçoit et consigne (journalise) les entêtes HTTP sus-énumérées, et il distribue le contenu web au visiteur.

Dans le cas présent, il s’agit du deuxième mode : Amazon est destinataire de la communication, elle reçoit les entêtes HTTP, et elle distribue le contenu en ajoutant des entêtes HTTP (« x-cache », « x-amz-cf-pop », « x-amz-cf-id »), ce qui démontre qu’elle a bien eu accès à la requête (et à la réponse) web.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

   Dans sa politique de confidentialité (https://cfspart.impots.gouv.fr/enp/ensu/confidentialite.do ), la Direction Générale des Finances Publiques (DGFIP) ne mentionne pas ce transfert de données personnelles à destination des États-Unis. De ce fait, elle ne mentionne pas non plus avoir recours à des instruments juridiques et/ou à des mesures supplémentaires prévus aux articles 46 et 47 du RGPD.

   Dans sa politique de confidentialité (https://www.atinternet.com/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/#traitees-et-stockees), AT Internet, le prestataire de la DGFIP, déclare « Toutes les données d’audience sont stockées et traitées en Union Européenne. Nous utilisons un réseau de diffusion de contenu (CDN) pour améliorer la performance du temps de collecte des données. ». Ainsi, elle ne mentionne pas avoir recours à des instruments juridiques ni à des mesures supplémentaires prévus aux articles 46 et 47 du RGPD.

   On peut avoir la certitude que la DGFIP met en œuvre aucune mesure technique complémentaire, car son site web inclut une instruction technique ordonnant au navigateur web du contribuable le téléchargement d’une image directement auprès de l’infrastructure technique du CDN états-unien choisi par AT Internet, Amazon. Dès lors, la requête de téléchargement émise par le navigateur web du contribuable ne chemine pas par l’infrastructure technique de la DGFIP ni par celle de son prestataire (dit autrement, il y a un contact direct entre le terminal du contribuable et les serveurs informatiques du prestataire états-unien de AT Internet), donc elle échappe totalement à la DGFIP et à son prestataire direct, qui peuvent, de ce seul fait, prendre aucune mesure technique.

   Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

La DGFIP (et AT Internet) ne recueille pas explicitement le consentement du contribuable pour le transfert de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui, comme l’impose l’article 49.1a du RGPD, donc, en l’état, ce transfert ne peut pas reposer sur le consentement.

La nécessité du transfert des données personnelles sus-énumérées aux États-Unis au motif de l’exécution du contrat (article 49.1b du RGPD) est irrecevable, car un outil de mesure d’audience (c’est ainsi qu’il est présenté par son éditeur, AT Internet, et par la politique de confidentialité de la DGFIP sus-référencée) ne peut pas être regardé comme étant nécessaire à l’exécution d’un contrat, car le service peut être fourni sans : si l’on bloque les requêtes web de téléchargement de cet outil avec l’extension pour navigateur web uMatrix, par exemple, le site web de la DGFIP reste intégralement fonctionnel.

   Quel est l’intérêt réel d’une mesure de l’audience sur un espace personnel dédié à des démarches administratives légalement obligatoires ? L’audience est connue d’avance et la popularité d’une démarche parmi celles proposées n’a pas de signification particulière (c’est obligatoire, ce n’est pas un produit parmi d’autres).

   En tout état de cause, il est techniquement possible de réaliser une mesure des audiences sans transférer des données personnelles à des sociétés tierces hébergées (techniquement) aux États-Unis. Plusieurs sociétés commerciales européennes proposent ce type de solutions, y compris en s’appuyant sur un CDN de droit européen. En dernier ressort, ces solutions peuvent être internalisées (hébergées sur les infrastructures techniques de la DGFIP). Le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt, pour la DGFIP, d’effectuer ce traitement de mesure d’audience, et l’atteinte disproportionnée aux droits des contribuables qu’il représente.

Le téléchargement automatique de l’outil de mesure d’audience Xiti de la société AT Internet lors de l’utilisation de l’espace personnel ou de l’espace professionnel du site web de la DGFIP, et le transfert de données personnelles vers les États-Unis qui en découle est donc illégal.

Deuxième point. Sur plusieurs pages de l’« espace particulier » du site web de la DGFIP (correction en ligne de la déclaration automatique de revenus, gestion du prélèvement à la source, paiement des impôts, etc.), des ressources web (images, feuilles de style, scripts JavaScript, etc.) sont téléchargées depuis le sous-domaine « static.impots.gouv.fr » (dont un autre nom est « static-impots.dgfip.cdn-tech.net », dont le vrai nom est « cs1003.wpc.omicroncdn.net »).

Son hébergement semble être délégué à la société commerciale française Écritel (qui a racheté, en 2016, CDN Technologies, cdn-tech.net) qui semble l’avoir délégué à la société commerciale états-unienne Omicron Media (omicroncdn.net), qui elle-même utilise le réseau de distribution de contenus (CDN) de la société commerciale états-unienne Edgecast Networks (ci-après Edgecast). Il en est de même pour le site web www.impots.gouv.fr (page d’accueil, documentation / foire aux questions, etc.).

Comme au premier point, nous sommes en présence d’un type de CDN qui est destinataire des requêtes web, qui y répond directement en servant le contenu, qui, de ce fait, accède aux entêtes HTTP et donc à l’ensemble des données personnelles énumérées au premier point. Pour preuve, il dépose, dans la réponse, un entête « server » dont la valeur est, ce jour, « ECAcc (ama/8B6F) » (« ECAcc » = Microsoft Azure, « ama » est la zone géographique, suivie d’un identifiant unique du serveur).

Le raisonnement est similaire à celui déroulé au premier point : ces téléchargements, déclenchés automatiquement lors de la consultation de l’espace personnel de la DGFIP, génèrent des transferts de données personnelles (liste dans le premier grief) à destination des États-Unis ; il n’existe plus de décision d’adéquation entre l’UE et les États-Unis ; toutes les garanties appropriées, et les mesures complémentaires sont irrecevables ; et le consentement du contribuable (au sens de l’article 49.1a du RGPD) n’est pas recueilli.
La nécessité du transfert des données personnelles au motif de l’exécution d’un contrat (article 49.1b du RGPD) et/ou d’une mission de service public n’est pas recevable :

• De ce que j’en connais, la DGFIP ne semble pas avoir recours à un quelconque CDN externalisé sur l’espace dédié aux professionnels (cfspro.impots.gouv.fr) ;
  
  
• La DGFIP n’a pas recours à un CDN sur toutes les pages de son espace particulier dont on peut pourtant prédire qu’elles reçoivent la même quantité de trafic et dont la tenue de la charge est tout aussi indispensable pour le bon déroulement des démarches administratives. Exemples : le portail d’authentification ou le tableau de bord après authentification, sans lesquels l’accès au service (et donc les démarches administratives) est impossible. La nécessité d’un CDN sur des pages consultées dans un deuxième temps par les contribuables n’est donc pas démontrée ;
  
  
• D’une manière générale, les ressources web statiques (images, feuilles de style, scripts) peuvent être mises en cache du côté des serveurs informatiques et du côté des navigateurs web (et ainsi soulager une infrastructure d’hébergement web et les réseaux de communication), alors que les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée pour chaque contribuable (en fonction de sa situation, de ses informations fiscales, etc.) et elles ne peuvent pas être mises en cache (ou de manière limitée), ce qui nécessite la détention d’une capacité de traitement. Or, pour ces pages, la DGFIP n’a pas recours à un prestataire. Il y a donc une incohérence : qui peut le plus peut le moins ;
  
  
• En tout état de cause, des sociétés commerciales françaises et européennes proposent des réseaux de distribution de contenus équivalents. La DGFIP ne saurait justifier du recours à un CDN international pour offrir une qualité de service satisfaisante aux seuls contribuables français, y compris à la minorité de Français qui résident en dehors du territoire national. Dit autrement : la solution technique retenue n’est pas en adéquation avec le besoin réel.
  • De plus, le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir la DGFIP (voir points précédents) et l’atteinte disproportionnée aux droits des contribuables que ce choix de prestataire représente ;
    
    
  • Enfin, ce choix de prestataire fait mauvais genre dans le contexte actuel de souveraineté numérique (le nom du ministère de rattachement de la DGFIP est « ministère de l’Économie, des finances et de la souveraineté industrielle et numérique » !), de cloud souverain, de la doctrine étatique « Cloud au Centre », des recommandations et des notes de la Direction interministérielle du numérique à ce sujet, etc.

Lors de la navigation sur le site web www.impots.gouv.fr et sur l’« espace particulier » du site web de la DGFIP, le téléchargement automatique de ressources web (images, feuilles de style, scripts JavaScript, etc.) hébergées sur des infrastructures techniques situées aux États-Unis et/ou détenues par des organisations de droit états-unien, et le transfert de données personnelles vers les États-Unis qui en découle, est donc illégal.

Je vais signaler, au DPO du ministère de l’Économie, les manquements au RGPD énumérés dans la présente afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte auprès de l’autorité de contrôle que vous êtes (article 77 du RGPD et décision TS 1039/2022 de l’APD espagnole).

Cordialement.