Pour remplacer mon Samsung S3, j'ai eu recours à la place de marché du Bon Coin.
Les emails transactionnels sont émis par des sociétés commerciales états-uniennes (Twilio, Adobe).
Ils contiennent des liens et des images de traçage (détecter l'ouverture ou un clic sur un lien). L'essentiel est hébergé par des entités ricaines (Amazon, Twilio, Piano AT Internet). Mêmes les images rédactionnelles (qui participent au contenu) sont diffusées via Amazon Cloudfront.
Le site web est diffusé via le CDN Coudfront d'Amazon et il incorpore plusieurs scripts JavaScript de sociétés commerciales états-uniennes et/ou qui sont hébergés par de telles sociétés : protection anti-fraude Datadome (dd.leboncoin.fr) diffusée via Amazon Cloudfront, régie pub Google Doubleclick, CMP Didomi diffusée via Amazon Cloudfront, Hubvisor diffusé via Fastly, etc.
Tout cela n'est pas conforme au RGPD. Pour les liens et images de traçage, lire ici. Pour les CDN, les scripts et les hébergeurs ricains, voir là.
Du coup, hop, réclamation déposée auprès de la CNIL il y a plusieurs mois.
Bonjour,
Le 02/01/2023, j’ai acheté sur la place de marché du Bon Coin (https://www.leboncoin.fr/).
Tout au long de l’inscription puis de l’achat, Le Bon Coin (LBC) m’a envoyé des emails sur le déroulé / suivi de ma commande, pour me présenter ses fonctionnalités, etc.
Comme l’indique leur entête « Received », certains de ces emails (« Votre code de vérification leboncoin », « Suite à votre achat sur leboncoin ») sont émis par des serveurs emails de la société commerciale états-unienne Twilio Inc., qui agit comme prestataire emailing du Bon Coin. Twilio est soumise au Cloud Act, cf. ma démonstration dans ma réclamation CNIL numéro <CENSURE>, qui est incompatible avec le RGPD. Il y a donc transfert illégal de données personnelles, a minima l’adresse emails du client LBC, vers un État tiers non adéquat sans mesures complémentaires.
D’autres emails (« Bienvenue au boncoin ! », « Achetez en ligne en toute sécurité sur leboncoin ») sont émis par des serveurs emails de la société commerciale états-unienne Adobe Inc. Il y a tout autant transfert illégal de données personnelles à une entité tout autant soumise au Cloud Act.
Des emails (« Votre code de vérification leboncoin », « Nouveau message sur leboncoin », « Bienvenue au boncoin ! », « Achetez en ligne en toute sécurité sur leboncoin », « Suite à votre achat sur leboncoin ») contiennent des liens de traçage (d’après votre terminologie https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) contenant deux identifiants uniques, l’un permettant d’identifier la campagne, l’autre un email précis dans cette campagne. Ces liens peuvent utiliser un domaine interne (« Votre code de vérification leboncoin » = url1513.auth.leboncoin.fr, « Bienvenue au boncoin ! » et « Achetez en ligne en toute sécurité sur leboncoin » = t.news.leboncoin.fr) ou celui d’un prestataire (« Suite à votre achat sur leboncoin » = « https ://link.trustpilot.com/ls/click »).Notons que les liens de la forme « t.news.leboncoin.fr » ou « link.trustpilot.com » pointent sur des serveurs de la société commerciale états-unienne Amazon. Ceux de la forme « urlXXXX.auth.leboncoin.fr » pointent vers des serveurs informatiques de Twilio. Cela signifie que le navigateur web du client LBC qui cliquera dessus contactera ces serveurs avant d’être redirigé vers la destination finale prévue par LBC (son site web, les réseaux sociaux, etc.). Il y a donc transfert de données personnelles (adresse IP du client LBC, empreinte de son navigateur web, etc.) vers un État tiers non adéquat. Là encore, la localisation effective des serveurs importe peu : étant la propriété d’Amazon, le Cloud Act est de pleine application.
Des emails (« Votre code de vérification leboncoin », « Nouveau message sur leboncoin », « Bienvenue au boncoin ! », « Achetez en ligne en toute sécurité sur leboncoin », « Suite à votre achat sur leboncoin ») contiennent une image de traçage (1 pixel * 1 pixel, transparente, dont le nom comporte un identifiant unique) permettant de détecter et consigner l’ouverture d’un email. Ces images peuvent être hébergées sur un domaine interne (« Votre code de vérification leboncoin » = « http ://url1513.auth.leboncoin.fr/wf/open? », « Bienvenue au boncoin ! » et « Achetez en ligne en toute sécurité sur leboncoin » = t.news.leboncoin.fr) ou celui d’un prestataire (« Votre code de vérification leboncoin », « Nouveau message sur leboncoin » = « https ://logws1360.ati-host.net/hit.xiti » = la société commerciale Piano AT Internet soumise au Cloud Act, cf. ma réclamation CNIL numéro <CENSURE>).Notons que les images « urlXXXX.auth.leboncoin.fr » sont hébergées sur les serveurs informatiques de Twilio. Celles des domaines « t.news.leboncoin.fr » et « logws1360.ati-host.net » sont hébergées chez Amazon. Cela signifie qu’à l’ouverture de l’email par le client LBC, ces images seront téléchargées automatiquement. Il y a donc transfert illégal de données personnelles (adresse IP du client LBC, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.
Ces liens et images de traçage ne sont pas conformes au RGPD selon le CEPD (section V de WP 118) et vous-même (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). LBC n’est pas soumis à une quelconque obligation légale, ni à une quelconque nécessité pour l’exécution du contrat, ni à une quelconque obligation technique de procéder à ce traçage. Le client LBC n’est pas informé et ne consent pas à ce traitement.
L’écrasante majorité des emails (« Votre code de vérification leboncoin », « Récapitulatif de votre commande […] sur leboncoin », « Nouveau message sur leboncoin », « Votre paiement a été autorisé », « Bonne nouvelle, le vendeur a confirmé la disponibilité de votre commande », « Votre colis pour la commande […] a bien été envoyé », « Confirmation de réception de votre colis pour la commande […] », « Suite à votre achat sur leboncoin ») contiennent des images rédactionnelles (des images qui participent au contenu de l’email) diffusées via le CDN Cloudfront d’Amazon. Ces images seront téléchargées automatiquement à l’ouverture de l’email. Comme pour tous les téléchargements sus-décrits, il y a donc un contact direct entre le logiciel de messagerie du client LBC et les serveurs informatiques d’Amazon, ce qui génère un transfert illégal de données personnelles (adresse IP du client LBC, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.
Le site web LBC (texte, images, etc.) est lui-même diffusé via le CDN Cloudfront d’Amazon, y compris le composant d’authentification (auth.leboncoin.fr). Il incorpore plusieurs scripts JavaScript de sociétés commerciales états-uniennes et/ou qui sont hébergés par de telles sociétés : protection anti-fraude Datadome (dd.leboncoin.fr) diffusée via Amazon Cloudfront, régie pub Google Doubleclick, CMP Didomi diffusée via Amazon Cloudfront, Hubvisor diffusé via Fastly, etc.
Tous les transferts de données personnelles sus-énumérés, web et emails, sont illégaux au sens des articles 44 et suivants du RGPD (Schrems II, votre mise en demeure du 10 février 2022 portant sur Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur Google Analytics, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement). La politique de confidentialité de LBC (https://www.leboncoin.fr/dc/cookies) se contente d’affirmer que ces transferts se font à « destination des pays reconnus comme assurant un niveau adéquat de protection de vos données personnelles ou, à tout le moins, sur la base des garanties appropriées prévues par la loi »… alors que c’est au RT de mettre en œuvre des mesures complémentaires concourant à ces garanties. Bref, LBC met en œuvre aucune mesure complémentaire dans le cadre des transferts internationaux sus-décrits.
Enfin, la version texte des emails de présentation de LBC (« Bienvenue au boncoin ! », « Achetez en ligne en toute sécurité sur leboncoin ») ne contient pas de lien pour s’y opposer. L’espace perso web permet de s’opposer aux emails « nouveaux messages », mais pas à ceux-ci. Le seul moyen de s’opposer est d’utiliser les liens prévus à cet effet dans la version HTML des emails de présentation. Comme elle contient des liens et des images de traçage, cela est disproportionné.
Tout cela illustre une carence du Bon Coin dans le choix, le pilotage et l'audit de ses sous-traitants en matière de données personnelles, ce qui constitue une entorse aux articles 24 et 28 du RGPD.
Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne Le Bon Coin.Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.