En France, les cartes de débit / crédit comportent systématiquement deux schémas : CB et Visa ou CB et Mastercard. CB = Groupement d'Intérêt Économique Cartes Bancaires (GIE CB).
Si l'on veut contacter le GIE CB par email, notamment son DPO, les communications passent par la société commerciale ricaine Proofpoint. Il y a donc transfert illégal de données personnelles (a minima l'adresse emails du demandeur et les caractéristiques de son terminal) en dehors de l'UE. Raisonnement ici et là. Le GIE CB prétend l'inverse dans sa politique de confidentialité.
(Visa héberge ses propres serveurs emails, et elle est une entité de droit ricain, donc impossible de se plaindre.)
Du coup, hop, réclamation déposée à la CNIL.
Bonjour,
Le 24/11/2022, j’ai contacté par email le DPO du GIE CB. Il m’a répondu le 08/12/2022.
Comme en attestent les entêtes « Received » de sa réponse (voir PJ 1), le GIE CB sous-traite la réception et l’envoi de ses emails à la société commerciale états-unienne Proofpoint.
Au jour de la présente réclamation, les emails entrants transitent toujours par Proofpoint :
$ dig +short MX cartes-bancaires.com
10 mxa-0018d301.gslb.pphosted.com.
10 mxb-0018d301.gslb.pphosted.com.$ dig +short A mxa-0018d301.gslb.pphosted.com. mxb-0018d301.gslb.pphosted.com. | xargs -L1 whois | grep org-name
org-name: Proofpoint Limited
org-name: Proofpoint, Inc.Il y a donc un transfert illégal de données personnelles, a minima l’adresse emails du porteur CB, l’empreinte de son terminal et de son logiciel de messagerie, et le contenu d’une correspondance privée, vers un État tiers non adéquat.
Une partie des adresses IP des serveurs emails semble être louée par la filiale européenne de Proofpoint (cf. ci-dessus). Cela ne signifie rien : le locataire d’adresses IP n’est pas forcément celui qui exploite les services qui reposent sur elles. À ce titre, il existe une unique infrastructure technique mondiale Proofpoint administrée depuis la Californie. En effet, l’adresse postale et le numéro de téléphone du service « exploitation du réseau » de Proofpoint, mentionnés dans ses déclarations dans la base de données du RIPE pour louer ses adresses IP (dont celles des serveurs qui ont émis les emails que j’ai reçu), en attestent :
$ whois 185.183.28.208
[…]
person: Proofpoint Operations
address: 925 W Maude Ave
address: CA 94085
address: Sunnyvale
address: UNITED STATES
phone: +1 408 517 4710
[…]$ whois 185.132.181.69
[…]
person: Steve Acheson
address: 925 W Maude Ave, Sunnyvale, CA, USA
phone: +14087633173
[…]La localisation effective des serveurs et des données à caractère personnel importe peu : étant la propriété (in fine) d’une entité états-unienne, et étant administrés par elle, le droit américain, dont le Cloud Act, est de pleine application. Or, il est en conflit avec le RGPD.
Ainsi, le transfert de données personnelles sus-énuméré est illégal au sens des articles 44 et suivants du RGPD (cf. Schrems II, votre mise en demeure du 10 février 2022 portant sur Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur Google Analytics, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement).
La politique de confidentialité du GIE CB (https://www.cartes-bancaires.com/protegezvosdonnees/porteurs/) affirme « nous ne transférons jamais vos Données Personnelles hors de l’Union européenne » et « Nous veillons contractuellement à ce que ces prestataires respectent des mesures de sécurité appropriées et ne procèdent à aucun transfert de vos Données Personnelles hors de l’Union européenne ». Cela est contradictoire avec mes observations et signifie que le GIE CB met en œuvre aucune mesure complémentaire dans le cadre des transferts de données à caractère personnel hors de l’UE sus-décrits, ou, a minima qu’il ne les expose pas (ce qui n’est pas conforme à ses obligations).
À la date de mon échange avec le DPO du GIE CB, la Commission européenne n’avait pas adopté le Data Privacy Framework.
Je sollicite l’intervention de la CNIL afin qu’elle mette un terme au manquement au RGPD détaillé dans la présente, et qu’elle sanctionne le GIE CB.Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne semaine.