Après une première plainte concernant l'impossibilité de s'inscrire à Pôle emploi sans accepter le téléchargement de scripts hébergés sur les serveurs informatiques d'une société commerciale états-unienne (ce qui contrevient au RGPD), une deuxième concernant les liens et image traçants contenus dans les emails envoyés par Pôle emploi (nouveau courrier, présentation d'une formation, échange avec un conseiller, etc.).
Liens traçants = identifiant unique + rebond via un intermédiaire avant d'atteindre la destination, afin d'enregistrer le clic sur tel lien. Image traçante = 1 x 1 pixel, transparente (ou blanche dans le cas présent), avec un identifiant unique dans son nom, afin de détecter l'ouverture de l'email.
Aucune nécessité. Aucune collecte du consentement. Infraction RGPD.
Du coup, hop, plainte à la CNIL.
Le raisonnement juridique reste identique à mes autres plaintes sur le même sujet.
Ma plainte CNIL :
Bonjour,
Lors d’un échange par emails entre un demandeur d’emploi et un conseiller Pôle emploi selon le seul procédé mis en place par Pôle emploi, les réponses dudit conseiller contiennent des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) ainsi que des images de traçage. Cf. PJ 1 (le rendu de l’email est rustique, car je désactive l’affichage HTML de tous mes emails).
L’image traçante est téléchargée auprès de la société commerciale SFR, qui agit ici en tant que prestataire de Pôle emploi pour l’envoi desdits emails (cf. les entêtes « Received » de l’email dans la PJ 1).Ce téléchargement se fait via un nom de domaine Internet dédié (cf. ci-dessous), pas depuis ceux bien connus loués par Pôle emploi. Par contraste, les images qui participent au contenu (logo de l’entête, image dans le pied de page) sont téléchargées depuis le site web de Pôle emploi.
De plus, il s’agit d’une image blanche de dimensions 1 pixel sur 1 pixel, dit autrement, d’un point blanc sans valeur éditoriale / rédactionnelle. Voir PJ 2.
Ces différents critères sont ceux d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du demandeur d’emploi.
La destination des liens traçants contenus dans l’email est l’accueil du site web de Pôle emploi d’une part, et un lien « mailto : » permettant de répondre à son conseiller d’autre part.Ces liens pointent d’abord sur les serveurs web du prestataire SFR qui redirigent vers les destinations finales. Voir PJ 3. Rien empêche techniquement Pôle emploi (et son prestataire) d’utiliser des liens directs (qui pointent vers la destination sans rebond préalable via les serveurs de SFR). D’ailleurs, un lien « mailto : » direct est inséré à la fin de l’email (mais il n’apporte pas les mêmes fonctionnalités que le lien traçant, car il n’auto-complète pas le sujet de l’email avec le numéro de l’échange).
Constats supplémentaires concernant ces liens traçants :
- Présence d’un identifiant unique dans l’URL : les 44 premiers caractères sont identiques entre tous les liens de l’email et doivent, à ce titre, servir à identifier de manière unique ledit email parmi tous les emails envoyés. Le reste des caractères sert à identifier un lien précis dans l’email et à coder la véritable destination du lien (vers laquelle il convient de rediriger après traçage) ;
- Le nom de domaine Internet dédié (« dmcv2.poleemploi.sfr-sh.fr »), commun avec l’image traçante, est loué par SFR, et les serveurs web vers lesquels il pointe, et qui effectuent le traçage et la redirection, sont ceux de SFR.
$ whois sfr-sh.fr | grep -i -A1 organization
type: ORGANIZATION
contact: SOCIETE FRANCAISE DU RADIOTELEPHONE – SFR$ dig +short dmcv2.poleemploi.sfr-sh.fr
87.255.147.20$ whois 87.255.147.20 | grep -i netname
netname: SFR-HOSTING
La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final).De plus, je n’ai pas cliqué sur les liens (sauf pour rédiger la présente) et mon logiciel de messagerie n’a pas téléchargé l’image traçante puisque je désactive l’affichage HTML de tous mes emails. Pôle emploi a donc collecté aucune donnée de traçage me concernant, et cela a eu aucune incidence sur mes échanges avec les conseillers de Pôle emploi ni sur le traitement de mes demandes que ces échanges véhiculaient. Ces liens traçants et cette image traçante constituent donc des traitements de données personnelles superflus en infraction avec le principe de minimisation du RGPD.
Enfin, les échanges par email avec un conseiller étant un service facultatif, complémentaire et incident à une inscription à Pôle emploi, celui-ci ne peut se prévaloir d’une quelconque obligation légale pour procéder à ce traçage.
Le demandeur d’emploi, destinataire de ces emails, n'est pas informé de l’aspect traçant des liens et de l’image qu’ils contiennent et son consentement n'est pas récolté.
Il découle des deux points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).
Je vais signaler, au DPO de Pôle emploi, ces manquements au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.
Complément de plainte déposé le même jour :
Re bonjour,
Les emails dont le sujet est « Vous avez reçu un courrier […] » envoyés régulièrement par Pôle emploi contiennent eux aussi des liens de traçage et une image de traçage. Voir PJ 1.
Il en va de même pour les emails de présentation d'une formation. Voir PJ 2 pour les liens. Le code source HTML de l'email étant encodé en base 64, il faut le décoder pour constater la présence de l'image de traçage. C'est l'objet de la PJ 3.
Bonne journée.
ÉDIT DU 20/07/2023 :
Complément de réclamation envoyé le 16/04/2023 :
Bonjour,
Durant mon échange avec le DPO de Pôle emploi concernant la non-conformité du service Sphère emploi (cf. ma réclamation CNIL numéro <CENSURE>), celui-ci m'a informé que, suite à mon signalement, les emails émis par Sphère emploi ne contiennent plus ni images de traçage ni lien de traçage : « Enfin, les différents systèmes de traçages que vous avait relevé sont désactivés : les e-mails ne contiennent plus d’images tracées ni d’URL tracées. Ils ne contiennent plus de pixel de traçage de l’ouverture […] ». Cf. PJ 1.
Ce faisant, le DPO de Pôle emploi reconnaît que les différents dispositifs de traçage des emails de Sphère emploi n'étaient pas conformes au RGPD.
Pourtant, à date, les emails envoyés régulièrement aux demandeurs d'emploi hors Sphère emploi (« Vous avez reçu un courrier […] dans votre espace pole-emploi.fr », présentation d'une formation, lettre d'information, réponse d'un conseiller, etc.), qui sont l'objet de la présente réclamation CNIL, contiennent toujours les dispositifs de traçage énumérés dans ma demande initiale et dans mon complément.
Je l’ai signalé au DPO de Pôle emploi le 20/03/2023. Cf. haut de la page 2 de PJ 2. Sa réponse type polie du 14/04/2023 reste muette sur ce point. Cf. PJ 3.
En conséquence, je sollicite toujours l’intervention de la CNIL dans ce dossier.
Bonne journée.
FIN DE L'ÉDIT DU 20/07/2023.