Après OVH, qui envoie des emails contenant des liens et des images traçantes hébergés par Microsoft, Cloudflare et Amazon, vient le tour de Scaleway. Décidément, le cloud souverain pouet pouet, ce n'est pas encore ça. :(
En 2019, j'ai testé Scaleway. Pour terminer la création du compte client, il faut valider un numéro de téléphone qui sera utilisé pour une authentification à deux facteurs (2FA). J'évite au maximum l'usage d'un téléphone et je suis contre la 2FA (je préconise l'utilisation d'un gestionnaire de mots de passe très longs et aléatoires). Donc j'abandonne ma commande. Donc je n'entre pas en relation commerciale avec Scaleway.
En 2020, 2021 et 2022, Scaleway m'a envoyé des emails typiques d'une relation commerciale… qui n'existe pas. Impossible de me connecter à mon espace client pour clôturer mon compte malgré une réinitialisation du mot de passe. Je suis peut-être tombé dans un cas technique particulier, en tout cas, il n'est pas prévu par la politique de confidentialité. À mes yeux, mes données personnelles n'auraient pas dû être conservées aussi longtemps (bientôt 4 ans).
Les emails sont émis via le prestataire états-unien d'e-mailing SendGrid / Twilio, ce qui n'est pas conforme au RGPD… Scaleway, qui se positionne sur le créneau du cloud souverain et qui fait la pub de sa contribution à cette dynamique est donc incapable de construire une infrastructure emails ?!
Les emails contiennent des liens et une image traçants (contenant un identifiant unique pour détecter l'ouverture de l'email et un clic sur un lien), sans nécessité ni recueil du consentement, autre manquement au RGPD…
Le jour du dépôt de ma plainte CNIL, j'ai contacté Scaleway (j'avais déjà contacté, en 2021, l'adresse du support client, émettrice des emails… sans succès). Quatre jours après, l'« équipe privacy » de Scaleway m'informait de la bonne exécution de ma demande d'effacement (c'est déjà ça), et qu'elle répondra à mes questions (base légale, durée de conservation, presta ricain, liens et image traçants, etc.) dans les délais prescrits par le RGPD. À suivre. Je constate à nouveau qu'il faut toujours suivre la procédure et écrire à l'adresse consignée dans la politique de confidentialité.
Nouveauté : c'est la première fois que j'étaye autant en quoi un contrat conclu avec un prestataire européen risque de relever du CLOUD Act, en utilisant une grille d'analyse pertinente.
Le RGPD impose d'exercer d'abord ses droits (ici d'effacement) auprès du délégué à la protection des données personnelles de l'entité. J'en profite pour lui signaler les infractions que je constate. Ces dernières peuvent être directement remontées à l'autorité de protection des données personnelles, d'où la parallélisation de ma demande au DPO et de ma plainte auprès de la CNIL.
Je l'ai envoyé aux adresses emails consignées dans la politique de confidentialité de Scaleway.
Sujet : Exercice droit à l'effacement et signalement infractions RGPD
Bonjour,
En janvier 2019, j'ai envisagé de devenir client Scaleway. Lors de ma commande, et donc de la création d’un compte client, je n'ai pas souhaité valider un numéro de téléphone (2FA) pourtant obligatoire. Ainsi, ma commande s'est arrêtée nette et je ne suis pas devenu client Scaleway.
En février 2019, j'ai reçu un email provenant de Scaleway dont le sujet était « News from Scaleway ». Son pied de page consignait « You received this email because you are a Scaleway customer. ». Non, je ne suis pas un client, donc je n'aurai pas dû le recevoir.
Nouvel email reçu en juillet 2020. Sujet de l'email : « We’re evolving our Instances prices. Here’s why. ». Aucune indication du motif de son envoi (même si je m’en doute).
En janvier 2021, j’ai reçu plusieurs emails « Your Credit Card is expiring ». Aucune indication du motif de leur envoi (même si je m’en doute). Agacé, je suis la procédure pour obtenir un nouveau mot de passe (je l'obtiens), puis je tente de me connecter à la console Scaleway sans y parvenir (messages d'erreur). Le 29/01/2021, je signale cet historique et ces messages d'erreur à support <à> scaleway.net, et je demande la clôture de mon compte "client" (même si je ne l'ai jamais été). Aucune réponse à ce jour.
Le 28/10/2022, nouvel email de Scaleway. Sujet : « Scaleway - Please reset your password ». Toujours aucune indication de la raison de son envoi (je ne suis toujours pas client, donc je me moque de la sécurité de mon compte client…).
Mes demandes :
1) Pouvez-vous m'informer de la finalité et de la base légale pour lesquelles j'ai reçu chacun des emails sus-référencés ?2) Votre politique de confidentialité (https://www.scaleway.com/fr/politique-confidentialite/) prévoit le cas du client Scaleway. La conservation des données personnelles est alors de 5 ans après la fin de la relation contractuelle ou du délai légal. Or, dans le cas d’un abandon de commande et de la création d'un compte client (qui n’est pas prévu par votre politique de confidentialité), cette durée est manifestement excessive. SW détient et traite encore mes données personnelles 3 ans et 10 mois après ma tentative de commande, ça n’a pas d’intérêt ni de sens. D’autant qu’il existe un risque de jamais être supprimé puisque la relation contractuelle prendra jamais fin puisqu’aucun élément est susceptible de la déclencher…
Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre concernant cette durée de conservation dans le cas particulier qui est le mien ?
3) Votre email du 28/10/2022 est émis par un serveur emails de la société commerciale états-unienne Twilio (SendGrid). Il y a donc eu un transfert de données personnelles (adresse emails du "client" Scaleway, etc.) depuis Scaleway vers une entité de droit états-unien, ce qui n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de Twilio/SendGrid.
J'ai lu les mentions légales de Twilio qui exposent qu'après le 03/08/2021, le contrat entre une entité domiciliée dans l'UE et Twilio est conclu avec la filiale irlandaise de Twilio, mais cela change rien.
En effet, cette filiale a pour unique actionnaire Twilio Inc., une société immatriculée dans le Delaware qui dispose de plusieurs bureaux aux États-Unis (Californie, Géorgie, Colorado, etc., cf. https://www.twilio.com/fr/company/jobs) dans lesquels des décisions stratégiques sont prises (ingénierie, direction des ventes, conformité, analyse des risques, lutte contre la fraude, etc. cf., là encore, https://www.twilio.com/fr/company/jobs).
De plus, il existe une unique infrastructure technique mondiale Twilio administrée depuis la Californie. D’une part, ses emplois en informatique sont à pourvoir aux États-Unis, cf. https://www.twilio.com/fr/company/jobs. D’autre part, l’adresse postale et le numéro de téléphone du service « exploitation du réseau » de Twilio, mentionnés dans sa déclaration dans la base de données de l’ARIN pour louer ses adresses IP (dont celle du serveur qui a émis l’email que j’ai reçu le 28/10/2022), sont ceux de ses bureaux états-uniens, cf. « whois 168.245.78.119 ».
Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?
4) Votre email du 28/10/2022 contient au moins une image de traçage (d'après la terminologie de la CNIL, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) et tous les liens qu'il contient sont des liens de traçage, y compris ceux envoyant vers Facebook ou scaleway.com. Nom de domaine dédié (« lsg.scaleway.net »), motif « click » / « open » dans l'URL de chaque lien, identifiant unique à chaque lien afin de détecter un clic dessus + identifiant commun à tous les liens afin d'identifier la campagne / l'email parmi tous ceux émis, et image 1 x 1 pixel transparente. Vous êtes soumis à aucune obligation légale nécessitant de traquer vos "clients". Absence de nécessité pour l'exécution d'un contrat d'un tel traçage. Aucune information au "client" ni recueil de son consentement. Il s'agit donc d'un manquement au RGPD selon le CEPD (document WP 118, section V) et la CNIL (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Vos emails de 2020 et 2021 contiennent également une image et des liens traçants, donc votre manquement au RGPD dure depuis au moins 2 ans et demi.
Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?
5) Pouvez-vous clôturer mon compte "client" et effacer l'ensemble de mes données personnelles ?
6) Merci de revenir vers moi pour me confirmer la fermeture effective de mon compte client et de l'effacement effectif de toutes mes données personnelles.
Bonne journée.
Bonjour,
Suite à l'abandon d'une commande et d'une création d'un compte client en janvier 2019, l'hébergeur informatique Scaleway m'a envoyé, en 2020, en 2021, et en octobre 2022, des emails non sollicités typiques de ceux émis durant une relation commerciale contractualisée (ce qui n'est pas le cas). Il ne s'agit pas de démarchage.
Le 29/01/2021, j'ai contacté le service client de Scaleway pour clôturer mon prétendu compte client. Aucune réponse.
Infractions de Scaleway :
- Traitement de données personnelles justifié par une base légale irrecevable (relation contractuelle alors que j'ai jamais été client) ;
- Durée de conservation des données personnelles, 3 ans et 10 mois, excessive (compte-tenu que j'ai jamais été client) ;
- Recours au prestataire d'e-mailing SendGrid / Twilio donc transfert de données personnelles (adresse emails du client, etc.) vers les États-Unis ;
- Utilisation, dans ses emails, de liens et d'image de traçage sans nécessité ni recueil du consentement ;
- Absence de réponse en 1 an et 10 mois, donc impossibilité d’exercer concrètement mon droit d’effacement.
Je sollicite l'intervention de la CNIL pour appuyer ma demande d'effacement de mes données personnelles et pour sanctionner les infractions de Scaleway.
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Bonne journée.
Bonjour,
En janvier 2019, j’ai envisagé de devenir client de la société commerciale Scaleway (« SW » ci-après). Durant ma commande et la création d’un compte client, je n’ai pas souhaité valider un numéro de téléphone (2FA) alors que c’était obligatoire. Ainsi, ma commande s’est arrêtée nette et je ne suis pas devenu client de SW.
En février 2019, j’ai reçu un email de SW dont le sujet était « News from Scaleway ». Son pied de page consignait « You received this email because you are a Scaleway customer. ». Non, je ne suis pas client, donc je n’aurai pas dû le recevoir.
Nouvel email reçu en juillet 2020. Sujet : « We’re evolving our Instances prices. Here’s why. ». Aucune indication du motif de son envoi (même si l’on s’en doute). Cf. pages 1 et 2 de PJ 1 (l’affichage est rustique, car je désactive la prise en charge du code HTML dans mon logiciel de messagerie).
En janvier 2021, j’ai reçu plusieurs emails « Your Credit Card is expiring ». Cf. page 1 de PJ 2. Aucune indication du motif de leur envoi (même si l’on s’en doute). Agacé, j’ai suivi la procédure pour obtenir un nouveau mot de passe (je l’ai obtenu), puis j’ai tenté de me connecter à mon espace client SW dans l’intention de le clôturer, mais je n’y suis pas parvenu (messages d’erreurs techniques).
Le 29/01/2021, j’ai signalé ce dysfonctionnement au service d’assistance aux clients de SW (c’est-à-dire au service client) et j’ai demandé la clôture de mon compte « client » (même si je ne l’ai jamais été), cf. PJ 3.
J’ai reçu aucune réponse. Première infraction au RGPD : absence de réponse, donc impossibilité d’exercer concrètement son droit à l’effacement.
Le 28/10/2022, nouvel email de SW. Sujet : « Scaleway - Please reset your password ». Toujours aucune indication de la raison de son envoi. Cf. PJ 4.
La teneur des emails illustrent qu’ils sont envoyés dans le cadre d’une relation contractuelle entre un fournisseur de services et son client. N’étant pas devenu son client (abandon de la création de mon compte client et de ma commande, impossibilité de me connecter à mon espace client même en réinitialisant mon mot de passe, etc.), SW traite mes données personnelles pour une (ou plusieurs) finalité et base légale irrecevables. Première infraction au RGPD.
La politique de confidentialité de SW (https://www.scaleway.com/fr/politique-confidentialite/) prévoit le cas de la relation contractuelle. La durée de conservation des données personnelles est alors de cinq ans après la fin de ladite relation ou du délai légal. Or, dans le cas d’un abandon de commande ou de création d’un compte client (qui n’est pas prévu par la politique de confidentialité), cette durée de conservation est manifestement excessive. SW détient et traite encore mes données personnelles 3 ans et 10 mois après ma tentative de commande. D’autant qu’il existe un risque de jamais être supprimé de la base de données de SW puisque la relation contractuelle prendra jamais fin puisqu’aucun élément est susceptible de la déclencher (et que le délai légal est très rarement implémenté). Deuxième infraction au RGPD.
L’email de SW du 28/10/2022 est émis par un serveur emails de la société commerciale états-unienne Twilio (SendGrid), cf. son entête « Received » dans la page 2 de PJ 4. Il y a donc eu un transfert de données personnelles (adresse emails du « client » SW, etc.) à une entité de droit états-unien, ce qui n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de Twilio. Troisième infraction au RGPD et abus de confiance caractérisé puisque SW se positionne sur le créneau de la souveraineté numérique de la France et communique à fond et en permanence sur le sujet et sur sa contribution.J'ai lu les mentions légales de Twilio (https://www.twilio.com/legal/tos) qui exposent qu'après le 03/08/2021, le contrat entre une entité domiciliée dans l'UE et Twilio est conclu avec la filiale irlandaise de Twilio, mais cela change rien.
En effet, cette filiale a pour unique actionnaire Twilio Inc., une société immatriculée dans le Delaware qui dispose de plusieurs bureaux aux États-Unis (Californie, Géorgie, Colorado, etc., cf. https://www.twilio.com/fr/company/jobs) dans lesquels des décisions stratégiques sont prises (ingénierie, direction des ventes, conformité, analyse des risques, lutte contre la fraude, etc. cf., là encore, https://www.twilio.com/fr/company/jobs).
De plus, il existe une unique infrastructure technique mondiale Twilio administrée depuis la Californie. D’une part, les emplois en informatique sont à pourvoir aux États-Unis, cf. https://www.twilio.com/fr/company/jobs. D’autre part, l’adresse postale et le numéro de téléphone du service « exploitation du réseau » de Twilio, mentionnés dans sa déclaration dans la base de données de l’ARIN pour louer ses adresses IP (dont celle du serveur qui a émis l’email que j’ai reçu le 28/10/2022), sont ceux de ses bureaux états-uniens. Cf. :
$ whois 168.245.78.119 | grep -A2 -E '(Address:|(: (TSNO-ARIN|ABUSE3074-ARIN)))'
Address: Twilio, Inc.
Address: 1801 California Street
Address: Suite 500
City: Denver
StateProv: CO
--
OrgAbuseHandle: ABUSE3074-ARIN
OrgAbuseName: Abuse Desk
OrgAbusePhone: +1-888-985-7363
--
OrgTechHandle: TSNO-ARIN
OrgTechName: Twilio SendGrid Network Operations
OrgTechPhone: +1-888-985-7363Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, de ces faits, Twilio Ireland est soumise au Cloud Act, tout comme la relation entre SW et Twilio.
L’email de SW du 28/10/2022 contient une image de traçage (à sa toute fin), d’après votre terminologie (cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). De même, tous les liens qu’il contient sont des liens de traçage, y compris ceux renvoyant vers le site web officiel de SW et vers Facebook. Cf. pages 2 et suivantes de PJ 4.L’image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du « client » SW. Il s’agit d’une image transparente (gif) de dimensions 1 pixel sur 1 pixel, dit autrement, d’une image invisible.
Dans son URL, constatons le motif (« open ») qui reflète son utilisation, détecter et consigner l’ouverture de l’email qui la contient.
Elle est téléchargée via un nom de domaine Internet dédié (« lsg.scaleway.net »). Par contraste, les images qui participent au contenu (logo de l’entête, logo dans le pied de page) sont téléchargées directement depuis les serveurs informatiques de SW (« global-assets.s3.fr-par.scw.cloud »).
Les liens pointent d’abord sur des serveurs web dédiés de SW (nom de domaine « lsg.scaleway.net ») qui redirigent vers les destinations finales.
Dans l’URL de chaque lien, constatons le motif « click » qui reflète leur usage, détecter et consigner un clic.
Dans l’URL de chaque lien, constatons un identifiant unique commun à tous les liens qui doit servir à identifier de manière unique l’email parmi tous ceux émis, et un identifiant unique à chaque lien qui sert à identifier un lien dans l’email et à coder la véritable destination du lien (vers laquelle il convient de rediriger après traçage).
SW ne peut se prévaloir d’une quelconque obligation légale à traquer ses « clients ». La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final).
Le « client » SW, destinataire de cet email, n'est pas informé de l’aspect traçant des liens et de l’image qu’il contient et son consentement n'est pas récolté.
Il découle des deux derniers points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Quatrième infraction au RGPD.
Les emails de SW de 2020 et 2021 contiennent également une image et des liens de traçage. Cette infraction dure donc depuis au moins deux ans et demi. Cf. pages 3 et suivantes de PJ 1 et pages 6 et suivantes de PJ 2.
La présente plainte a pour objectif de signaler les manquements au RGPD sus-référencés de Scaleway à l’autorité de contrôle que vous êtes dans un objectif de sanction à l’encontre de SW et de documentation des nombreuses infractions au RGPD qui ont cours afin de guider votre action. Je sollicite une action de la CNIL sur l’ensemble des infractions sus-énumérées (que le quidam ne peut ni contrôler ni imposer).De plus, je sollicite la CNIL afin d’appuyer l’exercice de mon droit à l’effacement de mes données personnelles. Pour rappel, j’ai sollicité Scaleway à ce sujet le 29/01/2021 sans réponse à ce jour (hormis un nouvel email non sollicité).
J’estime avoir exercé mon droit à l’effacement et les autres faits relatés dans la présente constituent des violations du Règlement qui peuvent faire l’objet d’une plainte auprès d’une APD sans un exercice préalable des droits auprès du responsable du traitement (arrêt TS 1039/2022 du Tribunal Supremo espagnol).
Bonne journée.
Monsieur,
Conformément à votre demande, nous vous informons que votre compte client et les données personnelles s'y rattachant ont bien été supprimées dans le respect des contraintes légales et règlementaires actuellement en vigueur.
L'équipe Privacy de Scaleway s'efforce de répondre aux autres points soulevés dans votre mail dans les délais prescrits par le RGPD.
Cordialement,
L'équipe Privacy de Scaleway
Scaleway a dépassé le délai légal pour me répondre (un mois), notamment à ma question numéro 1, sans m'informer de sa volonté de prolonger ce délai comme le permet le RGPD (article 12)…
Bonjour,
Je vous remercie pour la suppression de mon compte "client".
Un mois plus tard, je n'ai pas encore reçu votre réponse aux autres points soulevés dans ma demande initiale. À quelle date estimez-vous me répondre ?
Bonne journée.
ÉDIT DU 29/12/2022 : ajout de mes échanges avec Scaleway. FIN DE L'ÉDIT.
ÉDIT DU 20/07/2023 :
Le 14/01/2023, suite à l'absence de réponse du DPO de Scaleway après deux mois, j'ai adressé à la CNIL ce complément de réclamation :
Bonjour,
Le 13/11/2022, j’ai contacté le DPO de Scaleway via les deux adresses emails consignées dans la politique de confidentialité de la société commerciale (https://web.archive.org/web/20221115201610/https://www.scaleway.com/fr/politique-confidentialite/). J’y demande une correction des infractions RGPD rapportées dans la présente réclamation CNIL et j’y demande, à nouveau, l’effacement de mes données personnelles. Cf. PJ 1.
Le 18/11/2022, il m’informe que mes données ont été supprimées et qu’il « s'efforce de répondre aux autres points soulevés dans votre mail dans les délais prescrits par le RGPD. ». Cf. PJ 2.
Mes « autres points » comportent au moins une demande d’information (finalité et base légale d’un traitement), car la politique de confidentialité ne la consigne pas. Cette demande aurait dû être traitée dans un court délai, compte-tenu que les informations demandées devraient être préparées (voire communiquées) en amont et donc disponibles à tout moment, cf. article 12.1 du RGPD. Le délai de traitement d’un mois prévu par l’article 12.3 du RGPD semble raisonnable et proportionné.
N’ayant pas reçu un quelconque complément de réponse ou une quelconque information du prolongement du délai de traitement de ma demande, j’ai relancé Scaleway le 18/12/2022 afin qu’elle m’informe d’une estimation du temps de traitement restant. Cf. PJ 3.
À ce jour, c’est-à-dire deux mois après ma demande initiale adressée aux adresses emails consignée dans la politique de confidentialité, je n’ai toujours pas reçu de réponse de Scaleway.
En conséquence, le premier complément vise à amender ma réclamation CNIL de la façon suivante :
- Je ne demande plus à la CNIL d’appuyer ma demande d’effacement (celle-ci ayant été satisfaite le 18/11/2022) ;
- Je maintiens ma demande à la CNIL de sanctionner Scaleway pour ses infractions au RGPD relatées dans ma réclamation ;
- Je demande à la CNIL de constater que, même en contactant le service dédié mentionné dans sa politique de confidentialité, Scaleway ne traite pas, sous deux mois (et deux ans après ma première demande adressée au service clients) et après relance, une demande d’information sur un traitement ainsi qu’un signalement d’infractions au RGPD, alors qu’elle m’a annoncé s’efforcer d’y procéder dans les délais prescrits.
Bonne journée.
FIN DE L'ÉDIT DU 20/07/2023.