J'ai acheté des produits à la FNAC puis j'ai eu recours à son SAV (là encore, un réparateur local ne pouvait rien faire car l'équipementier ne vend pas la pièce détachée).
Des emails transactionnels contiennent des liens et des images de traçage (détecter l'ouverture ou un clic sur un lien). L'essentiel est diffusé via le CDN de la société commerciale états-unienne Akamai Technologies.
Mêmes les images rédactionnelles (qui participent au contenu) sont diffusées via Akamai Technologies ou Amazon ou Google. Les emails contiennent également des polices de caractères Google Fonts.
Le site web de la FNAC est diffusé via le CDN d’Akamai Technologies et il incorpore plusieurs scripts JavaScript de sociétés commerciales états-uniennes et/ou qui sont hébergés par de telles sociétés : assets.adobedtm.com et s.go-mpulse.net = Akamai, cdn.cookielaw.org et cdn.kaminoretail.io = Cloudflare, halc.iadvize.com, cdn.caast.tv et datadome.co = Amazon Cloudfront, via.batch.com = HAProxy Technologies, Inc. Liste non exhaustive, il y en a plusieurs dizaines.
Tout cela n'est pas conforme au RGPD. Pour les liens et images de traçage, lire ici. Pour les CDN, les scripts et les hébergeurs ricains, voir là.
Ces manquements au RGPD perdurent depuis juillet 2021 a minima.
Du coup, hop, réclamation déposée auprès de la CNIL il y a plusieurs mois.
Bonjour,
Le 15/03/2023, j’ai commandé un produit à la FNAC (en présentiel). En janvier 2023, j’ai initié une démarche de SAV. En 2021, j’ai acheté un produit (en ligne).
Dans le cadre de chacune de ces démarches, la FNAC m’a envoyé des emails sur le déroulé / suivi de ma commande / SAV. Ces emails sont regroupés dans la PJ 1.
Des emails (« Vous avez demandé l'annulation d'un article », « Message important - Votre commande N° […] – N° logistique […] », « Confirmation d'inscription Fnac.com ») contiennent une image de traçage (1 pixel * 1 pixel, transparente, dont le nom comporte un identifiant unique, cf. votre terminologie https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Elles permettent de détecter et de consigner l’ouverture d’un email. Elles sont diffusées via le nom de domaine « fr.r.emails.fnac.com ».Ces images sont diffusées via le CDN de la société commerciale états-unienne Akamai Technologies. Cela signifie qu’à l’ouverture de l’email par le client FNAC, ces images seront téléchargées automatiquement. Il y aura donc un contact direct entre le logiciel de messagerie du client FNAC et les serveurs informatiques d’Akamai, ce qui générera un transfert illégal de données personnelles (adresse IP du client FNAC, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.
Des emails (« Vous avez demandé l'annulation d'un article », « Message important - Votre commande N° […] – N° logistique […] », « Confirmation d'inscription Fnac.com ») contiennent des liens de traçage constitués de deux identifiants uniques, l’un permettant d’identifier une campagne emails parmi toutes, l’autre un email précis dans une campagne. Ils servent à détecter un clic sur un lien avant redirection vers la destination finale (site web officiel FNAC, réseaux sociaux, etc.). Ces liens utilisent les noms de domaine « fr.r.emails.fnac.com » et, en 2021, « https ://eultech.fnac.com/dynclick/ » (de la société commerciale française Eulerian spécialisée dans le e-marketing et l’analyse de données, qui s’est distinguée en 2019 en vendant des traqueurs first-party à des journaux, comme Libération).Notons que les liens de la forme « fr.r.emails.fnac.com » pointent sur des serveurs informatiques d’Akamai. Cela signifie que le navigateur web du client FNAC qui cliquera dessus contactera ces serveurs avant d’être redirigé vers la destination finale prévue par la FNAC (son site web, ses réseaux sociaux, etc.). Il y aura donc un contact direct entre le navigateur web du client FNAC et les serveurs informatiques d’Akamai, ce qui générera un transfert de données personnelles (adresse IP du client FNAC, empreinte de son navigateur web, etc.) vers un État tiers non adéquat.
Ces images et liens de traçage ne sont pas conformes au RGPD selon le CEPD (section V de WP 118) et vous-même (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). La FNAC n’est pas soumise à une quelconque obligation légale, ni à une quelconque nécessité pour l’exécution du contrat, ni à une quelconque obligation technique de procéder à ce traçage. Le client FNAC n’est pas informé et ne consent pas à ces traitements.
Tous les emails contiennent des images rédactionnelles (des images qui participent au contenu de l’email) diffusées via le CDN d’Akamai (« www4-fr.fnac-static.com », « static.fnac-static.com », « fr.f.emails.fnac.com », « multimedia.fnac.com »). Dans certains emails (« Vous avez demandé l'annulation d'un article » et « Votre commande vous attend dans votre magasin Fnac […] »), des images supplémentaires sont téléchargées depuis les serveurs informatiques de la société commerciale états-unienne Google (« www.gstatic.com »). Des polices de caractères du service Fonts de la même société le sont également. Enfin, l’email « Votre commande Fnac.com du […] » contient des images téléchargées depuis les serveurs informatiques de la société commerciale états-unienne Amazon (« banners.wlservices.fr »). Toutes ces images seront téléchargées automatiquement à l’ouverture de l’email. Comme pour tous les téléchargements sus-décrits, il y a donc un contact direct entre le logiciel de messagerie du client FNAC et les serveurs informatiques d’Akamai, de Google, et d’Amazon, ce qui génère des transferts illégaux de données personnelles (adresse IP du client FNAC, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.
Le site web de la FNAC (texte, images, etc.) est lui-même diffusé via le CDN d’Akamai Technologies, y compris l’espace client et sa phase d’identification (« secure.fnac.com »). À l’instant même de sa consultation, il fait automatiquement télécharger plusieurs scripts JavaScript de sociétés commerciales états-uniennes et/ou qui sont hébergés par de telles sociétés : assets.adobedtm.com et s.go-mpulse.net = Akamai, cdn.cookielaw.org et cdn.kaminoretail.io = Cloudflare, halc.iadvize.com, cdn.caast.tv et datadome.co = Amazon Cloudfront, via.batch.com = HAProxy Technologies, Inc. Liste non exhaustive, il y en a plusieurs dizaines, je n’ai pas l’énergie de tout cartographier, surtout que ça peut changer souvent.
Tous les transferts de données personnelles sus-énumérés, web et emails, sont illégaux au sens des articles 44 et suivants du RGPD (Schrems II, votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics, décision 3_O_17493/20 de la Cour régionale de Munich portant sur l’utilisation de Google Fonts, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement). La politique de confidentialité de la FNAC (https://www.fnac.com/Help/donneesPersonnelles) se contente d’affirmer que « préalablement au transfert hors Union Européenne, FNAC DARTY prendra toutes les mesures et garanties nécessaires pour sécuriser de tels transferts. »… Bref, la FNAC met en œuvre aucune mesure complémentaire dans le cadre des transferts internationaux sus-décrits. Je rappelle que la localisation effective des serveurs informatiques et des données importe peu, la nationalité états-unienne des sociétés détentrices l’emporte pour l’application du Cloud Act.
Tout ce qui précède illustre une carence de la FNAC dans le choix, le pilotage et l'audit de ses sous-traitants en matière de données personnelles, ce qui constitue une entorse aux articles 24 et 28 du RGPD.
Toutes les infractions énumérées dans la présente perdurent depuis juillet 2021 a minima.
Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne la FNAC.Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.