Il y a "quelques" mois, Aeris lançait un appel à témoigner des actions de la CNIL. Vu que j'ai déjà publié la majorité de mes plaintes et leur suivi (liens dans l'inventaire ci-dessous), je me dis que ce n'est pas une mauvaise idée de publier cela. Alors voici.
Résumé
Total
- 61 réclamations visant 46 responsables de traitement dont :
- 60 plaintes dont 4 mal rédigées ;
- 1 signalement d'une fuite de données.
État
Répartition temporelle
- 2017 : 2 réclamations dont 1 plainte toujours ouverte ;
- 2019 : 3 plaintes dont 1 clôturée et 2 qui n'ont pas passé le greffe (sans qu'un quelconque retour me parvienne) ;
- 2020 : 1 plainte toujours en cours ;
- 2021 : 1 plainte clôturée (mais les infractions perdurent) ;
- 2022 : 41 plaintes dont 36 en septembre-octobre-novembre ; 5 clôturées (une le gros du boulot est fait ; une à ma demande ; pour deux autre l'infraction perdure ; la dernière a été jugée irrecevable après transmission au service des plaintes) ;
- 2023 : 13 plaintes ; toutes en cours de traitement (sauf une qui n'a pas encore passée le greffe).
Répartition par thématique
Une même plainte, un même fait, peut appartenir à plusieurs thématiques.
- Transfert illégal de données persos hors de l'UE (CDN, prestataire d'e-mailing, ressources web téléchargées depuis des entités états-uniennes, etc.) ; raisonnement juridique général : 40 ;
- Liens et/ou images de traçage dans un email ; raisonnement juridique général : 15 ;
- Emails non sollicités (commerciaux ou non) : 11 ;
- Base légale irrecevable (très souvent pour des emails non sollicités) : 10 ;
- Difficulté pour faire aboutir une demande d'opposition / d'effacement (très souvent suite à un email non sollicité) : 9 ;
- Durée de conservation excessive / bien supérieure à celle consignée dans la politique de confidentialité : 8 ;
- Absence de transparence / d'information dans la politique de confidentialité (et autres docs) et droit d'accès incomplet (pas toutes les infos) : 17 ;
- Absence de réponse à un exercice de droit dans le délai légal : 5 (dont une absence totale de réponse, même quasi un an après intervention de la CNIL) ;
- Divulgation de données persos / absence de sécurité effective : 1.
Attention : cette classification est approximative (dans mon référentiel de mes plaintes, je n'ai pas forcément fait remonter les griefs mineurs, qui, de fait, n'apparaissent pas dans ce shaarli et donc dans les comptes) et arbitraire (certains faits sont difficiles à classer, notamment si l'exercice de mon droit d'accès ne m'a pas permis de prendre connaissance de la finalité / base légale d'un traitement). Mais, ça correspond plutôt bien à mon ressenti.
Certains chiffres qui semblent être en décalage avec ceux d'autres militants (comme Aeris) s'expliquent :
- Si j'ai peu d'absence de réponse dans le délai légal, c'est que j'ai souvent signalé à la CNIL des infractions au RGPD (ce qui ne nécessite pas un exercice préalable des droits) ;
- Si le démarchage inopportun est aussi insignifiant, c'est que je suis un ermite numérique qui ne reçoit pas grand-chose et qui supprime ses alias emails rapido après usage (bloquant, de fait, tout contact futur et donc démarchage) ;
- Si j'ai aussi peu de droit d'accès incomplet, c'est que je l'ai peu exercé (là où Aeris est un champion hors pair, afin de remonter les revendeurs de données persos), car, encore une fois, le spam et la revente des données me concernent très très peu, car je ne le vois pas, cf. point précédent ;
- Si je ne mentionne pas de bandeau cookies défectueux ou trompeur, c'est que je m'y intéresse trop peu, donc il s'agit de points secondaires de mes plaintes, qui ne sont pas remontés dans ma synthèse et donc ici.
Détail
Tu y trouveras une synthèse des plaintes antérieures à 2022 que je n'ai pas publié, accompagnée d'un recul critique (certaines plaintes sont mal voire très mal rédigées, permettant à la CNIL de rester inactive).
Le tri est effectué par ordre croissant de la date de dépôt de plainte à la CNIL. J'ai décidé de regrouper par responsable du traitement (RT), car grouper par date n'a pas d'intérêt et grouper par thématique génère la duplication de certaines plaintes (car certaines concernent plusieurs thématiques).
La Poste
-
Contexte & griefs : au guichet, je remplis et signe un formulaire de ré-expidition du courrier en cochant bien la case "ne pas recevoir de spam postal". Le guichetier l'utilise pour remplir un formulaire numérique, qu'il ne me demande pas de signer. Donc, sur le moment, je ne remarque pas qu'il n'a pas coché ladite case. En déménageant, je me fais spammer à mort. Plus d'infos ;
- Droit d'accès incomplet : La Poste ne me file pas toutes les infos qu'elle a collectées sur moi (notamment le numéro de ma CNI, sa date de délivrance, etc. qui apparaissent sur le formulaire de ré-expédition) ni à qui elle a revendu mon adresse postale (c'est pourtant une obligation légale) ;
- Le RT doit apporter la preuve du consentement. Le DPO LP me répond « vous ne vous êtes pas opposé à cette commercialisation en cochant la case dédiée ». Plusieurs juristes m'avaient informé que c'est un point indémerdable en droit, que la CNIL a jamais tranché (attention, ça date de 2017, depuis, le CEPD aurait posé des jalons, cf. point 5.1 de ces lignes directrices) ;
- Droit d'opposition ineffectif : je continuais à recevoir du spam (au-delà de la latence raisonnable, c'est-à-dire le temps de me sortir de la base, de transmettre mon opposition aux prestataires, si le prospectus a été envoyé à l'imprimeur ou déjà imprimé, etc.), et le DPO LP m'a répondu de lui signaler les envois litigieux au cas par cas, ce qui, comme le droit d'accès incomplet, me laissait penser que la traçabilité était défectueuse… ;
- Je ne l'ai pas souligné à la CNIL, mais, la prospection pour des produits / services pas similaires / d'une autre société commerciale auprès d'un particulier doit reposer sur le consentement explicite (opt-in), pas sur l'opposition (opt-out).
- Date de la plainte CNIL : avril 2017 ; Demande d'un suivi en mars 2018 (aucune réponse) et en novembre 2022 (demande de suivi transmise au service des plaintes) ;
- État de la plainte : transmise au service des plaintes depuis avril 2017. Fin 2022, La Poste enfreint toujours le RGPD sur ces points-là :( ;
- Commentaire : je reconnais que cette plainte est mal rédigée. J'explique le problème, et je demande à la CNIL son interprétation du droit. La bonne façon de faire : dire que ce sont des infractions selon toi et demander une sanction. La CNIL dira, par son action, si ton interprétation de la loi est correcte ou non. Mais douter et demander une interprétation, c'est mort, c'est le meilleur moyen que ta plainte n'avance pas.
- Contexte & griefs : son site web fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Notamment, le suivi d'un envoi est impossible sans accepter un outil de suivi du parcours client (qui, en sus, ne peut relever de l'intérêt légitime) téléchargé sur des serveurs ricains. Plus d'infos ;
- Date de la plainte : début septembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis début septembre 2022.
- Contexte & griefs : liens et images traçants dans ses emails « Votre Colissimo arrive ! » + images et redirection des liens hébergées chez Microsoft. Plus d'infos ;
- Date de la plainte : début octobre 2022 ;
- État de la plainte : transmise au service des plaintes depuis début octobre 2022.
Gaz Électricité de Grenoble
-
Contexte & griefs : suite à un appel au service clients de GEG, je reçois, par email, une enquête de satisfaction de la part d'un prestataire de GEG (Market Audit). Je clique sur le lien : aucun questionnaire, mais des données personnelles d'un autre client (nom, prénom, adresse postale, numéro de téléphone, objet du dernier appel à GEG, d'autres infos que je ne savais pas interpréter). F5. Des données persos concernant quelqu'un d'autre. Le service clients GEG me confirme que deux des trois identités que j'ai vu sont bien clientes de GEG et qu'ils font remonter. Avec les numéros de téléphone dispos dans l'annuaire et sur le web, je contacte le presta, et je finis par tomber sur un dirlo de la communication. 30 minutes plus tard, une autre employée (que j'avais sollicité) m'informe que le problème est corrigé ;
- J'informe la CNIL et l'invite à étudier les aspects inconnus : durée de la fuite de données ? Ampleur (tous les clients du prestataire ou juste ceux de GEG) ? Comment cela a-t-il pu se produire (absence d'isolation backend/frontend) ? Quelle correction définitive ? Etc.
- Date du signalement : mi-septembre 2017 ; Demande d'un suivi fin septembre 2017 (aucune réponse), en mars 2018 (transmise au service des contrôles, pas de réponse), et en novembre 2022 (« les signalements transmis au service des contrôles ne donnent pas lieu à un suivi de dossier », il était temps de me le dire !) ;
- État du signalement : transmis au service des contrôles depuis la mi-octobre 2017 (un mois après mon signalement).
Banque Populaire (l'une de ses instances régionales)
- Contexte & griefs : difficulté, pour obtenir la liste des données personnelles strictement nécessaires (loi, contrat, etc.) à notre relation commerciale. Tout est présenté comme étant obligatoire, mais quand j'insiste, ça l'est uniquement pour des services auxquels je n'ai pas souscrit, etc. ;
- Date de la plainte : novembre 2019 :
- État de la plainte : clôturée mi-décembre 2020 : « [ La CNIL n’a ] pas vocation à se prononcer, au cas par cas, sur le profil de la relation contractuelle établie avec votre banque, qui définie son degré d’exposition au risque et la nature des informations qu’elle est susceptible de recueillir auprès de vous pour se prémunir contre ce risque ». Prendre contact avec le médiateur de la banque. En revanche, une banque doit informer de la raison de la collecte d'une donnée perso, de ce qu'elle va en faire, et des conséquences d'un refus ;
- Commentaire : je reconnais que cette plainte est très mal rédigée. Je demande à la CNIL une liste de ce qu'une banque a l'obligation légale de collecter, l'interdiction légale de collecter, etc. et l'invite à en faire un guide sur son site web avant de lui relater mes échanges tortueux avec ma banque, sans lui demander quoi que ce soit (à part sous-entendre "regardez comment c'est compliqué de savoir"). Forcément… La bonne démarche aurait été d'être affirmatif : information incomplète = infraction, et, me renseigner sur les obligations légales d'une banque, puis demander à ma banque d'effacer telles infos précises, et en cas de refus, plainte CNIL pour droit d'effacement ineffectif.
- Contexte & griefs : je demande à ma banque de supprimer de mon dossier un numéro de téléphone fixe périmé. Il fut effacé. Puis, des mois après (au-delà d'un délai raisonnable, donc), il est ré-apparu dans mon espace client web. J'ai redemandé sa suppression. Il a été de nouveau effacé. Je n'ai plus confiance et demande à la CNIL de vérifier si la BP stocke des données personnelles périmées à mon sujet. Effacement difficile, en somme ;
- Date de la plainte : novembre 2019 ;
- État de la plainte : elle n'a pas franchi le greffe de la CNIL, mais aucune information (rejet, etc.) m'a été envoyée ;
- Commentaire : plainte très mal rédigée. Il fallait écrire "une donnée perso prétendument effacée réapparaît des mois après, infraction au RGPD, sanction". Pour l'absence de confiance, il fallait exercer mon droit d'accès, constater une absence de réponse ou une réponse incomplète (pas représentative de ce qu'une banque détient sur son client ‒ ne rigole pas, c'est comme ça qu'est arrivé l'arrêt CJUE Schrems I : absence de représentativité d'une réponse de Facebook à un droit d'accès ‒) ou contenant des infos périmées (et demander alors leur rectification / suppression), tout en déposant une plainte à la CNIL ("donnée périmée" ou "réponse incomplète" ou "absence de réponse").
- Contexte & griefs : un contrat « porteur CB » de la BP stipulait que le GIE CB élaborait des stats anonymes auxquelles on pouvait s'opposer, en ne disant pas que Visa faisait pareil (c'était Visa Advertising Solutions et un formulaire web d'opt-out était dispo). Si la notice RGPD de la BP mentionne bien des transferts vers GIE CB, Visa et Mastercard, elle ne dit pas quel jeu de données l'est, pour quelles finalités, et qu'il est possible d'opt-out un traitement de Visa. Une nouvelle version du contrat « porteur CB » ne mentionne plus les stats du GIE CB et renvoie vers la politique de confidentialité de ce dernier. Toujours aucun renvoi vers Visa (qui permettait un opt-out partiel, j'insiste). La Notice RGPD reste inchangée. Bref, j'y voyais un manque de transparence / d'information sur les transferts de données persos réalisés par la BP ;
- Date de la plainte : novembre 2019 ;
- État de la plainte : elle n'a pas franchi le greffe de la CNIL, mais aucune information (rejet, etc.) m'a été envoyée ;
- Commentaire : plainte mal rédigée. Je demande à la CNIL d'émettre un avis sur un contrat que je n'ai pas encore signé et d'intervenir pour faire stopper un manque de transparence… La bonne façon de faire : être affirmatif ("absence d'information sur les transferts et leur finalité = infraction RGPD"), et ne pas demander confusément un avis sur un contrat en cours de négociation (pas signé).
- Contexte & griefs : le nouvel espace client web fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plainte dispo ici ;
- Date de la plainte : début mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc ma demande de suivi a été transmise au service des plaintes ;
- État de ma plainte : transmise au service des plaintes début mai 2022 ;
- Commentaire : il s'agit de ma première plainte dans la thématique « Schrems II ».
- Contexte & griefs : le nouvel espace client web fait télécharger un outil de tests A/B et un autre de gestion de la performance, tous deux externalisés dans l'UE. Cela ne peut pas reposer sur l'intérêt légitime (le test de légitimité en trois étapes n'est pas passé), donc BP devrait recueillir un consentement au traitement. Plainte dispo ici ;
- Date de la plainte : début mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc ma demande de suivi a été transmise au service des plaintes ;
- État de ma plainte : transmise au service des plaintes début mai 2022.
- Contexte & griefs : refus de supprimer des données persos (situation familiale, statut d'occupation d'un logement et depuis quand, etc.) au motif qu'il s'agit d'infos nécessaires à l'évaluation du risque dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (cette évaluation est une obligation légale), ce dont je disconviens en m'appuyant sur les lignes directrices de l'ACPR. Plus d'infos ;
- Date de la plainte : mi-novembre 2022 ;
- État de la plainte : transmise au service des plaintes mi-novembre 2022. Réponse par email (pas par le téléservice) le 28/11/2022 sans clôture de la plainte (résumé : incompétence de la CNIL, renvoi vers l'ACPR), complément de réponse et clôture le 05/12/2022 suite à mon complément interrogatif du 02/12/2022.
ACESI
Silkhom
- Contexte & griefs : ce cabinet de recrutement me propose des offres d'emploi 4 ans après ma candidature sur l'une des offres dont il avait la charge. Quatre ans, c'est le double de la durée max de conservation annoncée dans la politique de confidentialité. Deux demandes d'effacement (car deux spams en un mois). Absence de réponse. Je raconte ça ici ;
- Date de la plainte : août 2021 ;
- État de la plainte : clôturée fin décembre 2021 : « La CNIL a appuyé votre demande […] » (message type). La CNIL ne se prononce donc pas sur la durée de conservation excessive. :(
Danitis
- Contexte & griefs : ce cabinet de recrutement me propose des offres d'emploi 7 ans après une candidature. Sept ans, c'est au-delà de la durée max de conservation annoncée dans la politique de confidentialité (5 ans), et c'est clairement excessif. Le lien « se désinscrire » d'un email précédent n'a pas produit l'effet escompté. Aucune réponse à ma demande d'effacement ;
- Date de la plainte : début janvier 2022 ;
- État de la plainte : clôturée début janvier 2022 : « La CNIL a appuyé votre demande […] » (message type).
La CNIL ne se prononce donc pas sur la durée de conservation excessive. :(
ÉDIT DU 19/07/2023 :
Suite à une demande de communication de documents, la CNIL m'a transmis, le 30/01/2023, la prose qu'elle a envoyée à Danitis le 4 janvier 2022 (j'ai caviardé mon identité et mon adresse postale). Contrairement à son échange avec Shilkhom (voir point précédent), elle y évoque bien la durée de conservation, se garde bien de la qualifier d'excessive, invite Danitis à consulter sa fiche pratique, et, si Danitis constate qu'elle ne respecte pas les règles qui y sont rappelées, elle doit se mettre en conformité.
Contrairement à ma réclamation visant Silkhom, cette fois-ci la CNIL a clôturé ma réclamation après avoir envoyé son courrier à Danitis.
Malgré l'appui de la CNIL, Danitis ne m'a jamais informé de la suite qu'elle a donnée, ne serait-ce que m'informer de la bonne suppression de mes données persos…
FIN DE L'ÉDIT DU 19/07/2023.
Une administration française (mon employeur, au moment du dépôt)
- Contexte & griefs : plusieurs dizaines de ses sites web font télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plus d'infos ;
- Date de la plainte : fin mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc transmission de ma demande de suivi au service des plaintes ;
- État de la plainte : transmise au service des plaintes depuis fin mai 2022.
Fisc
- Contexte & griefs : son espace personnel pour les particuliers fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes + recours à un CDN ricain sur certaines pages. Plus d'infos ;
- Date de la plainte : début septembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis début septembre 2022.
Cogent Communications
- Contexte & griefs : j'étais le contact technique / administratif pour deux associations. Puis, j'ai pris le large. Je le signale à Cogent. Elle continue de m'envoyer des emails en rapport avec la relation commerciale qu'elle continue légitimement d'avoir avec les assos (hausse de prix, maintenance programmée, etc.). Je lui signale. On me répond que je suis déjà effacé de la base, qu'on ne comprend pas d'où ça sort, qu'on envoie au service technique (avec preuve de l'échange en PJ). Aucun retour, et je reçois toujours des emails deux ans et demi après. Nouveau signalement, absence de réponse. Droit à l'effacement incomplet, car traçabilité des données incomplète. Plus d'infos ;
- Date de la plainte : début septembre 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe ;
- État de la plainte : transmise au service des plaintes et clôturée mi-novembre 2022 (suite à ma relance) : « La CNIL est intervenue à l’appui de votre demande […] Elle lui a rappelé ses obligations et lui a demandé d’effacer les données vous concernant de ses fichiers de prospection ». Il ne s'agit pas de prospection. La CNIL ne se penchera pas sur l'effacement incomplet réitéré (je ne lui avait pas demandé, ceci dit, mais bon… relou).
Vitaline
- Contexte & griefs : mélange entre newsletter et démarchage pour des produits similaires à ceux achetés. Sauf que j'ai jamais été informé et que le premier envoi a eu lieu 11 mois après mon dernier achat… + liens et images traçants dans les emails + utilisation d'un CDN ricain pour diffuser les images de l'email, rediriger les liens, et héberger son site web officiel. Plus d'infos ;
- Date de la plainte : début septembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis début septembre 2022.
Le Ravi
- Contexte & griefs : lors d'un appel au don, ré-utilisation d'une adresse emails utilisée deux ans plus tôt pour signer une pétition We Sign It lancée par le journal. Lors de la pétition, j'avais refusé la newsletter We Sign It, donc la seule finalité de collecte de mon adresse emails était la sécurité / fiabilité de la pétition. We Sign It est aussi responsable car elle permet l'exportation des adresses emails des signataires d'une pétition, y compris celles collectées uniquement pour la sécurité (et sans le mentionner dans sa politique de confidentialité). Absence d'info, détournement de finalité et durée de conservation excessive. Plus d'infos ;
- Date de la plainte : début septembre 2022 ;
- État de la plainte : clôturée à ma demande fin novembre 2022 suite à la liquidation judiciaire du Ravi.
OVH
- Contexte & griefs : liens et images traçants dans ses emails commerciaux + les images et la redirection des liens sont diffusées via un CDN ricain. Plus d'infos ;
- Date de la plainte : mi-septembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-septembre 2022 ;
- Commentaire : il s'agit de ma première plainte pour des liens et images traçants.
Caisse Nationale de l'Assurance Maladie
- Contexte & griefs : liens et images traçants dans ses emails. Plus d'infos ;
- Date de la plainte : mi-septembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.
Météo France
- Contexte & griefs : impossible de consulter les cartes de prévision (je ne parle pas de vigilance) sans télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plus d'infos ;
- Date de la plainte : mi-septembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.
Pôle emploi
- Contexte & griefs : impossible de s'inscrire au Pôpôle sans télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes + volonté contradictoire de présenter, dans le bandeau cookies, l'outil de mesure d'audience Xiti comme étant nécessaire (ce qui ne peut pas être le cas) et de le dissimuler (CNAME cloaking). Plus d'infos ;
- Date de la plainte : mi-septembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.
- Contexte & griefs : liens et images traçants dans ses emails (courrier disponible dans l'espace personnel web, échange avec un conseiller, etc.). Plus d'infos ;
- Date de la plainte : mi-octobre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-octobre 2022.
- Contexte & griefs : convocation à un atelier se déroulant en visio avec Microsoft Teams + communication, pour y accéder, d'un lien court de la société commerciale ricaine Bitly (aucun autre moyen). Deux transferts illégaux de données persos vers les États-Unis. Plus d'infos ;
- Date de la plainte : début novembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis début novembre 2022.
- Contexte & griefs : invitations récurrentes à rejoindre le réseau social de Pôpôle. Volumétrie excessive. Le seul moyen de s'opposer en autonomie nécessite de créer un compte sur le réseau social… duquel on refuse les invitations. Des informations légalement obligatoires manquantes. Le réseau social utilise des ressources web (scripts, images, police) téléchargées depuis des entités états-uniennes. Idem pour les images rédactionnelles des emails. Liens et image de traçage dans les emails. Plus d'infos ;
- Date de la plainte : fin décembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis fin décembre 2022.
Direction de l'Information Légale et Administrative (DILA)
- Contexte & griefs : recours à un CDN ricain pour plusieurs sites web officiels du gouvernement français (Légifrance, Journal-Officiel, Vie-Publique, etc.) et téléchargement de ressources web depuis des serveurs détenus par des entités ricaines. Plus d'infos ;
- Date de la plainte : mi-septembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.
Decitre
- Contexte & griefs : liens et images traçants dans ses emails de suivi d'une commande + images et redirection des liens via Amazon + prestataire d'e-mailing ricain. Donc transferts illégaux de données persos vers les États-Unis. Plus d'infos ;
- Date de la plainte : mi-octobre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-octobre 2022.
CNIL
- Contexte & griefs : pour proposer des vidéos sur son site web, la CNIL a recours à un prestataire français qui s'héberge chez des entités états-uniennes, y compris le suivi des interactions avec une vidéo (lecture, pause, reprise, déplacement, à tels moments de telle vidéo, etc.). Carences dans le pilotage de la sous-traitance. Plus d'infos ;
- Date de la plainte : mi-octobre 2022 ;
- État de la plainte : réponse du DPO de la CNIL à la mi-octobre 2022 : "il m'incombe de traiter votre plainte, je reviens vers vous" ; plainte clôturée le 10/01/2023 : auto-hébergement des vidéos + dialogue avec le prestataire.
- Contexte & griefs : suite de la précédente puisque toutes les vidéos litigieuses n'avaient pas été préventivement internalisées alors qu'il apaprtient à une entité mise en cause (que ce soit la CNIL ou non) de corriger l'ensemble des composants d'un problème, pas uniquement ceux signalés. Plus d'infos ;
- Date de la plainte : mi-avril 2023 ;
- État de la plainte : transmise au service des plaintes mi-avril 2023.
Arrêt sur images, Basta, Disclose, Fakir, Les Jours, L'informé, Mediapart, Next Inpact, Numerama, Off Investigation, Siné mensuel, et StreetPress
- Contexte & griefs : recours à un CDN ricain et/ou téléchargement de ressources web depuis des serveurs informatiques détenus par des entités ricaines et, pour la plupart, dépôt de cookies de traçage sans consentement (induit par les tiers intégrés à leurs sites web). Recours à un prestataire d'e-mailing ricain pour les newsletters ou les emails transactionnels de certains, bandeau cookies trompeur et/ou pas exhaustif chez d'autres. Pour la moitié, aucune amélioration suite à un signalement vieux de deux ans. Plus d'infos ;
- Dates des plaintes : début novembre 2022 ;
- État des plaintes : transmises au service des plaintes depuis début novembre 2022 ;
- Commentaire : il s'agit de plusieurs plaintes puisqu'une plainte doit viser un seul RT.
Danitis, Expectra, ITalent, Silkhom et Squad
Scaleway
-
Contexte & griefs : quatre ans après une création de compte client / commande avortées (car je ne voulais pas valider mon compte avec mon téléphone, 2FA tout ça) et une impossibilité de me connecter à mon compte client afin de le clôturer (erreurs techniques signalées au service clients quasiment deux ans avant ma plainte), je continue de recevoir des emails typiques d'une relation commerciale (changez votre mdp, nouveaux tarifs, etc.). Plus d'infos ;
- Base légale irrecevable : je ne suis pas devenu client (ce qu'énonçait le pied de page des premiers emails), donc absence de nécessité au contrat, et l'on repassera pour l'intérêt légitime à recevoir les nouveaux tarifs de service qu'on n'a pas souscrit et d'exigence de changement du mot de passe d'un compte client auquel on ne peut pas se connecter. Ça sent quand même plus le bug technique qui m'a fait entrer dans un cas imprévu qu'une volonté de nuire ;
- Durée de conservation excessive : la politique de confidentialité énonce cinq ans après la fin de la relation commerciale / délai légal… mais j'ai jamais été client, et, dans ce cas-là, une durée de conservation de quatre ans est excessive ;
- Transfert illégal de données personnelles hors de l'UE (prestataire e-mailing ricain) ;
- Liens et images traçants dans les emails depuis au moins deux ans et demi.
- Date de la plainte : mi-novembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.
Mediapart
- Contexte & griefs : liens et images traçants dans email + hébergement des images de l'email chez les ricains + prestataire d'e-mailing européen concerné par le CLOUD Act. Plus d'infos ;
- Date de la plainte : mi-novembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.
OpenStreetMap Foundation
- Contexte & griefs : recours à un CDN ricain pour diffuser sa carte sur son site web officiel + recours à un autre CDN ricain pour télécharger des scripts nécessaires à son éditeur en ligne. Plus d'infos ;
- Date de la plainte : mi-novembre 2022 ;
- État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.
Mutins de Pangée
- Contexte & griefs : recours à des CDN ricains pour diffuser ses ressources web statiques et les films + les seuls prestataires de paiement proposés sont des ricains alors que l'usage de l'un d'eux a été étriller par une APD. Plus d'infos ;
- Date de la plainte : mi-avril 2023 ;
- État de la plainte : transmise au service des plaintes mi-avril 2023.
Mairie de mon bled
- Contexte & griefs : recours à Microsoft pour ses emails + utilisation de Google Analytics, Google Fonts et Google DoubleClick (?!) sur son site web. Plus d'infos ;
- Date de la plainte : mi-avril 2023 ;
- État de la plainte : transmise au service des plaintes mi-avril 2023.
CGT
- Contexte & griefs : divulgation de données persos de syndiqués à un tiers + le logiciel de gestion des adhésions, des cotisations, etc. semble octroyer trop de droits (lecture, etc.) à trop de monde, ce qui nuit à la sécurité des données persos (la divulgation en est l'illustration). Plus d'infos ;
- Date de la plainte : mi-avril 2023 ;
- État de la plainte : transmise au service des plaintes mi-avril 2023.
Le Bon Coin
- Contexte & griefs : les emails transactionnels sont émis par des sociétés commerciales ricaines + ils contiennent des images et des liens de traçage + qui sont hébergés par des entités ricaines + même chose pour les images rédactionnelles + recours à un CDN ricain pour diffuser le site web + recours à des ressources web hébergées par des entités ricaines. Plus d'infos ;
- Date de la plainte : mi-avril 2023 ;
- État de la plainte : transmise au service des plaintes mi-avril 2023.
Darty
- Contexte & griefs : les emails transactionnels sont émis par une sociétés commerciale ricaine + ils contiennent des images et des liens de traçage + qui sont hébergés par une entités ricaine + même chose pour les images rédactionnelles + recours à un CDN ricain pour diffuser le site web + recours à une palanquée ressources web hébergées par des entités ricaines. Plus d'infos ;
- Date de la plainte : mi-avril 2023 ;
- État de la plainte : transmise au service des plaintes mi-avril 2023.
FNAC
- Contexte & griefs : les emails transactionnels contiennent des images et des liens de traçage + qui sont diffusés par une entité ricaine + même chose pour les images rédactionnelles et des polices de caractères + recours à un CDN ricain pour diffuser le site web et à une palanquée de ressources web hébergées par des entités ricaines. Plus d'infos ;
- Date de la plainte : mi-avril 2023 ;
- État de la plainte : transmise au service des plaintes mi-avril 2023.
SFR
- Contexte & griefs : reCAPTCHA est nécessaire pour se connecter à l'espace client de Red by SFR + le site web (y compris l'espace client) incorpore une palanquée de ressources web hébergées par des entités ricaines. Plus d'infos ;
- Date de la plainte : fin avril 2023 ;
- État de la plainte : transmise au service des plaintes fin avril 2023.
Basta
- Contexte & griefs : conservation 5 ans d'une adresse emails utilisée lors d'un don (conservation excessive) pour l'inscrire à plusieurs newsletters dont 2 sans rapport avec le don (détournement de finalité, et absence de base légale), liens et images de traçage dans les emails des newsletters, et images (et police de caractères) des newsletter hébergées par les ricains. Plus d'infos ;
- Date de la plainte : fin juillet 2023 ;
- État de la plainte : transmise au service des plaintes début août 2023.
Conseil National des Barreaux
- Contexte & griefs : emails entrants sous-traités à Microsoft. Logiciel de gestion des demandes d'assistance de la société commerciale ricaine Zendesk. Les emails envoyés par celle-ci contiennent des images diffusées via un CDN ricain. Plus d'infos ;
- Date de la plainte : fin juillet 2023 ;
- État de la plainte : transmise au service des plaintes début août 2023.
GIE CB
- Contexte & griefs : emails sous-traités à une entité ricaine. Plus d'infos ;
- Date de la plainte : fin juillet 2023 ;
- État de la plainte : reçue (elle n'a pas encore passée le greffe).
- Contexte & griefs : réponse incomplète à une demande d'information sur un traitement et sur les modalités d'exercice du droit d'opposition. Plus d'infos ;
- Date de la plainte : fin juillet 2023 ;
- État de la plainte : transmise au service des plaintes début août 2023.
Visa
- Contexte & griefs : réponse incomplète à une demande d'information sur un traitement et sur les modalités d'exercice du droit d'opposition. Plus d'infos ;
- Date de la plainte : fin juillet 2023 ;
- État de la plainte : transmise au service des plaintes début août 2023.
ÉDIT DU 29/12/2022 : ajout de la 4e plainte visant Pôle emploi et clôture de la plainte visant la Banque Populaire « refus de supprimer des données persos » de mi-novembre 2022. FIN DE L'ÉDIT.
ÉDIT DU 10/01/2023 : mise à jour de l'état de la plainte déposée à la mi-octobre 2022 portant sur le site web de la CNIL. FIN DE L'ÉDIT.
ÉDIT DU 21/07/2023 : ajout d'un lot de 8 réclamations. FIN DE L'ÉDIT.
ÉDIT DU 06/08/2023 : ajout d'un lot de 5 réclamations. FIN DE L'ÉDIT.