J'ai amendé ma plainte CNIL portant sur Vitaline. Les emails de leur newsletter non sollicitée contiennent des liens avec un identifiant unique qui pointent sur un site web intermédiaire, 40pyk.r.a.d.sendibm1.com, délégué au prestataire d'e-mailing Sendinblue, et des images rédactionnelles (utiles, quoi) avec un identifiant unique dans leur nom et qui sont hébergées par le prestataire d'e-mailing, c'est-à-dire des liens et des images traçantes. Les images détectent l'ouverture de la version HTML de l'email (qui déclenchent leur téléchargement automatique), et les liens détectent un clic volontaire. Sans nécessité ni consentement.
Les images traçantes sont diffusées via Cloudflare (j'en informe la CNIL dans un complément à mon complément de plainte ci-dessous). Les liens traçants redirigent vers le site de Vitaline via une page web qui contient une iframe (une page web imbriquée) servie via Cloudflare. Ici, le même raisonnement juridique que d'habitude s'applique.
L'identifiant unique est inséré dans l'URL finale (celle qui résulte de la redirection) qui, comme l'adresse IP et des caractéristiques techniques du navigateur web du client Vitaline, est consigné dans le journal des serveurs web de Vitaline (et dans ceux de Cloudflare, utilisé ici aussi…), et transmis à l'outil de mesure d'audience utilisé par Vitaline sur son site web, Google Analytics (une autre non-conformité au RGPD).
Du coup, hop, plainte à la CNIL.
Le raisonnement juridique reste identique aux précédentes fois.
Ma plainte CNIL :
ÉDIT DU 25/11/2022 : Elle contient au moins une erreur : c'est dans sa décision du 22/04/2022 que l'APD autrichienne rappelle que le RGPD ne prévoit pas d'approche basée sur le risque en matière de transferts de données personnelles hors de l'UE, pas dans sa décision 2021-0.586.257 (qui en est tout de même la première partie du film). FIN DE L'ÉDIT.
Bonjour,
J'ajoute deux griefs à ma plainte.
Tous les liens hypertextes des emails de Vitaline du 26/08/2022 et du 31/08/2022 sont des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), voir PJ 2 déjà transmise. Exemple : « https ://40pyk.r.a.d.sendibm1.com/mk/cl/f/zLwgwirvlQtnsnFXm9b-YFQZKud_rURDzKtayU8f-TWq8QWGyN_YAewOicOzYxR-c0Ahmi48Fz6NIfLIMC4zu_ecQ7GaRstf-8O-YaU-nfvV1Dz1sEZL7jrG-2Lpj4Lh17FAXhH8aGoANiG6OthksjV2rn1rK8KlDudtt5StVJbB-ab6BhEmUhWYmGbcAdOqLthQ0l5yKoFFIIkQ-60CsgoCmgiXTq9TRjUN8a0ohHRxyUEXI5qHtRqv9Vvln8IJWhD764nYzgOPDiNs_TW4ZkSLFIF29_gCaPnzEBjeB4eBKOIvLILQjLNkFLp3oBJqJIh0DtIg-Ni80DmyW3Gzrf6L ».
Si l'on clique sur l'un de ces liens, l'URL finale est « https ://vitaline.fr/collections/bars?utm_source=sendinblue&utm_campaign=Toujours prt pour la rentre 22&utm_medium=email », voir PJ 3. On retrouve le traceur : je suis arrivé ici par la campagne emails sus-nommée émise par le prestataire Sendinblue.
Mon adresse IP, cette URL, les informations qu'elle véhicule, et plusieurs caractéristiques techniques de mon navigateur web seront donc consignées dans le journal des serveurs web de Vitaline qui diffusent cette page web, et transmises à l'outil de mesure d'audience intégré par Vitaline sur son site web, Google Analytics (autre non-conformité RGPD, cf. votre mise en demeure du 10/02/2022).
De même, toutes les images de la version HTML de l'email, qui sont des images rédactionnelles (elles participent au contenu), sont également des images traçantes téléchargées depuis le prestataire Sendinblue, voir PJ 4.
La nécessité d'un tel double traçage n'est pas établie : il est parfaitement possible d'utiliser des liens directs (qui pointent sur le contenu web, sans intermédiaire) et des images sans traceur hébergées en interne, chez le même hébergeur que le site web de Vitaline.Le client destinataire de l'email de Vitaline n'est pas informé de ces liens et images traqueurs et son consentement n'est pas récolté.
Il découle des deux derniers paragraphes qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).
Notons que la destination des liens traceurs est une page web hébergée par Sendinblue (prestataire d'e-mailing de Vitaline) qui redirige vers le site web de Vitaline. Avant la redirection, une iframe (une page web intégrée dans une autre) est automatiquement téléchargée par le navigateur web du client Vitaline, voir PJ 3. Son URL est « https ://sibautomation.com/cm.html?id=2317578#trans=0&user_id=2665379 ». Elle apporte aucune plus-value technique ou rédactionnelle.Le nom de domaine Internet « sibautomation.com » est loué par la société Sendinblue. On retrouve, en paramètre, l'identifiant unique de la campagne d'e-mailing et du client.
Or, pour diffuser ce site web, Sendinblue, prestataire de Vitaline, a recours au CDN de la société commerciale états-unienne Cloudflare :
$ dig +short sibautomation.com
104.18.34.145
172.64.153.111$ whois 104.18.34.145 | grep Organization
Organization: Cloudflare, Inc. (CLOUD14)$ whois 172.64.153.111 | grep Organization
Organization: Cloudflare, Inc. (CLOUD14)Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur Google Fonts), et comme vous l’avez analysé (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), ce téléchargement de page web en lui-même génère de facto un transfert hors de l’Union européenne (UE) de plusieurs données personnelles du client Vitaline : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de sa consultation de l’email de Vitaline (s'il clique sur l’un des liens qu’il contient), la marque et le modèle de son navigateur web (entête HTTP User-Agent), etc.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.
À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.
Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
De plus, on peut avoir la certitude que Vitaline met en œuvre aucune mesure technique complémentaire car le navigateur web du client Vitaline qui clique sur un lien contenu dans l'email émis par Vitaline télécharge implicitement et directement une page web auprès de l’infrastructure technique de l’hébergeur informatique états-unien choisi par Sendinblue, le prestataire d’e-mailing de Vitaline. Dès lors, la requête web émise par le navigateur web du client Vitaline ne chemine pas par l’infrastructure technique de Vitaline ni par celle de son prestataire (dit autrement, il y a un contact direct entre le terminal du client Vitaline et les serveurs informatiques du prestataire états-unien de Sendinblue), donc elle échappe totalement à Vitaline et à son prestataire direct, Sendinblue, qui peuvent, de ce seul fait, prendre aucune mesure technique.
Enfin, comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.
Vitaline ne recueille pas explicitement le consentement de son client pour le transfert de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui, comme l’impose l’article 49.1a du RGPD.
La nécessité du transfert des données personnelles sus-énumérées aux États-Unis au motif de l’exécution du contrat (article 49.1b du RGPD) est irrecevable, car un outil de traque et de suivi ne peut pas être regardé comme étant nécessaire à l’exécution d’un contrat. En tout état de cause, il est techniquement possible de proposer, dans un email, des liens dénués de traceur.
Lors d'un clic sur un des liens proposés dans l'email envoyé par Vitaline, le téléchargement automatique d'une page web de traçage hébergée sur des infrastructures techniques situées aux États-Unis et/ou détenues par des organisations de droit états-unien, et le transfert de données personnelles vers les États-Unis qui en découle, est donc illégal.
Nouveau manquement au RGPD, donc.
Bonne journée.P.-S. : le site web de Vitaline (vitaline.fr) fait automatiquement télécharger des ressources web (images, feuille de style, police de caractères, scripts) depuis des hébergeurs et/ou des CDN de droit états-unien (Cloudflare, Amazon Cloudfront / AWS, Facebook, Google, etc.). Tout cela constitue plusieurs transferts illégaux de données personnelles aux États-Unis, cf. le raisonnement déroulé ci-dessus. C'est un véritable florilège, je n'ai pas la force d'en dresser un inventaire précis dans une plainte CNIL. À vous de jouer.