Depuis fin 2020, OpenStreetMap (OSM) utilise le CDN de la société commerciale ricaine Fastly pour diffuser une carte géographique alternative à Google Maps (et consorts). Ce n'est pas conforme au RGPD. Fin 2021, j'ai exposé mon insatisfaction et mon opposition dans un coup de gueule sur les alternatives libristes et dans une réponse. En gros, je me méfie du mécénat d'entreprise et du poids démesuré des sociétés Fastly, Cloudflare, Akamai, Amazon Cloudfront, etc. dans nos vies numériques.
Seule la carte géographique du site web officiel est concernée. Les cookies déposés par le site web officiel (connexion, stockage du dernier emplacement géographique consulté, etc.) ne sont pas transmis à Fastly. Les recherches (en mode simple ou en mode calcul d'itinéraire) non plus. L'intégration de Fastly est soignée. D'autres sites proposant la même carte ne sont pas forcément concernés.
Néanmoins, la carte géographique est découpée selon un quadrillage (pour faire simple). Chaque case, qui se nomme une tuile (« tile » en anglais), est une image. Elle est téléchargée indépendamment des autres via une requête web dédiée. L'URL de chaque tuile qui compose la carte transite par Fastly. Dans le journal de ses serveurs web, elle consigne donc une association entre une date et heure de consultation, une adresse IP, le modèle et quelques caractéristiques techniques d’un terminal, et les URLs de tuiles qui, en fonction du niveau de zoom, peuvent être extrêmement précises (porter sur un petit territoire) et qui ont de l’intérêt pour l’utilisateur d’OSM (il consulte les infos sur ce lieu et/ou sur ses alentours).
J'ai beaucoup hésité avant de déposer une plainte CNIL. Je pense qu'il faut secouer ses amis (je contribue à OSM, j’ai financé un serveur de mise en cache des tuiles, etc.), leur dire quand ce qu'ils font n'est pas ouf. De même, le recours à Fastly par OSM constitue un abus de confiance, car OSM est très souvent présenté comme une cartographie libre, communautaire / collaborative, alternative à Google Maps, alors, qu’au final, elle repose en partie sur un acteur états-unien déjà présent dans les coulisses de (trop) nombreux sites web, et que cet acteur reçoit des données personnelles sur les utilisateurs de la carte OSM… tout comme Google Maps.
Que peut faire OSM ? Recourir à un CDN européen ou à un mix de CDNs de différentes nationalités. Communiquer sur l'existence de cartes dépourvues de Faslty (même si le niveau de service n'est pas identique). Informer (au sens de l'article 49.1a du RGPD, c'est-à-dire exposer le risque encouru).
J'ai également signalé que l'éditeur en ligne d'OSM n'est pas fonctionnel s'il ne télécharge pas des scripts JavaScripts auprès du projet jsDelivr (qui repose sur Fastly et Cloudflare). Ne pas internaliser quelques scripts quand on gère un projet informatique de cette ampleur et que l'on héberge un éditeur de carte géographique, ce n'est pas crédible. J'ai constaté le proxy pour télécharger des trucs depuis l'IGN. J'ai laissé pisser le téléchargement d'un script depuis Microsoft (virtualearth.net) parce qu'à un moment…
Place à ma plainte.
Bonjour,
Depuis fin 2020, pour afficher sa carte géographique sur son site web (https://www.openstreetmap.org/) la fondation OpenStreetMap a recours au CDN de la société commerciale états-unienne Fastly. Les contacts directs entre le terminal du visiteur / utilisateur de ladite carte et les serveurs informatiques de Fastly génèrent des transferts de données personnelles vers les États-Unis en infraction avec les articles 44 et suivants du RGPD.
Je vais signaler ses manquements à la fondation OpenStreetMap en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte pour sanction auprès d'une APD en cas de violation du RGPD.
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Bonne journée.
Bonjour,
Pour diffuser sa carte géographique sur son site web (https://www.openstreetmap.org/), la fondation OpenStreetMap (« OSM » ci-après) a recours au CDN de la société commerciale états-unienne Fastly :
$ dig +short tile.openstreetmap.org
dualstack.n.sni.global.fastly.net.
146.75.117.91Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :
- Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être OSM dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
- Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.
Dans le cas présent, Fastly est un CDN du deuxième type. Pour s’en assurer, il suffit de constater la présence des entêtes HTTP ajoutés par Fastly à sa réponse à une requête web (cf. sa documentation officielle https://developer.fastly.com/reference/http/http-headers/X-Served-By/) :
$ curl -s -o /dev/null -D - 'https ://tile.openstreetmap.org/18/132752/90191.png' |grep -E '^x-(served|cache)'
x-served-by: cache-hhn4054-HHN
x-cache: HIT
x-cache-hits: 1Il y a donc un contact direct entre le terminal de l’utilisateur d’OSM, et les serveurs informatiques de Fastly.
En tant qu’intermédiaire incontournable entre OSM et son utilisateur, Fastly reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.).
Seule la carte géographique est diffusée via Fastly. Les données saisies dans le champ de recherche (en mode simple ou en mode calcul d’itinéraire) et les cookies (pour stocker le dernier endroit géographique consulté et en cas de connexion sur le site) ne sont pas transmis à Fastly (nom de domaine dédié à la carte géographique).
En revanche, la carte est découpée selon un quadrillage. Chaque case se nomme une tuile (« tile » en anglais). Elle est téléchargée indépendamment des autres cases via une requête web dédiée. Concrètement, une tuile est une image. Évidemment, plus le niveau de zoom est faible, plus une tuile est associée à un grand territoire géographique (exemple : la tuile https://tile.openstreetmap.org/5/15/10.png stocke une grande partie du Royaume-Uni et de l’Irlande). Plus le niveau de zoom est important, plus une tuile est associée à un petit fragment de territoire (exemple : la tuile https://tile.openstreetmap.org/18/132752/90191.png stocke le bâtiment de la CNIL).
Les URLs des tuiles transitent par Fastly. Dans le journal de ses serveurs web, cette société commerciale consigne donc une association entre une adresse IP, une date et heure de consultation, le modèle et quelques caractéristiques techniques d’un terminal, et les URLs de tuiles qui, en fonction du niveau de zoom, peuvent être extrêmement précises (porter sur un petit territoire) et qui ont de l’intérêt pour l’utilisateur d’OSM (il consulte les infos sur ce lieu et/ou sur ses alentours).
Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, les téléchargements de tuiles sus-référencés depuis les serveurs informatiques de la société commerciale états-unienne Fastly génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles de l’utilisateur d’OSM : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses consultations de la carte d’OSM, la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), l’URL des tuiles (et donc, avec un zoom important, le centre d’intérêt de l’utilisateur d’OSM, le lieu géographique consulté), etc.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique, comme Fastly, qui, par sa présence dans les coulisses de nombreux sites web, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.
À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.
Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
Dans sa politique de confidentialité (https://wiki.osmfoundation.org/wiki/Privacy_Policy), OSM ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat. De plus, on peut avoir la certitude qu’OSM met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web de son utilisateur le téléchargement automatique et en arrière-plan d’images (les tuiles) directement auprès des serveurs informatiques de Fastly. Dès lors, une requête de téléchargement émise par le navigateur web de l’utilisateur OSM ne chemine pas par l’infrastructure technique d’OSM (dit autrement, il y a un contact direct entre le terminal de l’utilisateur d’OSM et les serveurs informatiques de Fastly), donc elle échappe totalement à OSM, qui peut, de ce seul fait, prendre aucune mesure technique.
Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.
OSM ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.
La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable :
- OSM peut recourir à un CDN (ou à tout autre type d’hébergement informatique) européen disposant de serveurs informatiques localisés dans l’UE. Ou, pour ne pas pénaliser les autres régions du monde (le cas échéant), recourir à plusieurs prestataires régionaux (un pour l’UE, un autre pour le reste du monde, par exemple) et rediriger ses utilisateurs sur les serveurs de l’un ou l’autre des prestataires avec une répartition DNS géolocalisée (OpenStreetMap le fait déjà pour son moteur de recherche interne Nominatim et pour d’autres de ses services) ;
- OSM peut mettre en avant des versions de sa carte dépourvues de Fastly comme https://tile.openstreetmap.fr/ (propriété de l’association OpenStreetMap France et hébergée en France) ;
- En tout état de cause, OSM peut informer ses utilisateurs des risques (au sens de l’article 49.1a du RGPD) et conditionner le chargement de sa carte géographique à leur consentement.
En conclusion, lors de la consultation de la carte OSM, les téléchargements automatiques des tuiles depuis les serveurs informatiques détenus par la société commerciale états-unienne Fastly, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.
Le site web d’OSM propose une fonctionnalité permettant d’intégrer un fragment de la carte à un site web (pour illustrer un propos, indiquer un lieu, fournir une indication géographique, etc.). Le chargement de la carte depuis le site web « contenant » / « intégrateur » se fera alors depuis les serveurs de Fastly, ce qui, de fait, rend ledit site web non conforme au RGPD.
Le recours à Fastly par OSM constitue un abus de confiance, car OSM est très souvent présenté comme une cartographie libre, communautaire / collaborative, alternative à Google Maps, alors, qu’au final, elle repose en partie sur un acteur états-unien déjà présent dans les coulisses de (trop) nombreux sites web, et que cet acteur reçoit des données personnelles sur les utilisateurs de la carte OSM… tout comme Google Maps.
OSM a recours à Fastly seulement depuis fin 2020. Elle ne saurait donc ignorer les décisions de justice et d’APD sus-énumérées : les règles du jeu existaient avant son passage à Fastly.
Son éditeur en ligne de sa carte géographique (onglet « Modifier » sur le même site web), fait automatiquement télécharger des scripts JavaScripts depuis le CDN du projet jsdelivr.net qui repose sur les serveurs informatiques des CDN des sociétés commerciales états-uniennes Cloudflare et Fastly.L’argumentaire est identique à celui déroulé ci-dessus concernant la carte géographique d’OSM. La nécessité du recours à jsdelivr et du transfert de données personnelles qui en découle n’est pas recevable, car il est techniquement, juridiquement et économiquement possible d’héberger lesdits scripts sur les serveurs informatiques d’OSM. Surtout quand on est capable d’héberger un éditeur de carte sur lesdits serveurs (qui peut le plus peut le moins). À défaut, il est possible de recourir à un hébergeur européen disposant de serveurs localisés dans l’UE.
Je vais signaler, à la fondation OpenStreetMap, ses manquements au RGPD afin qu’elle s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’elle entreprendrait, les faits relatés ci-dessus constituent en soi une violation du Règlement qui justifie à elle seule le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.