En juin 2023, Basta m'a envoyé 7 emails dont 5 appels au don et 2 alertes d'actualité.
J'ai communiqué l'adresse emails utilisée en 2018, dans le cadre d'un don spontané, afin de le gérer, de le sécuriser, etc. Dans ce contexte, la conserver 5 ans pour l'insérer dans des newsletters en 2023 (5 ans plus tard !) est excessif.
J'ai été inscrit à 3 newsletters, dont 2 (« nouvelles de l'équipe » et « nos grandes enquêtes ») sans rapport avec mon don de 2018 et les finalités y attenantes (sécurité, gestion, etc.). Il y a donc détournement de finalité. De plus, lors de la collecte de mon adresse emails, en 2018, donc, je n'ai pas consenti ni été informé, ce qui invalide les deux seules bases légales compatibles avec ce traitement que sont le consentement et l'intérêt légitime (qui suppose l'information lors de la collecte et un moyen de s'y opposer, y compris avant le début du traitement, donc avant de recevoir une quelconque newsletter). Donc le traitement est dénué de base légale.
Ces emails contiennent des liens et des images de traçage.
Ces emails contiennent des images diffusées via le CDN de Cloudflare, une police de caractères diffusée par le service Fonts de Google, et les images de traçage et les pages web de redirection des liens de traçage sont hébergées chez Google (GCP ?). Il y a donc transferts illégaux de données personnelles en dehors de l'UE.
Du coup, hop, réclamation déposée à la CNIL.
Bonjour,
Entre le 05/06/2023 et le 28/06/2023, le journal Basta (https://basta.media/) m’a envoyé 7 emails dont 5 appels au don et deux « alertes ».
Premier grief. Depuis février 2020, je suis connu de Basta sous une autre adresse emails (avec un délimiteur / tag). Cela signifie que les emails référencés ci-dessus ont été envoyés à une adresse emails collectée par Basta en janvier 2018 dans le cadre d’un don spontané. Dans un tel contexte, les finalités possibles sont limitées (sécurité du dispositif de don ou gestion administrative du don – notamment émission d’un reçu fiscal –). À leur regard, conserver cinq ans une adresse emails est excessif, surtout pour la réutiliser dans le cadre d’un appel au don. La politique de confidentialité de Basta (https://basta.media/politique-de-confidentialite) n’informe pas sur la durée de conservation. Compte-tenu que je n’avais pas reçu d’email jusque-là, il est très probable que les newsletters aient été créées récemment (il est peut courant qu’une newsletter soit constituée mais pas utilisée).
Deuxième grief. Les liens de désinscription contenus dans les emails m’apprennent que je suis inscrit à trois newsletters (cf. PJ 2) : « appels aux dons », « nouvelles de l’équipe » et « nos grandes enquêtes » (qui, a priori, se traduit par des emails d’alerte). Je n’y ai pas consenti et je n’en ai pas été informé (au moment de la collecte de mon adresse emails, mon intention était de faire un don sans suite). Ces carences invalident les deux bases légales applicables au démarchage (entre guillemets), le consentement et l’intérêt légitime. Mon inscription à au moins deux de ces trois newsletters est donc dénuée de base légale.
Troisième grief. Si j’ai communiqué mon adresse emails lors d’un don en 2018, c’est pour des finalités attenantes (sécurité du dispositif, éventuellement recevoir un reçu fiscal, etc.), pas pour recevoir des « nouvelles de l’équipe » ni des « alertes » sur un débat imminent (email du 08/06) ou des informations exclusives (email du 28/06). Il y a donc un détournement de finalité.
Quatrième grief. Ces emails contiennent, sans raison valable, des liens et des images de traçage (cf. votre terminologie https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) :« 9tcmw.r.a.d.sendibm1.com/mk/op/[…] », « 9tcmw.r.a.d.sendibm1.com/mk/cl/[…] », etc. Ces liens et images de traçage ne sont pas conformes au RGPD selon le CEPD (section V de WP 118) et vous-même. Basta n’est pas soumis à une quelconque obligation légale, ni à une quelconque nécessité pour l’exécution d’un contrat, ni à une quelconque obligation technique de procéder à ce traçage. Le lecteur de Basta n’est pas informé et ne consent pas à ce traitement.
Cinquième grief. Ces emails contiennent des images rédactionnelles telles des icônes de réseaux sociaux ou des éléments de style (« 9tcmw.img.a.d.sendibm1.com/im/ », par ex.) qui sont diffusées, par le prestataire emailing de Basta (Brevo, ex-Sendinblue), via le CDN de la société commerciale états-unienne Cloudflare. De même, les emails font télécharger une police de caractères auprès du service Fonts de la société commerciale états-unienne Google. Les images de traçage et les redirections web des liens de traçage sont hébergées chez Google (GCP ?) par Brevo (ex-Sendinblue, le prestataire emailing de Basta). À l’ouverture de l’email par le lecteur de Basta, toutes ces images sont téléchargées automatiquement. Il y a donc transferts illégaux de données personnelles (adresse IP du lecteur de Basta, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat. Idem lors du clic sur un lien.Ces transferts de données personnelles sont illégaux au sens des articles 44 et suivants du RGPD (Schrems II, votre mise en demeure du 10 février 2022 portant sur Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur Google Analytics, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement). La politique de confidentialité de Basta (https://basta.media/politique-de-confidentialite) ne les mentionne pas, donc elle met en œuvre aucune mesure complémentaire.
Aux dates des emails, la Commission européenne n’avait pas adopté le Data Privacy Framework.
Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne Basta.La procédure de désinscription des newsletters de Basta étant fonctionnelle (à ce jour), la présente n’est pas une demande d’appui de la CNIL à une demande d’opposition ou d’effacement.
Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne semaine.