Même topo que d'habitude : le site web de La Poste embarque trouzemilles tonnes de scripts, de polices de caractères, de feuilles de style, d'images, etc. hébergées sur des serveurs informatiques détenus par une palanquée de sociétés de droit états-unien, ce qui est incompatible avec le RGPD. L'outil de suivi d'un envoi est dysfonctionnel sans le téléchargement d'un outil de ciblage, de traque, et de suivi du parcours client (il est ainsi présenté par son éditeur) hébergé sur les serveurs informatiques d'une société commerciale états-unienne. Ils ont belle mine, l'ancrage local de La Poste et le symbole de la France du terroir d'autrefois, non ?
Du coup, hop, plainte à la CNIL. Aeris en a fait de même fin juillet.
Le raisonnement juridique reste identique aux fois précédentes.
Nouveautés :
ÉDIT DU 23/11/2022 : en novembre 2022, j'ai déposé un complément afin d'exposer que Xiti est probablement soumise au CLOUD Act. FIN DE L'ÉDIT DU 23/11/2022.
Merci à Aeris et à Johndescs pour leur relecture. Merci à Aeris de défricher le terrain (c'est lui qui a débusqué quasiment toutes les décisions que je cite).
Ma plainte à la CNIL :
ÉDIT DU 25/11/2022 : Elle contient au moins une erreur : c'est dans sa décision du 22/04/2022 que l'APD autrichienne rappelle que le RGPD ne prévoit pas d'approche basée sur le risque en matière de transferts de données personnelles hors de l'UE, pas dans sa décision 2021-0.586.257 (qui en est tout de même la première partie du film). FIN DE L'ÉDIT.
Elle contient une erreur (en plus d'une faute de frappe) : la décision TS 1039/2022 est celle du tribunal suprême espagnol, pas de l'APD espagnole.
Bonjour,
Le site web de la société commerciale La Poste (https ://www.laposte.fr/), et notamment son outil de suivi des envois (https ://www.laposte.fr/outils/suivre-vos-envois), enfreint le RGPD pour les motifs suivants :
- Le suivi de courrier dépend du téléchargement automatique et forcé d'un outil de ciblage, de traque, et de suivi du parcours client (présenté en ces teres par son éditeur) hébergé (techniquement, informatiquement) par des sociétés commerciales de droit états-unien. Ce téléchargement constitue de facto un transfert illégal de données personnelles vers les États-Unis au regard de l'arrêt dit Schrems II de la CJUE, de la décision 3_O_17493/20 de la Cour régionale de Munich, de votre mise en demeure du 10/02/2022 relative à l'utilisation de Google Analytics, de la décision 2020-1013 de l'EDPS, de la décision 2021-0.586.257 de l'Autorité de Protection des Données (APD) autrichienne, et des lignes directrices du CEPD 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD ;
- Le site web de La Poste dans son ensemble télécharge automatiquement une palanquée de ressources web (scripts JavaScript, polices de caractères, feuilles de style, images, etc.), qui sont la propriétés d'une multitude de sociétés commerciales, et qui sont hébergés (techniquement, informatiquement) par des sociétés commerciales de droit états-unien. Cela constitue des transferts illégaux de données personnelles vers les États-Unis au regard des mêmes décisions qu'au point précédent ;
- L'utilisation, sans consentement, d'un cookie facultatif de suivi du parcours client (selon son éditeur). Absence d'information (seul cookie absent de la politique de confidentialité du site web La Poste). Le bandeau cookie ne permet pas de s'y opposer. Durée de vie (1 an) excessive. Il est transmis à un hébergeur de droit états-unien, ce qui constitue un transfert illégal de données personnelles vers les États-Unis au regard des mêmes décisions qu'aux points précédents.
Vous trouverez, en PJ, ma plainte détaillée.
Je vais signaler, à la DPO de La Poste, les nombreux manquements au RGPD énumérés dans la présente afin qu’elle s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’elle entreprendrait, les faits relatés ci-dessus constituent en soi des violations du RGPD qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes (article 77 du RGPD et décision TS 1039/2022 de l’APD espagnole).
Cordialement.
Plainte détaillée (la fameuse pièce jointe du blabla ci-dessus) :
Bonjour,
Le site web de La Poste (www.laposte.fr) et notamment sa page de suivi d’un envoi (https ://www.laposte.fr/outils/suivre-vos-envois) contrevient au RGPD sur au moins trois points.
Premier point / grief. L’outil de suivi d’un envoi ne fonctionne pas tant que l’on bloque, avec une extension pour navigateur web telle uMatrix, les requêtes web destinées à la société commerciale française Commanders Act (cdn.tagcommander.com) : l’erreur « tC is not defined » s’affiche lors de la validation du formulaire.Ces requêtes web téléchargent des scripts JavaScript auprès des infrastructures techniques de ladite société. Or, pour son hébergement web, celle-ci a recours aux services des sociétés commerciales de droit états-unien Edgecast Networks et Amazon.
Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20) et comme vous l’avez analysé (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), ces téléchargements en eux-mêmes génèrent de facto un transfert hors de l’Union européenne (UE) de plusieurs données personnelles du client La Poste (LP) : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses consultations du site web LP, les pages du site web LP qu’il a consulté (entêtes HTTP Referer et CORS Origin), la marque et le modèle de son navigateur web (entête HTTP User-Agent), etc. Notons que le site web de LP positionne un entête HTTP « Referrer-Policy » avec la valeur « no-referrer-when-downgrade », ce qui a pour effet d’amoindrir la politique par défaut des navigateurs web modernes et de transmettre aux tiers (prestataires de LP) l’URL complète des pages web du site web LP consultées par le client LP, ce qui permet à ces tiers de suivre la navigation du client LP à travers les différentes rubriques du site web LP.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.
À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.
Comme l’EDPS (décision numéro 2020-1013) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
Dans sa politique de confidentialité (https://www.laposte.fr/donnees-personnelles-et-cookies), La Poste ne mentionne pas avoir recours à d’autres instruments juridiques que ceux qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que LP met en œuvre aucune mesure technique complémentaire, car son site web inclut une instruction technique ordonnant au navigateur web du client LP le téléchargement de scripts directement auprès de l’infrastructure technique de l’hébergeur informatique états-unien choisi par Commander Act, le prestataire de LP. Dès lors, la requête de téléchargement émise par le navigateur web du client LP ne chemine pas par l’infrastructure technique de LP ni par celle de son prestataire (dit autrement, il y a un contact direct entre le terminal du client LP et les serveurs informatiques du prestataire états-unien de Commander Act), donc elle échappe totalement à La Poste et à son prestataire direct, qui peuvent, de ce seul fait, prendre aucune mesure technique.
Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.
La Poste ne recueille pas explicitement le consentement de son client pour le transfert de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui, comme l’impose l’article 49.1a du RGPD. Quand bien même LP le recueillerait, il serait vicié car, en l’absence de TagCommander (nom de l’outil, du script de la société Commanders Act dont il est question depuis le début), l’outil de suivi des envois de LP est totalement inutilisable (impossible d’obtenir le suivi d’un envoi), ce qui contraindrait le client LP à accepter de force le traitement de données personnelles sus-présenté réalisé par l’hébergeur de Commanders Act, et donc le transfert de ses données personnelles aux États-Unis.
La nécessité du transfert des données personnelles sus-énumérées aux États-Unis au motif de l’exécution du contrat (article 49.1b du RGPD) est irrecevable, car un outil de ciblage, de traque, et de suivi du parcours client (c’est ainsi qu’il est présenté par son éditeur, Commanders Act) ne peut pas être regardé comme étant nécessaire à l’exécution d’un contrat. De plus, la requête web qui permet au client LP de fournir le numéro de son envoi via un formulaire, et d’obtenir, en retour, le suivi dudit envoi, est envoyée aux serveurs LP qui opèrent derrière le nom « api.laposte.fr ». Cet échange, et donc le suivi d’un envoi, est indépendant / décoléré / disjoint du script TagCommander qui n’intervient donc pas pour fournir le service. En tout état de cause, il est techniquement possible de proposer le suivi d’un envoi sans transférer des données personnelles à des sociétés tierces hébergées (techniquement) aux États-Unis.
Le téléchargement automatique et obligatoire du script TagCommander de la société Commanders Act, prestataire de La Poste, afin de pouvoir utiliser l’outil de suivi des envois du site web de LP, et le transfert de données personnelles vers les États-Unis qui en découle, est donc illégal.
Deuxième point / grief. La page de suivi d’un envoi du site web de La Poste, et plus généralement le site web de La Poste, fait automatiquement télécharger, au navigateur web du client LP, des ressources web (scripts JavaScript, polices de caractères, feuilles de style, images, etc.) qui sont la propriété de sociétés commerciales de droit européen ou états-unien et qui sont hébergées sur des infrastructures techniques situées aux États-Unis et/ou détenues par des organisations de droit états-unien.Ces téléchargements ont lieu même après le refus, par le client LP, de tous les cookies dans le bandeau dédié, ce n’est pas lié.
L’essentiel du raisonnement est commun à tous les prestataires que je vais énumérer ci-dessous et il est identique à celui exposé dans le premier grief ci-dessus : ces téléchargements, déclenchés automatiquement lors de la consultation du site web LP, génèrent, de facto, des transferts de données personnelles (liste dans le premier grief) à destination des États-Unis ; il n’existe plus de décision d’adéquation entre l’UE et les États-Unis ; toutes les garanties appropriées, et les mesures complémentaires sont irrecevables ; le consentement du client La Poste (au sens de l’article 49.1a du RGPD) n’est pas recueilli et la nécessité du transfert des données personnelles au motif de l’exécution d’un contrat (article 49.1b du RGPD) n’est pas recevable.
Seul le motif de cette irrecevabilité varie en fonction de la ressource web et du prestataire de LP, et c’est ce motif que je vais présenter ci-dessous sans rappeler la partie commune du raisonnement à chaque fois :
- Autres scripts JavaScript de la société commerciale française Commanders Act (trustcommander.net, commander1.com) hébergés par les sociétés commerciales états-uniennes Edgecast Networks et Amazon. Ils sont de plusieurs types : plateforme de gestion du consentement (CMP) d’un côté, suivi et analyse marketing de l’autre. La nécessité du transfert de données personnelles pour l’exécution du contrat est irrecevable : à quoi sert le téléchargement d’images transparentes de dimensions un pixel sur un pixel au format gif lors de la validation du formulaire de suivi d’un envoi (c’est ce qui se produit), si ce n’est à traquer le client La Poste, ce qui a rien à voir avec l’objet du contrat ? De même, il n’est pas nécessaire d’externaliser sa CMP chez un hébergeur / distributeur de contenus (CDN) états-unien : elle peut être hébergée dans l’UE tout en restant externalisée (plusieurs fournisseurs de ce type de solutions procèdent ainsi) ;
- Police de caractères hébergée par le service Google Fonts (fonts.googleapi.com et fonts.gstatic.com) de la société états-unienne Google (ci-après Google). Cette société reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au premier grief (https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (https://policies.google.com/privacy/frameworks). La nécessité du transfert pour l’exécution du contrat est irrecevable puisque un hébergement internalisé (sur les infrastructures de La Poste) de la police de caractères est techniquement et juridiquement possible à un coût nul alors que son hébergement par Google porte une atteinte disproportionnée aux droits des clients LP. De même, il est possible d’utiliser un fournisseur européen de polices ou même une police de base embarquée dans tous les navigateurs web. Notons que l’un des prestataires auquel a recours LP, Inbenta, sur lequel je reviendrai, fait également télécharger une police de caractères depuis le service Fonts de Google, donc que le raisonnement qui vient d’être déroulé dans ce point s’y applique ;
- Cours actuel du taux de change de devises présentés au format JSON. Ce fichier est téléchargé par le prestataire Adverline (cdn.adnext.fr), filiale du groupe La Poste (via Mediapost), depuis les infrastructures techniques du projet jsDelivr (jsdelivr.net), mises à disposition par les sociétés commerciales états-uniennes Cloudflare et Fastly. La nécessité du transfert pour l’exécution d’un contrat est irrecevable puisque un hébergement internalisé, sur les infrastructures techniques du prestataire Adverline ou sur celles de LP, de ce fichier JSON est techniquement et juridiquement possible à un coût nul, et que ces données peuvent être récupérées, dans le même format, auprès d’un fournisseur hébergé techniquement dans l’UE. De même, ces informations de conversion sont utiles uniquement pour quelques services précis proposés par LP, donc elles ne devraient pas être téléchargées en dehors / au préalable de l’utilisation de ces services par le client LP ;
- Scripts JavaScript et images de la société commerciale française AB Tasty (abtasty.com) hébergés par la société commerciale états-unienne Cloudflare (ci-après Cloudflare). Il s’agit d’outils de tests A/B, d’analyse et d’optimisation du parcours client. Le Comité européen de la protection des données (CEPD) ne considère pas qu’un traitement destiné à améliorer un service est nécessaire à l’exécution d’un contrat (cf. Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées). De plus, des sociétés commerciales européennes proposent un service équivalent depuis des infrastructures situées dans l’UE, et, en dernier ressort, un hébergement internalisé de ce type de solution est techniquement et juridiquement (avec accord de l’éditeur) possible à un coût quasi nul ;
- Scripts Google Tag Manager (googletagservices.com). Un outil de suivi du client et de marketing n’est pas nécessaire à l’exécution du contrat, et des sociétés commerciales européennes proposent un service équivalent ;
- Scripts des sociétés commerciales états-uniennes Heroku (herokuapps.com) et Inbenta (inbenta.io) hébergés par la société commerciale états-unienne Amazon (ci-après Amazon). Un outil d’assistance au client et de foire aux questions n’est pas nécessaire à l’exécution du contrat, et des sociétés commerciales européennes proposent un service équivalent. Le chargement de l’outil d’Inbenta provoque, en cascade, le téléchargement d’une police de caractères auprès de Google Fonts, ce qui constitue un deuxième transfert illégal des mêmes données personnelles (lire ci-dessus l’analyse concernant Google Fonts) ;
- Scripts, feuilles de style et images de la société commerciale française PubStack (pbstck.com) hébergés par Cloudflare. Un outil d’analyse des revenus publicitaires et de gestion de la publicité n’est pas nécessaire à l’exécution d’un contrat portant sur un service payant (dont la contrepartie n’est pas l’affichage de publicités, s’entend), et des sociétés commerciales européennes hébergées sur des infrastructures situées dans l’UE proposent un service équivalent ;
- Scripts Xiti de la société commerciale française AT Internet (logs4.xiti.com) hébergés par Amazon (CDN, https://www.atinternet.com/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/#traitees-et-stockees). Un outil d’analyse des audiences n’est pas nécessaire à l’exécution du contrat, et il est possible d’héberger ce type de solutions sur des infrastructures situées dans l’UE (des concurrents d’AT Internet le proposent) ou en interne de LP ;
- Scripts Google Maps (maps.googleapis.com). Un outil de cartographie n’est pas nécessaire à l’exécution du contrat (proposer une localisation est une fonctionnalité supplémentaire), et des sociétés commerciales européennes proposent un service équivalent hébergé sur des infrastructures européennes ;
- Scripts de la société commerciale états-unienne BazaarVoice (bazaarvoice.com) hébergés par Amazon. Un outil d’affichage de l’avis des clients concernant les produits La Poste et un outil de production de statistiques (https ://analytics-static.ugc.bazaarvoice.com/prod/static/latest/bv-analytics.js) ne sont pas nécessaires à l’exécution du contrat, et des sociétés commerciales européennes proposent un service équivalent hébergé techniquement dans l’UE ;
- Scripts Google DoubleClick. Une régie publicitaire n’est pas nécessaire à l’exécution d’un contrat payant (dont la contrepartie n’est pas l’affichage de publicités, s’entend), surtout quand il recouvre une mission de service public. De plus, plusieurs sociétés commerciales européennes proposent un service équivalent hébergé techniquement dans l’UE (certes moins rentable) ;
- Les autres régies publicitaires et prestataires assimilés (Adnxs, Criteo, Adscale, SmartAdserver, etc.) intégrés sur le site web de LP sont totalement inhibées (aucune requête est émise) tant que le client LP n’a pas exprimé son consentement dans le bandeau cookies. Concernant les scripts de DoubleClick, de PubStack, et d’une bonne partie des prestataires qui viennent d’être énumérés, qui sont téléchargés par défaut et qui continuent à l’être après le refus de tous les cookies, peut-être s’agit-il d’un oubli dans la configuration et/ou le code du site web LP de les inhiber tant que le client LP n’a pas accepté ? ;
- Je n’ai pas vérifié la conformité au présent grief (transfert illégal de données personnelles vers les États-Unis) des très (trop) nombreuses régies publicitaires et prestataires assimilés utilisées par LP sur son site web (après consentement du client, cf. point précédent). Je n’ai pas l’énergie pour ce faire.
Lors de la navigation sur le site web de La Poste, le téléchargement automatique de ressources web (scripts JavaScript, polices de caractères, feuilles de style, images, etc.), propriétés de prestataires européens ou états-uniens de La Poste et hébergées sur des infrastructures techniques situées aux États-Unis et/ou détenues par des organisations de droit états-unien, et le transfert de données personnelles vers les États-Unis qui en découle est donc illégal.
Les multiples transferts auprès de (trop) nombreuses organisations états-uniennes aggrave le manquement au RGPD, surtout qu’il est commis par une société commerciale chargée d’une mission de service public jouissant d’un ancrage local et d’une image « France du terroir d’autrefois ». La divergence entre l’image dont se prévaut La Poste et ses actes sus-énumérés constitue un abus de confiance caractérisé.
Troisième et dernier point / grief. En naviguant sur la page de suivi d’un envoi du site web de La Poste, et plus généralement sur le site web de LP, et avant le recueil du consentement du client LP, un cookie tiers est déposé (et lu) par l’un des prestataires de LP, la société commerciale française Commanders Act (commader1.com) pourtant fournisseuse de la plateforme de gestion du consentement utilisé par LP. Nom de ce cookie : « tc_cj_v2 ».Même après le refus de tous les cookies dans le bandeau dédié, Commanders Act (commander1.com) continue de le lire et de le déposer sur le terminal du client La Poste, notamment lors de l’utilisation de l’outil de suivi des envois.
Il découle du deuxième grief, que ce cookie transite par la société commerciale de droit états-unien Amazon, puisque la française Commanders Act a recours à ses prestations d’hébergement.
Contrairement aux autres cookies, celui-ci n’est pas consigné dans la politique de confidentialité de La Poste (https://www.laposte.fr/information-sur-les-cookies).
Ce cookie, d’une durée de vie d’un an (ce qui est excessif au regard de sa finalité que l’on va découvrir), ne peut pas être regardé comme étant nécessaire à la fourniture du service ni comme facilitant la communication électronique :
- Le site web de LP, et notamment le formulaire de suivi d’un envoi, reste totalement fonctionnel si l’on bloque l’utilisation de ce cookie et/ou les requêtes web destinées à « *.commander1.com » (avec l’extension pour navigateur web uMatrix, par exemple) : on obtient bien le suivi de son envoi ;
- Il est lu et déposé lors du téléchargement d’images transparentes de dimensions un pixel sur un pixel au format gif, autrement dit d’images invisibles. Il s’agit d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web ;
- Dans sa documentation (https://community.commandersact.com/platform/knowledge-base/cookies), la société Commanders Act explique que ce cookie est « Used for user customer journey storage for tag deduplication (channel and source storage). ». Il s’agit donc bien d’un cookie de suivi du parcours client.
On notera que le refus de tous les cookies et l’absence de consentement produit bien l’effet escompté (aucun dépôt de cookie) sur la palanquée de régies publicitaires et assimilées. Peut-être que l’inhibition de ce cookie a été oubliée dans la configuration et/ou dans le code du site web LP ?
L’utilisation d’un cookie tiers par un prestataire de La Poste lors de la consultation du site web de LP, et notamment lors de l’utilisation de l’outil de suivi d’un envoi, est donc illégale : cookie facultatif déposé et lu par défaut (opt-in), absence d’information, impossible de s’y opposer, transfert illégal aux États-Unis.
Je vais signaler, à la DPO de La Poste, les nombreux manquements au RGPD énumérés dans la présente afin qu’elle s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’elle entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte auprès de l’autorité de contrôle que vous êtes (article 77 du RGPD et décision TS – 1039/2022 de l’APD espagnole).Cordialement.
ÉDIT DU 23/11/2022 :
Complément déposé en novembre 2022 :
Bonjour,
Dans ma plainte, je mentionne l'utilisation, par La Poste, de l'outil de mesure d'audience Xiti de la société commerciale AT Internet en indiquant qu'il est automatiquement téléchargé depuis les serveurs informatiques de la société commerciale états-unienne Amazon (comme l'indique elle-même AT Internet sur son site web), ce qui constitue un contact direct entre le terminal du client La Poste et les serveurs d'Amazon qui génère un transfert de données personnelles (adresse IP, marque, modèle et paramètres du terminal, données collectées par Xiti, etc.) vers Amazon et donc vers les États-Unis.
En sus, depuis mars 2021, l’unique actionnaire d'AT Internet est la société commerciale états-unienne Piano Software Inc. (cf. https://www.atinternet.com/presses/at-internet-sassocie-a-piano-pour-creer-la-premiere-plateforme-dexperience-client-basee-sur-lanalyse-contextuelle/). Cette dernière est toujours immatriculée dans le Delaware (cf. https://icis.corp.delaware.gov/Ecorp/EntitySearch/NameSearch.aspx) et elle dispose toujours de plusieurs bureaux aux États-Unis (cf. https://resources.piano.io/about/). Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, de ces faits, AT Internet est soumise au Cloud Act. Votre analyse appuyant votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics est de pleine application ici.
Bonne journée.
FIN DE L'ÉDIT du 23/11/2022.