Daily RSS Feed
The Daily Shaarli
Suite : nouvel espace client Banque Populaire : externalisation, non-conformité RGPD et non-sens technique
Le 29/04/2022, j'ai signalé au délégué à la protection des données personnelles (DPO) de la section régionale de la Banque Populaire dont je dépends deux types d'infractions au RGPD commises sur le nouvel espace client de la Banque Populaire (voir) :
- Téléchargement automatique de ressources (feuille de style, police de caractères, scripts JavaScript) depuis des serveurs informatiques tiers situés aux États-Unis et/ou détenus par des sociétés commerciales états-uniennes hors des dispositions prévues par le RGPD. Exemple : Google Fonts ;
- Téléchargement automatique de ressources depuis des serveurs informatiques tiers situés dans l'Union européenne et/ou détenus par des sociétés commerciales européennes sans base légale. Exemple : KeyCDN.
Le 4 juillet 2022, le DPO de la Banque Populaire régionale m'a répondu (exemplaire PDF) :
Monsieur,
Nous vous remercions de votre courrier qui a retenu toute notre attention.
La Banque Populaire XXXXXXXXXX demeure très attentive à la protection des données personnelles en sa qualité d'acteur bancaire et déploie tous les efforts nécessaires afin de préserver les informations de ses clients.
Vous nous avez alertez sur le recours à des scripts téléchargés depuis des ressources externes pouvant entraîner un transfert en dehors de l’Union Européenne de l'adresse IP.
A titre liminaire, nous nous permettons de vous rappeler que l'intervention de sociétés américaines ou affiliées à des sociétés américaines, en qualité de destinataire de ces informations, n'implique pas de facto l'existence d’un transfert de données personnelles en direction des Etats-Unis. Quand tel est le cas, ou lorsque des flux de données personnelles sont transférées vers tout autre pays non adéquat, nous mettons en place des mesures techniques, organisationnelles et contractuelles appropriées après diagnostic de la sensibilité de ces données transférées et dans le respect des conditions de l'article 46 du RGPD et en conformité avec notre notice d’information.
Au service de nos clients, nous demeurons soucieux de la protection de leurs données personnelles et espérons vous avoir apporté les éclaircissements attendus.
Je vous souhaite bonne réception de la présente et vous prie d’agréer, Monsieur, l'assurance de mes salutations distinguées.
Qu'en penser ? Absence de réponse sur le deuxième type d'infractions, forte suspicion d'ignorance des aspects techniques, réponse d'ordre général / pas un mot sur les infractions relevées, probable ignorance des récentes décisions en la matière pourtant référencées dans mon courrier initial, et de ce fait, négation de la réalité et énonciation d'inexactitudes. Après deux mois de cogitation. Chapeau, l'artiste !
J'ai du mal à interpréter cette réponse autrement que comme une volonté flagrante de ne pas comprendre, de ne pas traiter ma demande ou d'y faire obstruction afin de faire perdurer les pratiques de la banque. Mais peut-être est-ce de l'incompétence ?
Énième exemple de l'inefficacité des recours internes (comme les dispositifs pour les lanceurs d'alerte) et des autorités de contrôle sectorielles (CNIL, ARCEP, IGPN, etc).
Que faire ? Répondre dans le vent ? N'est-ce pas cramer inutilement de l'énergie ? Signaler la réponse à la CNIL qui va rien faire ?
Malgré l'absence d'espoir, j'ai décidé de répondre. De tenter la pédagogie une fois de plus. Et de secouer la CNIL. Motivations : consigner le foutage de gueule, mettre en lumière les carences des uns et des autres, et documenter le naufrage, l'écart entre la théorie (la jolie réglementation) et la réalité.
Résumé de mon argumentaire :
-
Concernant le téléchargement automatique de ressources depuis des serveurs informatiques tiers situés aux États-Unis et/ou détenus par des sociétés commerciales états-uniennes :
- L'inclusion de feuilles de style, de polices de caractère, de scripts, etc. hébergés par un tiers génère un transfert de données personnelles chez ce tiers (adresses IP, entêtes techniques HTTP). Ces données personnelles, qui se renforcent entre elles, sont discriminantes / individualisantes, surtout pour un acteur hégémonique présent sur un grand nombre de sites web qui peut alors identifier des personnes physiques et/ou suivre leur navigation sur le web ;
-
Un transfert de données personnelles en dehors de l'Union européenne peut avoir lieu uniquement si une décision d'adéquation existe (article 45 du RGPD), ou si des garanties appropriées sont mises en œuvre (article 46 du RGPD), ou si ça fait partie des exceptions prévues par l'article 49 du RGPD (consentement ou traitement nécessaire à l'exécution d'un contrat) ;
-
Or, concernant Google Fonts utilisé en mode API (on laisse le navigateur web du visiteur télécharger directement la police de caractères sur les serveurs informatiques de Google) :
- Google reconnaît recevoir et stocker des données personnelles ;
- De toute façon, le transfert de l'adresse IP aux États-Unis a été entériné par plusieurs juridictions et autorités de contrôle ;
- Il n'existe plus de décision d'adéquation entre les États-Unis et le droit européen (RGPD). La dernière, le Privacy Shield, a été invalidée par la Cour de Justice de l'Union européenne en 2020 (arrêt dit « Schrems II ») ;
- Comme l'indique Google elle-même, sa mise en œuvre des clauses contractuelles types, l'un des mécanismes prévus à l'article 46 du RGPD, ne couvre pas son service Google Fonts. De toute façon, ces clauses et les autres garanties présentées par Google sont irrecevables ;
- La Banque Populaire n'évoque pas l'existence d'autres dispositions contractuelles au sens de l'article 46 du RGPD et l'on peut constater qu'aucune garantie technique est mise en œuvre ;
- La Banque Populaire ne saurait bénéficier des exceptions de l'article 49 du RGPD : le consentement n'est pas recueilli et il serait de toute façon vicié car Google Fonts est nécessaire à l'utilisation de l'espace client ; la nécessité du transfert pour l'exécution du contrat est inexistante ;
- Google reconnaît recevoir et stocker des données personnelles ;
- Conclusion : le transfert de données personnelles à Google lors de l'utilisation de Google Fonts sur l'espace client de la Banque Populaire est dénué de base légale ;
- Ce raisonnement s'applique aux autres ressources que l'espace client web de la Banque Populaire fait télécharger automatiquement aux navigateurs web de ses clients auprès des entités ricaines AppDynamics, Tealium et Ibenta.
- L'inclusion de feuilles de style, de polices de caractère, de scripts, etc. hébergés par un tiers génère un transfert de données personnelles chez ce tiers (adresses IP, entêtes techniques HTTP). Ces données personnelles, qui se renforcent entre elles, sont discriminantes / individualisantes, surtout pour un acteur hégémonique présent sur un grand nombre de sites web qui peut alors identifier des personnes physiques et/ou suivre leur navigation sur le web ;
-
Concernant le téléchargement automatique de ressources depuis des serveurs informatiques tiers situés dans l'Union européenne et/ou détenus par des sociétés commerciales européennes :
- Comme au premier point, l'inclusion de feuilles de style, de polices de caractère, de scripts, etc. hébergés par un tiers génère un transfert de données personnelles chez ce tiers (adresses IP, entêtes techniques HTTP) ;
- Le transfert à un tiers est libre, mais il faut une finalité et une base légale à ce traitement de données personnelles (même s'il est internalisé). Le RGPD prévoit six bases légales, mais deux sont susceptibles de s'appliquer dans le cas d'espèce : l'intérêt légitime et le consentement ;
- Pour décrocher l'intérêt légitime, il faut que le traitement ait un réel intérêt, qu'il soit nécessaire et que l'atteinte aux droits des personnes soit proportionnée. Un outil de gestion de la performance (KeyCDN) un mécanisme de tests A/B ne remplissent pas ces conditions. À titre d'analogie, la Cour régionale de Munich fait le même constat pour l'utilisation de Google Fonts ;
- Le consentement explicite et spécifique du client Banque Populaire n'est pas recueilli et le refus des cookies dans le pop-up dédié ne désactive pas le téléchargement des ressources éditées par KeyCDN et Kameleoon ;
- Conclusion : le système de gestion de la performance KeyCDN et le mécanisme de tests A/B Kameleoon sont utilisés en dehors de toute base légale par la Banque Populaire.
- Comme au premier point, l'inclusion de feuilles de style, de polices de caractère, de scripts, etc. hébergés par un tiers génère un transfert de données personnelles chez ce tiers (adresses IP, entêtes techniques HTTP) ;
Ma réponse au DPO de ma Banque Populaire régionale :
Objet : suite non-conformité RGPD nouvel espace client BP
Bonjour,
Je fais suite à votre réponse du 4 juillet 2022 à mon courrier du 29 avril 2022.
Vous m’adressez une réponse d’ordre général alors que mon relevé d’infractions au RGPD appelle une réponse contextualisée et circonstanciée aux cas d’espèce.
D’abord, vous écrivez « Vous nous avez alertez sur le recours à des scripts téléchargés depuis des ressources externes pouvant entraîner un transfert en dehors de l’Union Européenne de l’adresse IP ».Je vous ai signalé que l’espace client web de la Banque Populaire (BP) fait télécharger automatiquement au navigateur web du client BP des ressources numériques de plusieurs types (feuilles de style, polices de caractères, scripts, etc.) ‒ il n’y a donc pas que des scripts ‒ depuis des infrastructures numériques situées aux États-Unis et/ou détenues par des organisations qui dépendent du droit états-unien.
Je vous ai également signalé que ces téléchargements génèrent un transfert de plusieurs données personnelles du client BP en dehors de l’Union européenne. L’adresse IP, mais également la langue du client BP (entête HTTP Accept-Language), la date et l’heure des consultations de l’espace client BP, l’adresse ‒ URL ‒ des rubriques (« Comptes », « Opérations », etc.) consultées sur l’espace client BP (entêtes HTTP Referer et CORS Origin), la marque et le modèle du navigateur web du client BP (entête HTTP User-Agent), etc.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique comme la société commerciale Google qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans la mise en demeure de la CNIL concernant l’utilisation de Google Analytics du 10 février 2022 (https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure ; lien court : https://s.42l.fr/cnil-go).
La transmission des données personnelles sus-référencées lors de l’utilisation du service Google Fonts en mode API (celui utilisé sur le nouvel espace client BP) est reconnue par la société commerciale états-unienne Google, voir : https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users (lien court : https://s.42l.fr/go-fo).
Ensuite, vous écrivez que « l’intervention de sociétés américaines […] n’implique pas de facto l’existence d’un transfert de données personnelles en direction des États-Unis ».Dans le cas d’espèce Google Fonts, qui est l’une des infractions de BP au RGPD que je vous ai signalé, si. Dans sa décision 3_O_17493/20, la Cour régionale de Munich (https://gdprhub.eu/index.php?title=LG_M%C3%BCnchen_-_3_O_17493/20 ; lien court : https://s.42l.fr/munich), rappelant les conclusions identiques de l’arrêt C-311/18 de la Cour de Justice de l’Union européenne (CJUE), a jugé que l’utilisation des polices de caractères Google Fonts en mode API (comme le fait BP) entraîne forcément un transfert de l’adresse IP aux États-Unis. Dans sa mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics sus-référencée, la CNIL confirme cette analyse. Les autres données personnelles sus-référencées sont également transférées.
Enfin, vous écrivez que, lors de transferts de données personnelles vers les États-Unis ou de tout autre pays non adéquat, vous mettez « en place des mesures […] dans le respect des conditions de l’article 46 du RGPD ».Les conditions d’utilisation de Google Fonts (https://policies.google.com/terms/service-specific?hl=fr-CA ; lien court : https://s.42l.fr/gopo) ne prévoient pas de telles dispositions.
Comme indiqué par la société Google elle-même (https://policies.google.com/privacy/ frameworks ; lien court : https://s.42l.fr/go46), sa mise en œuvre des clauses contractuelles types ne couvre pas son service Google Fonts.
En tout état de cause, comme l’analysent la CNIL dans sa mise en demeure de février 2022 concernant Google Analytics sus-référencée et l’EDPS dans sa décision numéro 2020-1013 (https://gdprhub.eu/index.php?title=EDPS_-_2020-1013 ; lien court : https://s.42l.fr/edps), les clauses contractuelles types de Google ont été indirectement invalidées par l’arrêt C-311/18 de la CJUE au motif de la surveillance d’État, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toutes les mesures contractuelles, organisationnelles et techniques prises et/ou présentées par Google.
La « notice d’information sur le traitement des données à caractère personnel » de la BP (Notice BP) n’énonce pas d’autres instruments juridiques (autre que les décisions d’adéquation et les clauses contractuelles types, s’entend).
On peut avoir la certitude que la BP dispose d’aucun instrument juridique (au sens de l’article 46 du RGPD) avec Google, car il n’est pas possible de contractualiser bilatéralement avec cette société commerciale pour utiliser son service Google Fonts.
On peut avoir la certitude que la BP met en place aucune mesure technique. Le nouvel espace client BP inclut une instruction technique ordonnant au navigateur web du client BP le téléchargement d’une police de caractère directement auprès des serveurs informatiques de Google. Dès lors, la requête de téléchargement émise par le navigateur web du client BP ne chemine pas par l’infrastructure technique de la BP (pour paraphraser la CNIL : il y a un contact direct entre le terminal du client BP et les serveurs informatiques de Google), donc elle échappe totalement à la BP, qui peut, de ce fait, prendre aucune mesure technique.
En l’absence d’une décision d’adéquation (article 45 du RGPD), de garanties appropriées (article 46 du RGPD), seul l’article 49 du RGPD est applicable aux transferts de données personnelles hors de l’UE.
Or, comme consigné dans mon courrier initial, BP ne recueille pas explicitement le consentement du client BP pour le transfert de certaines de ses données personnelles vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui (y compris dans la Notice BP), comme l’impose l’article 49.1a du RGPD. Quand bien même la BP le recueillerait, il serait vicié car, en l’absence de Google Fonts, l’espace client BP est inutilisable (j’expose en détails ses dysfonctionnements dans mon courrier initial), ce qui contraint le client BP à accepter de force le traitement de données personnelles réalisé par Google.
De même, la nécessité du transfert pour l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable puisque un hébergement internalisé de la police de caractères est techniquement et juridiquement possible à un coût nul.
Tout le raisonnement concernant Google Fonts déroulé depuis le début de ce courrier et ses conclusions s’appliquent également aux ressources des sociétés commerciales états-uniennes AppDynamics (appdynamics.com), Tealium (tiqcdn.com) et Ibenta (ibenta.io) qui sont également chargées en direct par l’espace client BP.
Votre réponse reste muette sur la deuxième partie de mon courrier dans laquelle je vous signale l’infraction au RGPD que constitue le téléchargement auto, par l’espace client web BP, et sans base légale, de ressources hébergées sur les infrastructures techniques des sociétés commerciales européennes KeyCDN et Kameleoon.L’intérêt légitime (qui semble être la base légale prévue par la Notice BP pour la finalité mise en œuvre par les outils de ces sociétés commerciales) n’est pas recevable. Dans mon courrier initial, j’ai argumenté mal à propos, donc je vous présente ci-dessous mon argumentaire rectifié.
Le traitement de données personnelles avec intérêt légitime doit être en adéquation avec l’objectif affiché, être nécessaire et être proportionné avec les droits et les libertés des personnes dont les données personnelles sont exploitées.
Or, un système de gestion de la performance (KeyCDN) et un mécanisme de tests A/B (Kameleoon) ne présentent pas de réel intérêt dans le contexte d’un espace client. On peut leur substituer des enquêtes d’opinion auprès des clients ou le traitement des mécontentements émis par les clients auprès des conseillers clientèle ou un test comparatif réalisé sur un panel de volontaires représentatif des clients BP avant la mise en service d’une nouvelle version de l’espace client BP.
De même, il n’est pas nécessaire d’externaliser ce type d’outils numériques : ils peuvent être internalisés (l’éventuel coût induit n’est pas un critère suffisant pour botter en touche d’après le CEPD), ou, a minima, être hébergés sur les infrastructures techniques de la BP (à coût quasi-nul).
Enfin, dans le cas d’espèce, le transfert de données personnelles (adresse IP, date+heure, la rubrique consultée sur l’espace client BP, la marque et le modèle du navigateur web du client BP, la langue du client BP, etc.) à des sociétés tierces porte une atteinte inutile et disproportionnée aux droits des clients BP.
Vous noterez que l’intérêt légitime a été invalidé par la Cour régionale de Munich dans le dossier Google Fonts sus-référencé précisément sur cet ensemble d’arguments.
Le consentement n’est pas recevable. Il n’est pas recueilli explicitement à ce jour et le refus de tous les cookies (sauf ceux obligatoires) dans le pop-up dédié n’empêche pas le téléchargement desdites ressources et donc un transfert de données personnelles non-consenti à des sociétés tierces.
Aucune autre base légale est applicable au cas d’espèce. Le transfert des données personnelles des clients BP sus-référencées aux sociétés commerciales européennes KeyCDN et Kameleoon est donc illégal.
Je reformule les demandes de mon premier courrier (synthèse : mise en conformité RGPD de l’espace client web BP) :
Faire stopper les transferts illégaux de données personnelles à destination des sociétés commerciales états-uniennes Google, AppDynamics, Tealium (tiqcdn.com) et Ibenta.
- Pour Google Fonts, la manière la plus rapide, simple et efficace est d’héberger la police de caractères utilisée par l’espace client BP sur les serveurs informatiques de BP, à côté des autres composants de cet espace client (pages de texte, images, etc.). Google le permet juridiquement sans procédure bureaucratique. Aucune difficulté technique. Cela accroîtra la robustesse de l’espace client BP (il deviendra insensible aux pannes de Google et/ou des intermédiaires techniques entre les clients BP et Google). À défaut, BP peut cesser d’utiliser une telle police au profit d’une de base.
- Pour AppDynamics, Tealium et Ibenta, le plus rapide, simple et efficace est de cesser de recourir à ces outils dont l’intérêt réel est inexistant et dont l’externalisation engendre une atteinte disproportionnée aux droits des clients BP. Voir, par analogie, le raisonnement sur KeyCDN et Kameleoon présenté ci-dessus.
- À défaut, il reste possible d’héberger ces outils sur les serveurs informatiques de BP (si leurs éditeurs le permettent), de recourir à des éditeurs européens, de développer en interne des outils équivalents, ou de recueillir le consentement explicite du client BP pour que certaines de ses données personnelles soient transférées aux États-Unis en tenant compte de l’analyse de la CNIL dans sa mise en demeure du 10 février 2022 concernant Google Analytics : « le consentement par un utilisateur au dépôt de traceurs lors de sa visite sur le site web ne saurait être considéré comme équivalent au « consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées » au sens de l’article 49.1.a du Règlement. ». Dans tous les cas, le consentement (au traitement) est la seule base légale applicable, cf le raisonnement pour KeyCDN et Kameleoon.
- Faire stopper les traitements de données personnelles dénués de base légale opérés par les sociétés commerciales européennes KeyCDN et Kameleoon. Pour ce faire, la BP devrait cesser de recourir à ces outils dont l’intérêt réel est inexistant (voir le raisonnement présenté avant les présentes demandes).
- À défaut, la BP devra recourir à la base légale du consentement (et non pas à celle de l’intérêt légitime), à l’opt-in, et, en cas de refus du client BP, la BP devra s’interdire techniquement de faire télécharger les outils de ces sociétés par son navigateur web (notez bien qu’un refus devra empêcher le téléchargement, un cookie inerte / inactif n’est pas suffisant pour faire stopper le transfert / trt de données personnelles). Idem en cas de choix d’hébergement interne ou d’internalisation (base légale = consentement).
Cordialement.
J'ai également complété mes plaintes auprès de la CNIL (Comment faire ? https://services.cnil.fr/ > Connexion > Mes demandes > cliquer sur une plainte > bouton « Compléter ma demande »).
Concernant les ressources téléchargées depuis des acteurs ricains :
Bonjour,
Le DPO de la Banque Populaire XXXXXXXXXX m'a répondu le 4 juillet 2022. Vous trouverez une copie de ce courrier en pièce jointe.
Cette réponse n'est pas satisfaisante : elle est d'ordre général, elle ne dit pas un mot sur les infractions relevées, elle fait fi de la bibliographie proposée dans mon courrier initial, et de ce fait, elle nie la réalité et énonce des inexactitudes.
De ces faits, cette réponse consigne une ignorance des mécanismes techniques en jeu et des décisions récentes (LG München 3 O 17493/20, EDPS 2020-1013, mise en demeure CNIL du 10 février 2022 concernant Google Analytics) pourtant référencées dans mon courrier initial, et/ou une volonté flagrante de ne pas comprendre, de ne pas traiter ma demande ou d'y faire obstruction afin de faire perdurer les pratiques de la banque.
Le 9 juillet 2022, j'ai répondu à ce courrier par une nouvelle lettre recommandée avec accusé de réception. Vous la trouverez en pièce jointe accompagnée de la preuve de dépôt La Poste.
Une nouvelle fois, j'en appelle à une intervention de la CNIL.
Cordialement.
Concernant les ressources téléchargées depuis des acteurs européens :
Bonjour,
Le DPO de la Banque Populaire XXXXXXXXXX (BP XXXX) m'a répondu le 4 juillet 2022. Vous trouverez une copie de ce courrier en pièce jointe.
Les éléments de réponse concernent les faits signalés à la CNIL dans ma plainte numéro 28-7788, pas les infractions signalées dans la présente plainte.
Le 9 juillet 2022, j'ai répondu à ce courrier par une nouvelle lettre recommandée avec accusé de réception. Vous la trouverez en pièce jointe accompagnée de la preuve de dépôt La Poste.
Contrairement à mon courrier initial, j'y présente un argumentaire recevable invalidant la base légale de l'intérêt légitime.Face au silence du DPO BP XXXX, j'en appelle une nouvelle fois à une intervention de la CNIL.
Cordialement.
