Le libraire Decitre utilise le prestataire d'e-mailing états-unien MailChimp pour émettre ses emails de suivi d'une commande. Ce n'est pas conforme au RGPD (transfert illégal de données personnelles en dehors de l'UE, dont l'adresse emails du client Decitre), cf. la décision LDA-1085.1-12159/20-IDV de l'autorité de protection des données personnelles (APD) bavaroise portant sur MailChimp.
L'email contient des liens traçants et une image traçante. Liens traçants = identifiant unique + rebond via un intermédiaire avant d'atteindre la destination, afin d'enregistrer le clic sur tel lien. Image traçante = 1 x 1 pixel, transparente, avec un identifiant unique dans son nom, afin de détecter l'ouverture de l'email. Absence de nécessité et de collecte du consentement, donc infraction au RGPD. Le raisonnement juridique reste identique à mes autres plaintes sur le même sujet.
L'image traçante est téléchargée depuis la société commerciale états-unienne Amazon. La première destination est liens est aussi hébergée chez Amazon. Transfert illégal de données personnelles en dehors de l'UE dont l'adresse IP, la marque, le modèle et des caractéristiques techniques du terminal et du logiciel de messagerie, la date et l'heure de l'ouverture de l'email, etc. Le raisonnement juridique reste identique aux précédentes fois.
Du coup, hop, plainte à la CNIL.
Bonjour,
Après une commande sur le site web du libraire Decitre, ce dernier envoie légitimement des emails (confirmation de la commande, expédition, etc.). Voir PJ 1 (j’ai tronqué du code source les 50 pages de PJ encodées en base64) et PJ 2 (le rendu des emails est rustique, car je désactive l’affichage HTML de tous mes emails).
Tous les liens de la version HTML de chacun de ces emails sont des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). La version HTML de chaque email contient également une image de traçage.
L’image traçante contenue dans les emails et mise en évidence dans PJ 3 et PJ 4 est téléchargée auprès des serveurs web du prestataire d’hébergement informatique de la société commerciale The Rocket Science Group, détentrice des marques Mailchimp et Mandrill, qui agit ici en tant que prestataire de Decitre pour l’envoi desdits emails (cf. les entêtes « Received » des emails).
Ce téléchargement se fait via un nom de domaine Internet dédié (cf. la section concernant les liens traçants ci-dessous), pas depuis celui de Decitre. Par contraste, les images qui participent au contenu (bandeau dans l’entête, logos, etc.) sont téléchargées depuis le site web de Decitre.
De plus, il s’agit d’une image transparente de dimensions 1 pixel sur 1 pixel, autrement dit d’une image sans valeur éditoriale / rédactionnelle.
Dans son URL, on constate l’expressif libellé « track ». On note qu’un des paramètres de l’URL est le numéro de client de Decitre auprès de The Rocket Science Group (cf. entête « X-Mandrill-User »), alors que l’autre est l’identifiant unique de l’email.
Ces différents critères sont ceux d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du client Decitre.
Les liens traçants (accès au suivi de la commande, à la facture, au suivi du colis, au site web de Decitre, etc.) mis en évidence dans PJ 3 et PJ 4 pointent d’abord sur les serveurs web du prestataire de The Rocket Science Group qui redirigent, dans un deuxième temps, vers les destinations finales (site web de Decitre, suivi du colis, etc.).
Rien empêche techniquement Decitre (et son prestataire) d’utiliser des liens directs (qui pointent vers la destination sans rebond préalable via les serveurs de The Rocket Science Group). D’ailleurs, dans la version texte de l’emails, par contrainte technique, les liens sont directs (cf. les premières pages de PJ 1 et PJ 2).
Constats supplémentaires concernant ces liens traçants :
- Présence, dans l’URL, d’un libellé très expressif : « track » ;
- Présence, dans l’URL, du numéro de client de Decitre auprès de The Rocket Science Group (cf. entête « X-Mandrill-User ») ;
- Présence, dans l’URL de deux identifiants uniques, l’un de 10 caractères, l’autre de 105 caractères. Ces caractères sont identiques entre tous les liens d’un même email et doivent, à ce titre, servir à identifier de manière unique ledit email parmi tous les emails envoyés. Le reste des caractères sert à identifier un lien précis dans l’email (afin de détecter ceux actionnés par le destinataire) et à coder la véritable destination du lien (vers laquelle il convient de rediriger après traçage) ;
- Le nom de domaine Internet dédié (« mandrillapp.com »), commun avec l’image traçante, est loué par The Rocket Science Group, et les serveurs web vers lesquels il pointe, et qui effectuent le traçage et la redirection, sont ceux de la société états-unienne Amazon, qui intervient comme hébergeur informatique de The Rocket Science Group.
$ whois mandrillapp.com | grep 'Registrant Organization'
Registrant Organization: THE ROCKET SCIENCE GROUP LLC$ dig +short mandrillapp.com | xargs -L1 whois | grep Organization | sort -u
Organization: Amazon Data Services Ireland Limited (ADSIL-1)
Organization: Amazon Technologies Inc. (AT-88-Z)
La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final). Decitre y a d’ailleurs recours, par contrainte technique, dans la version texte de son email.De plus, je n’ai pas cliqué sur les liens (sauf a posteriori pour rédiger la présente) et mon logiciel de messagerie n’a pas téléchargé l’image traçante puisque je désactive l’affichage HTML de tous mes emails. Decitre (et son prestataire) a donc collecté aucune donnée de traçage me concernant, et cela a eu aucune incidence sur le traitement de ma commande et sa bonne réception. Ces liens traçants et cette image traçante ne sont donc pas nécessaires à l’exécution de mon contrat avec Decitre, mais, en sus, ils constituent des traitements de données personnelles superflus en infraction avec le principe de minimisation du RGPD.
Le client Decitre, destinataire de ces emails, n'est pas informé de l’aspect traçant des liens et de l’image qu’ils contiennent et son consentement n'est pas récolté.
Il découle des deux points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).
L’envoi des emails est effectué par Mandrill / MailChimp / The Rocket Science Group (cf. entêtes « Received » des emails dans PJ 1 et PJ 2), société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne.Il y a donc transfert de données personnelles (adresse emails du client Decitre associée à un numéro de transaction bancaire, à une commande et à des produits, à une date de commande, à une date d’envoi, etc.) à une entité de droit états-unien.
Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.
Comme constaté ci-dessus, le téléchargement (automatique) de l’image traçante et des redirections (en cas de clic sur un lien) se fait auprès des serveurs de la société commerciale états-unienne Amazon. Il y a un contact direct entre le terminal du client Decitre et les serveurs informatiques du prestataire d’hébergement états-unien (Amazon) choisi par le prestataire d’e-mailing états-unien (MailChimp) retenu par Decitre.Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, ces téléchargements en eux-mêmes génèrent de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du client Decitre : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de l’ouverture de l’email Decitre et de ses éventuels clics sur les liens qu’il contient, la marque et le modèle de son logiciel de messagerie, et, en cas de clic sur un lien, de son navigateur web (entête HTTP User-Agent dans les deux cas), etc.
Ces transferts de données personnelles sont distincts de celui que Decitre réalise avec son prestataire d’e-mailing décrit dans le grief précédent afin d’émettre ses emails. Il s’agit de transferts supplémentaires.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes HTTP sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique comme Amazon qui, par sa présence dans les coulisses de nombreux sites web, peut suivre une personne entre les sites web (et ses emails, dans le cas présent) et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser les transferts de données personnelles sus-présentés en dehors de l’UE.
Il n’existe, à l’heure actuelle, aucune décision d’adéquation entre l’UE et les États-Unis (arrêt Schrems II de la CJUE).
Les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE, par l’EDPS (décision numéro 2020-1013) et par différentes APD (dont vous dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics), au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
Le contact direct entre le terminal du client Decitre et les serveurs informatiques du prestataire d’hébergement états-unien (Amazon) démontre que Decitre (et son prestataire MailChimp) met en œuvre aucune mesure technique complémentaire (le contact direct les en empêche).
Le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat (décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics).
Decitre ne recueille pas explicitement le consentement de son client pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD.
La nécessité des transferts des données personnelles sus-énumérées vers les États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un libraire et son client est irrecevable. Le traitement de données personnelles (traque de l’ouverture de l’email et des clics) étant illégal, des transferts de données personnelles vers les États-Unis pour le réaliser aggrave l’infraction au RGPD. Sans compter qu’il existe des prestataires d’e-mailing européens disposant de serveurs informatiques dans l’UE.
Quand bien même Mandrill / MailChimp / The Rocket Science Group serait hébergée sur des serveurs d’Amazon situés dans l’UE (cf. ci-dessus, les adresses IP depuis lesquelles sont téléchargées l’image traçante et les pages de redirection sont déclarées comme étant louées par la société irlandaise Amazon Data Services Ireland Limited), Amazon est une société de droit états-unien, donc le Cloud Act est de pleine application, et le lieu d’hébergement effectif n’a pas d’importance.
Ainsi, le téléchargement automatique de l’image traçante à l’ouverture des emails envoyés par Decitre, ainsi que ceux des pages de redirection (en cas de clic sur l’un des liens contenus dans l’email), auprès de serveurs informatiques détenus par une société commerciale états-unienne, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.
Je vais signaler, au DPO de Decitre (celui de Nosoli, la maison-mère, en réalité), ces manquements au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi plusieurs violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.