En octobre 2022, j'ai signalé à la CNIL que, pour diffuser des vidéos sur son site web, elle utilisait un prestataire français, Webcastor, qui s'héberge sur des infrastructures états-uniennes (voir).
En janvier 2023, le DPO de la CNIl m'a répondu avoir, à titre préventif, internalisé l'hébergement des vidéos et être en discussion, avec son prestataire, sur la conformité de sa solution avant de décider si la CNIL continuera à y avoir recours.
Je lui répondais dans la foulée qu'il n'avait pas internalisé les vidéos, mais seulement celles que j'avais pointé alors qu'il lui incombe de procéder à une mise en conformité totale (ce n'est pas à moi de pointer chaque vidéo). De nouvelles vidéos avaient été mises en ligne après l'ouverture de ma réclamation…
Je n'ai jamais eu de réponse. D'où cette nouvelle réclamation déposée mi-avril 2023.
Depuis, j'ai constaté, sans étonnement, que la CNIL s'en fout complet du RGPD : elle a refait appel à ce prestataire, toujours hébergé par des entités ricaines, pour diffuser le direct de son colloque dédié à ses 45 ans (voir 1 et 2) et celui du Privacy Research Day.
Bonjour,
Dans ma réclamation CNIL numéro <CENSURE>, je signalais à la CNIL que plusieurs vidéos de son site web étaient diffusées via le service Streamfizz de la société commerciale française Webcastor, qui, elle-même, déléguait son infrastructure technique à plusieurs sociétés commerciales états-uniennes (Vercel, Amazon, Microsoft, Google, DigitalOcean, Stellate, Fastly), y compris la production d'un journal des événements (lecture de la vidéo, pause, reprise, recherche, etc.). Il s'agissait de transferts illégaux de données personnelles vers un État tiers non adéquat.
Dans sa décision de clôture de ma réclamation du 10 janvier 2023, la CNIL m'informait que les vidéos concernées « ont en effet été rendues directement accessibles à partir du site institutionnel cnil.fr » et que des « échanges sur la conformité au RGPD de la solution Streamfizz […] se poursuivent […] avec la société Webcastor ». Cf. PJ 1.
Le 10 janvier 2023, j'ai informé le DPO de la CNIL, qui m'a transmis la décision de clôture, que des vidéos du site web de la CNIL étaient toujours diffusées via le service Streamfizz de Webcastor. J'illustrais cela par la vidéo air2022 (https://www.cnil.fr/fr/rediffusion-air2022-retrouvez-levenement-en-video) mise en ligne trois semaines après l'ouverture de ma réclamation et la vidéo bac à stable EdTech (https://www.cnil.fr/fr/bac-sable-edtech-la-cnil-accompagne-10-projets-innovants, https://www.cnil.fr/fr/la-cnil-propose-un-nouveau-bac-sable-pour-accompagner-linnovation-numerique-dans-le-domaine-de, https://www.cnil.fr/en/edtech-sandbox-cnil-supports-10-innovative-projects). Cf. PJ 1.
Cela démontre une carence dans la mise en conformité du site web de la CNIL suite à ma réclamation numéro <CENSURE>.
À ce jour, ces vidéos sont toujours diffusées via le service Streamfizz de Webcastor. Cette dernière a toujours recours à la palanquée de sociétés commerciales états-uniennes pour diffuser lesdites vidéos.
Il y a donc toujours des transferts illégaux de données personnelles vers un État tiers non adéquat depuis le site web de la CNIL.
Bonne journée.
Bonjour Monsieur,
Vous nous avez saisis d'une plainte (P<NUMÉRO_CENSURÉ> du <DATE_CENSURÉE>) concernant les modalités de diffusion des vidéos de la CNIL.
Comme indiqué dans le cadre de la clôture de votre précédente plainte (P<NUMÉRO_CENSURÉ>), je vous confirme que les travaux se sont poursuivis avec la société Webcastor afin de proposer une nouvelle solution de mise à disposition des vidéos de la Commission. Cette nouvelle solution est en cours de déploiement.
Nous ne manquerons de vous tenir informé de l'issue prochaine de ces travaux.
Bien à vous,
Bonjour,
Dans sa décision que vous m’avez relayé le 10/01/2023, le secrétaire général adjoint de la CNIL écrit également que « des mesures conservatoires ont été prises afin de modifier les conditions d'hébergement et de diffusion des vidéos concernées ». Ces mesures sont présentées comme étant l’une des actions de la CNIL ayant permis « d'apporter une réponse appropriée à la situation » signalée.
Par retour d’email le 10/01/2023 et par la présente réclamation, je tente de vous faire constater que ces mesures préventives ont été partielles car portant sur les seules vidéos que je vous ai explicitement signalées dans ma réclamation <NUMÉRO_CENSURÉ> d’octobre 2022, alors qu’en toute logique, elles auraient dû être appliquées à l’intégralité des vidéos diffusées sur le site web de la CNIL, surtout celles mises en ligne postérieurement à ma réclamation, comme air2022.
Or, même aujourd’hui, ce n’est pas le cas : les vidéos référencées dans la présente réclamation, et probablement d’autres, sont toujours diffusées via la solution Streamfizz de Webcastor qui a toujours recours aux mêmes prestataires états-uniens (au moins pour son lecteur, la géolocalisation, et les stats).
Quant à l’émergence d’une solution conforme au RGPD (donc sans recourir au Data Privacy Framework) proposée avec / par Webcastor, je suis dubitatif dans la mesure où les diffusions en direct du colloque des 45 ans de la CNIL (23/05/2023) et du Privacy Research Day (14/06/2023, soit 8 mois après ma réclamation <NUMÉRO_CENSURÉ>) étaient assurées via Webcastor et ses prestataires états-uniens… Le direct de vos 45 ans fait d’ailleurs l’objet de la réclamation <NUMÉRO_CENSURÉ> (l’information est publique).
Bonne semaine.
P.-S. : sans rapport immédiat avec la présente réclamation, je vous informe que le script JavaScript « https ://cnil.fr/sites/cnil/files/js/js_oQ-FFnywjdD92uXfscXi9VUSDMJk5b1ZOrahSz_1pvo.js » inclus à la fin de chaque page du site web de la CNIL fait télécharger le script « https ://cdnjs.cloudflare.com/ajax/libs/jquery-mousewheel/3.1.13/jquery.mousewheel.min.js » auprès de la société commerciale états-unienne Cloudflare. Ce fut déjà le cas les 17 et 18 juin 2023 avant d’être corrigé suite à un signalement (là encore, l’info est publique). Je n’ai pas l’énergie d’ouvrir une demande dédiée…