Après une première plainte concernant l'impossibilité de s'inscrire à Pôle emploi sans accepter le téléchargement de scripts hébergés sur les serveurs informatiques d'une société commerciale états-unienne (ce qui contrevient au RGPD), et une deuxième plainte portant sur les liens et l'image traçants que Pôle emploi insère dans ses emails (courrier disponible sur l'espace personnel web, échange avec un conseiller, etc.), une troisième plainte est nécessaire.
Pôle emploi m'impose un atelier en visioconférence sous la menace habituelle de sanction. L'outil de visio est Microsoft Teams. Le seul lien communiqué pour rejoindre la conférence est un lien raccourci par la société commerciale états-unienne Bitly. Infractions au RGPD. Le raisonnement juridique reste le même.
Dans sa convocation, Pôle emploi demande de ne pas mettre de données personnelles dans le tchat de Teams (car les messages écrits transitent par Microsoft ?). Peu importe, l'accès à la salle de visio et la mise en relation passe par Microsoft. Peu importe, il faut sûrement décliner son identité à l'oral pour émarger la feuille de présence. C'est en ça qu'une réponse « utilisez un PC libre-service de votre agence Pôle emploi » n'est pas appropriée : les flux audio et vidéo ne sont pas forcément en pair-à-pair (en cas de "mauvaise" connexion, Teams ajoute automatiquement des relais, par exemple), et, toute façon, la signalisation, qui transite par Microsoft, contient l'adresse IP du participant à la visio (afin établir des flux médias pair-à-pair).
Du coup, hop, plainte à la CNIL.
Bonjour,
Le 06/10/2022, Pôle emploi m’a convoqué à un atelier en visioconférence, cf. PJ 1.
Le seul lien communiqué utilise le raccourcisseur d'URL de la société Bitly ; L'outil de visio est Microsoft Teams.
Contact direct entre le terminal du demandeur d'emploi et les serveurs informatiques de ces deux sociétés commerciales états-uniennes.
Transferts illégaux de données personnelles vers les États-Unis (articles 44 et suivants du RGPD).Je vais signaler ces manquements au DPO de Pôle emploi en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Bonne journée.
Bonjour,
Le 06/10/2022, Pôle emploi (PE) m’a convoqué à un atelier en visioconférence, cf. courrier dans PJ 1.
À date, le seul* moyen d’accéder à la salle de visioconférence est un lien raccourci proposé via la société commerciale états-unienne Bitly. Il y a un contact direct entre le terminal du demandeur d’emploi (DE) et les serveurs informatiques de Bitly afin d’être redirigé vers le lien long.
$ whois bit.ly | grep 'Registrant Organization'
Registrant Organization: Bitly$ dig +short bit.ly | xargs -L1 whois | grep OrgName
OrgName: Bitly Inc
OrgName: Bitly Inc(* Dans la rubrique « Mes services à la carte » de l’espace personnel candidat PE mentionnée dans le courrier de PE, je retrouve uniquement le lien bit.ly alors que nous sommes bien « la veille du rendez-vous ». Dans « Mon agenda Pôle emploi », cet atelier n’apparaît pas.)
L’outil de visioconférence que PE me demande d’utiliser est Teams de la société commerciale états-unienne Microsoft. Là encore, contact direct entre le terminal du DE et les serveurs de Microsoft, au moins pour accéder à la salle de visioconférence, pour la mise en relation avec ladite salle, et pour la signalisation technique des échanges (y compris audio / vidéo).
$ wget -O /dev/null https://bit.ly/3R902mT |& grep Emplacement
Emplacement : https://teams.microsoft.com/l/meetup-join/19:meeting_MDc4MGZhYjctMGZlOS00YzYzLThjNWYtOWYyNjViZTI5MTg4@thread.v2/0?context={"Tid":"55a8600f-4ee6-4bb5-8f14-53589536b6df","Oid":"7aff6c1b-8081-4579-b93d-f6e244acaed0"} [suivant]
Emplacement : /dl/launcher/launcher.html?url=%2F_%23%2Fl%2Fmeetup-join%2F19%3Ameeting_MDc4MGZhYjctMGZlOS00YzYzLThjNWYtOWYyNjViZTI5MTg4%40thread.v2%2F0%3Fcontext%3D%257B%2522Tid%2522%3A%252255a8600f-4ee6-4bb5-8f14-53589536b6df%2522%2C%2522Oid%2522%3A%25227aff6c1b-8081-4579-b93d-f6e244acaed0%2522%257D%26anon%3Dtrue&type=meetup-join&deeplinkId=a9080fc3-9725-4ccc-b7f0-0f5dc0821a88&directDl=true&msLaunch=true&enableMobilePage=true [suivant]$ dig +short teams.microsoft.com
teams.office.com.
teams-mira-afd.trafficmanager.net.
teams-office-com.s-0005.s-msedge.net.
s-0005.s-msedge.net.
52.113.194.132$ whois 52.113.194.132 | grep OrgName
OrgName: Microsoft CorporationSans participer à la visioconférence, il m’est impossible de déterminer si les flux multimédias (audio / vidéo) transiteront ou non par des serveurs informatiques de Microsoft (plusieurs topologies sont paramétrables d’après la documentation officielle de Teams, impossible de savoir laquelle a été retenue par Pôle emploi). On notera que cette caractérisation est uniquement accessible à des informaticiens avec des compétences en réseaux informatiques et sachant manier les outils adéquats…
De même, la bascule (ou non) desdits flux sur des serveurs appartenant à Microsoft dépend de l’accès à Internet et du paramétrage de chaque participant à la visioconférence. En effet, en cas de filtrage réseau ou de Network Address Translation (pratiqué par tous les Fournisseurs d’Accès à Internet commerciaux grand public français) ou de CGNAT (NAT à très grande échelle pratiqué par tous les FAI français sur leurs offres mobiles), des relais hébergés sur ses serveurs informatiques par Microsoft peuvent être automatiquement et dynamiquement ajoutés par Teams entre certains participants à une visioconférence. Les flux audio et vidéo de tous les participants transiteront alors via ces relais (même s’ils ont été ajoutés pour le compte d’un seul participant).
Dans ces deux cas, des données personnelles supplémentaires (visage, voix, ainsi que prénom + nom lors de la vérification des DE présents) transiteraient par lesdits serveurs.
Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, l’utilisation de services de sociétés commerciales états-uniennes (Bit.ly et Teams) hébergés sur des serveurs informatiques détenus par lesdites sociétés génère en elle-même et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du DE : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (il rejoint une salle de visioconférence ouverte par PE), éventuellement sa voix, son visage, etc.Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique comme Microsoft ou Bitly. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.
À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.
Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, toutes les garanties appropriées, ainsi que les clauses de non-espionnage rajoutées à la hâte dans les contrats, ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
Dans sa page d’information dédiée à la protection des données personnelles (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html), Pôle emploi ne mentionne pas l’existence de ces transferts de données personnelles à destination des États-Unis. De ce fait, nous pouvons avoir la certitude qu’il ne recourt pas à des instruments juridiques et/ou à des mesures supplémentaires prévus aux articles 46 et 47 du RGPD. De plus, on peut avoir la certitude que PE met en œuvre aucune mesure technique complémentaire, car il y a un contact direct entre le terminal du DE et les serveurs informatiques des sociétés commerciales états-uniennes Bitly et Microsoft, donc toute requête web échappe totalement à PE qui peut, de ce seul fait, prendre aucune mesure technique.
Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.
PE ne recueille pas explicitement le consentement du DE pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.
En tout état de cause, s’il était recueilli, il serait vicié par l’obligation faite au DE d’assister à la visioconférence sous peine de sanction.
La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable. Concernant bit.ly, il est techniquement possible d’utiliser un lien direct ou un raccourcisseur d’URL hébergé par un prestataire européen sur des serveurs situés dans l’UE. Concernant Teams, il est possible de recourir à un prestataire européen équivalent qui héberge sa solution sur des serveurs situés dans l’UE. Il est également possible de prodiguer cet atelier en présentiel.
En conclusion, l’utilisation, par Pôle emploi, de Bit.ly pour raccourcir l’URL d’une salle de visioconférence, et celle du service de visio Teams, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.
Je vais signaler, au DPO de Pôle Emploi, ces manquements au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.