Même topo que d'habitude : le site web de Pôle Emploi, l'établissement public à caractère administratif chargé du service public de l'emploi, intègre des scripts JavaScript et d'autres ressources web hébergées sur des serveurs informatiques de sociétés commerciales états-uniennes (essentiellement des CDN), ce qui est incompatible avec le RGPD. Il faut une société commerciale ricaine pour s'inscrire au Pôle Emploi ! (Impossible de valider le formulaire d'inscription sans deux scripts hébergés derrière le CDN d'Edgecast Networks.)
Avec une volonté contradictoire de présenter, dans le bandeau cookies, l'outil de mesure d'audience Xiti comme étant nécessaire (ce qui ne peut pas être le cas) et de le dissimuler (CNAME cloaking). L'honnêteté et la transparence du service public, c'est émouvant.
Du coup, hop, plainte à la CNIL.
Le raisonnement juridique reste identique aux précédentes fois. Pour Xiti, c'est ce raiso-là.
Ma plainte CNIL :
ÉDIT DU 25/11/2022 : Elle contient au moins une erreur : c'est dans sa décision du 22/04/2022 que l'APD autrichienne rappelle que le RGPD ne prévoit pas d'approche basée sur le risque en matière de transferts de données personnelles hors de l'UE, pas dans sa décision 2021-0.586.257 (qui en est tout de même la première partie du film). FIN DE L'ÉDIT.
Bonjour,
Même si l’on refuse tous les cookies dans le bandeau dédié et avant même l’expression d’un consentement, le site web de Pôle Emploi (https://www.pole-emploi.fr) fait automatiquement télécharger un script JavaScript depuis la société française Commanders Act. Pour le diffuser, cette dernière a recours au CDN (définition ci-dessous) de la société commerciale états-unienne Edgecast Networks :
$ whois tagcommander.com | grep Organization
Registrant Organization: Fjord Technologies$ dig +short cdn.tagcommander.com
2-01-2de4-0005.cdx.cedexis.net.
cs594.wac.deltacdn.net.
192.229.233.55$ whois 192.229.233.55 | grep OrgName
OrgName: Edgecast Inc.
Sur l’espace web dédié aux candidats et à leur inscription (https://candidat.pole-emploi.fr/) et sur la mire de connexion associée (https://authentification-candidat.pole-emploi.fr/), Pôle Emploi (PE) fait télécharger des scripts JavaScript depuis trois sources : cdn.tagcommander.com, cdn.trustcommander.net et tag.aticdn.net. Même si l’on refuse tous les cookies, et avant l’expression de tout consentement.cdn.trustcommander.net est un autre nom de domaine loué par la société Commanders Act sus-présentée. Il s’agit, entre autres, de la CMP de PE. Pour servir ce site web-là, Commanders Act a aussi recours au CDN d’Edgecast :
$ whois trustcommander.net | grep Organization
Registrant Organization: Fjord Technologies$ dig +short cdn.trustcommander.net
cs594.wac.deltacdn.net.
192.229.233.55$ whois 192.229.233.55 | grep OrgName
OrgName: Edgecast Inc.
tag.aticdn.net est un nom de domaine de la société commerciale française AT Internet, éditrice de l’outil de mesure d’audience Xiti.Depuis mars 2021, l’unique actionnaire d’AT Internet est la société commerciale états-unienne Piano Software Inc. (cf. https://www.atinternet.com/presses/at-internet-sassocie-a-piano-pour-creer-la-premiere-plateforme-dexperience-client-basee-sur-lanalyse-contextuelle/). Celle-ci est toujours immatriculée dans le Delaware (cf. https://icis.corp.delaware.gov/Ecorp/EntitySearch/NameSearch.aspx) et elle dispose toujours de plusieurs bureaux aux États-Unis (cf. https://resources.piano.io/about/).
Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, de ces faits, AT Internet est soumise au Cloud Act.
En tout état de cause, la société AT Internet a recours au CDN de la société commerciale états-unienne Amazone (cf. https://www.atinternet.com/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/#traitees-et-stockees) :
$ whois aticdn.net | grep Organization
Registrant Organization: Applied Technologies Internet SA$ dig +short tag.aticdn.net
52.222.174.127
52.222.174.94
52.222.174.93
52.222.174.32$ dig +short tag.aticdn.net | xargs -L1 whois | grep OrgName | sort -u
OrgName: Amazon.com, Inc.
OrgName: Amazon Technologies Inc.Notons qu’à son tour, ce script fait télécharger automatiquement une image traçante depuis le domaine hd.pe.fr. Ce domaine, qui appartient à PE, redirige vers AT Internet… et donc sur le CDN d’Amazon :
$ whois pe.fr | grep -i -A1 organization | grep contact | uniq
contact: POLE-EMPLOI admin-domaines-internetdig +short hd.pe.fr
hd-pe-fr-cddc.at-o.net.$ dig +short hd.pe.fr | xargs -L1 whois | grep OrgName | sort -u
OrgName: Amazon.com, Inc.
OrgName: Amazon Technologies Inc.Cette technique est nommée CNAME cloaking. Comme son nom l’indique (to cloak = couvrir d’un manteau), il s’agit de camoufler un contenu tiers. Il y a donc une volonté de dissimulation de la part de PE.
Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui disposent de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde). Il existe plusieurs modes de fonctionnement d’un CDN :
- Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être PE dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
- Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir, il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il l’exécute, il reçoit et consigne (journalise) l’adresse IP du visiteur et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web à l’internaute.
Les CDN énumérés depuis le début de cette plainte sont tous des CDN du deuxième type. Pour s’en assurer, on peut consulter les entêtes HTTP qu’ils insèrent dans leur réponse à une requête web :
$ curl -s -o /dev/null -D - https ://tag.aticdn.net/475540/smarttag.js | grep '^x-'
x-amz-server-side-encryption: AES256
x-amz-version-id: mQlyNbjS74.G9S1tqeK646gQoSY9KoeR
x-cache: Hit from cloudfront
x-amz-cf-pop: CDG53-C1
x-amz-cf-id: DWONi0bOMPPF_B74_wRD4-_ujwvV7B5AkvC53E3lIc_lteiddg52iw==$ curl -s -o /dev/null -D - https ://cdn.tagcommander.com/4340/tc_PoleEmploi_24.js | grep '^x-'
x-amz-id-2: Q3OJaYJSCvAMuqm5kNBm4ZzjI0rfsbHIBrorGnonJSNqB1aZDyV9FUMJoAJsz3/r3Syil7P+Sc8=
x-amz-request-id: H14ANKRMKHBXJFXG
x-cache: HIT
x-cdn: VDMS$ curl -s -o /dev/null -D - https ://cdn.trustcommander.net/privacy/4340/privacy_v2_25.js | grep '^x-'
x-amz-id-2: R/S7nZfLbjfA/9VzuPBo4/p8vY/uFgaj2yM3inldbAjOknBlLucerOEpBnqSC7G4VwyU1rVXcLY=
x-amz-request-id: ESA2CYDJVPQ1BXJ7
x-cache: HIT
x-cdn: VDMSIl y a donc transfert, traitement et conservation de données personnelles (adresse IP, entêtes HTTP), autant qu’avec un hébergeur informatique final.
Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’intégration de Google Fonts à un site web), et comme vous l’avez analysé (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), les téléchargements automatiques des scripts web sus-énumérés génèrent de facto et à l’insu du candidat Pôle Emploi, des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du candidat PE : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses consultations du site web de Pôle Emploi (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque et le modèle de son navigateur web (entête HTTP User-Agent), etc.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.
À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.
Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
Dans sa page d’information dédiée à la protection des données personnelles (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html), PE ne mentionne pas ces transferts de données personnelles à destination des États-Unis. De ce fait, nous pouvons avoir la certitude qu’il ne recourt pas à des instruments juridiques et/ou à des mesures supplémentaires prévus aux articles 46 et 47 du RGPD.
On peut également avoir la certitude que PE met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du candidat le téléchargement des scripts directement auprès des infrastructures techniques des hébergeurs états-uniens choisis par Commanders Act et AT Internet, les prestataires directs de PE. Dès lors, les requêtes de téléchargement émises par le navigateur web du candidat ne cheminent pas par l’infrastructure technique de PE ni par celles de ses prestataires (dit autrement, il y a un contact direct entre le terminal de l’internaute et les serveurs informatiques des hébergeurs états-uniens choisis par les prestataires de PE), donc elles échappent totalement à PE et à ses prestataires directs, qui peuvent, de ce seul fait, prendre aucune mesure technique.
Enfin, comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.
PE ne recueille pas explicitement le consentement du candidat pour le transfert de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le refus de tous les cookies dans le bandeau dédié a aucune incidence sur le chargement des scripts sus-énumérés. Donc, en l’état, ce transfert ne peut pas reposer sur le consentement.
Quand bien même PE le recueillerait, il serait vicié car, en l’absence des deux scripts édités par Commanders Act sus-référencés, l’inscription à Pôle Emploi est impossible : le candidat est bloqué lors de sa tentative de valider la première étape, celle qui consiste à déclarer sa situation.
La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable. Les prestataires de Commanders Act pourraient recourir à des CDN européens. PE pourrait recourir à des prestataires européens hébergés informatiquement dans l’Union européenne. Un outil de mesure d’audience et une CMP peuvent également être hébergés en interne, sur les serveurs informatiques de Pôle Emploi, comme tout le reste du contenu (pages web, images, feuille de style, etc.), c’est techniquement et juridiquement possible.
Dans la section « Strictements nécessaires » du bandeau cookies, on lit « La mesure statistique visant à l'amélioration des performances de notre site. Un mécanisme d'opposition vous est accessible pour cette mesure en cliquant ici. ». Le mot « ici » est un lien hypertexte qui pointe sur « https ://www.xiti.com/fr/optout.aspx », un site web d’AT Internet.
Le Comité européen de la protection des données (CEPD) ne considère pas qu’un traitement destiné à améliorer un service est nécessaire à l’exécution d’un contrat, cf. Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées. La base légale invoquée par Pôle Emploi pour justifier son utilisation de Xiti est donc infondée.
Lors de la consultation de différents sites web de Pôle Emploi, et notamment durant la procédure d’inscription à Pôle Emploi, les téléchargements automatiques de scripts JavaScript auprès de sociétés commerciales états-uniennes, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.
Par ailleurs, si l’on accepte les cookies dans le bandeau dédié, les trois sites web de Pôle Emploi sus-cités font automatiquement télécharger des ressources web (images, feuilles de style, scripts) supplémentaires depuis d’autres acteurs états-uniens :
- Scripts de tests A/B de la société commerciale française AB Tasty qui, elle-même, a recours au CDN Cloudfront d’Amazon pour les diffuser ;
- Scripts de gestion de la performance de la société commerciale états-unienne (bonjour, Cloud Act, cf. argumentaire portant sur AT Internet ci-dessus) AppDynamics, qui a recours au CDN Cloudfront d’Amazon ;
- Scripts d’analyse et d’adaptation du parcours client de la société commerciale française Content Square, qui a recours au CDN Cloudfront d’Amazon ;
- Chatbot de la société commerciale française iAdvize, qui a recours au CDN Cloudfront d’Amazon ;
- Scripts d’animation du parcours client et d’augmentation du taux de conversion de la société commerciale française Glaze, qui utilise le service Azure de la société commerciale états-unienne Microsoft pour s’héberger informatiquement.
Le raisonnement est identique à celui déroulé au premier point de cette plainte : ces téléchargements de ressources web, déclenchés automatiquement lors de la consultation des sites web de Pôle Emploi sus-énumérés, génèrent de facto et à l’insu du candidat PE, plusieurs transferts de données personnelles (cf. liste au premier point) à destination des États-Unis ; il n’existe plus de décision d’adéquation entre l’UE et les États-Unis ; toutes les garanties appropriées, et les mesures complémentaires sont irrecevables ; Pôle Emploi ne prévoit donc pas de mesures complémentaires ; le consentement de l’internaute (au sens de l’article 49.1a du RGPD) n’est pas recueilli ; et la nécessité des transferts des données personnelles vers les États-Unis n’est pas établie pour les mêmes raisons (hébergement / CDN UE / internalisation de l’hébergement possibles, gestion de la performance et amélioration du parcours client = amélioration du service = facultatif selon le CEPD donc le transfert de données personnelles vers les États-Unis qui en découle est forcément facultatif).
De sus, un CDN a peu d’intérêt pour servir des ressources web statique (images, feuilles de style), car elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recourir à un CDN. De plus, la génération dynamique (à la volée, en fonction de l’internaute) des pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour diffuser des ressources statiques quand on encaisse, sans CDN, le même volume de trafic sur ses pages web : qui peut le plus peut le moins. Le recours à un CDN états-unien par les prestataires de PE, et/ou le choix de ses prestataires-là par PE, constitue un déséquilibre fort entre le faible intérêt technique dont ces prestataires et PE peuvent se prévaloir et l’atteinte disproportionnée aux droits des lecteurs que ces choix de prestataires constituent.
De même, quel est le réel intérêt de tests A/B, d’augmenter le taux de conversion ou d’adapter le parcours client sur le site web d’un établissement public administratif chargé d’une mission de service public ? Les démarches sont imposées. Les candidats ne vont pas être convertis à la magie de PE, et il n’y a pas plusieurs versions simultanées de la procédure d’inscription qu’il faudrait tester (objectif des tests A/B).
Lors de la consultation de différents sites web de Pôle Emploi, et notamment durant la procédure d’inscription à Pôle Emploi, à condition d’avoir accepté les cookies facultatifs, les téléchargements automatiques de ressources web auprès de sociétés commerciales états-uniennes, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.
Je vais signaler, au DPO de Pôle Emploi, ces manquements au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.Je vous rappelle l'arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a jugé qu'une APD peut agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.P.-S. : je vous joirs une version PDF correctement mise en forme de la présente plainte.