Les serveurs emails de l'assistance technique du CNB sont opérés par Microsoft, et le gestionnaire des demandes (système de tickets) est celui de la société commerciale Zendesk. De plus, les emails de réponse contiennent des images diffusées via le CDN de Cloudflare.
Il y a donc transferts illégaux de données personnelles (au moins les adresses emails et IP du demandeur, et les caractéristiques de son terminal) en dehors de l'UE. Raisonnement ici et là.
Les opérateurs du CNB demandent plus d'éléments que ce qui est nécessaire pour diagnostiquer un problème, notamment les emails échangés entre un client et son avocat. C'est inquiétant dans la mesure où le grand-public et les avocats, souvent peu conscients et compétents en informatique, peuvent y succomber afin de faire avancer leur demande plus rapidement. C'est une entorse au principe de minimisation (conditionner la collecte / traitement au strict nécessaire).
Je conçois toutefois que je suis un utilisateur avancé qui a su fournir, dès le début, les informations techniques nécessaires, mais qu'elles sont difficiles à obtenir d'un utilisateur lambda. Mais le RGPD n'interdit pas les efforts, au contraire. De plus, des mesures organisationnelles peuvent être prise comme avoir des opérateurs compétents et les encourager à sortir de la procédure pour accepter d'autres ensembles d'éléments techniques donnés par un demandeur tant qu'ils fournissent un même niveau d'information). De même, des mesures techniques peuvent limiter le nombre de demandes d'aide, comme un filtre anti-spam moins vénère sur le contenu (mots standards, liens, etc.). Celui de SFR Business (autre prestataire du CNB) est souvent excessif, d'où des faux-positifs, et donc de potentiels signalements à l'assistance du CNB.
Du coup, hop, réclamation déposée à la CNIL.
Bonjour,
Je rencontrais des dysfonctionnements techniques lors de l'envoi d'emails à mon avocate. Elle utilise une adresse emails de la forme « @avocat-conseil.fr ».
Il s’agit du service emails proposé par le Conseil National des Barreaux (source : whois) sous-traité à SFR Business (source : dig MX). J’ai donc contacté le CNB.
Tous les contacts pertinents (https://cnb.avocat.fr/fr/contact) ont une adresse emails dans le domaine « cnb.avocat.fr ». Le service emails pour ce domaine a été sous-traité à la société commerciale états-unienne Microsoft :
$ dig +short MX cnb.avocat.fr
0 cnb-avocat-fr.mail.protection.outlook.com.$ dig +short A cnb-avocat-fr.mail.protection.outlook.com. | xargs -I {} whois {} | grep 'Organization:' | uniq
Organization: Microsoft Corporation (MSFT)Contacter l’« assistance services numériques » du CNB entraîne la création d’un ticket (une demande d’assistance) dans un logiciel de la société commerciale états-unienne Zendesk, comme en atteste les entêtes « Received », « X-Mailer » et « X-Zendesk- » des emails de réponse émis par ce service d’assistance (PJ 1).
Il existe une unique infrastructure technique mondiale Zendesk administrée depuis la Californie. À ce titre, l’adresse postale et le numéro de téléphone du service « exploitation du réseau » (NOC) de Zendesk, mentionnés dans sa déclaration dans la base de données du RIPE pour louer ses adresses IP (dont celle des serveurs qui ont émis les emails que j’ai reçu), en attestent :
$ whois 188.172.138.44 | grep -A4 'Zendesk NOC'
person: Zendesk NOC
address: 989 Market Street,
address: Suite 300,
address: San Francisco, CA 94103
phone: +14159634029La localisation effective des serveurs et des données à caractère personnel importe peu : étant la propriété (in fine) d’une entité états-unienne, et étant administrés par elle, le droit américain, dont le Cloud Act, est de pleine application. Or, il est en conflit avec le RGPD.
Il y a donc un transfert illégal de données personnelles, a minima l’adresse emails de l’expéditeur (et le contenu de la demande, en fonction), vers un État tiers non adéquat.
Les emails de réponse émis par l’assistance numérique du CNB contiennent des images rédactionnelles (des images qui participent au contenu de l’email) diffusées via la société Zendesk (« cnb.zendesk.com », « theme.zdassets.com ») qui a recours au CDN de la société commerciale états-unienne Cloudflare pour les diffuser. Toutes ces images seront téléchargées automatiquement à l’ouverture de l’email. Il y a donc un contact direct entre le logiciel de messagerie de l’expéditeur et les serveurs informatiques de Cloudflare, ce qui génère des transferts illégaux de données personnelles (adresse IP de l’expéditeur, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.Tous les transferts de données personnelles sus-énumérés, web et emails, sont illégaux au sens des articles 44 et suivants du RGPD (Schrems II, votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement). La section 5 de la politique de confidentialité du CNB (https://cnb.avocat.fr/fr/politique-de-confidentialite) se contente de rappeler l’article 44 du RGPD et d’énoncer des propos creux. Bref, le CNB met en œuvre aucune mesure complémentaire dans le cadre des transferts hors de l’UE sus-décrits.
Mes premiers échanges avec le CNB datent du 21/06/2023 (cf. PJ 2). À date, la Commission européenne n’avait pas adopté le Data Privacy Framework.
La demande de l’assistance du CNB du 21/06/2023 visant à ce que je lui communique le « mail adressé sous format .msg et également, le mail de rejet sous le même format » m’alarme : les communications entre un avocat et son client sont couvertes par un secret professionnel qui n’englobe pas le CNB et encore moins ses prestataires (SFR, Microsoft, Zendesk, etc.). Je n’ai pas communiqué l’email envoyé à mon avocate et je l’ai caviardé dans l’email de rejet que j’ai transmis à l’assistance du CNB (il ne contenait donc plus que des informations techniques que j’avais déjà communiquées dans ma demande initiale). Pourtant, ma demande a été traitée. La procédure de diagnostic de l’assistance du CNB comporte donc une entorse inutile au principe de minimisation. C’est alarmant, car des avocats, à qui l’informatique est souvent tout sauf familière, pourraient être tentés de communiquer plus d’informations que nécessaire en pensant accélérer le traitement de leur demande ou par jemenfoutisme ou ignorance. La procédure de l’assistance du CNB devrait être plus souple quand l’interlocuteur fournit un autre ensemble d’informations techniques que celui rigoureusement attendu (mais fournissant un même niveau d’information), et, par défaut elle devrait amener à ne pas solliciter la communication de l’email original ni de l’email de rejet, mais uniquement celle de l’erreur qu’il renferme.
Le DPO du CNB se contacte également via le service emails de Microsoft. Ça sera sans moi.Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne le CNB.
Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne semaine.