J'ai eu recours à la place de marché de Darty. Auparavant, j'avais parcouru en vain tous les magasins physiques dont je supposais qu'ils pouvaient vendre ce que je cherchais. Comme quoi, ceux qui nous bassinent avec la libre concurrence comme solution à tous les maux peuvent se rhabiller.
Les emails transactionnels sont émis par une société commerciale états-unienne (Twilio).
Ils contiennent des liens et des images de traçage (détecter l'ouverture ou un clic sur un lien). L'essentiel est hébergé par Twilio. Mêmes les images rédactionnelles (qui participent au contenu) sont diffusées via Akamai Technologies. D'autres sont récupérées depuis Google.
Le site web de Darty est diffusé via le CDN d’Akamai Technologies et il incorpore plusieurs scripts JavaScript de sociétés commerciales états-uniennes et/ou qui sont hébergés par de telles sociétés : Google Fonts, assets.adobedtm.com et www.fnac.com = Akamai, cdn.cookielaw.org et hcaptcha = Cloudflare, iadvize.com = Amazon Cloudfront. Liste non exhaustive, il y en a plusieurs dizaines, y compris des régies publicitaires ou équivalents…
Tout cela n'est pas conforme au RGPD. Pour les liens et images de traçage, lire ici. Pour les CDN, les scripts et les hébergeurs ricains, voir là.
Du coup, hop, réclamation déposée auprès de la CNIL il y a plusieurs mois.
Bonjour,
Le 03/02/2023, j’ai acheté sur la place de marché de Darty (https://www.darty.com/).
Tout au long de l’achat, Darty m’a envoyé des emails sur le déroulé / suivi de ma commande. Ces emails sont regroupés dans PJ 1.
Comme l’indique leur entête « Received », à l’exception de « Votre colis Darty.com est en cours de livraison » et « Votre colis Darty.com a été livré », la totalité de ces emails sont émis par des serveurs emails de la société commerciale états-unienne Twilio Inc., qui agit comme prestataire emailing de Darty. Twilio est soumise au Cloud Act, cf. ma démonstration dans ma réclamation CNIL numéro <CENSURE>, qui est incompatible avec le RGPD. Il y a donc un transfert illégal de données personnelles, a minima l’adresse emails du client Darty, vers un État tiers non adéquat sans mise en œuvre de mesures complémentaires.La forme de certains emails (« Facture de la commande », « Votre colis est en chemin […] », « Votre colis est en cours de livraison […] », « Suite à votre livraison Chronopost » laissent à penser qu’ils sont émis par une société commerciale tierce (le vendeur ou le livreur) à qui Darty aurait transmis l’adresse emails de son client, mais :
- Le prestataire d’e-mailing est le même pour l’ensemble des emails reçus suite à mon achat, Twilio ;
- Le sujet de l’email est de la forme « Société_X via Darty » ;
- La valeur de l’entête email « X-Entity-ID » inséré par Twilio est identique entre tous les emails reçus suite à mon achat. Cet entête sert à identifier le client de Twilio. Valeur identique = même client, c’est-à-dire Darty ;
- Tous les emails reçus suite à mon achat contiennent une image de traçage récupérée depuis un même nom de domaine, « u6051214.ct.sendgrid.net ».
Tous les emails ont été émis par Darty ou par Twilio pour le compte de Darty, même si le contenu de certains a été rédigé / fourni par le vendeur final ou le livreur. Peut-être que le vendeur et le livreur sont co-responsables du traitement « envoi d’emails transactionnels », du choix du prestataire d’emailing, etc., mais rien le montre en première analyse.
Des emails (« Validation de votre commande n°[…] », « Votre commande n°[…] est en cours de préparation », « Expédition de votre commande n°[…] », « Evaluez votre vendeur », « Facture de la commande », « Votre colis est en chemin […] », « Votre colis est en cours de livraison […] », « Suite à votre livraison Chronopost ») contiennent une image de traçage (1 pixel * 1 pixel, transparente, dont le nom comporte un identifiant unique, cf. votre terminologie https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Ils permettent de détecter et de consigner l’ouverture d’un email. Certains emails (« Facture de la commande », « Votre colis est en chemin […] », « Votre colis est en cours de livraison […] », « Suite à votre livraison Chronopost ») comportent plusieurs images de traçage : une pour Darty (« https ://u6051214.ct.sendgrid.net/wf/open[…] »), et une pour le vendeur (« https ://tracking.<CENDURE_domaine_du_vendeur>/images/pixel2.gif ») ou le livreur (« http ://www.chronopost.fr/tagmail/tag.gif[…] »).Concernant ces emails comportant plusieurs images de traçage : on peut raisonnablement penser que leur contenu a été produit par le vendeur effectif ou le livreur puis relayé par Darty et son prestataire d’e-mailing. Reste à déterminer si Darty est co-responsable du traitement de données personnelles que va induire le chargement de ces images à l’ouverture de l’email. Après tout, il a relayé cet email et demander à son prestataire de l’émettre.
L’utilisation, par le groupe La Poste (dont fait partie Chronopost), d’images de traçage dans ses emails transactionnels fait l’objet de ma réclamation CNIL numéro <CENSURE mais dispo ici> toujours en cours de traitement.
Notons que les images « u6051214.ct.sendgrid.net » sont hébergées sur les serveurs informatiques de Twilio. Cela signifie qu’à l’ouverture de l’email par le client Darty, ces images seront téléchargées automatiquement. Il y aura donc contact direct entre le logiciel de messagerie du client Darty et les serveurs informatiques de Twilio, ce qui générera un transfert illégal de données personnelles (adresse IP du client Darty, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.
Un email (« Facture de la commande ») contient des liens de traçage constitués de deux identifiants uniques, l’un permettant d’identifier une campagne emails parmi toutes, l’autre un email précis dans cette campagne. Ils servent à détecter un clic sur un lien avant redirection vers la destination finale (site web du vendeur, réseaux sociaux, etc.). Ces liens utilisent le nom de domaine « tracking.<CENSURE_domaine_du_vendeur> ». On peut raisonnablement penser que le contenu de cet email a été produit par le vendeur effectif et relayé par Darty et son prestataire d’e-mailing. Reste à déterminer si Darty est co-responsable du traitement de données personnelles que va induire chacun de ces liens lorsque le client Darty cliquera dessus. Après tout, il a relayé cet email et demander à son prestataire de l’émettre.
Ces images et liens de traçage ne sont pas conformes au RGPD selon le CEPD (section V de WP 118) et vous-même (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Darty n’est pas soumis à une quelconque obligation légale, ni à une quelconque nécessité pour l’exécution du contrat, ni à une quelconque obligation technique de procéder à ce traçage. Le client Darty n’est pas informé et ne consent pas à ces traitements.
Des emails (« Validation de votre commande n°[…] », « Votre commande n°[…] est en cours de préparation », « Expédition de votre commande n°[…] », « Votre colis Darty.com est en cours de livraison », « Votre colis Darty.com a été livré », « Evaluez votre vendeur ») contiennent des images rédactionnelles (des images qui participent au contenu de l’email) diffusées via le CDN de la société commerciale états-unienne Akamai Technologies (« static.fnac-static.com »). D’autres images sont téléchargées depuis les serveurs informatiques de la société commerciale états-unienne Google (« www.gstatic.com »). Toutes ces images seront téléchargées automatiquement à l’ouverture de l’email. Comme pour tous les téléchargements sus-décrits, il y a donc un contact direct entre le logiciel de messagerie du client Darty et les serveurs informatiques d’Akamai et de Google, ce qui génère des transferts illégaux de données personnelles (adresse IP du client Darty, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.
Le site web de Darty (texte, images, etc.) est lui-même diffusé via le CDN d’Akamai Technologies, y compris l’espace client et sa phase d’identification. À l’instant même de sa consultation, il fait automatiquement télécharger plusieurs scripts JavaScript de sociétés commerciales états-uniennes et/ou qui sont hébergés par de telles sociétés : Google Fonts, assets.adobedtm.com et www.fnac.com = Akamai, cdn.cookielaw.org et hcaptcha = Cloudflare, iadvize.com = Amazon Cloudfront. Liste non exhaustive, il y en a plusieurs dizaines, y compris des régies publicitaires ou équivalents, je n’ai pas l’énergie de tout cartographier, surtout que le paysage de la pub change très rapidement.
Tous les transferts de données personnelles sus-énumérés, web et emails, sont illégaux au sens des articles 44 et suivants du RGPD (Schrems II, votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics, décision 3_O_17493/20 de la Cour régionale de Munich portant sur l’utilisation de Google Fonts, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement). La politique de confidentialité de Darty (https://www.darty.com/achat/informations/donnees_personnelles.html) se contente d’affirmer que Darty « prendra toutes les mesures et garanties nécessaires pour sécuriser de tels transferts »… Bref, Darty met en œuvre aucune mesure complémentaire dans le cadre des transferts internationaux sus-décrits.
Tout ce qui précède illustre une carence de Darty dans le choix, le pilotage et l'audit de ses sous-traitants en matière de données personnelles, ce qui constitue une entorse aux articles 24 et 28 du RGPD.
Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne Darty.Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.