Certains emails envoyés par la Caisse Nationale d'Assurance Maladie (CNAM) aux citoyens contiennent des liens avec un identifiant unique qui pointent sur un domaine intermédiaire (stat.info.ameli.fr, qui est délégué au prestataire d'e-mailing Worldline), et une image vide (0 octet) dont l'identifiant HTML unique est « openTracking » et qui contient un identifiant unique dans son nom, c'est-à-dire des liens et des images traçantes. L'image détecte l'ouverture de la version HTML de l'email (qui déclenche son téléchargement automatique), et les liens détectent un clic volontaire. Sans nécessité ni consentement.
Certains emails appellent à effectuer des démarches, ce qui oblige à cliquer sur les liens… et à se faire fliquer. Exemples : les emails concernant « Mon Espace Santé ». (Non, tous les messages ne sont pas disponibles dans la messagerie de l'espace personnel web. Ouiiii, on peut chercher à l'aveugle dans le foutoir d'ameli.fr, tout le monde fait ça, c'est bien connu.)
Ça dure depuis au moins deux ans et demi (je n'ai pas conservé les emails antérieurs).
Depuis au moins cette période, la CNAM ne propose pas de version texte (sans image traçante, et avec une possible dissociation du texte du lien et de sa cible, donc) de ses emails. Ce qui oblige le citoyen à se faire fliquer, soit avec la version HTML, soit avec le lien traçant vers la « version en ligne » de l'email. (Non, tous les messages ne sont pas disponibles dans la messagerie de l'espace personnel web.)
Du coup, hop, plainte à la CNIL.
Le raisonnement juridique reste identique à la précédente plainte.
Ma plainte CNIL :
Bonjour,
Le 12/09/2022, j'ai reçu un email de l'Assurance Maladie.
Tous les liens hypertextes qu'il contient sont des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), voir PJ 1. Exemple : « https ://stat.info.ameli.fr/r/ICYvllm6gSuRYwKcMJP8XyiSi35h6z4pCBbIiRVE1Z5ZENiqqIeCFRUagw+McEsw8juMciCs+3wBmP6qz5JPKWEEdK4gxGZXRGRHXp9Q1m6To6/s/TUdyjqQcf7PvciP3PPII7OUyf4D7buAZQWlMGWOYvGlyDUoI7ODtycHaqmGiw==+MTs1O2h0dHA6Ly9hbm51YWlyZXNhbnRlLmFtZWxpLmZyLztUcm91dmV6IHVuIG3DqWRlY2luIHByw6hzIGRlIGNoZXogdm91cwF-9xkUMeezgC0lvt_sEKqEMg7D8 »
En effet, « stat.info.ameli.fr » est un sous-domaine Internet qui porte bien son nom et qui est délégué, par la CNAM, à son prestataire d'e-mailing, la société commerciale française Worldline :
$ dig +short stat.info.ameli.fr
front-cnam-platform-email.worldline-solutions.com.
160.92.30.26
La version HTML de l'email contient au moins une image traçante c'est-à-dire un fichier image vide (taille = 0 octet) dont l'identifiant HTML unique est « openTracking », voir la page 4 de la PJ 1.
La nécessité d'un tel traçage n'est pas établie : il est parfaitement possible d'utiliser des liens directs (qui pointent sur le contenu web sans intermédiaire). D'ailleurs, les emails émis par la même Assurance Maladie, via le même prestataire d'e-mailing, les 23/03/2022 et 07/07/2022, concernant « Mon espace santé », ne contiennent pas de traceurs, voir PJ 2.Le citoyen destinataire de l'email de l'Assurance Maladie n'est pas informé de ces liens et images traqueurs et son consentement n'est pas récolté.
Il découle des deux derniers paragraphes qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).
Je constate que les emails de l'Assurance Maladie du 23/01/2020 concernant <CENSURE> contenaient déjà des liens de traçage, voir PJ 3.Il s'agit des plus anciens emails de l'Assurance Maladie que je détiens.
Les manquements au RGPD sus-référencés sont donc répétés par l'Assurance Maladie depuis au moins plus de deux ans et demi.
Je constate que, au moins depuis janvier 2020 inclus, les emails envoyés par l'Assurance Maladie n'incluent pas de version texte, mais uniquement une version HTML. La version texte contient uniquement un lien, avec un traceur, permettant d'aller consulter le « nouveau message » de l'Assurance Maladie, voir PJ 4.J'interprète cela comme une volonté de l'Assurance Maladie de tracer les citoyens sans leur laisser le choix.
Cela constitue donc une circonstance aggravante au manquement au RGPD sus-énuméré.
Je vais signaler, au DPO de ma CPAM d'affectation, ce manquement récurrent au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi une violation répétée du Règlement qui justifie à elle seule le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.Je vous rappelle l'arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a jugé qu'une APD peut agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.
P.-S. : votre formulaire de saisie d'une plainte devrait autoriser les formats de fichiers eml et/ou html. Cela permettrait de vous montrer le contenu "caché" d'un email sans perte d'information (ce que ne permet pas le changement d'extension « eml » pour « txt ») et sans devoir recourir à trouzemilles captures d'écran chronophages à effectuer. De même, dans ma plainte 44-965, j'ai dû copier les entêtes d'un email dans un traitement de texte… alors qu'il m'aurait suffi de vous transmettre le fichier eml lui correspondant.