GuiGui's Show

Première plainte il y a quelques semaines concernant l'impossibilité d'utiliser l'outil de suivi d'un envoi du site web de La Poste sans accepter le téléchargement d'un outil de ciblage et de suivi du parcours client hébergé sur les serveurs informatiques d'une société commerciale états-unienne. De même, le site web La Poste est gavé de ressources web facultatives téléchargées depuis de tels serveurs.

Aujourd'hui, deuxième plainte. Lors d'une livraison d'un achat en ligne par Colissimo, La Poste envoie un email « Votre Colissimo arrive ! » dont tous les liens sont traçants (identifiant unique + rebond via un intermédiaire avant d'atteindre la destination, afin d'enregistrer le clic sur tel lien) et qui contient une image traçante (1 x 1 pixel, transparente, avec un identifiant unique dans son nom, afin de détecter l'ouverture de l'email). Ni nécessité ni consentement.

L'envoi de l'email, le téléchargement de l'image traçante, et les redirections des liens traçants sont effectués depuis des serveurs chez Microsoft Azure par la société commerciale Isoskele, l'« agence data marketing et communication » du groupe La Poste. Sur ce grief, le même raisonnement juridique que d'habitude s'applique.

Du coup, hop, plainte à la CNIL.

Le raisonnement juridique reste identique aux précédentes plaintes.

Plainte irrecevable ? Non.

Pour la première fois, le greffe de la CNIL a classé irrecevable ma plainte au motif que je devais d'abord contacter la DPO de La Poste.

Or, lors d'une violation du RGPD, celui-ci n'impose pas d'exercer ses droits (accès, rectification, opposition, limitation, etc.) au préalable ni même de contacter le DPO. Cela est confirmé par le Tribunal Supremo (Cour suprême) d'Espagne dans sa décision TS 1039/2022.

J'ai posé une demande « Où en est mon dossier ? » pour débloquer ma plainte. Elle a été transmise au service des plaintes. Ouf.

Voyons ça en détail.

Réponse de la CNIL du 03/10/2022 à 9 h 16

Je vous confirme que le groupe La Poste a désigné un Délégué à la protection des données (DPO). Pour toute question relative aux traitements de données mis en oeuvre au sein de cet organisme, je vous invite, dans un premier temps, à prendre contact avec lui à l'adresse suivante : Madame la Déléguée à la Protection des Données CP C703 9 rue du Colonel Pierre Avia 75015 PARIS.

J'ajoute que le responsable d'un fichier dispose d'un délai maximal d'un mois à compter de la réception de votre demande pour vous répondre (article 12 3. du RGPD).

Vous pourrez nous adresser une réclamation, en joignant une copie de vos échanges, afin que l'on intervienne à l'appui de votre demande si au terme de ce délai aucune réponse ne vous est parvenue.

Ma réponse à la CNIL du 03/10/2022 à 10 h 08

L'outil web de suivi des plaintes de la CNIL ne permet pas d'interagir quand sa plainte est clôturée. :(

Formulaire de contact que j'ai utilisé. (Pour le retrouver depuis la page d'accueil du site web de la CNIL : « Contact » dans le pied de page, puis lien « Je demande où en est mon dossier en cours » dans l'encart « Pour les professionnels » de la section « En ligne ».)

Objet : « Où en est mon dossier ? » ; Type de dossier : plainte ; Remplir le numéro de plainte.

Corps de la demande :

Bonjour,

Ce matin, ma récente plainte numéro <CENSURE> a été classée irrecevable. Il m'est demandé de contacter la DPO de La Poste.

Je pense qu'il s'agit d'une erreur, car, comme écrit dans ma plainte :

• Je vais contacter la DPO de La Poste en parallèle ;
  
  
• Quelles que soient la réponse et les actions, y compris correctrices, que la DPO La Poste entreprendrait, les faits relatés dans ma plainte constituent en soi des violations du RGPD qui justifient, à elles seules, le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle (APD) que vous êtes ;
  
  
• Dans son arrêt TS 1039/2022, le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas encore fait valoir ses droits auprès du responsable du traitement en question.

Pouvez-vous, svp, re-examiner la recevabilité de ma plainte numéro <CENSURE> ?

Bonne journée.

Réponse de la CNIL du 03/10/2022 à 13 h 57

Bonjour <CENSURE>,

Nous vous remercions de nous avoir contactés.

Je vous informe qu'après une nouvelle analyse avec les agents en charge du greffe, votre demande n°<CENSURE> a été transmise au service des plaintes.

Cordialement,

Ma plainte CNIL

ÉDIT DU 25/11/2022 : Elle contient au moins une erreur : c'est dans sa décision du 22/04/2022 que l'APD autrichienne rappelle que le RGPD ne prévoit pas d'approche basée sur le risque en matière de transferts de données personnelles hors de l'UE, pas dans sa décision 2021-0.586.257 (qui en est tout de même la première partie du film). FIN DE L'ÉDIT.

Bonjour,

Le 28/09/2022, j’ai acheté des produits sur la boutique web d’un commerçant. Livraison via Colissimo de La Poste (LP).

Le 30/09/2022, j’ai reçu un email « Votre Colissimo arrive ! » émis par La Poste (cf. PJ 1 pages 1 à 5 ; apparence étrange, car je désactive le HTML dans ma messagerie). C’est cet email qui fait l’objet de la présente plainte.

D’abord, je doute du bien-fondé de la base légale de ce traitement de données personnelles.

En effet, cet email est-il vraiment nécessaire à l’exécution d’un contrat / d’une mission de service public (base légale sur laquelle repose ce traitement, cf. https://www.laposte.fr/pages/recevoir-un-colissimo/courriel#1) ?

    Un achat auprès d’un commerçant web se déroule toujours en plusieurs étapes : commande, confirmation de celle-ci, paiement et émission d’une facture, envoi des produits. À chaque étape, le commerçant informe lui-même son client par email, car la date d’envoi peut différer de la date de paiement, qui peut différer de la date de commande, en fonction du moyen de paiement et/ou de la disponibilité des produits commandés, par exemple. Le numéro de l’envoi est toujours communiqué par le commerçant. L’email de LP est donc redondant.

    L’email de LP est une information supplémentaire, du confort, mais, qu’il soit reçu ou non, lu ou non, le colis sera acheminé jusqu’au client du commerçant. Dit autrement, la prestation de livraison ira à son terme indépendamment de cet email. Email facultatif.

    La Poste répliquera peut-être que son email est une mesure de sécurité puisqu’il contient un code qu’il faudrait communiquer au livreur afin de s’authentifier auprès de lui. Dans la pratique, les livreurs LP ne vérifient pas ledit code, mais un justificatif d’identité. Ce fonctionnement est par ailleurs plus sain puisqu’il minimise le nombre de traitements de données personnelles : l’identité du destinataire est déjà connue du livreur puisqu’elle figure sur le colis, inutile d’effectuer un traitement supplémentaire (l’email). Ce traitement, cet email n’est donc pas nécessaire, voire il est contre-productif.

Vu les infractions au RGPD contenues dans l’email LP (je vais développer ci-dessous) alors que mon commerçant en a commis aucune dans ses emails de suivi, une base légale fondée sur l’intérêt légitime est irrecevable : l’intérêt de l’email LP est faible (cf. ci-dessus) alors que l’atteinte aux droits des personnes qu’il constitue à date est forte.

Il apparaît que cet email est non-nécessaire à l’exécution d’un contrat / d’une mission de service public et qu’il ne peut pas être justifié par l’intérêt légitime de LP. Son envoi devrait donc être soumis au consentement du client d’un vendeur. Ce n’est pas le cas.

Il semble que les outils et les procédures de LP ne permettent pas à un commerçant en ligne de s’opposer à l’envoi de l’email litigieux tant que son client ne consent pas à le recevoir. La faute ne semble donc pas être du côté des commerçants, mais de LP.

Ensuite, tous les liens hypertextes contenus dans l’email envoyé par LP (même celui pour consulter les mentions légales / RGPD), notamment celui permettant de consulter le suivi en ligne de son envoi (cet outil publié sur le site web de LP est l’objet de ma plainte CNIL distincte numéro <CENSURE>) sont des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), cf. PJ 4. Exemple : « http ://t.notif-colissimo-laposte.info/TrackActions/NGJlYjE5NjZhZDlkODU0NzE3Yzg3Zjk3ODJkMmMxZWRjYTVkYmM2Yjg1NjZkNDI3NDI2OGU5MTFkOWVlODQzZDFmNzQ0MGM1OGMyYTYxYzM2MDc3NWNjMDU5YzFiYjQ3NTA4YjQ2OTUyMzg5ZmYwYTczOTdhMGM3NjEwNWIxYzFjMzAwMjQxODRiNjc1ZjcwMjFhNWNiM2NkNTczNTQxYTNkYTJhYjJlMjU5MmJlZTE0NDdjYzNlZjc3YzM0ZTRjNzI2MDdlN2VkY2Y4MWVmOGJiZjQ3MDQ0Yjk5NmY2Zjc3NzI0MDRiZjAyYzBmMzFiYmM1NDFhYjk2Zjk0ZjE5Nw ».

Constatons :

• Un identifiant unique dans l’URL dont les 42 premiers caractères sont identiques entre tous les liens de l’email et qui doivent, à ce titre, servir à identifier ledit email. Le reste des caractères sert à identifier un lien précis dans l’email et à coder la véritable destination du lien, vers laquelle il convient de rediriger ;
  
  
• Le motif « TrackActions » dans l’URL parle de lui-même ;
  
  
• Le nom de domaine Internet dédié (« t.notif-colissimo-laposte.info ») est loué par LP et il est hébergé par les serveurs de noms du domaine internet « apostello.io » (cf ci-dessous). Apostello est un projet de la société commerciale Isoskele, filiale du groupe La Poste qui, sur son site web (www.isoskele.fr), se présente comme une « agence data marketing et communication » (source : je vais y revenir). Ce nom de domaine est donc dédié au traçage par sa filiale idoine (sinon LP aurait utilisé ses domaines conventionnels).

    $ whois notif-colissimo-laposte.info | grep -E 'Registrant Organization|Name Server'
    Registrant Organization: LA POSTE
    Name Server: dns1.apostello.io
    Name Server: dns2.apostello.io

Pour deux des liens (« CREER MON ESPACE CLIENT LA POSTE » et « Mon espace client La Poste »), l'URL finale (après redirection) contient un code postal obscurci (« state=e71f2e36-73c5-4331-860a-7d057749a0ef ») et un identifiant client (« client_id=cf8351d661a11d883311306c36c4542e »), cf. PJ 3.

    Si je cliquais sur ces liens, mon adresse IP, cette URL, les informations qu'elle véhicule, et plusieurs caractéristiques techniques de mon navigateur web seraient donc consignées dans le journal des serveurs web de LP qui hébergent cette page web, et elles seraient transmises à l’outil de ciblage et de suivi du parcours client (c’est ainsi qu’il est présenté par son éditeur) de Commanders Act, intégré par LP sur son site web. Toutes ces données pourraient donc être utilisées lors d’analyses (d’audience, statistiques, etc.) et de recoupements ultérieurs.

De même, l’email contient une image de traçage (cf. PJ 4, page 34) : « <img src="http ://t.notif-colissimo-laposte.info/cdn/content/3365c92347e1229f46fba86146eff8337b893f3acce7867684aa894b8d44abb64ff0c51216d5ce5cc83a06407904038b4e894506733d1a4cf2b78075f1c6e93c.png" height="1" width="1" alt=""> ».

Il s’agit d’une image transparente de dimensions un pixel sur un pixel au format png, autrement dit d’une image invisible. Il s’agit d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email.

Le pied de page de l’email contient un lien « Informations sur vos données personnelles » (https://www.laposte.fr/pages/recevoir-un-colissimo/courriel). Pour ma situation, « Vous avez reçu une notification pour un colis expédié depuis La France. », LP déclare : « Vos coordonnées nous ont été communiquées par l’expéditeur de votre envoi, pour les besoins exclusifs du suivi de votre colis, de sa livraison et la gestion des réclamations le cas échéant. Colissimo s’engage à en assurer la confidentialité et à ne pas les utiliser à d’autres fins. ». Pourtant, mon adresse emails est bien associée à mon ouverture de l’email LP et à mes éventuels clics sur les liens qu’il contient, ce qui dépasse le cadre de la finalité déclarée sur la même page web, à savoir : m’« informer des différentes étapes du parcours de votre colis conformément au mode de livraison choisi. »

La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final, comme l’outil de suivi des envois). De plus, la consultation du suivi d’un colis étant un service facultatif, complémentaire et incidente à l’envoi d’un colis, LP ne peut se prévaloir d’une quelconque obligation légale pour procéder à ce traçage.

Le client d’un commerçant, destinataire de cet email, n'est pas informé de l’aspect traçant des liens et de l’image qu’il contient et son consentement n'est pas récolté.

Il découle des deux derniers paragraphes qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

Enfin, l’email fait télécharger deux polices de caractères depuis le service Fonts de la société commerciale états-unienne Google, cf. PJ 4 pages 1, 4, et 5. Ces téléchargements sont automatiques à l’ouverture de l’email.

De même, l’image traçante sus-analysée est hébergée sur le service Azure de la société commerciale états-unienne Microsoft :

    $ dig +short t.notif-colissimo-laposte.info
    apo7prd-af-tracking.azurewebsites.net.
    waws-prod-am2-261.sip.azurewebsites.windows.net.
    waws-prod-am2-261.cloudapp.net.
    13.69.68.5

    $ whois 13.69.68.5 | grep Organization
    Organization: Microsoft Corporation (MSFT)

De même, les liens traçants sus-analysés pointent d’abord vers un site web hébergé chez Microsoft Azure qui, lui, redirige vers la destination finale du lien (l’outil de suivi des envois du site web LP, par exemple) après avoir procédé au traçage. Même nom de domaine internet que pour l’image traçante, donc même preuve que ci-dessus.

De même, d’après ses entêtes « Received », « X-Mailer », et « Message-ID » (cf. PJ 1, pages 6 et suivantes), l’email est envoyé par l’infrastructure technique, hébergée chez Microsoft Azure, du projet Apostello de la société commerciale Isoskele, filiale du groupe La Poste qui, sur son site web (www.isoskele.fr), se présente comme une « agence data marketing et communication ». Cela crédibilise les analyses déroulées aux points précédents selon lesquelles les liens et l’image traçants servent une finalité dissimulée de mesure statistique, d’amélioration du parcours client, et de marketing qui ne peut pas être regardée comme étant nécessaire à l’exécution d’un contrat.

« Received: from mail29247.apostello.io » :
    $ dig +short mail29247.apostello.io
    51.137.29.247

    $ whois 51.137.29.247 | grep -E 'org-name|country' | sort -ru
    org-name: Microsoft Limited
    country: GB

Si « apostello.io » est un site web qui répond du contenu JSON (probablement une API), « www.apostello.io » redirige, lui, vers le site web « www.isoskele.fr » :
    $ wget -O /dev/null www.apostello.io |& grep -E 'Emplacement|Connexion'
    Connexion à www.apostello.io (www.apostello.io)|217.70.184.56|:80… connecté.
    Emplacement : https://www.isoskele.fr/ [suivant]
    Connexion à www.isoskele.fr (www.isoskele.fr)|195.60.188.85|:443… connecté.
    Emplacement : https://isoskele.fr/ [suivant]
    Connexion à isoskele.fr (isoskele.fr)|195.60.188.85|:443… connecté.

De plus, le nom de domaine apostello.io est loué par la société commerciale Cabestan…
    $ whois apostello.io | grep Organization
    Registrant Organization: Cabestan

… qui est l’une des ex-filiales de La Poste qui ont fusionné pour devenir Isoskele : https://lehub.laposte.fr/reperes/poste-lance-isoskele-nouvelle-marque-data-marketing-communication.

Enfin, le projet Apostello est « la migration de notre infrastructure de routage sur le PaaS Azure » d’après le directeur général adjoint d’Isoskele, cf. https://customers.microsoft.com/en-ca/story/849836-la-poste-isoskele-national-government-azure-fr-france.

Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’intégration de Google Fonts à un site web), et comme vous l’avez analysé (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), le téléchargement automatique, à l’ouverture de l’email envoyé par LP, de polices de caractères Google Fonts et de l’image traçante, puis le téléchargement d’une page web de traçage et de redirection lors d’un clic sur l’un des liens traçants contenus dans l’email, génèrent, de facto et à l’insu du client d’un commerçant web, des transferts hors de l’Union européenne (UE) de plusieurs données personnelles dudit client : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de son ouverture de l’email et de ses clics sur les liens, la marque et le modèle de son logiciel de messagerie ainsi que, s’il clique sur un lien, la marque et le modèle de son navigateur web (entête HTTP User-Agent dans les deux cas), etc.

    Pour rappel, la société commerciale Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées ci-dessus (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users).

    De plus, l’hébergement du logiciel d’e-mailing et de traçage d’Isoskele et de ses serveurs émetteurs d’emails (MTA) sur le service Azure de Microsoft génère des transferts hors de l’Union européenne (UE) de plusieurs données personnelles supplémentaires du destinataire d’un colis, comme l’association de son adresse emails à un commerçant (il est nommé dans l’email), à un numéro de colis (idem), et à une date d’envoi et de réception estimée dudit colis (idem + horodatage de l’email).

    Quand bien même des mesures complémentaires, comme du chiffrement, seraient mises en œuvre par Isoskele (ce qui reste à vérifier), une partie de ces données personnelles est forcément traitée en clair par Microsoft Azure (contrairement à du stockage inerte avec lequel le traitement peut être déporté), notamment lors des interactions entre le logiciel d’e-mailing et de traçage développé par Isoskele et le logiciel serveur d’emails (MTA) pour l’envoi des emails, fourni par Azure. Cette analyse est confortée par les propos du directeur général d’Isoskele qui déclare avoir recours au « PaaS Azure » (cf. ci-dessus), ce qui signifie que Microsoft fournit et maintient une partie du système et de l’environnement d’exécution sur et avec lesquels fonctionnent les logiciels développés par Isoskele, dont le logiciel serveur d’emails (MTA), les bases de données, les serveurs web, l’équilibreur de charge, et que plusieurs d’entre eux traitent nécessairement les données personnelles en clair.

    Quand bien même Isoskele serait hébergée sur des serveurs de Microsoft Azure situés dans l’UE (cf. ci-dessus, l’IP du serveur emails qui m’a envoyé l’email litigieux est déclarée comme étant louée par la société anglaise Microsoft Limited), Microsoft est une société de droit états-unien, donc le Cloud Act est de pleine application.

Toutes les données personnelles sus-mentionnées renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web (et ses emails, dans le cas présent de Google Fonts) et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Pour rappel, la mise en œuvre des clauses contractuelles types par Google ne couvre pas son service Fonts, cf. https://policies.google.com/privacy/frameworks.

    Dans leurs politiques de confidentialité (https://www.laposte.fr/donnees-personnelles-et-cookies et https://isoskele.fr/politique-de-confidentialite/), La Poste et Isoskele ne mentionnent pas avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De ce fait, nous pouvons avoir la certitude qu’elles ne recourent pas à des instruments juridiques et/ou à des mesures supplémentaires prévus aux articles 46 et 47 du RGPD.

    On peut également avoir la certitude que LP (dont Isoskele) met en œuvre aucune mesure technique complémentaire, car le téléchargement des polices de caractères auprès de Google Fonts lors de l’ouverture de l’email envoyé par LP s’effectue directement auprès de l’infrastructure technique de Google. Dès lors, les requêtes web émises par un logiciel de messagerie ne cheminent pas par l’infrastructure technique de LP (dit autrement, il y a un contact direct entre le terminal de l’internaute et les serveurs informatiques de Google), donc elles échappent totalement à LP, qui peut, de ce seul fait, prendre aucune mesure technique.

    Il en va de même pour la requête de téléchargement automatique de l’image traçante à l’ouverture de l’email. Il en va de même pour les requêtes de consultation des pages de redirection lors d’un clic sur l’un des liens traçants contenus dans l’email.

    Enfin, comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

LP ne recueille pas explicitement le consentement du client d’un commerçant pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Donc, en l’état, ces transferts de données personnelles ne peuvent pas reposer sur le consentement.

La nécessité des transferts des données personnelles sus-énumérées vers les États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable :

• Les traitements que constitue l’image traçante et les liens traçants sont non-nécessaires et illégaux par absence de base légale (cf. analyse du point précédent), donc les transferts de données personnels vers les États-Unis que génèrent, de facto, les récupérations de l’image et des pages web de redirection aggravent l’infraction initiale ;
  
  
• Un hébergement internalisé (sur les serveurs informatiques de LP) des polices de caractères est techniquement et juridiquement possible à un coût nul alors que leur hébergement par Google porte une atteinte disproportionnée aux droits des usagers de LP. De même, il est possible d’utiliser un fournisseur européen de polices de caractères ou même une police de base embarquée dans toutes les messageries ;
  
  
• L’envoi de l’email en lui-même pourrait être illégal par absence de base légale fondée (cf. le premier point de la présente plainte), auquel cas le transfert de données personnelles vers les États-Unis pour effectuer cet envoi aggrave l’infraction initiale. En tout état de cause, le logiciel de « data marketing » et les serveurs emails pourraient être hébergés sur l’infrastructure technique interne à LP et/ou sur celle d’un prestataire européen.

L’envoi, par LP, de ses emails « Votre Colissimo arrive ! » depuis des serveurs détenus par Microsoft, l’hébergement, par Microsoft, des images et des pages de redirection des liens traçants contenus dans l’email, et par Google de leurs polices de caractères, ainsi que les transferts de données personnelles vers les États-Unis qui en découlent, sont donc illégaux.

Je vais signaler, à la DPO de La Poste, ces manquements au RGPD afin qu’elle s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’elle entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l'arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a jugé qu'une APD peut agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

P.-S. : je vous joins une version PDF correctement mise en forme de la présente plainte.

J'ai amendé ma plainte CNIL portant sur Vitaline. Les emails de leur newsletter non sollicitée contiennent des liens avec un identifiant unique qui pointent sur un site web intermédiaire, 40pyk.r.a.d.sendibm1.com, délégué au prestataire d'e-mailing Sendinblue, et des images rédactionnelles (utiles, quoi) avec un identifiant unique dans leur nom et qui sont hébergées par le prestataire d'e-mailing, c'est-à-dire des liens et des images traçantes. Les images détectent l'ouverture de la version HTML de l'email (qui déclenchent leur téléchargement automatique), et les liens détectent un clic volontaire. Sans nécessité ni consentement.

Les images traçantes sont diffusées via Cloudflare (j'en informe la CNIL dans un complément à mon complément de plainte ci-dessous). Les liens traçants redirigent vers le site de Vitaline via une page web qui contient une iframe (une page web imbriquée) servie via Cloudflare. Ici, le même raisonnement juridique que d'habitude s'applique.

L'identifiant unique est inséré dans l'URL finale (celle qui résulte de la redirection) qui, comme l'adresse IP et des caractéristiques techniques du navigateur web du client Vitaline, est consigné dans le journal des serveurs web de Vitaline (et dans ceux de Cloudflare, utilisé ici aussi…), et transmis à l'outil de mesure d'audience utilisé par Vitaline sur son site web, Google Analytics (une autre non-conformité au RGPD).

Du coup, hop, plainte à la CNIL.

Le raisonnement juridique reste identique aux précédentes fois.

Ma plainte CNIL :

ÉDIT DU 25/11/2022 : Elle contient au moins une erreur : c'est dans sa décision du 22/04/2022 que l'APD autrichienne rappelle que le RGPD ne prévoit pas d'approche basée sur le risque en matière de transferts de données personnelles hors de l'UE, pas dans sa décision 2021-0.586.257 (qui en est tout de même la première partie du film). FIN DE L'ÉDIT.

Bonjour,

J'ajoute deux griefs à ma plainte.

Tous les liens hypertextes des emails de Vitaline du 26/08/2022 et du 31/08/2022 sont des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), voir PJ 2 déjà transmise. Exemple : « https ://40pyk.r.a.d.sendibm1.com/mk/cl/f/zLwgwirvlQtnsnFXm9b-YFQZKud_rURDzKtayU8f-TWq8QWGyN_YAewOicOzYxR-c0Ahmi48Fz6NIfLIMC4zu_ecQ7GaRstf-8O-YaU-nfvV1Dz1sEZL7jrG-2Lpj4Lh17FAXhH8aGoANiG6OthksjV2rn1rK8KlDudtt5StVJbB-ab6BhEmUhWYmGbcAdOqLthQ0l5yKoFFIIkQ-60CsgoCmgiXTq9TRjUN8a0ohHRxyUEXI5qHtRqv9Vvln8IJWhD764nYzgOPDiNs_TW4ZkSLFIF29_gCaPnzEBjeB4eBKOIvLILQjLNkFLp3oBJqJIh0DtIg-Ni80DmyW3Gzrf6L ».

Si l'on clique sur l'un de ces liens, l'URL finale est « https ://vitaline.fr/collections/bars?utm_source=sendinblue&utm_campaign=Toujours prt pour la rentre 22&utm_medium=email », voir PJ 3. On retrouve le traceur : je suis arrivé ici par la campagne emails sus-nommée émise par le prestataire Sendinblue.

Mon adresse IP, cette URL, les informations qu'elle véhicule, et plusieurs caractéristiques techniques de mon navigateur web seront donc consignées dans le journal des serveurs web de Vitaline qui diffusent cette page web, et transmises à l'outil de mesure d'audience intégré par Vitaline sur son site web, Google Analytics (autre non-conformité RGPD, cf. votre mise en demeure du 10/02/2022).

De même, toutes les images de la version HTML de l'email, qui sont des images rédactionnelles (elles participent au contenu), sont également des images traçantes téléchargées depuis le prestataire Sendinblue, voir PJ 4.

La nécessité d'un tel double traçage n'est pas établie : il est parfaitement possible d'utiliser des liens directs (qui pointent sur le contenu web, sans intermédiaire) et des images sans traceur hébergées en interne, chez le même hébergeur que le site web de Vitaline.

Le client destinataire de l'email de Vitaline n'est pas informé de ces liens et images traqueurs et son consentement n'est pas récolté.

Il découle des deux derniers paragraphes qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

Notons que la destination des liens traceurs est une page web hébergée par Sendinblue (prestataire d'e-mailing de Vitaline) qui redirige vers le site web de Vitaline. Avant la redirection, une iframe (une page web intégrée dans une autre) est automatiquement téléchargée par le navigateur web du client Vitaline, voir PJ 3. Son URL est « https ://sibautomation.com/cm.html?id=2317578#trans=0&user_id=2665379 ». Elle apporte aucune plus-value technique ou rédactionnelle.

Le nom de domaine Internet « sibautomation.com » est loué par la société Sendinblue. On retrouve, en paramètre, l'identifiant unique de la campagne d'e-mailing et du client.

Or, pour diffuser ce site web, Sendinblue, prestataire de Vitaline, a recours au CDN de la société commerciale états-unienne Cloudflare :

$ dig +short sibautomation.com
104.18.34.145
172.64.153.111

$ whois 104.18.34.145 | grep Organization
Organization: Cloudflare, Inc. (CLOUD14)

$ whois 172.64.153.111 | grep Organization
Organization: Cloudflare, Inc. (CLOUD14)

Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur Google Fonts), et comme vous l’avez analysé (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), ce téléchargement de page web en lui-même génère de facto un transfert hors de l’Union européenne (UE) de plusieurs données personnelles du client Vitaline : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de sa consultation de l’email de Vitaline (s'il clique sur l’un des liens qu’il contient), la marque et le modèle de son navigateur web (entête HTTP User-Agent), etc.

Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

De plus, on peut avoir la certitude que Vitaline met en œuvre aucune mesure technique complémentaire car le navigateur web du client Vitaline qui clique sur un lien contenu dans l'email émis par Vitaline télécharge implicitement et directement une page web auprès de l’infrastructure technique de l’hébergeur informatique états-unien choisi par Sendinblue, le prestataire d’e-mailing de Vitaline. Dès lors, la requête web émise par le navigateur web du client Vitaline ne chemine pas par l’infrastructure technique de Vitaline ni par celle de son prestataire (dit autrement, il y a un contact direct entre le terminal du client Vitaline et les serveurs informatiques du prestataire états-unien de Sendinblue), donc elle échappe totalement à Vitaline et à son prestataire direct, Sendinblue, qui peuvent, de ce seul fait, prendre aucune mesure technique.

Enfin, comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Vitaline ne recueille pas explicitement le consentement de son client pour le transfert de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui, comme l’impose l’article 49.1a du RGPD.

La nécessité du transfert des données personnelles sus-énumérées aux États-Unis au motif de l’exécution du contrat (article 49.1b du RGPD) est irrecevable, car un outil de traque et de suivi ne peut pas être regardé comme étant nécessaire à l’exécution d’un contrat. En tout état de cause, il est techniquement possible de proposer, dans un email, des liens dénués de traceur.

Lors d'un clic sur un des liens proposés dans l'email envoyé par Vitaline, le téléchargement automatique d'une page web de traçage hébergée sur des infrastructures techniques situées aux États-Unis et/ou détenues par des organisations de droit états-unien, et le transfert de données personnelles vers les États-Unis qui en découle, est donc illégal.

Nouveau manquement au RGPD, donc.

Bonne journée.

P.-S. : le site web de Vitaline (vitaline.fr) fait automatiquement télécharger des ressources web (images, feuille de style, police de caractères, scripts) depuis des hébergeurs et/ou des CDN de droit états-unien (Cloudflare, Amazon Cloudfront / AWS, Facebook, Google, etc.). Tout cela constitue plusieurs transferts illégaux de données personnelles aux États-Unis, cf. le raisonnement déroulé ci-dessus. C'est un véritable florilège, je n'ai pas la force d'en dresser un inventaire précis dans une plainte CNIL. À vous de jouer.

Dans un arrêt rendu hier, la Cour de cassation a estimé que la publication d’un lien hypertexte vers un ancien article, faisait à nouveau courir le délai de prescription de trois mois en matière d’infraction sur la liberté d’expression. Il suffit que l'auteur des propos soit identique et le contexte éditorial, nouveau.

’affaire concernait une diffamation publique envers un fonctionnaire des impôts dans un texte posté en ligne en 2010. [...] Le 29 juin 2011, l’auteur du contenu avait publié un nouvel article en postant un hyperlien vers le document litigieux. Et c’est seulement après cette seconde publication que l’inspecteur avait attaqué cette personne. En appel, les juges ont néanmoins estimé que l’action était prescrite. Selon eux, la simple référence (« Voir à ce sujet (...) avec le lien suivant ») dans le second texte n’apportait qu’un simple complément au premier texte que les lecteurs pouvaient, ou non, lire.

Dans son arrêt du 2 novembre, elle a rappelé que « le point de départ de la prescription est le jour de la publication de l’écrit incriminé ». De là, « toute reproduction, dans un écrit rendu public, d’un texte déjà publié, est constitutive d’une publication nouvelle dudit texte, qui fait courir un nouveau délai de prescription ». Partant, elle a surtout considéré qu’un simple lien hypertexte vers la première publication litigieuse valait reproduction et donc nouveau point de départ des trois mois. Il suffit que ce lien soit posté par le même auteur, pour réenclencher la possibilité d’une action en diffamation, même dans un contexte éditorial nouveau.

La pente glissante où l'on considère qu'un lien hypertexte est assimilable à la ré-édition d'un contenu papier. :( On retrouve cela dans la jurisprudence de la CJUE, voir http://shaarli.guiguishow.info/?EbxT8A :(

http://www.silicon.fr/diffamation-hyperlien-etend-delai-prescription-162372.html :

Sur Internet, une première publication peut précéder la mise à disposition de ce même contenu à un nouveau public, et étendre ainsi le délai de prescription trimestriel. Pour en décider, il convient de vérifier la nature du lien posé, l’identité de l’auteur et son intention de mettre à nouveau le contenu incriminé à disposition des internautes, a rappelé la Cour de cassation dans son arrêt du 2 novembre.