Les emails commerciaux (nouveaux tarifs, fermeture des commandes, nouveau service, etc.) émis par OVH à destination de ses clients contiennent des liens avec un identifiant unique et des images transparentes de dimension 1 x 1 pixel avec un identifiant dans leur chemin, c'est-à-dire des liens et des images traçantes. Les images détectent l'ouverture de l'email (qui déclenche leur téléchargement automatique), et les liens détectent un clic volontaire. Sans nécessité ni consentement.
Certains emails ne contiennent pas l'info qu'ils sont censés véhiculer, ce qui oblige le client à cliquer sur les liens… et à se faire fliquer. Exemple : l'email du 14/09 ne contient pas les nouveaux tarifs dont il est question.
Les images traçantes sont hébergées, par le prestataire d'OVH, Selligent, chez Microsoft et via Cloudflare. Les liens redirigent vers le contenu final via un hébergement Amazon. Ici, le même raisonnement juridique que d'habitude s'applique. Après ça, OVH t'explique qu'elle fait du cloud souverain, qu'elle est certifiée SecNumCloud, pouet pouet… (Oui, je suis au courant que ladite certification couvre un périmètre technique, méthodologique et organisationnel précis, mais on a le droit de se faire plaisir, aussi.)
L'identifiant unique est inséré dans l'URL finale (celle qui résulte de la redirection) qui, comme l'adresse IP et des caractéristiques techniques du navigateur web du client OVH, est consigné dans le journal des serveurs web d'OVH et transmis aux outils de mesure d'audience utilisés par OVH sur son site web, Xiti et Commanders Act.
Ça dure depuis au moins six mois (je n'ai pas conservé les emails antérieurs).
Depuis le 13/04, OVH ne propose plus de version texte (sans images traçantes, et avec une possible dissociation du texte du lien et de sa cible, donc) de ses emails. Ce qui oblige le client à se faire fliquer, soit avec la version HTML, soit avec le lien traçant vers la « version en ligne » de l'email.
Du coup, hop, plainte à la CNIL.
Nouveauté : d'après le CEPD, dans la section V de son avis WP 118 (VO), toutes les techniques permettant implicitement de savoir si quelqu'un a lu un email (liens, images, etc.) doivent reposer sur un consentement explicite. On retrouve cela dans la doctrine de la CNIL.
Pour les tatillons :
Ma plainte CNIL :
ÉDIT DU 25/11/2022 : Elle contient au moins une deuxième erreur : c'est dans sa décision du 22/04/2022 que l'APD autrichienne rappelle que le RGPD ne prévoit pas d'approche basée sur le risque en matière de transferts de données personnelles hors de l'UE, pas dans sa décision 2021-0.586.257 (qui en est tout de même la première partie du film). FIN DE L'ÉDIT.
Bonjour,
Je suis client de la société commerciale française OVH.
Le 14/09/2022, j'ai reçu un email m'informant de l'« évolution des tarifs en 2022 et 2023 » (voir PJ 1). Le lien permettant de prendre connaissance des prix des nouveaux services, « https ://services.ovhcloud.com/optiext/optiextension.dll?ID=iQRiODTlThZWCeOFbF0Bef9PScIG1U%2BZxqmtKrqAaH8m8Vw4a0ZxZzGZruAiFifOw_UxkTMKCNiH7IV3I0UmQc70RoS47 », et celui permettant de prendre connaissance des prix des services existants, « https ://services.ovhcloud.com/optiext/optiextension.dll?ID=iQRiOGfy0NV7BqeNnGO6ofY86HgiLHD283iqarFENPHaKQKyahUg_D_QHTZhiD2MyTWDHDuasZo9pMto0j2S70IMAC94f », sont des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Il en va de même pour tous les liens contenus dans cet email.
Si l'on clique sur l'un de ces liens, l'URL finale est (voir PJ 2) : « https ://www.ovhcloud.com/fr/new-services-repricing/?at_medium=email&at_campaign=servicial&at_emailtype=promotion&at_creation=fr_int_2022_ovh_multi_multi_FY23_Q1_Mailing_Repricing_awareness_visibility_slgnt-27-4982&at_send_date=20220914&at_link=newservicesrepricing&at_recipient_id=27-4982 ». On retrouve le traceur : je, identifié par un « recipient_id » suis arrivé ici par la campagne emails sus-nommée qui a été envoyée à telle date.Mon adresse IP, cette URL, les informations qu'elle véhicule, et les caractéristiques de mon navigateur web seront donc consignées dans le journal des serveurs web d'OVH qui diffusent cette page web, et transmises aux outils de mesure d'audience et de parcours client Xiti et Commanders Act intégrés par OVH sur cette même page web.
La nécessité d'un tel double traçage n'est pas établie : il est parfaitement possible d'utiliser des liens directs (qui pointent sur le contenu web). D'ailleurs, les emails émis par le service d’assistance aux clients d'OVH contiennent de tels liens directs.Le client destinataire de cet email n'est pas informé de ces liens traqueurs et son consentement n'est pas récolté.
Il découle des deux derniers paragraphes qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).
De plus, je constate que ces liens pointent, en premier lieu (avant redirection vers le site web d'OVH), sur le site web « ovh.commander1.com » (voir PJ 3), propriété de la société commerciale française Commanders Act, mais hébergé par la société commerciale états-unienne Amazon.Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur Google Fonts) et comme vous l’avez analysé (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), cette redirection web en elle-même génère de facto un transfert hors de l’Union européenne (UE) de plusieurs données personnelles du client OVH : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de sa consultation de l’email d’OVH, la marque et le modèle de son navigateur web (entête HTTP User-Agent), etc.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.
À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.
Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
De plus, on peut avoir la certitude qu’OVH met en œuvre aucune mesure technique complémentaire car le navigateur web du client OVH qui clique sur un lien contenu dans l'email émis par OVH télécharge implicitement et directement une page web auprès de l’infrastructure technique de l’hébergeur informatique états-unien choisi par Commander Act, le prestataire d’OVH. Dès lors, la requête web émise par le navigateur web du client OVH ne chemine pas par l’infrastructure technique d’OVH ni par celle de son prestataire (dit autrement, il y a un contact direct entre le terminal du client OVH et les serveurs informatiques du prestataire états-unien de Commander Act), donc elle échappe totalement à OVH et à son prestataire direct, Commander Act, qui peuvent, de ce seul fait, prendre aucune mesure technique.
Enfin, comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.
OVH ne recueille pas explicitement le consentement de son client pour le transfert de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui, comme l’impose l’article 49.1a du RGPD.
La nécessité du transfert des données personnelles sus-énumérées aux États-Unis au motif de l’exécution du contrat (article 49.1b du RGPD) est irrecevable, car un outil de ciblage, de traque, et de suivi du parcours client (c’est ainsi qu’il est présenté par son éditeur, Commanders Act) ne peut pas être regardé comme étant nécessaire à l’exécution d’un contrat. En tout état de cause, il est techniquement possible de proposer, dans un email, des liens dénués de traceur ou d’utiliser des liens de traçage via un prestataire européen hébergé (informatiquement) au sein de l'Union européenne.
De plus, je constate que l'email d'OVH contient plusieurs images externes transparentes de dimensions un pixel sur un pixel au format png, autrement dit d’images invisibles (voir PJ 4, pages 1-3). Il s’agit d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. Ces images sont téléchargées automatiquement à l'ouverture de l'email par le logiciel lecteur d'emails du client OVH.Cela renforce le premier grief de la présente plainte (traçage de la lecture de l'email).
Ces images sont diffusées depuis :
un domaine Internet (ovh.slgnt.eu) propriété de la société commerciale belge Selligent, filiale du groupe états-unien CM Group (https ://cmgroup.com/), qui, elle-même a recours au CDN de la société commerciale états-unienne Cloudflare pour l’héberger ;
- le service Azure de la société commerciale états-unienne Microsoft.
Cela renforce le deuxième grief de la présente plainte (transfert illégal de données personnelles vers les États-Unis).
Je constate que les emails de la société OVH du 13/04 et du 28/04 concernant la fermeture des commandes Kimsufi contenaient déjà des liens de traçage (voir PJ 5, pages 1-2) et une ou plusieurs des images traçantes sus-énumérées (voir PJ 4, pages 4-5). Idem pour l'email du 02/12/2021 (voir PJ 5, page 3 pour le lien, et PJ 4, pages 6-7 pour l'image).En revanche, seul cet email du 02/12/2022 contient un lien (parmi plusieurs) passant par Commanders Act.
Les manquements au RGPD sus-référencés sont donc répétés par la société OVH depuis au moins plus de six mois.
Je constate que, depuis le 13/04 inclus, les emails envoyés par OVH à ses clients n'incluent plus de version texte, mais uniquement une version HTML. La version texte contient uniquement un lien, avec un traceur, permettant d'aller consulter la « version en ligne » de l'email.Je l'interprète comme une volonté de la société OVH de tracer ses clients, sans leur laisser le choix, de les contraindre toujours plus.
Cela constitue donc une circonstance aggravante aux manquements au RGPD sus-énumérés.
Je vais signaler, au DPO d'OVH, ces manquements récurrents au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi des violations répétées du Règlement qui justifient à elles seules le dépôt d’une plainte auprès de l’autorité de contrôle que vous êtes.Je vous rappelle l'arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a jugé qu'une APD peut agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.P.-S. : votre formulaire de saisie d'une plainte devrait autoriser les formats de fichiers eml et/ou html. Cela permettrait de vous montrer le contenu "caché" d'un email sans perte d'information (ce que ne permet pas le changement d'extension « eml » pour « txt ») et sans devoir recourir à trouzemilles captures d'écran chronophages à effectuer. De même, dans ma plainte 44-965, j'ai dû copier les entêtes d'un email dans un traitement de texte… alors qu'il m'aurait suffi de vous transmettre le fichier eml lui correspondant.
Complément envoyé le même jour :
Bonjour,
J'amende ma plainte sur deux points :
1) Au premier grief (liens traçants), j'ajoute que « services.ovhcloud.com », qui est le nom de domaine utilisé dans les liens traçants des emails d’OVH est un sous-domaine Internet qui est délégué par OVH à son prestataire d'e-mailing, la société commerciale belge Selligent :
$ whois $(dig +short services.ovhcloud.com) | grep -i netname
netname: SELLIGENTSelligent se présente comme une « plateforme de marketing omnicanal qui personnalise le marketing en activant les données pour des expériences client plus pertinentes » (source : balise HTML « meta property="og:description" ». Cela tend à confirmer la finalité de suivi des clients OVH et l’aspect facultatif des traitements de données personnelles énumérés dans ma plainte.
2) Dans mon deuxième grief (transfert illégal de données personnelles vers les États-Unis), dans la phrase : « En tout état de cause, il est techniquement possible de proposer, dans un email, des liens dénués de traceur ou d’utiliser des liens de traçage via un prestataire européen hébergé (informatiquement) au sein de l'Union européenne. », je rétracte « ou d’utiliser des liens de traçage via un prestataire européen hébergé (informatiquement) au sein de l'Union européenne. ».
Il s’agit d’une erreur, tout lien traçant sans consentement est contraire au RGPD comme je l'expose dans le premier grief de ma plainte.
Bonne fin de semaine.