GuiGui's Show

Après une première plainte concernant l'impossibilité de s'inscrire à Pôle emploi sans accepter le téléchargement de scripts hébergés sur les serveurs informatiques d'une société commerciale états-unienne, une deuxième plainte portant sur les liens et l'image traçants que Pôle emploi insère dans ses emails, et une troisième plainte portant sur les ateliers organisés via Microsoft Teams et Bit.ly, une quatrième plainte est nécessaire.

Sphère emploi est la plateforme collaborative d'échanges (un réseau social, quoi) de Pôle emploi. Le logiciel sous-jacent est un produit de la société commerciale française Whaller. Aeris a émis des doutes concernant la conformité RGPD du produit en consultant son site web officiel. Cette instance de Pôle emploi les confirme : il y a bien des transferts illégaux de données personnelles vers les États-Unis (Google Fonts, scripts hébergés par Amazon, image par Akamai) par le produit lui-même, ce qui illustre que la conformité de la vitrine (site web officiel) reflète souvent celle du produit. Et, comme d'hab', on constate des carences dans le choix, le pilotage et l'audit des sous-traitants.

Pôle emploi envoie, par email, des invitations à rejoindre Sphère emploi. Onze en un mois et demi, ce qui est excessif. Pour s'y opposer, il faut créer un compte sur la plateforme et accepter ses CGU, ce qui est disproportionné et contraire à l'objectif recherché par le demandeur d'emploi (si je ne veux plus recevoir d'invitation, c'est que je ne veux pas rejoindre la plateforme…). Décliner une invitation est sans effet : on est ré-invité à rejoindre le même canal / groupe encore et encore (alors que quand je refuse une invitation, je peux légitimement m'attendre à ce qu'on me fiche la paix). On peut contacter le DPO de Pôpôle, mais quand on me spamme, je me sens légitime à exiger un mécanisme d'opposition automatisé.

Pôle emploi ne communique pas des informations légalement obligatoires comme la base légale du traitement de données personnelles que constitue Sphère emploi. D'une manière générale, Pôle emploi tend à présenter tous ses traitements comme relevant de sa mission d'intérêt public ou d'une obligation légale. Cf. la mise en forme de sa politique générale de confidentialité : le Code du travail est mis en avant et, par exemple, la base légale de la sécurisation de l'espace recruteur n'est pas énoncée, laissant à penser qu'elle en relève alors que la prévention de la « fraude » relève de l'intérêt légitime. Dans le cas de Sphère emploi, la politique de confidentialité du service énonce « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi », sans fournir, du coup, sa base légale (qui, d'après cette citation, ne peut pas être l'obligation légale ni la mission d'intérêt public)… D'autres traitements (e-mailing, visioconférence, transferts vers les États-Unis, etc.) ne sont pas référencés, et les informations minimales (tel jeu de données persos est utilisé pour telle finalité fondée sur telle base légale, etc.) manquent à l'appel… Pôle emploi joue sur la confusion.

Comme tous les emails de Pôle emploi (cf. premier paragraphe), les invitations contiennent des liens et image de traçage sans obligation légale ni obligation contractuelle ou technique ni consentement.

Du coup, hop, plainte à la CNIL.

Nouveautés :

• Première fois que je pointe les lignes directrices du CEPD relative à la transparence (WP 260). Version française. Elles précisent les informations à communiquer à propos d'un traitement de données personnelles, et la manière de procéder (concision, clarté, plusieurs niveaux de lecture, etc.) ;
  
  
• Dans sa doctrine, la CNIL explique qu'un responsable de traitement peut s'appuyer sur une obligation légale seulement si elle est impérative (un texte qui prévoit l'installation de caméras dans un lieu public ne l'est pas, par exemple), qu'elle s'impose explicitement à lui (et pas uniquement aux personnes concernées par le traitement), et qu'elle est précise (un objectif général, même prévu par la loi, comme la sécurité des données, est insuffisant). Il en va de même pour la base légale de la mission d'intérêt public (source).

Email au DPO de Pôle emploi

Le RGPD impose d'exercer d'abord ses droits (ici d'opposition) auprès du délégué à la protection des données personnelles de l'entité. J'en profite pour lui signaler les infractions que je constate. Ces dernières peuvent être directement remontées à l'autorité de protection des données personnelles, d'où la parallélisation de ma demande au DPO et de ma plainte auprès de la CNIL.

Je l'ai envoyé aux adresses emails consignées dans la politique de confidentialité de Sphère emploi et dans la politique générale de protection des données personnelles de Pôle emploi.

Sujet : Exercice droit d'opposition et signalement infractions RGPD

Bonjour,

Je suis inscrit en tant que demandeur d’emploi auprès de Pôle emploi.

À ce titre, entre le 04/11/2022 et le 21/12/2022, j'ai reçu onze emails de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres Provence Alpes ». Cf. PJ 1.

Décliner plusieurs invitations ne stoppe pas l'émission de nouvelles invitations :

• Le 15/12/2022 à 13 h 54, j’ai décliné l’invitation reçue le même jour à 13 h 36 (cf. la couleur du lien dans la page 7 de PJ 1). À 14 h 21, je recevais une nouvelle invitation à rejoindre la même sphère sur la même plateforme. J’ai décliné à nouveau (cf. page 8 de PJ 1), et j’ai reçu, à nouveau, une invitation à rejoindre la même sphère le 21/12 (cf. page de 10 de PJ 1) ;
  
  
• Le 18/12/2022 à 20 h 29, j’ai décliné le rappel d’une invitation reçu le même jour à 20 h 21 (cf. PJ 2). Le 21/12/2022, j’ai reçu une nouvelle invitation concernant la même sphère sur la même plateforme (cf. page 11 de PJ 1).

Le pied de page des emails énonce : « Si vous ne souhaitez plus recevoir de messages de Sphère emploi ou en modifier le type et la fréquence d'envoi, connectez-vous à votre compte pour personnaliser vos notifications. ».

Pour se connecter sur la plateforme Sphère emploi, il faut « créer votre compte » et « accepter les conditions générales d'utilisation du site ». Or, je ne veux pas faire cela, je veux uniquement ne plus recevoir les invitations à rejoindre ladite plateforme. Le lien consigné dans le pied de page des emails d'invitation ne permet pas de contourner cette étape.

Mes demandes

1) Je ne veux plus recevoir les emails de la plateforme Sphère emploi. À ce titre, j'exerce mon droit d'opposition pour l'adresse emails émettrice du présent email. Si le traitement est fondé sur le consentement, la présente demande est à interpréter comme un retrait de mon consentement (quand bien même il n'a pas été collecté) ;

2) Merci de revenir vers moi pour me confirmer la prise en compte de mon opposition et son effectivité ;

3) J'ai reçu onze invitations et rappels d'invitation de Sphère emploi entre le 04/11/2022 et le 21/12/2022. Cf. PJ 1. C'est excessif, notamment l'aspect répétitif / systématique qui tend à forcer l'acception des invitations afin d'avoir la paix. Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum ;

      Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

4) Comme relaté ci-dessus, pour s'opposer à la réception des invitations de Sphère emploi, il faut créer un compte sur la plateforme et accepter ses conditions d'utilisation. Cela est contraignant, contraire à l'objectif recherché par le demandeur d'emploi (ne pas rejoindre Sphère emploi) et disproportionné. Bien évidemment, le demandeur d'emploi peut vous écrire ainsi qu'à sa conseillère assignée mais cela est tout autant disproportionné : quand on m’envoie une masse conséquente d’emails automatiques, j’attends un mécanisme d’opposition automatisé en état de marche.

      De plus, le refus d’une invitation ne produit pas l’effet auquel peut légitimement s’attendre un demandeur d’emploi, à savoir qu’on cesse de l’inviter.

      Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

5) Carence dans les informations décrivant le traitement Sphère emploi (articles 12 et 13 du RGPD).

     Le pied de page des emails énonce « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr ». Cf. PJ 1. C’est inexact, je ne suis pas utilisateur de Sphère emploi puisque utiliser le site web nécessite de s’y créer un compte utilisateur (cf. l'article 3 des mentions légales, https://sphere-emploi.fr/portal/article/3984) et d'accepter les conditions d’utilisation de la plateforme, ce que je n’ai pas fait.

     De plus, je n’ai pas reçu d’information, comme la possibilité de m’opposer, avant de recevoir les invitations alors que, manifestement, des données personnelles, au moins mon adresse emails, ont été insérées dans ce traitement (Sphère emploi).

     Ensuite, dans les mentions légales de la plateforme (https://sphere-emploi.fr/portal/article/3984), la base légale du traitement de données personnelles n’est pas indiquée. Par déduction, ce n’est pas le consentement (il n’est pas récolté au préalable et décliner une invitation ne suffit pas à être retiré du traitement), ni une obligation légale (le responsable du traitement doit démontrer en quoi son traitement répond à une telle obligation précise, cela ne peut pas être un objectif vague et/ou d’ordre général, cf. WP 260 du CEPD, et Pôle emploi indique que les données ne sont pas traitées dans le « cadre du contrôle de la recherche d’emploi »), ni une mission de service public (mêmes raisons, la législation ne missionne pas explicitement Pôle emploi pour créer une plateforme collaborative à destination des demandeurs d'emploi). Donc, la base légale est l’intérêt légitime. Or, lesdits ne sont pas présentés, alors qu'il s'agit d'une obligation (article 13.1.d du RGPD).

      De même, aucune information est donnée sur le caractère (réglementaire, contractuel) de l’utilisation des données personnelles ni sur son aspect facultatif ou obligatoire ni sur les conséquences d’un refus de communication des données personnelles (sur ce dernier point, la phrase « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » constitue un indice faible). C'est pourtant une exigence de l'article 13.2.e du RGPD.

      La politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) ne référence pas ce traitement et ne fournit pas de réponse aux carences précédemment soulignées. Par ailleurs, elle ne répond pas aux exigences d'exhaustivité et de clarté définies par le RGPD et le CEPD : quel jeu de données est utilisé pour telle finalité présentée ? Sur quelle base légale repose telle finalité présentée ? Durée de conservation de chaque jeu de données ? Etc.

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

6) Comme tous les emails émis par Pôle emploi, chaque invitation contient au moins une image de traçage (d'après la terminologie de la CNIL, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), et tous les liens qu'elle contient sont des liens de traçage, même ceux qui redirigent simplement vers la page d'accueil de Sphère emploi ou vers le profil de la personne qui a émis l'invitation (la conseillère assignée par Pôle emploi). Nom de domaine dédié (« r.mail.sphere-emploi.fr ») délégué à votre prestataire d'e-mailing (SendInBlue), motifs « tr » (diminutif de « track ») et « cl » (« click ») dans l'URL de chaque lien, identifiant unique à chaque lien afin de consigner un clic sur celui-ci. Image 1 x 1 pixel transparente (format GIF) donc invisible et n'apportant rien au contenu rédactionnel. Cf. PJ 1 et page 4 de PJ 3.

     Vous êtes soumis à aucune obligation légale nécessitant de traquer la lecture des emails par les demandeurs d'emplois et leurs clics sur des liens. Absence de nécessité pour l'exécution d'un contrat ou de votre mission de service publique. Aucune information au demandeur d'emploi et absence de recueil de son consentement. Il s'agit donc d'un manquement au RGPD selon le CEPD (section V de WP 118) et la CNIL (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

7) Lors de son chargement, la page d’accueil de la plateforme Sphère emploi (https://sphere-emploi.fr/) fait télécharger automatiquement (cf. PJ 4 au format HTTP Archive) :

• Une police de caractères auprès du service Fonts de la société commerciale états-unienne Google ;
  
  
• Des scripts JavaScript du service StatusPage de la société commerciale Atlassian qui les héberge sur les serveurs informatiques de la société commerciale états-unienne Amazon ;
  
  
• Une image hébergée sur les serveurs informatiques de la société commerciale états-unienne Akamai Technologies (rackcdn.com).

     On peut raisonnablement en déduire que l'entièreté de la plateforme fait télécharger ces ressources sur chacune de ses pages.

     De même, les images qui participent au contenu des emails (logo Pôle emploi, etc.) sont diffusées via le CDN de la société commerciale états-unienne Cloudflare. Elles sont téléchargées automatiquement par le logiciel de messagerie du demandeur d'emploi à l'ouverture de l'email.

     Ces téléchargements induisent un contact direct entre le terminal du demandeur d’emploi et des serveurs informatiques détenus par les sociétés commerciales états-uniennes sus-énumérés. Pour le raisonnement détaillé, cf. https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     Ce contact direct induit le transfert vers les États-Unis de plusieurs données personnelles du demandeur d’emploi : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (l’entête HTTP Referer consigne pour le compte de quel site web des ressources web sont téléchargées), la date et l’heure de ses consultations de Sphère emploi (même entête), etc. Là encore, voir le raisonnement complet en https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     À titre d'illustration, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérés au point précédent (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks).

     Ces transferts de données personnelles vers les États-Unis constituent des manquements au RGPD (articles 44 à 49 du RGPD) : absence de décision d’adéquation et de clauses contractuelles-type (invalidées par l'arrêt Schrems II de la Cour de Justice de l'UE), absence de garanties appropriées complétées par des mesures complémentaires répondant aux exigences de l’arrêt Schrems II, absence de consentement au sens de l’article 49.1.a du RGPD (absence d’information, absence de recueil du consentement, transferts systématiques, cf. les lignes directrices 2/2018 du CEPD), absence de nécessité à l’exécution d’un contrat (il est possible d'héberger ces ressources web sur le même hébergement web que la plateforme ou auprès d'un hébergeur européen, de recourir à des prestataires européens similaires, etc.), et absence d'information sur l'existence de ces transferts au sens de l'article 13.1.f du RGPD. Là encore, le raisonnement est détaillée par la CNIL : https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     La plateforme Sphère emploi est un produit de la société commerciale française Whaller qui agit comme sous-traitant de Pôle emploi (cf. article 1 des mentions légales, https://sphere-emploi.fr/portal/article/3984). Il y a donc, de la part de Pôle emploi, carence dans le choix, le pilotage et l’audit de ses sous-traitants.

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

8) Merci de me communiquer les informations légales (article 13 du RGPD) manquantes (cf. question 5 et article 13.1.f du RGPD appliqué aux faits relatés dans la question 7).

Bonne journée.

Introduction de ma plainte CNIL

Bonjour,

Je suis inscrit à Pôle emploi en tant que demandeur d'emploi.

À ce titre, j’ai reçu plusieurs email de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres <REGION_CENSURÉE> ».

Merci de noter que nous ne sommes pas en présence d'un traitement obligatoire lié à la mission de service public de Pôle emploi : « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » (source : la politique de confidentialité de la plateforme collaborative).

Infractions :

• Nombre excessif d'emails d'invitation (11 en 1 mois et demi). La démarche est abusive par sa répétitivité : décliner plusieurs invitations ne suffit pas à stopper l'émission de nouvelles invitations à rejoindre les mêmes groupes. Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum ;
  
  
• Le pied de page de chaque email énonce qu'on peut s'opposer au traitement… en créant un compte sur la plateforme (avec acceptation des CGU). C'est contraignant, contraire à l'objectif recherché par le demandeur d'emploi (ne pas rejoindre la plateforme) et disproportionné. Contacter le DPO pour s'opposer est également disproportionné : face au volume d'emails, le demandeur d'emploi peut légitimement s'attendre à un mécanisme d’opposition automatisé en état de marche ;
  
  
• Plusieurs informations obligatoires au sens de l'article 13 du RGPD ne sont pas communiquées : base légale, présentation des intérêts poursuivis, mentions relevant de l'article 13.2.e du RGPD, etc. D'une manière générale, la politique de confidentialité de Pôle emploi ne satisfait pas aux obligations d'exhaustivité et de clarté du RGPD et du CEPD ;
  
  
• Utilisation, dans lesdits emails d'invitation, de liens et d'image de traçage sans obligation légale ni nécessité contractuelle ou technique ni recueil du consentement (WP 118) ;
  
  
• Transfert de données personnelles vers les États-Unis. Images des emails hébergées par Cloudflare. Sur le site web de la plateforme : utilisation de Google Fonts, de scripts hébergés par Amazon, et d'une image hébergée par Akamai.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Je vous invite à considérer les demandeurs d'emploi comme des personnes vulnérables (comme les employés le sont vis-à-vis de traitements mis en œuvre par leur employeur), donc à ne pas attendre de recevoir trouzemilles plaintes identiques à celle-ci avant d'agir, car cela n'arrivera pas : méconnaissance du RGPD, chronophage, peur des sanctions, etc.

J'ai sollicité le DPO de Pôle emploi pour exercer mon droit d'opposition. Je ne vous demande pas d'appuyer ma demande, car le délai légal de réponse court toujours.

Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne Pôle emploi.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Plainte CNIL détaillée

Bonjour,

Je suis inscrit en tant que demandeur d’emploi auprès de Pôle emploi.

À ce titre, j’ai reçu plusieurs email de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres <RÉGION_CENSURÉE> » (ci-après « Sphère emploi » / « la plateforme »).

Onze emails entre le 04/11/2022 et le 21/12/2022 « signés » par la conseillère qui m’est assignée par Pôle emploi. Cf. PJ 1. Leur présentation est rustique, car je désactive la prise en charge HTML de mon logiciel de messagerie.

Premier grief : c’est excessif et abusif, notamment l’aspect répétitif / systématique qui tend à se résigner à accepter les invitations « pour avoir la paix ». Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum.

Le pied de page des emails énonce : « Si vous ne souhaitez plus recevoir de messages de Sphère emploi ou en modifier le type et la fréquence d'envoi, connectez-vous à votre compte pour personnaliser vos notifications. ». Cf. PJ 1.

Pour se connecter sur la plateforme Sphère emploi (https://sphere-emploi.fr/) avec son identité numérique Pôle emploi (mécanisme d’authentification unique), il faut « créer votre compte » et « accepter les conditions générales d'utilisation du site ». Or, je ne veux pas faire cela, je veux uniquement ne plus recevoir les invitations à rejoindre ladite plateforme. Le lien consigné dans le pied de page des emails d’invitation ne permet pas de contourner cette étape.

Décliner plusieurs invitations ne stoppe pas l’émission de nouvelles invitations :

• Le 15/12/2022 à 13 h 54, j’ai décliné l’invitation reçue le même jour à 13 h 36 (cf. la couleur du lien dans la page 7 de PJ 1). À 14 h 21, je recevais une nouvelle invitation à rejoindre la même sphère (le même groupe) sur la même plateforme. J’ai décliné à nouveau (cf. page 8 de PJ 1), et j’ai reçu, à nouveau, une invitation à rejoindre le même groupe le 21/12 (cf. page de 10 de PJ 1) ;
  
  
• Le 18/12/2022 à 20 h 29, j’ai décliné le rappel d’une invitation reçu le même jour à 20 h 21 (cf. PJ 2). Le 21/12/2022, j’ai reçu une nouvelle invitation concernant la même sphère sur la même plateforme (cf. page 11 de PJ 1).

Contrairement aux autres moyens de communication, il n’existe pas de paramètre concernant Sphère emploi dans les préférences de l’espace personnel du demandeur d’emploi sur le site web principal de Pôle emploi (https://candidat.pole-emploi.fr).

Deuxième grief : le moyen de s’opposer est contraignant, disproportionné, et contraire à l’objectif recherché par le demandeur d’emploi (ne pas rejoindre la plateforme). Et le refus d’une invitation ne produit pas l’effet auquel peut légitimement s’attendre un demandeur d’emploi, à savoir qu’on cesse de l’inviter.

Oui, le demandeur d’emploi peut contacter le DPO de Pôle emploi et/ou la conseillère qu’on lui a assignée, mais cela reste disproportionné : quand on m’envoie une masse conséquente d’emails automatiques, j’attends un mécanisme d’opposition automatisé en état de marche.

Oui, l’email contient un entête « List-Unsubscribe », mais 99 % de la population ne sait pas l’utiliser. Sans compter qu’on ne saurait être sûr de son efficacité : j’ai essayé le 26/12/2022, et je n’ai pas reçu un quelconque acquittement automatique, ce qui est pourtant la norme en matière de désabonnement.

Le pied de page des emails énonce « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr ». Cf. PJ 1. C’est inexact, je ne suis pas utilisateur puisque, comme relaté ci-dessus, utiliser le site web nécessite la création d’un compte (cf. article 3 des mentions légales, https://sphere-emploi.fr/portal/article/3984) et l’acceptation des conditions d’utilisation, ce que je n’ai pas fait à date.

Je n’ai pas reçu d’information (comme la possibilité de m’opposer) avant la réception des invitations alors que, manifestement, des données personnelles, au moins mon adresse emails, ont été insérées dans ce traitement.

Dans les mentions légales de la plateforme Sphère emploi (https://sphere-emploi.fr/portal/article/3984), la base légale n’est pas indiquée.

Par déduction, ce n’est pas le consentement (il n’est pas récolté au préalable et décliner une invitation ne suffit pas à être retiré du traitement), ni une obligation légale (le responsable du traitement doit démontrer en quoi son traitement répond à une telle obligation légale précise, cela ne peut pas être un objectif vague et/ou d’ordre général, cf. WP 260 du CEPD, et Pôle emploi indique que les données ne sont pas traitées dans le « cadre du contrôle de la recherche d’emploi »), ni une mission de service public (mêmes raisons, la législation ne missionne pas explicitement Pôle emploi pour créer une plateforme collaborative à destination des demandeurs d'emploi). Donc, il s’agit de l’intérêt légitime. Or, les intérêts légitimes ne sont pas énoncés, alors qu’il s’agit d’une obligation (article 13.1.d du RGPD).

De même, aucune information sur le caractère (réglementaire, contractuel) de l’utilisation des données personnelles ni sur son aspect facultatif ou obligatoire ni les conséquences d’un refus (sur ce dernier point, la phrase « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » constitue un indice faible). C'est pourtant une exigence de l'article 13.2.e du RGPD.

La politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) ne référence pas ce traitement et ne fournit pas de réponse aux carences précédemment soulignées. Par ailleurs, elle ne répond pas aux exigences d'exhaustivité et de clarté définies par le RGPD et le CEPD : quel jeu de données est utilisé pour telle finalité présentée ? Sur quelle base légale repose telle finalité présentée ? Durée de conservation de chaque jeu de données ? Etc.

Troisième grief : manquement aux articles 12 et 13 du RGPD.

Enfin, comme les autres emails émis par Pôle emploi (ou ses prestataires), cf. ma plainte CNIL numéro 44-17-47, les emails d’invitation à rejoindre Sphère emploi contiennent une image de traçage selon votre terminologie (cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) : image transparente (format GIF) de dimensions 1 x 1 pixel donc invisible et n’apportant rien au contenu rédactionnel. Cf. page 4 de PJ 3.

De même, tous les liens sont des liens de traçage (cf. PJ 1, même ceux qui redirigent simplement vers la page d’accueil de Sphère emploi ou vers le profil de la personne qui a émis l’invitation (la conseillère assignée par Pôle emploi). Nom de domaine dédié (« r.mail.sphere-emploi.fr ») délégué à votre prestataire d’e-mailing (SendInBlue), motifs « tr » (diminutif de « track ») et « cl » (« click ») dans l'URL de chaque lien, identifiant unique à chaque lien afin de consigner un clic sur celui-ci

Aucune nécessité technique ou obligation légale impose ce traçage. Aucune information ni recueil du consentement du demandeur d’emploi. Donc manquement au RGPD (section V du WP 118 et votre doctrine sus-pointée).

Pour les détails techniques, je vous renvoie à ma plainte CNIL numéro 44-1747.

Quatrième grief : liens et image de traçage en l’absence d’obligation, de nécessité et de consentement.

Lors de son chargement, la page d’accueil de la plateforme Sphère emploi (https://sphere-emploi.fr/) fait télécharger automatiquement :

• Une police de caractères auprès du service Fonts de la société commerciale états-unienne Google ;
  
  
• Des scripts JavaScript du service StatusPage de la société commerciale Atlassian qui les héberge sur les serveurs informatiques de la société commerciale états-unienne Amazon ;
  
  
• Une image hébergée par la société commerciale états-unienne Akamai Technologies (rackcdn.com).

On peut raisonnablement en déduire que l’entièreté de la plateforme fait télécharger ces ressources web sur chacune de ses pages web.

De même, les images qui participent au contenu des emails (logo Pôle emploi, etc.) sont diffusées via le CDN de la société commerciale états-unienne Cloudflare. Elles sont téléchargées automatiquement par le logiciel de messagerie à l’ouverture de l’email.

Ces téléchargements induisent un contact direct entre le terminal du demandeur d’emploi et les serveurs informatiques détenus par les sociétés commerciales états-uniennes sus-énumérées.

Ce contact direct induit le transfert vers les États-Unis de plusieurs données personnelles du demandeur d’emploi : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (l’entête HTTP Referer consigne pour le compte de quel site web des ressources web sont téléchargées), la date et l’heure de ses consultations de Pôle emploi (même entête), etc.

Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au point précédent (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks).

Ces transferts de données personnelles constituent des manquements au RGPD : absence de décision d’adéquation, absence de garanties appropriés complétés par des mesures complémentaires répondant aux exigences de l’arrêt Schrems II de la CJUE, absence de consentement au sens de l’article 49.1a du RGPD (absence d’information, absence de recueil du consentement, transferts systématiques), absence de nécessité à l’exécution d’un contrat (internalisation, hébergement UE, etc.), et absence d’information sur l’existence de ces transferts au sens de l'article 13.1.f du RGPD.

Dans le cas d’espèce, la plateforme Sphère emploi est un produit de la société commerciale française Whaller qui agit comme sous-traitant de Pôle emploi (cf. article 1 des mentions légales, https://sphere-emploi.fr/portal/article/3984). Il y a donc, de la part de Pôle emploi, carence dans le choix, le pilotage et l’audit de ses sous-traitants.

Cinquième grief : transfert illégal de données personnelles vers les États-Unis.

J'ai enregistré ces transferts illégaux de données personnelles dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics). Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je reste à votre disposition pour vous communiquer cet enregistrement HAR par tout autre moyen à votre convenance.

Enfin, je vous rappelle que tous les demandeurs d’emploi (inscrits à Pôle emploi) ne sont pas des informaticiens sensibilisés au RGPD, ni même des personnes qui disposent du temps long (j’en suis à 7 h) nécessaire à l’analyse en détail de la situation et au dépôt d’une réclamation auprès de votre commission.

De même, ils seront nombreux à se résigner à se faire spammer par la plateforme Sphère emploi de Pôle emploi et/ou à accepter les invitations de cette plateforme afin de se prémunir contre toute sanction éventuelle.

Les demandeurs d’emploi doivent être considérés comme des personnes vulnérables comme le sont les employés vis-à-vis de traitements mis en œuvre par leur employeur, à ceci près que les demandeurs d’emploi n’ont pas de syndicat ni de délégué, ce qui accroît leur vulnérabilité.

Ainsi, ne vous attendez pas à recevoir plusieurs milliers de plaintes similaires à la mienne et agissez.

J’ai sollicité, ce jour, le DPO de Pôle emploi afin d’exercer mon droit d’opposition. Cf. PJ 4. Le délai légal n’étant pas expiré, je ne vous demande pas d’appuyer ma demande. J’en profite pour lui signaler les manquements au RGPD sus-énumérés. Je vous tiendrais informer de son éventuelle réponse.

Par la présente, je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencés dans la présente, et qu’elle sanctionne Pôle emploi.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.