GuiGui's Show

Après une première plainte concernant l'impossibilité de s'inscrire à Pôle emploi sans accepter le téléchargement de scripts hébergés sur les serveurs informatiques d'une société commerciale états-unienne, une deuxième plainte portant sur les liens et l'image traçants que Pôle emploi insère dans ses emails, et une troisième plainte portant sur les ateliers organisés via Microsoft Teams et Bit.ly, une quatrième plainte est nécessaire.

Sphère emploi est la plateforme collaborative d'échanges (un réseau social, quoi) de Pôle emploi. Le logiciel sous-jacent est un produit de la société commerciale française Whaller. Aeris a émis des doutes concernant la conformité RGPD du produit en consultant son site web officiel. Cette instance de Pôle emploi les confirme : il y a bien des transferts illégaux de données personnelles vers les États-Unis (Google Fonts, scripts hébergés par Amazon, image par Akamai) par le produit lui-même, ce qui illustre que la conformité de la vitrine (site web officiel) reflète souvent celle du produit. Et, comme d'hab', on constate des carences dans le choix, le pilotage et l'audit des sous-traitants.

Pôle emploi envoie, par email, des invitations à rejoindre Sphère emploi. Onze en un mois et demi, ce qui est excessif. Pour s'y opposer, il faut créer un compte sur la plateforme et accepter ses CGU, ce qui est disproportionné et contraire à l'objectif recherché par le demandeur d'emploi (si je ne veux plus recevoir d'invitation, c'est que je ne veux pas rejoindre la plateforme…). Décliner une invitation est sans effet : on est ré-invité à rejoindre le même canal / groupe encore et encore (alors que quand je refuse une invitation, je peux légitimement m'attendre à ce qu'on me fiche la paix). On peut contacter le DPO de Pôpôle, mais quand on me spamme, je me sens légitime à exiger un mécanisme d'opposition automatisé.

Pôle emploi ne communique pas des informations légalement obligatoires comme la base légale du traitement de données personnelles que constitue Sphère emploi. D'une manière générale, Pôle emploi tend à présenter tous ses traitements comme relevant de sa mission d'intérêt public ou d'une obligation légale. Cf. la mise en forme de sa politique générale de confidentialité : le Code du travail est mis en avant et, par exemple, la base légale de la sécurisation de l'espace recruteur n'est pas énoncée, laissant à penser qu'elle en relève alors que la prévention de la « fraude » relève de l'intérêt légitime. Dans le cas de Sphère emploi, la politique de confidentialité du service énonce « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi », sans fournir, du coup, sa base légale (qui, d'après cette citation, ne peut pas être l'obligation légale ni la mission d'intérêt public)… D'autres traitements (e-mailing, visioconférence, transferts vers les États-Unis, etc.) ne sont pas référencés, et les informations minimales (tel jeu de données persos est utilisé pour telle finalité fondée sur telle base légale, etc.) manquent à l'appel… Pôle emploi joue sur la confusion.

Comme tous les emails de Pôle emploi (cf. premier paragraphe), les invitations contiennent des liens et image de traçage sans obligation légale ni obligation contractuelle ou technique ni consentement.

Du coup, hop, plainte à la CNIL.

Nouveautés :

• Première fois que je pointe les lignes directrices du CEPD relative à la transparence (WP 260). Version française. Elles précisent les informations à communiquer à propos d'un traitement de données personnelles, et la manière de procéder (concision, clarté, plusieurs niveaux de lecture, etc.) ;
  
  
• Dans sa doctrine, la CNIL explique qu'un responsable de traitement peut s'appuyer sur une obligation légale seulement si elle est impérative (un texte qui prévoit l'installation de caméras dans un lieu public ne l'est pas, par exemple), qu'elle s'impose explicitement à lui (et pas uniquement aux personnes concernées par le traitement), et qu'elle est précise (un objectif général, même prévu par la loi, comme la sécurité des données, est insuffisant). Il en va de même pour la base légale de la mission d'intérêt public (source). Sinon, couic, comme ici avec la prise de température via des caméras thermiques durant le Covid dans des aéroports de Belgique (la Cour d'Appel a réduit la sanction, mais l'absence de base légale et d'information sur le traitement demeurent intacte).

Email au DPO de Pôle emploi

Le RGPD impose d'exercer d'abord ses droits (ici d'opposition) auprès du délégué à la protection des données personnelles de l'entité. J'en profite pour lui signaler les infractions que je constate. Ces dernières peuvent être directement remontées à l'autorité de protection des données personnelles, d'où la parallélisation de ma demande au DPO et de ma plainte auprès de la CNIL.

Je l'ai envoyé aux adresses emails consignées dans la politique de confidentialité de Sphère emploi et dans la politique générale de protection des données personnelles de Pôle emploi.

Sujet : Exercice droit d'opposition et signalement infractions RGPD

Bonjour,

Je suis inscrit en tant que demandeur d’emploi auprès de Pôle emploi.

À ce titre, entre le 04/11/2022 et le 21/12/2022, j'ai reçu onze emails de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres Provence Alpes ». Cf. PJ 1.

Décliner plusieurs invitations ne stoppe pas l'émission de nouvelles invitations :

• Le 15/12/2022 à 13 h 54, j’ai décliné l’invitation reçue le même jour à 13 h 36 (cf. la couleur du lien dans la page 7 de PJ 1). À 14 h 21, je recevais une nouvelle invitation à rejoindre la même sphère sur la même plateforme. J’ai décliné à nouveau (cf. page 8 de PJ 1), et j’ai reçu, à nouveau, une invitation à rejoindre la même sphère le 21/12 (cf. page de 10 de PJ 1) ;
  
  
• Le 18/12/2022 à 20 h 29, j’ai décliné le rappel d’une invitation reçu le même jour à 20 h 21 (cf. PJ 2). Le 21/12/2022, j’ai reçu une nouvelle invitation concernant la même sphère sur la même plateforme (cf. page 11 de PJ 1).

Le pied de page des emails énonce : « Si vous ne souhaitez plus recevoir de messages de Sphère emploi ou en modifier le type et la fréquence d'envoi, connectez-vous à votre compte pour personnaliser vos notifications. ».

Pour se connecter sur la plateforme Sphère emploi, il faut « créer votre compte » et « accepter les conditions générales d'utilisation du site ». Or, je ne veux pas faire cela, je veux uniquement ne plus recevoir les invitations à rejoindre ladite plateforme. Le lien consigné dans le pied de page des emails d'invitation ne permet pas de contourner cette étape.

Mes demandes

1) Je ne veux plus recevoir les emails de la plateforme Sphère emploi. À ce titre, j'exerce mon droit d'opposition pour l'adresse emails émettrice du présent email. Si le traitement est fondé sur le consentement, la présente demande est à interpréter comme un retrait de mon consentement (quand bien même il n'a pas été collecté) ;

2) Merci de revenir vers moi pour me confirmer la prise en compte de mon opposition et son effectivité ;

3) J'ai reçu onze invitations et rappels d'invitation de Sphère emploi entre le 04/11/2022 et le 21/12/2022. Cf. PJ 1. C'est excessif, notamment l'aspect répétitif / systématique qui tend à forcer l'acception des invitations afin d'avoir la paix. Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum ;

      Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

4) Comme relaté ci-dessus, pour s'opposer à la réception des invitations de Sphère emploi, il faut créer un compte sur la plateforme et accepter ses conditions d'utilisation. Cela est contraignant, contraire à l'objectif recherché par le demandeur d'emploi (ne pas rejoindre Sphère emploi) et disproportionné. Bien évidemment, le demandeur d'emploi peut vous écrire ainsi qu'à sa conseillère assignée mais cela est tout autant disproportionné : quand on m’envoie une masse conséquente d’emails automatiques, j’attends un mécanisme d’opposition automatisé en état de marche.

      De plus, le refus d’une invitation ne produit pas l’effet auquel peut légitimement s’attendre un demandeur d’emploi, à savoir qu’on cesse de l’inviter.

      Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

5) Carence dans les informations décrivant le traitement Sphère emploi (articles 12 et 13 du RGPD).

     Le pied de page des emails énonce « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr ». Cf. PJ 1. C’est inexact, je ne suis pas utilisateur de Sphère emploi puisque utiliser le site web nécessite de s’y créer un compte utilisateur (cf. l'article 3 des mentions légales, https://sphere-emploi.fr/portal/article/3984) et d'accepter les conditions d’utilisation de la plateforme, ce que je n’ai pas fait.

     De plus, je n’ai pas reçu d’information, comme la possibilité de m’opposer, avant de recevoir les invitations alors que, manifestement, des données personnelles, au moins mon adresse emails, ont été insérées dans ce traitement (Sphère emploi).

     Ensuite, dans les mentions légales de la plateforme (https://sphere-emploi.fr/portal/article/3984), la base légale du traitement de données personnelles n’est pas indiquée. Par déduction, ce n’est pas le consentement (il n’est pas récolté au préalable et décliner une invitation ne suffit pas à être retiré du traitement), ni une obligation légale (le responsable du traitement doit démontrer en quoi son traitement répond à une telle obligation précise, cela ne peut pas être un objectif vague et/ou d’ordre général, cf. WP 260 du CEPD, et Pôle emploi indique que les données ne sont pas traitées dans le « cadre du contrôle de la recherche d’emploi »), ni une mission de service public (mêmes raisons, la législation ne missionne pas explicitement Pôle emploi pour créer une plateforme collaborative à destination des demandeurs d'emploi). Donc, la base légale est l’intérêt légitime. Or, lesdits ne sont pas présentés, alors qu'il s'agit d'une obligation (article 13.1.d du RGPD).

      De même, aucune information est donnée sur le caractère (réglementaire, contractuel) de l’utilisation des données personnelles ni sur son aspect facultatif ou obligatoire ni sur les conséquences d’un refus de communication des données personnelles (sur ce dernier point, la phrase « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » constitue un indice faible). C'est pourtant une exigence de l'article 13.2.e du RGPD.

      La politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) ne référence pas ce traitement et ne fournit pas de réponse aux carences précédemment soulignées. Par ailleurs, elle ne répond pas aux exigences d'exhaustivité et de clarté définies par le RGPD et le CEPD : quel jeu de données est utilisé pour telle finalité présentée ? Sur quelle base légale repose telle finalité présentée ? Durée de conservation de chaque jeu de données ? Etc.

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

6) Comme tous les emails émis par Pôle emploi, chaque invitation contient au moins une image de traçage (d'après la terminologie de la CNIL, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), et tous les liens qu'elle contient sont des liens de traçage, même ceux qui redirigent simplement vers la page d'accueil de Sphère emploi ou vers le profil de la personne qui a émis l'invitation (la conseillère assignée par Pôle emploi). Nom de domaine dédié (« r.mail.sphere-emploi.fr ») délégué à votre prestataire d'e-mailing (SendInBlue), motifs « tr » (diminutif de « track ») et « cl » (« click ») dans l'URL de chaque lien, identifiant unique à chaque lien afin de consigner un clic sur celui-ci. Image 1 x 1 pixel transparente (format GIF) donc invisible et n'apportant rien au contenu rédactionnel. Cf. PJ 1 et page 4 de PJ 3.

     Vous êtes soumis à aucune obligation légale nécessitant de traquer la lecture des emails par les demandeurs d'emplois et leurs clics sur des liens. Absence de nécessité pour l'exécution d'un contrat ou de votre mission de service publique. Aucune information au demandeur d'emploi et absence de recueil de son consentement. Il s'agit donc d'un manquement au RGPD selon le CEPD (section V de WP 118) et la CNIL (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

7) Lors de son chargement, la page d’accueil de la plateforme Sphère emploi (https://sphere-emploi.fr/) fait télécharger automatiquement (cf. PJ 4 au format HTTP Archive) :

• Une police de caractères auprès du service Fonts de la société commerciale états-unienne Google ;
  
  
• Des scripts JavaScript du service StatusPage de la société commerciale Atlassian qui les héberge sur les serveurs informatiques de la société commerciale états-unienne Amazon ;
  
  
• Une image hébergée sur les serveurs informatiques de la société commerciale états-unienne Akamai Technologies (rackcdn.com).

     On peut raisonnablement en déduire que l'entièreté de la plateforme fait télécharger ces ressources sur chacune de ses pages.

     De même, les images qui participent au contenu des emails (logo Pôle emploi, etc.) sont diffusées via le CDN de la société commerciale états-unienne Cloudflare. Elles sont téléchargées automatiquement par le logiciel de messagerie du demandeur d'emploi à l'ouverture de l'email.

     Ces téléchargements induisent un contact direct entre le terminal du demandeur d’emploi et des serveurs informatiques détenus par les sociétés commerciales états-uniennes sus-énumérés. Pour le raisonnement détaillé, cf. https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     Ce contact direct induit le transfert vers les États-Unis de plusieurs données personnelles du demandeur d’emploi : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (l’entête HTTP Referer consigne pour le compte de quel site web des ressources web sont téléchargées), la date et l’heure de ses consultations de Sphère emploi (même entête), etc. Là encore, voir le raisonnement complet en https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     À titre d'illustration, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérés au point précédent (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks).

     Ces transferts de données personnelles vers les États-Unis constituent des manquements au RGPD (articles 44 à 49 du RGPD) : absence de décision d’adéquation et de clauses contractuelles-type (invalidées par l'arrêt Schrems II de la Cour de Justice de l'UE), absence de garanties appropriées complétées par des mesures complémentaires répondant aux exigences de l’arrêt Schrems II, absence de consentement au sens de l’article 49.1.a du RGPD (absence d’information, absence de recueil du consentement, transferts systématiques, cf. les lignes directrices 2/2018 du CEPD), absence de nécessité à l’exécution d’un contrat (il est possible d'héberger ces ressources web sur le même hébergement web que la plateforme ou auprès d'un hébergeur européen, de recourir à des prestataires européens similaires, etc.), et absence d'information sur l'existence de ces transferts au sens de l'article 13.1.f du RGPD. Là encore, le raisonnement est détaillée par la CNIL : https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     La plateforme Sphère emploi est un produit de la société commerciale française Whaller qui agit comme sous-traitant de Pôle emploi (cf. article 1 des mentions légales, https://sphere-emploi.fr/portal/article/3984). Il y a donc, de la part de Pôle emploi, carence dans le choix, le pilotage et l’audit de ses sous-traitants.

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

8) Merci de me communiquer les informations légales (article 13 du RGPD) manquantes (cf. question 5 et article 13.1.f du RGPD appliqué aux faits relatés dans la question 7).

Bonne journée.

Introduction de ma plainte CNIL

Bonjour,

Je suis inscrit à Pôle emploi en tant que demandeur d'emploi.

À ce titre, j’ai reçu plusieurs email de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres <REGION_CENSURÉE> ».

Merci de noter que nous ne sommes pas en présence d'un traitement obligatoire lié à la mission de service public de Pôle emploi : « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » (source : la politique de confidentialité de la plateforme collaborative).

Infractions :

• Nombre excessif d'emails d'invitation (11 en 1 mois et demi). La démarche est abusive par sa répétitivité : décliner plusieurs invitations ne suffit pas à stopper l'émission de nouvelles invitations à rejoindre les mêmes groupes. Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum ;
  
  
• Le pied de page de chaque email énonce qu'on peut s'opposer au traitement… en créant un compte sur la plateforme (avec acceptation des CGU). C'est contraignant, contraire à l'objectif recherché par le demandeur d'emploi (ne pas rejoindre la plateforme) et disproportionné. Contacter le DPO pour s'opposer est également disproportionné : face au volume d'emails, le demandeur d'emploi peut légitimement s'attendre à un mécanisme d’opposition automatisé en état de marche ;
  
  
• Plusieurs informations obligatoires au sens de l'article 13 du RGPD ne sont pas communiquées : base légale, présentation des intérêts poursuivis, mentions relevant de l'article 13.2.e du RGPD, etc. D'une manière générale, la politique de confidentialité de Pôle emploi ne satisfait pas aux obligations d'exhaustivité et de clarté du RGPD et du CEPD ;
  
  
• Utilisation, dans lesdits emails d'invitation, de liens et d'image de traçage sans obligation légale ni nécessité contractuelle ou technique ni recueil du consentement (WP 118) ;
  
  
• Transfert de données personnelles vers les États-Unis. Images des emails hébergées par Cloudflare. Sur le site web de la plateforme : utilisation de Google Fonts, de scripts hébergés par Amazon, et d'une image hébergée par Akamai.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Je vous invite à considérer les demandeurs d'emploi comme des personnes vulnérables (comme les employés le sont vis-à-vis de traitements mis en œuvre par leur employeur), donc à ne pas attendre de recevoir trouzemilles plaintes identiques à celle-ci avant d'agir, car cela n'arrivera pas : méconnaissance du RGPD, chronophage, peur des sanctions, etc.

J'ai sollicité le DPO de Pôle emploi pour exercer mon droit d'opposition. Je ne vous demande pas d'appuyer ma demande, car le délai légal de réponse court toujours.

Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne Pôle emploi.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Plainte CNIL détaillée

Bonjour,

Je suis inscrit en tant que demandeur d’emploi auprès de Pôle emploi.

À ce titre, j’ai reçu plusieurs email de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres <RÉGION_CENSURÉE> » (ci-après « Sphère emploi » / « la plateforme »).

Onze emails entre le 04/11/2022 et le 21/12/2022 « signés » par la conseillère qui m’est assignée par Pôle emploi. Cf. PJ 1. Leur présentation est rustique, car je désactive la prise en charge HTML de mon logiciel de messagerie.

Premier grief : c’est excessif et abusif, notamment l’aspect répétitif / systématique qui tend à se résigner à accepter les invitations « pour avoir la paix ». Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum.

Le pied de page des emails énonce : « Si vous ne souhaitez plus recevoir de messages de Sphère emploi ou en modifier le type et la fréquence d'envoi, connectez-vous à votre compte pour personnaliser vos notifications. ». Cf. PJ 1.

Pour se connecter sur la plateforme Sphère emploi (https://sphere-emploi.fr/) avec son identité numérique Pôle emploi (mécanisme d’authentification unique), il faut « créer votre compte » et « accepter les conditions générales d'utilisation du site ». Or, je ne veux pas faire cela, je veux uniquement ne plus recevoir les invitations à rejoindre ladite plateforme. Le lien consigné dans le pied de page des emails d’invitation ne permet pas de contourner cette étape.

Décliner plusieurs invitations ne stoppe pas l’émission de nouvelles invitations :

• Le 15/12/2022 à 13 h 54, j’ai décliné l’invitation reçue le même jour à 13 h 36 (cf. la couleur du lien dans la page 7 de PJ 1). À 14 h 21, je recevais une nouvelle invitation à rejoindre la même sphère (le même groupe) sur la même plateforme. J’ai décliné à nouveau (cf. page 8 de PJ 1), et j’ai reçu, à nouveau, une invitation à rejoindre le même groupe le 21/12 (cf. page de 10 de PJ 1) ;
  
  
• Le 18/12/2022 à 20 h 29, j’ai décliné le rappel d’une invitation reçu le même jour à 20 h 21 (cf. PJ 2). Le 21/12/2022, j’ai reçu une nouvelle invitation concernant la même sphère sur la même plateforme (cf. page 11 de PJ 1).

Contrairement aux autres moyens de communication, il n’existe pas de paramètre concernant Sphère emploi dans les préférences de l’espace personnel du demandeur d’emploi sur le site web principal de Pôle emploi (https://candidat.pole-emploi.fr).

Deuxième grief : le moyen de s’opposer est contraignant, disproportionné, et contraire à l’objectif recherché par le demandeur d’emploi (ne pas rejoindre la plateforme). Et le refus d’une invitation ne produit pas l’effet auquel peut légitimement s’attendre un demandeur d’emploi, à savoir qu’on cesse de l’inviter.

Oui, le demandeur d’emploi peut contacter le DPO de Pôle emploi et/ou la conseillère qu’on lui a assignée, mais cela reste disproportionné : quand on m’envoie une masse conséquente d’emails automatiques, j’attends un mécanisme d’opposition automatisé en état de marche.

Oui, l’email contient un entête « List-Unsubscribe », mais 99 % de la population ne sait pas l’utiliser. Sans compter qu’on ne saurait être sûr de son efficacité : j’ai essayé le 26/12/2022, et je n’ai pas reçu un quelconque acquittement automatique, ce qui est pourtant la norme en matière de désabonnement.

Le pied de page des emails énonce « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr ». Cf. PJ 1. C’est inexact, je ne suis pas utilisateur puisque, comme relaté ci-dessus, utiliser le site web nécessite la création d’un compte (cf. article 3 des mentions légales, https://sphere-emploi.fr/portal/article/3984) et l’acceptation des conditions d’utilisation, ce que je n’ai pas fait à date.

Je n’ai pas reçu d’information (comme la possibilité de m’opposer) avant la réception des invitations alors que, manifestement, des données personnelles, au moins mon adresse emails, ont été insérées dans ce traitement.

Dans les mentions légales de la plateforme Sphère emploi (https://sphere-emploi.fr/portal/article/3984), la base légale n’est pas indiquée.

Par déduction, ce n’est pas le consentement (il n’est pas récolté au préalable et décliner une invitation ne suffit pas à être retiré du traitement), ni une obligation légale (le responsable du traitement doit démontrer en quoi son traitement répond à une telle obligation légale précise, cela ne peut pas être un objectif vague et/ou d’ordre général, cf. WP 260 du CEPD, et Pôle emploi indique que les données ne sont pas traitées dans le « cadre du contrôle de la recherche d’emploi »), ni une mission de service public (mêmes raisons, la législation ne missionne pas explicitement Pôle emploi pour créer une plateforme collaborative à destination des demandeurs d'emploi). Donc, il s’agit de l’intérêt légitime. Or, les intérêts légitimes ne sont pas énoncés, alors qu’il s’agit d’une obligation (article 13.1.d du RGPD).

De même, aucune information sur le caractère (réglementaire, contractuel) de l’utilisation des données personnelles ni sur son aspect facultatif ou obligatoire ni les conséquences d’un refus (sur ce dernier point, la phrase « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » constitue un indice faible). C'est pourtant une exigence de l'article 13.2.e du RGPD.

La politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) ne référence pas ce traitement et ne fournit pas de réponse aux carences précédemment soulignées. Par ailleurs, elle ne répond pas aux exigences d'exhaustivité et de clarté définies par le RGPD et le CEPD : quel jeu de données est utilisé pour telle finalité présentée ? Sur quelle base légale repose telle finalité présentée ? Durée de conservation de chaque jeu de données ? Etc.

Troisième grief : manquement aux articles 12 et 13 du RGPD.

Enfin, comme les autres emails émis par Pôle emploi (ou ses prestataires), cf. ma plainte CNIL numéro 44-17-47, les emails d’invitation à rejoindre Sphère emploi contiennent une image de traçage selon votre terminologie (cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) : image transparente (format GIF) de dimensions 1 x 1 pixel donc invisible et n’apportant rien au contenu rédactionnel. Cf. page 4 de PJ 3.

De même, tous les liens sont des liens de traçage (cf. PJ 1, même ceux qui redirigent simplement vers la page d’accueil de Sphère emploi ou vers le profil de la personne qui a émis l’invitation (la conseillère assignée par Pôle emploi). Nom de domaine dédié (« r.mail.sphere-emploi.fr ») délégué à votre prestataire d’e-mailing (SendInBlue), motifs « tr » (diminutif de « track ») et « cl » (« click ») dans l'URL de chaque lien, identifiant unique à chaque lien afin de consigner un clic sur celui-ci

Aucune nécessité technique ou obligation légale impose ce traçage. Aucune information ni recueil du consentement du demandeur d’emploi. Donc manquement au RGPD (section V du WP 118 et votre doctrine sus-pointée).

Pour les détails techniques, je vous renvoie à ma plainte CNIL numéro 44-1747.

Quatrième grief : liens et image de traçage en l’absence d’obligation, de nécessité et de consentement.

Lors de son chargement, la page d’accueil de la plateforme Sphère emploi (https://sphere-emploi.fr/) fait télécharger automatiquement :

• Une police de caractères auprès du service Fonts de la société commerciale états-unienne Google ;
  
  
• Des scripts JavaScript du service StatusPage de la société commerciale Atlassian qui les héberge sur les serveurs informatiques de la société commerciale états-unienne Amazon ;
  
  
• Une image hébergée par la société commerciale états-unienne Akamai Technologies (rackcdn.com).

On peut raisonnablement en déduire que l’entièreté de la plateforme fait télécharger ces ressources web sur chacune de ses pages web.

De même, les images qui participent au contenu des emails (logo Pôle emploi, etc.) sont diffusées via le CDN de la société commerciale états-unienne Cloudflare. Elles sont téléchargées automatiquement par le logiciel de messagerie à l’ouverture de l’email.

Ces téléchargements induisent un contact direct entre le terminal du demandeur d’emploi et les serveurs informatiques détenus par les sociétés commerciales états-uniennes sus-énumérées.

Ce contact direct induit le transfert vers les États-Unis de plusieurs données personnelles du demandeur d’emploi : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (l’entête HTTP Referer consigne pour le compte de quel site web des ressources web sont téléchargées), la date et l’heure de ses consultations de Pôle emploi (même entête), etc.

Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au point précédent (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks).

Ces transferts de données personnelles constituent des manquements au RGPD : absence de décision d’adéquation, absence de garanties appropriés complétés par des mesures complémentaires répondant aux exigences de l’arrêt Schrems II de la CJUE, absence de consentement au sens de l’article 49.1a du RGPD (absence d’information, absence de recueil du consentement, transferts systématiques), absence de nécessité à l’exécution d’un contrat (internalisation, hébergement UE, etc.), et absence d’information sur l’existence de ces transferts au sens de l'article 13.1.f du RGPD.

Dans le cas d’espèce, la plateforme Sphère emploi est un produit de la société commerciale française Whaller qui agit comme sous-traitant de Pôle emploi (cf. article 1 des mentions légales, https://sphere-emploi.fr/portal/article/3984). Il y a donc, de la part de Pôle emploi, carence dans le choix, le pilotage et l’audit de ses sous-traitants.

Cinquième grief : transfert illégal de données personnelles vers les États-Unis.

J'ai enregistré ces transferts illégaux de données personnelles dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics). Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je reste à votre disposition pour vous communiquer cet enregistrement HAR par tout autre moyen à votre convenance.

Enfin, je vous rappelle que tous les demandeurs d’emploi (inscrits à Pôle emploi) ne sont pas des informaticiens sensibilisés au RGPD, ni même des personnes qui disposent du temps long (j’en suis à 7 h) nécessaire à l’analyse en détail de la situation et au dépôt d’une réclamation auprès de votre commission.

De même, ils seront nombreux à se résigner à se faire spammer par la plateforme Sphère emploi de Pôle emploi et/ou à accepter les invitations de cette plateforme afin de se prémunir contre toute sanction éventuelle.

Les demandeurs d’emploi doivent être considérés comme des personnes vulnérables comme le sont les employés vis-à-vis de traitements mis en œuvre par leur employeur, à ceci près que les demandeurs d’emploi n’ont pas de syndicat ni de délégué, ce qui accroît leur vulnérabilité.

Ainsi, ne vous attendez pas à recevoir plusieurs milliers de plaintes similaires à la mienne et agissez.

J’ai sollicité, ce jour, le DPO de Pôle emploi afin d’exercer mon droit d’opposition. Cf. PJ 4. Le délai légal n’étant pas expiré, je ne vous demande pas d’appuyer ma demande. J’en profite pour lui signaler les manquements au RGPD sus-énumérés. Je vous tiendrais informer de son éventuelle réponse.

Par la présente, je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencés dans la présente, et qu’elle sanctionne Pôle emploi.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

ÉDIT DU 20/07/2023 :

Réponse du DPO de Pôle emploi du 25/01/2023 :

Bonjour,

Je vous remercie pour votre mail, qui est actuellement en cours de traitement.

Au vue de la complexité de votre demande et du nombre de services à contacter, je vous informe que le délai maximal de traitement de cette demande sera prolongé de deux mois, comme le permet l’article 12.3 du RGPD.

Je peux déjà vous informer que votre demande relative à votre droit d’opposition a été traitée : vous ne recevrez plus de mail de la part de votre conseillère vous invitant à rejoindre Sphère emploi.
Les autres points soulevés sont actuellement en cours de traitement dans les services compétents et je vous transmettrai leurs réponses dès que possible.

Cordialement.

Réponse du DPO de Pôle emploi du 17/03/2023 :

Bonjour,

Je vous remercie pour votre patience et reviens vers vous suite à votre demande concernant la plateforme Sphère emploi. Voici les éléments correctifs effectués :

Tout d’abord, comme précisé dans mon précédent mail du 25 janvier 2023, votre demande relative à votre droit d’opposition a été traitée : vous ne recevrez plus de mail de la part de votre conseillère Pôle emploi vous invitant à rejoindre Sphère emploi.

Ensuite, le pied de page des e-mails d’invitation a été modifié : un lien de désinscription permet désormais de se désinscrire de la liste de diffusion sans la création préalable d’un compte sur Sphère emploi.

De plus, les mentions d’informations présentes sur le site de Sphère emploi ont été mises à jour et sont disponibles ici : https://sphere-emploi.fr/portal/article/3984

Enfin, les différents systèmes de traçages que vous avait relevé sont désactivés : les e-mails ne contiennent plus d’images tracées ni d’URL tracées. Ils ne contiennent plus de pixel de traçage de l’ouverture et il n’y a plus d’envoi d’images hébergées sur un CDN.
De même, les polices sont désormais chargées directement depuis nos serveurs. Les scripts StatusPage est soumis au consentement explicite de l’utilisateur et ne sont plus chargés pas défaut.

Cordialement.

Il semble improbable que ce soit le DPO de Pôle emploi qui ait incité son sous-traitant Whaller à se mettre en conformité en matière de scripts externes hébergés aux USA. En effet, le 4 novembre 2022, Aeris étrillait Whaller dans le thread Twitter d'un officiel du gouvernement (https://twitter.com/aeris22/status/1595807654445973505). Whaller lui avait demandé conseil. Le 01/02/2023, Aeris annonce que Whaller s'est bougé (https://twitter.com/aeris22/status/1620725832674074630). Je pense que Whaller a corrigé son produit et que Pôle emploi en a bénéficié comme tous les autres clients.

Ma réponse du 20/03/2023 au DPO de Pôle emploi (TL;DR : y'a encore du boulot) :

Bonjour,

Concernant les téléchargements de ressources web depuis des États tiers non adéquats (point 7 de ma demande initiale) :

• La page d'accueil de Sphère emploi et celle des mentions légales de ce service (a minima, peut-être d'autres pages de la plateforme sont concernées) téléchargent des scripts JavaScript de la société commerciale états-unienne New Relic (js-agent.newrelic.com). Notez que le cœur du problème est ici (produit d'une société états-unienne). De plus, ces scripts sont hébergés, par New Relic, derrière le CDN de la société commerciale états-unienne Fastly. Une fois chargés, ces scripts envoient, toutes les minutes, un rapport technique à New Relic via le CDN de la société commerciale états-unienne Cloudflare (bam.nr-data.net). Le raisonnement déroulé dans ma demande initiale est totalement applicable à ces scripts, d'où manquement au RGPD ;
  
  
• Concernant les scripts de StatusPage :
  • En effet, leur téléchargement est effectué après l'affichage d'un bandeau cookies. Mais, que l'usager accepte ou ferme le bandeau (avec la croix en haut à droite), les scripts sont téléchargés et le "cookie" de StatusPage est déposé (en vrai, il s'agit d'objets dans l'espace de stockage du navigateur web, mais le raisonnement est identique). Or, il ne s'agit pas d'un traceur exempté de consentement au sens de la CNIL (cf. https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Donc ce traceur doit être déposé uniquement en cas de consentement explicite. De plus, ce traceur n'est pas référencé dans la section 8 des mentions légales de Sphère emploi alors qu'il m'apparaît qu'il faut le traiter comme un cookie. De même, le téléchargement des scripts devrait avoir lieu uniquement en cas de consement ;
    
    
  • Lorsqu'un RT souhaite se reposer sur le consentement pour effectuer un transfert de données persos vers un État tiers non adéquat, c'est celui prévu à l'article 49.1.a du RGPD qui s'applique, pas celui prévu à l'article 6.1.a. Il s'agit d'un consentement spécifique au transfert, pas d'un consentement au traitement. Pour qu'il soit valable, l'usager doit être informé, je cite « des risques que ce transfert pou[rr]ait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées ». Actuellement, le bandeau ne précise pas qu'il s'agit d'un transfert ni des risques ;
    
    
  • Comme indiqué dans ma demande initiale, seul un transfert occasionnel peut reposer sur l'article 49.1.a du RGPD. Cf. les lignes directrices 2/2018 du CEPD, et la doctrine de la CNIL (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics, question « Est-il possible de continuer à transférer des données avec le consentement explicite des personnes ? »). Comme indiqué dans ma demande initiale, aucun autre mécanisme prévu aux articles 45 et suivants du RGPD ne semblent convenir à votre traitement et un hébergement interne de ces scripts ou un renoncement à leur utilisation semble inéluctable.

Concernant les images et les liens de traçage : ne recevant plus, à ma demande, les emails de Sphère emploi, je ne peux pas confirmer leur disparition. En revanche, les autres emails réguliers de Pôle emploi (réponse d'un conseiller, « Vous avez reçu un courrier […] dans votre espace pole-emploi.fr », email de présentation d'une formation, etc.) contiennent toujours des liens et des images de traçage. Pour les raisons exposées dans ma demande initiale, ces liens et images de traçage ne sont pas plus conformes au RGPD que ceux contenus auparavant dans les emails de Sphère emploi.

Concernant les informations relatives au traitement (point 5 de ma demande initiale) :

• Quelle décision avez-vous pris concernant la phrase « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr » contenue dans le pied de pages des emails d'invitation à Sphère emploi ? Pour rappel, celle-ci est inexacte : mon adresse emails a été injectée dans le traitement (Sphère emploi) en amont, sans action de ma part ni information préalable, et que, pour être utilisateur de Sphère emploi, il faut créer un compte et accepter les CGU, ce que je n'ai jamais fait ;
  
  
• Comme indiqué dans ma demande initiale, Sphère emploi, et notamment l'injection automatique de l'adresse emails d'un usager dans le traitement, ne peut pas reposer sur la base légale de la mission d'intérêt public : absence de spécificité avec la mission confiée à Pôle emploi (lien distendu). Cf. WP 260 du CEPD que la CNIL reprend dans sa doctrine (https://www.cnil.fr/fr/les-bases-legales/mission-interet-public, parallèle intéressant à faire avec https://www.cnil.fr/fr/les-bases-legales/obligation-legale dont le plus grand niveau de détail permet d'appréhender le raisonnement attendu) ;
  
  
• Je ré-itère la totalité de mes griefs à l'encontre de la politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) : traitements pas référencés, informations (sur plusieurs traitements) manquantes, base légale erronée (là encore, tous les traitements sur des données des usagers de Pôle emploi ne peuvent pas reposer sur la base légale de la mission d'intérêt public), absence de clarté et d'exhaustivité (cf. WP 260 du CEPD), etc. Cf. ma demande initiale pour les détails.

Pouvez-vous, svp, m'informer des actions correctrices que vous allez mettre en œuvre ?

Bonne journée.

Mon complément de réclamation adressé à la CNIL le 20/03/2023 :

Bonjour,

Suite à ma demande du 26/12/2022, le DPO de Pôle emploi m'a répondu, le 25/01/2023, qu'il prolongeait son délai maximal de réponse de deux mois. Cf. PJ 1.

Le 17/03/2023, il m’a répondu. Cf. PJ 2.

Le DPO de Pôle emploi a fait droit à ma demande d’opposition et plusieurs manquements au RPGD ont été corrigés (ajout d’un lien de désinscription dans le pied des emails émis par Sphère emploi, suppression des liens et des images de traçage contenus dans les emails émis par Sphère emploi, ajout d’informations obligatoires ‒ article 13 du RGPD ‒ à la politique de confidentialité de Sphère emploi, et suppression de ressources web hébergées dans des États tiers non adéquats).

Néanmoins, plusieurs manquements au RGPD demeurent :

• De nouveaux scripts JavaScript développés et maintenus par une société commerciale états-unienne (qui amasse, en clair, les données que ces scripts récoltent) et diffusés via des CDN états-uniens ont été ajoutés au service Sphère emploi alors que d’autres scripts tout aussi non conformes ont été retirés suite à ma demande… Manquement aux articles 45 à 49 du RGPD ;
  
  
• Les scripts StatusPage (de la société commerciale australienne Atlassian et hébergés par la société commerciale états-unienne Amazon Inc.) sont désormais téléchargés après le bandeau « cookie » de Sphère emploi. Or, ce bandeau ne permet pas le refus et le fermer vaut acceptation. Ces scripts stockent un traceur dans l’espace de stockage permanent du navigateur web. Ce traceur n’étant pas exempté de consentement, son dépôt ne peut avoir lieu qu’après l’octroi du consentement. Or, si l’on ferme le bandeau, le traceur est déposé. De plus, il y a une confusion : le consentement à un transfert vers un État tiers non adéquat est prévu dans l’article 49 du RGPD qui dispose également que l’usager soit informé du transfert et des risques. Or, le bandeau de Pôle emploi (et les mentions légales) n’informe pas de cela. De toute façon, un tel consentement permet uniquement un transfert occasionnel, ce qui n’est pas le cas ici, le transfert est systématique ;
  
  
• Contrairement à ce qui est consigné dans la nouvelle politique de confidentialité de Sphère emploi, ce traitement, et notamment l’injection automatique de l’adresse emails des demandeurs d’emplois dans la liste de diffusion de Sphère emploi ne peut pas reposer sur la base légale de la mission de service public (absence de lien, de rapport, de spécificité avec celle confiée à Pôle emploi) ;
  
  
• La politique de confidentialité générale de Pôle emploi n’est toujours pas conforme au RGPD : elle fonde tous les traitements sur la mission de service public, la majorité des traitements ne sont pas référencés, des informations requises par les articles 12 et 13 du RGPD manquent à l’appel, absence de clarté et d’exhaustivité (WP 260 CEPD) sur le quadruplet { jeu de données ; finalité ; base légale ; durée de conservation } de chaque traitement, etc.

Ce jour, j’ai répondu au DPO de Pôle emploi pour appuyer sur ces points. Cf. PJ 3.

Bonne journée.

La réponse du DPO de Pôle emploi du 14/04/2023 (réponse polie de la catégorie "fin de discussion, merci, revenez nous voir") :

Bonjour Monsieur,

Nous vous remercions pour vos sollicitations au sujet de la protection des données à caractère personnel au sein de Pôle emploi, qui nous permettent d’améliorer nos pratiques.

Suite à nos échanges, nous avons mis en place plusieurs mesures correctrices ainsi que des plans d’actions qui font l’objet de suivis réguliers afin de veiller à la conformité de nos traitements de données à caractère personnel.

Nous collaborons ainsi avec l’ensemble de nos services et de nos sous-traitants pour nous assurer que nos pratiques sont toujours conformes aux exigences légales et réglementaires. Soyez assuré que nous poursuivons nos efforts pour nous améliorer continuellement dans ce domaine.

Cordialement.

Ma réponse du 16/04/2023 adressée au DPO de Pôle emploi (les manquements signalés perdurent + merci d'expliciter les mesures correctives mises en œuvre) :

Bonjour,

Pouvez-vous, svp, m'informer des mesures correctrices que vous avez prises ? Ma demande initiale et mon complément du 20 mars vous le demandaient explicitement.

Sur Sphère emploi, je constate une absence de changement en ce qui concerne le transfert de données personnelles à des États tiers non adéquats (New Relic donc Fastly et CloudFlare donc États-Unis ; Atlassian donc Amazon donc États-Unis).

De même, je constate aucun changement concernant la politique de confidentialité de Pôle emploi, à ceci près que celle de Sphère emploi n'est plus accessible (« Oups ! La page n'existe pas… (Erreur 404) »).

Bonne semaine.

Mon complément à ma réclamation CNIL du 16/04/2023 :

Bonjour,

Suite à ma réplique du 20/03/2023 qui faisait suite à la réponse du DPO de Pôle emploi du 17/03/2023, ce dernier m’a répondu à nouveau le 14/04/2023, cf. PJ 1.

Il s’agit d’une réponse type de politesse qui ne répond pas à mes demandes et qui vise à écourter notre échange.

Pourtant, les infractions au RGPD signalées perdurent :

• Transferts illégaux de données personnelles vers des États tiers non adéquats (New Relic donc Fastly et Cloudflare donc États-Unis ; Atlassian donc Amazon donc États-Unis) lors de la navigation web sur le réseau social Sphère emploi ;

  • Sphère emploi étant basé sur le logiciel de la société commerciale française Whaller, cela peut signifier une carence de Pôle emploi dans le choix, le pilotage et l’audit de ses sous-traitants. (Pour rappel, l’article 1 des mentions légales du service affirme que Whaller agit en tant que sous-traitant de Pôle emploi.)
• Dépôt d’un traceur non exempté de consentement (selon votre grille de lecture https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite), et ce même si l’usager de Sphère emploi ferme le bandeau cookies sans consentir. Le bandeau ne permet pas non plus d’en refuser le dépôt ;
  
  
• Dans sa politique de confidentialité, Pôle emploi déclare recourir à la base légale de la mission d‘intérêt public pour tous ses traitements, y compris, donc, pour l'injection automatique de l'adresse emails des usagers dans le réseau social Sphère emploi. Or, cette base légale est inapplicable par absence de spécificité de certains traitements, dont Sphère emploi, avec la mission confiée à Pôle emploi, au sens du CEPD (WP 260) et de votre grille d’analyse (https://www.cnil.fr/fr/les-bases-legales/mission-interet-public) ;
  
  
• La politique de confidentialité de Pôle emploi ne satisfait pas aux exigences d’exhaustivité et de clarté au sens du CEPD (WP 260) : la majorité des traitements mis en œuvre ne sont pas référencés, des informations requises par les articles 12 et 13 du RGPD sont absentes, notamment sur le quadruplet { jeu de données ; finalité ; base légale ; durée de conservation } propre à chaque traitement, etc.

Ce jour, j’ai signalé ces absences de changement au DPO de Pôle emploi et je lui ai demandé de m’expliciter les corrections qu’il dit avoir mis en œuvre. Cf. PJ 2.

Néanmoins, en étant au stade de la réponse type polie, je pense que mes demandes et mon signalement d’infractions au RGPD n’aboutiront pas, donc je sollicite à nouveau la CNIL pour intervenir dans ce dossier.

Bonne journée.

Mon complément du 26/05/2023 à ma réclamation CNIL :

Bonjour,

Un mois et une semaine plus tard, pas de réponse du DPO de Pôle emploi à mon email du 16/04/2023, donc aucune précision sur les mesures correctrices mises en œuvre. Je maintiens les griefs énoncés, aucune amélioration. Aucune volonté de dialoguer émane du DPO Pôle emploi (cf. PJ 1 du dernier complément) donc je ne le relancerai pas.

Bonne fin de semaine.

FIN DE L'ÉDIT DU 20/07/2023.