Pour diffuser des vidéos sur son site web (exemple 1, exemple 2 ‒ source ‒), la CNIL a recours au service Streamfizz de la société commerciale française Webcastor. Cette dernière a recours au CDN de la société commerciale états-unienne Vercel (qui, elle-même se repose sur Amazon) pour héberger son lecteur de vidéos, au service Azure de Microsoft pour héberger les images statiques et les vidéos, à d'autres sociétés états-uniennes (Stellate, Fastly) pour recevoir un journal des interactions avec une vidéo (lecture, pause, zap, etc.), et j'en passe (Google Fonts, etc.). Huit sociétés commerciales états-uniennes au total…
Cela constitue plusieurs transferts illégaux de données personnelles en dehors de l'UE dont l'adresse IP, la marque, le modèle et des caractéristiques techniques du terminal et du navigateur web, les interactions avec une vidéo et donc l'intérêt porté à celle-ci, etc. Le raisonnement juridique reste identique aux précédentes fois.
Plus pragmatiquement, on peut nommer ça un mauvais choix de prestataire et/ou une carence dans son pilotage dans le temps.
Du coup, hop, plainte à la CNIL.
ÉDIT DU 10/01/2023 : ajout des réponses de la CNIL. FIN DE L'ÉDIT.
Bonjour,
Je suis l’actualité de la CNIL grâce au flux RSS de votre site web. Ainsi, le 13/10/2022, j’ai appris l’existence de vos ressources pédagogiques pour les 8-10 ans (https://www.cnil.fr/fr/education). Les pages web de ce kit pédagogique contenant des vidéos (https://www.cnil.fr/fr/education/prudence-sur-internet-avec-la-cnil et https://www.cnil.fr/fr/education/les-videos-thematiques) contreviennent au RGPD.
En effet, pour diffuser lesdites vidéos, vous avez recours au service Streamfizz de la société commerciale française Webcastor. Mais celle-ci délégue son hébergement informatique, entre autres, à des sociétés commerciales états-uniennes.
D’abord, le lecteur de vidéos de Streamfizz est téléchargé auprès du réseau de diffusion de contenus (CDN) de la société commerciale états-unienne Vercel :
$ dig +short player.streamfizz.live
cname.vercel-dns.com.
76.76.21.98
76.76.21.142$ dig +short player.streamfizz.live | xargs -L1 whois | grep OrgName
OrgName: Vercel, IncVercel délègue son infrastructure technique à la société commerciale états-unienne Amazon. Ainsi, son activité est hébergée et transportée par l’infrastructure et le réseau d’Amazon (cf. https://stat.ripe.net/app/launchpad/S1_76.76.21.98).
Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur final d’un service et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :
- Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Webcastor dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
- Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir, il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web à l’internaute.
Le CDN de Vercel est un CDN du deuxième type. Pour s’en assurer, on peut consulter les entêtes HTTP qu’il insère dans ses réponses aux requêtes web (cf. la documentation officielle de Vercel : https://vercel.com/docs/concepts/edge-network/caching) :
$ curl -s -o /dev/null -D - https ://player.streamfizz.live/embed/media/cl98fhhp926676801kq8tzcmw28 | grep '^x-vercel'
x-vercel-cache: HIT
x-vercel-id: cdg1::cdg1::dm54j-1665922679540-fbd133b7f0beIl y a donc transfert, traitement et conservation de données personnelles (adresse IP, entêtes HTTP, je vais y revenir) par Vercel, autant qu’avec un hébergeur informatique final.
Ensuite, l’image statique de la vidéo et la vidéo elle-même sont téléchargées depuis le service Azure de la société commerciale états-unienne Microsoft.Miniature = « https ://ckrw1nq4883387j3kzrmlyso.blob.core.windows.net/cl98fhhp926676801kq8tzcmw28/thumbs/thumb-002.jpeg » ;
Vidéo = « https ://ckrw1nq4883387j3kzrmlyso.azureedge.net/cl98fhhp926676801kq8tzcmw28/360p/360p.m3u8 ».
$ whois windows.net | grep 'Registrant Organization'
Registrant Organization: Microsoft Corporation$ whois azureedge.net | grep 'Registrant Organization'
Registrant Organization: Microsoft Corporation$ dig +short ckrw1nq4883387j3kzrmlyso.blob.core.windows.net | xargs -L1 whois | grep OrgName
OrgName: Microsoft Corporation$ dig +short ckrw1nq4883387j3kzrmlyso.azureedge.net | xargs -L1 whois | grep OrgName
OrgName: Microsoft Corporation
OrgName: Microsoft Corporation
Enfin, le chargement du lecteur de vidéos de Streamfizz entraîne des téléchargements de ressources web (scripts JavaScripts, images, police de caractères, etc.) supplémentaires dont des dépendances logicielles de ce lecteur de vidéos d’une part et des « fonctionnalités » annexes d’autre part.D’abord, celui d’une police de caractères depuis le service Fonts de la société commerciale états-unienne Google. Infraction au RGPD selon la décision 3_O_17493/20 de la Cour régionale de Munich.
Extrait des outils de développement de Mozilla Firefox :
« GET https ://fonts.gstatic.com/s/opensans/v34/memvYaGs126MiZpBA-UvWbX2vVnXBbObj2OVTS-mu0SC55I.woff2 ».$ whois gstatic.com | grep 'Registrant Organization'
Registrant Organization: Google LLC$ whois `dig +short fonts.gstatic.com` | grep OrgName
OrgName: Google LLCEnsuite, celui de l’outil de mesure d’audience Matomo hébergé chez Amazon. Votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics est de pleine application.
$ dig +short cdn.matomo.cloud | xargs -L1 whois | grep OrgName | sort -u
OrgName: Amazon.com, Inc.
OrgName: Amazon Technologies Inc.$ dig +short streamfizz.matomo.cloud | xargs -L1 whois | grep OrgName | sort -u
OrgName: Amazon Technologies Inc.Sur son site web (https://matomo.org/faq/in-which-locations-does-the-matomo-cloud-store-the-data/), Matomo indique que sa société commerciale est basée en Nouvelle-Zélande (pays qui fait l’objet d’une décision d’adéquation de l’UE tout en étant membre des Five Eyes… … …) et qu’elle a recours aux services d’Amazon Nouvelle-Zélande, ce qui aurait pour effet d’exclure toute ingérence états-unienne.
Sauf qu’il existe un seul réseau informatique mondial Amazon (AS16509), qui est piloté et maintenu par Amazon Inc., société commerciale de droit états-unien. De plus, Amazon Nouvelle-Zélande est une filiale d’Amazon Inc. Enfin, vu le nom des serveurs d’Amazon qui hébergent l’instance Matomo Cloud de Streamfizz (exemple : 52.222.158.54 = server-52-222-158-54.cdg52.r.cloudfront.net. → CDG = code IATA de l’aéroport Paris - Roissy Charles de Gaulle) et la latence réseau pour atteindre ces serveurs depuis un terminal raccordé par un Fournisseur d’Accès Internet français, ces serveurs sont situés en dehors de la Nouvelle-Zélande. Conclusion : le Cloud Act est de pleine application, et le lieu d’hébergement effectif n’a pas d’importance.
Ensuite, celui d’une API de géolocalisation effectué auprès de l’hébergeur informatique états-unien DigitalOcean pour le compte d’on-ne-sait-pas-qui (le domaine est loué par une personne physique belge et le site web comporte aucune mention légale), pratique pour faire valoir ses droits RGPD…$ whois `dig +short geolocation-db.com` | grep OrgName
OrgName: DigitalOcean, LLC
Ensuite, l’initialisation du lecteur de vidéos (où télécharger la vidéo ? Où télécharger sa miniature ?) se fait via un fichier JSON récupéré auprès du service GraphCDN de la société états-unienne Stellate, qui, pour le diffuser, a recours au CDN de la société commerciale états-unienne Fastly.$ dig +short backend-graphcdn.streamfizz.live | xargs -L1 whois | grep OrgName
OrgName: Fastly, Inc.Là encore, il s’agit d’un CDN du deuxième type (avec transfert, traitement et conservation de données personnelles comme l’adresse IP, les entêtes HTTP, etc.) :
$ curl -s -D - https ://backend-graphcdn.streamfizz.live/graphql | grep '^x-'
x-robots-tag: noindex
x-served-by: cache-hhn4054-HHN
x-cache: MISS
x-cache-hits: 0
x-timer: S1665925640.649662,VS0,VE49
x-powered-by: Stellate
Enfin, lors du chargement automatique et en arrière-plan du début de la vidéo, un journal des événements indiquant ce chargement est créé auprès de la société Stellate. Il contient, entre autres, l’adresse IP tronquée de l’internaute, sa localisation géographique déduite par l’API de géolocalisation sus-référencée, l’identifiant et le titre de la vidéo, et la marque et le modèle du navigateur web de l’internaute. Lors de la lecture de la vidéo, ce journal sera complété par les actions entreprises par l’internaute (lecture, pause, reprise, recherche, etc.) associées à l’estampille temporelle (timecode) de la vidéo. Autrement dit : analyse fine du visionnage de la vidéo.Extraits des informations affichées par les outils de développement de Mozilla Firefox : « POST https ://streamfizz-analytics-vod.graphcdn.app/
{ "operationName": "CreateLog", […] "variables": { "city": "Le Pre-Saint-Gervais", "country": "FR", "ip": "<CENSURE>", "ll": [ 48.8855, 2.4042 ], "mediaId": "cl98fhhp926676801kq8tzcmw28", "parentReferrer": "https://www.cnil.fr/", […] "region": "Seine-Saint-Denis", "title": "Prudence sur internet avec la CNIL", "type": "Load", "userAgent": "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0", […] } } » « { "operationName": "CreateLog", […] "variables": { "city": "Le Pre-Saint-Gervais", […] "mediaId": "cl98fhhp926676801kq8tzcmw28", […] "type": "Play", […] "videoTimeCode": 1.967937 } } » « { "operationName": "CreateLog", […] "variables": { "city": "Le Pre-Saint-Gervais", "country": "FR", "ip": "<CENSURE>", "ll": [ 48.8855, 2.4042 ], "mediaId": "cl98fhhp926676801kq8tzcmw28", […] "type": "Pause", […] "videoTimeCode": 85.16985365853658 } } »
Là encore, ce journal transite par Fastly :
$ dig +short streamfizz-analytics-vod.graphcdn.app
ecp.map.fastly.net.
151.101.13.51Notons que le nom de domaine Internet est très expressif sur la finalité du traitement : « analytics-vod » par Stellate (« graphcdn.app ») via Fastly pour le compte de « streamfizz ».
Tous les téléchargements sus-énumérés ont lieu au chargement des pages web du site web de la CNIL sus-énumérées, avant même que l’internaute déclenche la lecture des vidéos. Ainsi, une dizaine de transferts de données personnelles vers huit sociétés commerciales états-uniennes ont lieu avant toute action explicite de l’internaute. Lequel ne saurait s’attendre à autant de transferts illégaux de données personnelles à destination d’un pays tiers non adéquat de la part d’une APD.
Comme constaté ci-dessus, le téléchargement (automatique) du lecteur de vidéos, d’un premier bout de la vidéo, et de ressources web requises par le lecteur de vidéos, ainsi que l’envoi des statistiques fines de visionnage se font auprès de serveurs informatiques détenus par plusieurs sociétés commerciales états-uniennes (Vercel, Amazon, Microsoft, Fastly, etc.) et parfois pour le compte d’autres sociétés commerciales états-uniennes (Stellate). Il y a un contact direct entre le terminal de l’internaute qui visite le site de la CNIL et les serveurs informatiques des prestataires d’hébergement états-uniens choisis (ou subis en cascade) par le prestataire de vidéos français (Webcastor) retenu par la CNIL.Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, tous ces téléchargements en eux-mêmes génèrent de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles de l’internaute CNIL : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses consultations des pages du site web de la CNIL (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), une mesure fine de son visionnage des différentes vidéos proposées par la CNIL, la marque et le modèle de son navigateur web (entête HTTP User-Agent), etc.
Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes HTTP sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web ou dans leurs coulisses techniques, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.
Pour rappel, la société commerciale Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées ci-dessus (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users).
D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser les transferts de données personnelles sus-présentés en dehors de l’UE.
À date, il existe aucune décision d’adéquation entre l’UE et les États-Unis (l’arrêt « Schrems II » de la CJUE ayant invalidé la dernière).
Les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE, par l’EDPS (décision numéro 2020-1013) et par différentes APD (dont vous dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics), au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.
Pour rappel, la mise en œuvre des clauses contractuelles types par Google ne couvre pas son service Fonts, cf. https://policies.google.com/privacy/frameworks.
Les contacts directs entre le terminal de l’internaute CNIL et les serveurs informatiques des prestataires d’hébergement états-uniens sus-référencés démontrent que la CNIL (et son prestataire Webcastor) met en œuvre aucune mesure technique complémentaire (le contact direct les en empêche).
Le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat (décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics).
La CNIL ne recueille pas explicitement le consentement de son internaute pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.
La nécessité des multiples transferts de données personnelles vers les États-Unis sus-énumérés au motif de l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable.
La consultation de vidéos pédagogiques n’implique pas une analyse précise de leur visionnage ni la consignation de la géolocalisation de l’internaute visionneur ni la récupération d’une police de caractères (que Streamfizz pourrait techniquement et juridiquement héberger sur ses propres serveurs ou sur des serveurs détenus par une entité européenne ou la substituer par une police de base) ni le chargement d’un outil de mesure d’audience web.
De plus, il existe des hébergeurs de vidéos européens qui disposent de serveurs informatiques situés dans l’UE auxquels la CNIL aurait pu recourir.
De plus, avec les logiciels PeerTube ou Esup Pod (tous deux référencés dans le socle interministériel de logiciels libres en principe opposable à la CNIL), il est possible d’internaliser l’hébergement desdites vidéos sur l’infrastructure de la CNIL ou sur celles mutualisées de l’État (quitte à formaliser le besoin pour faire naître une mutualisation par la demande).
En tout état de cause, il est possible de conditionner le chargement du lecteur de vidéos, de ses dépendances logicielles et de ses fonctionnalités annexes, ainsi que de la vidéo elle-même, à un clic de l’internaute sur un encart l’informant de l’existence de ces nombreux transferts de données personnelles et récoltant son consentement (au sens de l’article 49.1a du RGPD).Ainsi, le téléchargement automatique du lecteur de vidéos, d’un premier tronçon des vidéos, de dépendances web du lecteur de vidéos, et l’envoi de statistiques liées à la lecture des vidéos, auprès de serveurs informatiques détenus par plusieurs sociétés commerciales états-uniennes, parfois pour le compte d’éditeurs de services états-uniens, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.
La commission de tels transferts illégaux par une APD est, à mon sens, une circonstance aggravante de l’infraction.
Les faits relatés ci-dessus constituent en soi une violation conséquente du RGPD (dix transferts vers huit tiers pour visionner une seule vidéo !) par le prestataire de la CNIL, Webcastor, et par la CNIL elle-même (carences dans le choix et le pilotage de sa sous-traitance).Dans le cas présent, l’entité contrevenante et l’APD sont confondues. Je ne vais donc pas doubler cette plainte d’une autre plainte auprès du DPO de la CNIL.
Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.
Bonjour,
Vous avez reçu un accusé de réception de votre plainte vous indiquant son orientation.
Je vous précise que, en ma qualité de délégué à la protection des données de la CNIL, je suis chargé de son traitement.
Je ne manquerai pas de vous informer des suites qui y seront données dans les meilleurs délais.
Bien à vous,
<CENSURÉ, mais il s'agit du DPO>
Bonjour,
Pour faire suite à l'accusé de réception que je vous ai adressé le 21 octobre dernier, je vous prie de trouver ci-dessous la réponse du Secrétaire général adjoint de la CNIL à l'issue de l'instruction de votre plainte.
Bien à vous,
<CENSURÉ, mais il s'agit du DPO>Réf. : plainte P44-1851
Monsieur,
Vous nous avez adressé, le 16 octobre 2022, une plainte relative à la diffusion de vidéos pédagogiques de la Commission nationale de l'informatique et des libertés via le service Streamfizz de la société française Webcastor. Vous livrez dans votre saisine des éléments techniques vous conduisant à considérer que cette diffusion ne serait pas réalisée conformément au règlement général sur la protection des données (RGPD).
Votre plainte a fait l'objet d'un examen attentif par notre délégué à la protection des données, et je suis en mesure de vous faire part des éléments suivants.
En premier lieu, dès réception de votre saisine, des mesures conservatoires ont été prises afin de modifier les conditions d'hébergement et de diffusion des vidéos concernées. Ces dernières ont en effet été rendues directement accessibles à partir du site institutionnel cnil.fr.
En second lieu, de nouveaux échanges sur la conformité au RGPD de la solution Streamfizz ont été conduits sans délai avec la société Webcastor. Ces échanges se poursuivent actuellement. A l'issue, la CNIL évaluera les suites à donner s'agissant du recours à ce service.
Au regard de l'ensemble des éléments précités, j'estime que l'action de la CNIL a permis d'apporter une réponse appropriée à la situation pour laquelle vous l'avez saisie et procède donc à la clôture de votre plainte.
Nous vous informons que, sous réserve de l'intérêt d'agir des requérants, les décisions de la CNIL sont susceptibles de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de leur notification.
Je vous prie d'agréer, Monsieur, l'expression de mes salutations distinguées.
<CENSURÉ>
Secrétaire général adjoint
Commission nationale de l'informatique et des libertés
Adressée au DPO (c'est lui qui me répond ci-dessus).
Bonjour,
Je vous remercie du traitement de ma plainte.
Je constate des lacunes dans votre mise en conformité :
- La vidéo air2022 (https://www.cnil.fr/fr/rediffusion-air2022-retrouvez-levenement-en-video), mise en ligne trois semaines après ma plainte, est toujours diffusée via Webcastor ;
- Idem pour la vidéo bac à sable EdTech (https://www.cnil.fr/fr/bac-sable-edtech-la-cnil-accompagne-10-projets-innovants / https://www.cnil.fr/fr/la-cnil-propose-un-nouveau-bac-sable-pour-accompagner-linnovation-numerique-dans-le-domaine-de / https://www.cnil.fr/en/edtech-sandbox-cnil-supports-10-innovative-projects). Je vous accorde qu'elle a été mise en ligne plusieurs mois avant ma plainte, mais plusieurs années après l'arrêt Schrems II qui la fonde ;
- Il ne m'appartient pas de référencer l'intégralité des manquements de la CNIL en la matière. Je vous laisse identifier ceux qui restent.
Pouvez-vous m'indiquer si ces non-conformités restantes seront corrigées ?
Bonne fin de journée.
ÉDIT DU 20/07/2023 : évidemment, je n'ai pas reçu de réponse. FIN DE L'ÉDIT.