GuiGui's Show

Le dernier recueil de la série « un autre regard » de la dessinatrice Emma. (Je n'ai pas rédigé d'article sur les deux premiers tomes de la série car ils contiennent uniquement des BD publiées en ligne, sur lesquelles je m'étais déjà exprimé avant de lire les livres-recueils.)

Il contient 4 BD dont 2 sont disponibles sur le web :

• « Les conséquences ». On a tous et toutes des charges mentales à porter (pro, etc.), mais, souvent, la charge mentale ménagère s'y ajoute uniquement pour les femmes. En parler avec son conjoint change environ rien : soit ils nient / s'en foutent (18 %), soit ils changent de comportement un court temps puis retour à la normale (39 %) soit y'a du changement mais lent (37 %). Les chiffres viennent d'un sondage Twitter d'Emma qui n'est pas représentatif (public plus conscient de la problématique et plus exigeant) ;
  
  
• « C'est dans la tête ». Il y a quelques années, il y a eu tout un courant médiatique pour expliquer que la charge mentale ménagère n'est pas un problème d'organisation sociale, que ça relève du privé, du couple voire des femmes qui ont un besoin de tout contrôler. Bref, c'est un problème de femme (un de plus, dis donc). Telle une psychose, des livres, des psys, des coachs et autres sont apparus pour apprendre aux femmes à se soigner. Un problème = une solution commerciale, comme d'hab' ;
  
  
• « Le dimanche soir » (attention, la version web est partielle). L'actuelle organisation du travail qui détruit les salariés (toujours plus, absence d'autonomie, humiliation, infantilisation, ne pas énoncer clairement les attendus et ce qui ne va pas, faire croire que s'impliquer c'est appartenir corps et âme à l'employeur, changement fréquent d'organisation pour embrouiller, etc.) est voulue, elle a été façonnée. La solution est habituelle : communisme donc mise en commun des outils de production, ne pas produire la merde consumériste donc travailler 2 h par jour, ne pas redouter l'automatisation (puisque la valeur produite n'est pas captée par le proprio de l'automate), etc. Il ne faut plus négocier les conditions de notre exploitation (réduction du temps de taff, formations, paiement des heures sup'…), mais la renverser ;
  
  
• « Pour être sympa ». Sexisme ambivalent = sexisme hostile (bâton) + sexisme bienveillant (carotte). Exemples de ce dernier : la galanterie (qui est de la politesse dirigée vers les femmes comme tenir la porte, payer l'addition afin de marquer que sa compagnie à de la valeur, etc.), les compliments de rue ou en entreprise (tu égayes l'étage ; même si ce n'est pas dans ta fiche de poste, tu accueilleras les visiteurs car t'as un joli sourire ; votre candidature tombe bien, on manque de point de vue féminin, etc.), valoriser les taffs dévalorisés (par le salaire, l'absence de reconnaissance, etc.) qu'elles occupent (les tâches ménagères, élever les lardons, etc.), leur proposer sans cesse de l'aide en entreprise (pourquoi, elles sont incompétentes ?). Contrôle social qui ne mange pas de pain, en somme. Le sexisme bienveillant serait nécessaire car, si la politique, les médias, la religion, le salariat, etc. accordent structurellement des privilèges aux hommes, à moment donné ceux-ci ont envie / besoin de reproduire leur lignée, donc ils ne peuvent pas que dénigrer, il faut donc valoriser les femmes, mais uniquement dans les valeurs (douceur, sensibilité, gentillesse, etc.) et les tâches spécifiques qu'on leur a assignées. De même, ça permet de ne pas (trop) valoriser monétairement ces activités (cf. taff invisible, etc.).

Fun fact : d'après une étude de 2012 de Elinder et Erixon, portant sur 18 naufrages de navires durant les trois derniers siècles, l'expression « les femmes et les enfants d'abord » est fausse : le plus haut taux de survie va aux membres de l'équipage (61 %) puis aux hommes (37 %) puis aux femmes (27 %) puis aux gosses (15 %). Le Titanic fait exception avec 70 % de femmes survivantes contre 20 % des hommes.

Historique simplifié de l'organisation du travail :

• Sociétés primitives : rythme lent, tout le monde contribue à la production des biens de première nécessité qui étaient mutualisés ;
  
  
• Sédentarisation, agriculture et élevage permettent de produire de quoi survivre sans la contribution de toute la communauté (premiers gains de productivité de l'histoire :D ), d'où l'apparition de l'artisanat et du stockage et de l'échange des surplus ;
  
  
• Privatisation des sols, des bétails et des outils. Division en groupes spécialisés aux intérêts divergents. Les chefs, les prêtres, les militaires, etc. accaparent les propriétés et la production ;
  
  
• Exploitation des serfs par les seigneurs. Les serfs sont encore libres de choisir leur rythme et l'usage de la terre… tant qu'ils payent le droit d'usage (donc liberté très relative) ;
  
  
• La navigation maritime, donc la découverte de nouveaux marchés, l'impérialisme, l'esclavage et le pillage, fait émerger la bourgeoisie. L'organisation féodale freine son développement. Tant qu'il percevait sa dîme, un seigneur se moquait de l'oisiveté de ses serfs et de leur organisation, mais s'ils bossaient plus, ça produirait un surplus de richesses… Les seigneurs perdent donc en influence. Apparition des manufactures en ville. Exode rural poussé par les famines, donc la bourgeoisie fixe les salaires et les conditions (journée de 12 h, etc.). Les progrès techniques permettent de fixer la cadence des ouvriers (d'où le mouvement luddiste), de maximiser les profits (temporairement) et de rendre la production indépendante de plusieurs facteurs (jour / nuit, météo) ;
  
  
• La division verticale (séparer la conception / décision de la réalisation) et horizontale (découpage d'une tâche en sous-tâches spécialisées) du travail permet de retirer le savoir-faire et de rendre remplaçable les travailleurs ;
  
  
• Emma n'évoque pas l'auto-exploitation (auto-entreprise, travailleur indépendant, etc.). Au 19e siècle, l'artisanat a été capté par la bourgeoisie prêteuse de deniers. C'est toujours le cas : il faudra être compétitif pour rembourser le prêt, etc. d'où une liberté très relative. La financiarisation, elle aussi passée sous silence, a également permis de tirer des profits d'un surplus de production ou d'une production inexistante.

P.-S. : j'ai lu ce livre à sa sortie (fin 2019).

Une BD qui retrace l'histoire de résistants du Musée de l'Homme (entre autres) entre 1938 et 1942 (date du procès suite au démantèlement opéré par la Gestapo au début 1941 à la suite de dénonciations). Notamment des ethnologues pour qui le concept de race est infondé qui, dès 1938, et malgré l'air du temps, maintiennent leurs expositions afin de chasser l'obscurantisme, y compris lors de l'arrivée de l'armée allemande à Paris.

Tous les propos prononcés par un personnage l'ont vraiment été (ils sont issus de lettres, journaux, procès-verbal, entretiens, rapports de résistance, etc.), seuls le contexte (tel propos dans tel lieu) et le récit (leur agencement) n'est pas garanti.

Je n'ai pas accroché plus que ça : j'ai rien appris de neuf, le format BD délivre très peu d'infos en beaucoup de vignettes et de pages, et l'authenticité des propos conduit à de franches cassures dans le récit.

Durant le déménagement de l'un de des serveurs informatiques, j'ai utilisé l'outil Zonemaster de l'AFNIC et de son équivalent suédois afin de vérifier le bon fonctionnement de mes serveurs DNS qui font autorité.

Zonemaster m'a informé qu'une clé RSA de 1024 bits est considérée comme trop faible de nos jours : « La clé (DNSKEY) avec le tag XXXXX utilisant l'algorithme 8 (RSA/SHA-256) a une taille (1024) plus petite que la taille recommandée (2048) pour cet algorithme. ».

J'ai décidé de passer à 3072 bits pour ma KSK et à 2048 bits pour ma ZSK. 3072 bits sert à rien puisque info. utilise des ZSK RSA de 1024 bits et que la racine utilise des clés RSA de 2048 bits. La sécurité globale est celle du maillon le plus faible. Néanmoins, une taille différente me permet de distinguer très rapidement mes KSK de mes ZSK.

Avec OpenDNSSEC, la taille des clés (et l'algorithme à utiliser, il n'y a pas que RSA, fr. utilise les courbes elliptiques, par ex.) est configurée dans la politique appliquée à une zone. Par défaut, son stockage se fait dans /etc/opendnssec/kasp.xml.

Il suffit de modifier la valeur de l'attribut XML « length » des balises « Algorithm » dans l'arborescence « Keys ».

Ensuite, il faut demander à OpenDNSSEC de relire la politique et de l'appliquer (le redémarrer ne sert à rien, la politique actuelle est sauvegardée et lue dans /var/lib/opendnssec/) : ods-enforcer policy import.

Il n'y a pas besoin de forcer à la mano le roulement / renouvellement / rollover des clés. Normalement, OpenDNSSEC va s'occuper de tout.

Si la soumission de la KSK à la zone parente est manuelle, il faudra appliquer la procédure habituelle (ds-seen, ds-gone, etc.).

05/07/2023

• Le Sénat publie des statistiques sur les questions écrites soumises au gouvernement : taux de réponse (dans et hors délai), nombre de questions en attente, répartition temporelle et par ministère, etc. ;
  
  
• Droit d'alerte économique : le CSE peut demander à la direction de fournir des explications sur des faits de nature à affecter de manière préoccupante la situation économique d'une société commerciale de 50+ salariés ;
  
  
• En 2014, Mobipel, la hotline de Free avait fait grève pour protester contre le management musclé. Free avait fait son cirque sur le thème "je suis le seul opérateur qui ne délocalise pas et voilà ce que je récolte, c'pas juste !". 315 salariés virés dans les 3 ans qui ont suivi pour motifs personnels et disciplinaires. Le centre est cédé à Comdata en 2018 avec l'assurance que le volume d'activité serait maintenu. Transféré à Gennevilliers. Le turn-over grimpe à 47 % en 2019 et à 82 % en 2020, soit plus du double de la moyenne du secteur. Au 1er trimestre 2023, le chiffre d'affaires s'est effondré de 60 %, et les effectifs sont tombés à 116 salariés (600 en 2014) ;
  
  
• Une escouade des pompiers de Paris veillait sur l'ancien palais de justice (sur l'île de la Cité). En 2022, Lallement décide d'affecter ces pompiers à la surveillance du logement du préfet, son bureau, et ceux de ses services. Certes, cet amas de bâtiments est en rénovation, mais la Cour d'appel et celle de Cassation y siègent toujours. Le ministère de la Justice fait donc appel à une société privée pour s'occuper de la sécurité incendie. Celle-ci facture « bie plus cher » que les pompiers ;
  
  
• MindGeek (Pornhub, YouPorn, Brazzers, etc.) a été rachetée par l'avocat pénaliste canadien Solomon Friedman via le fonds Ethical Capital Partners ;
  
  
• Dans son livre Lettre aux ingénieurs qui doutent, un ex-ingénieur tente d'expliquer pour quoi très peu d'ingénieurs désertent. Aliénation, servitude volontaire, prétention à changer les choses de l'intérieur, argent comme outil de contrôle, les échappatoires (la boîte de nuit, comme les traders, par ex.), leurs narrations rationalisantes, et les stratégies d'évitement de la dissonance cognitive. S'il y a encore des avions à l'avenir, il faut travailler dessus aujourd'hui pour qu'ils soient moins polluants argumente un ingénieur d'Airbus… qui bosse sur la mise en place de nouvelles chaînes d'assemblage toujours plus optimisées visant donc à augmenter la productivité. C'est au politique ou au marché de créer la réglementation pour m'empêcher de faire ce pourquoi je suis payé dit un ingénieur qui automatise le transport de marchandises afin d'augmenter la productivité. Les innovations sont le moteur de l'histoire, pour le grand bien de l'humanité sinon on en serait encore à taper des cailloux pour faire du feu, non ? ;
  
  
• Le MEDEF peut distribuer des strapontins : nomination à l'Unédic, l'Urssaf, Action Logement, etc.

12/07/2023

• D'après Challenges, le cumul des 500 premières fortunes atteindrait 1 170 milliards d'euros en 2023, contre 1 002 milliards en 2022. Les six premières détiennent plus de la moitié desdits 1 170 milliards. Les 4 premières fortunes françaises (Arnault, Hermès, Wertheimer et Bettencourt-Meyers) récoltent 148 des 168 milliards d'euros d'évolution entre 2022 et 2023 ;
  
  
• Projet de Loi de Programmation Militaire (LPM) 2024-2030. Devant le Conseil constitutionnel. Budget des armées : 413,3 milliards d'euros sur 6 ans. Les dépenses progresseront plus vite dans les prochaines années avant de se tasser. Le fléchage du livret A vers 6 groupes et 4 000 PME de la défense (les sénateurs voulaient un livret dédié à la souveraineté, mais refus du gouvernement) a été retoqué par le Conseil constitu et re-tenté dans la loi de finances 2024 avec le même insuccès. Commission parlementaire d'évaluation des exportations d'armes (les sénateurs voulaient une commission parlementaire de vérification / contrôle, mais refus du gouv' et de Macron). Dissuasion nucléaire avec, entre autres, un nouveau porte-avion ;
  
  
• Agence pour la diffusion de l'information technologique (Adit) : entité désormais privée d'intelligence économique, championne du renseignement privé (200 millions d'euros de CA annuel). Actionnaire : un fonds canadien qui a ouvert son capital au fonds souverain émirati. Défense Conseil International (DCI) qui, entre autres, dispense de la formation, surtout dans le contexte de guerre en Ukraine, attise la convoitise de l'Adit ;
  
  
• Le Parlement peut commander des rapports au gouvernement. Les 16 rapports prévus par la loi de financement de la Sécu n'ont pas été remis dans le délai imparti. La réforme 2023 des retraites, adoptée sous forme de loi rectificative à celle-ci a peut-être tout retardé ? L'an dernier, aucun des rapports prévus par la loi de financement de la Sécu 2022 n'a été remis. Ces rapports sont souvent des amendements de replis ("je n'ai pas obtenu ce que je veux, donc je demande l'évaluation du dispositif voté pour tenter de montrer qu'il n'a pas atteint son objectif et/ou je demande l'évaluation de ma proposition", etc.). Exemples récents ? Étude d'un Livret Épargne Souveraineté (LPM 2024-2030 cf. ci-dessus) ; Justifier le caractère juste et efficace de la réforme des retraites 2023 (lors de l'étude du projet de loi LIOT du retour à 62 ans de juin 2023).

19/07/2023

• Inflation, profits, salaires. Dans son rapport sur l'emploi publié le 11 juillet, l'OCDE constate que, dans les pays de l'OCDE hors France et USA, depuis la fin 2019, les profits ont gonflé en moyenne de 21 % contre 15,6 % pour les « coûts de main-d'œuvre ». En France, les rémunérations ont progressé de 14 % contre 10 % pour les profits. À cause des 15 % de salariés au SMIC, indexé sur l'inflation, et dont la hausse pousse les autres à la hausse (personne ne veut subir un déclassement). Si l'on ajoute l'octroi de subventions et prestations sociales ainsi que le blocage des prix réglementés de l'énergie, le pouvoir d'achat n'a baissé que de 1,2 % en France contre 3,8 % en moyenne dans l'OCDE. Aux États-Unis, la progression plus forte des salaires sur les profits (14,2 % contre 13,5 %) s'explique par une reprise économique rapide qui a engendré une pénurie de main-d'œuvre, d'où une hausse des salaires. L'éternel débat amrché économique versus régulation. On constate tout de même que l'écart est plus prononcé dans l'état social. L'OCDE estime qu'il y a de la marge pour revaloriser les salaires sans craindre l'inflation ;
  
  
• En 2014, après une série de bavures policières mortelles, le maire de New-York a ordonné la fin des contrôles d'identité de masse / sans raison. La criminalité a baissé, car les flics se sont concentrés sur la grosse délinquance. Je doute : 1) les chiffres de la criminalité sont souvent magouillés / pipeau ; 2) la petite délinquance n'est-elle pas celle qui se voit le plus et qui nourrit le sentiment d'insécurité qui justifie tout et nawak ? ; 3) la petite anecdote ne fait pas la généralité.

26/07/2023

• Depuis 2009, les Unions Régionales des Professionnels de Santé (UPRS) fédèrent les docs par spécialité (kinés, dentistes, etc.) et sont les interlocutrices des ARS. Elles sont financées par une contribution prélevée par l'Urssaf sur les honoraires de leurs adhérents (environ 42 millions d'euros). Comme partout ailleurs, ça magouille un peu : placements immobiliers, indemnités pour les dirigeants allant de 300 euros annuels pour un orthoptiste à 8 k€ pour un libéral (ça ne veut rien dire, je sais…), et compensations supplémentaires pour les mêmes dirigeants (président des pharmaciens des Hauts-de-France = 5 400 € annuels ; 3 k€ pour son trésorier). Une fois dans la place, certains dirigeants n'oublient pas leur syndicat, y compris financièrement, via la location d'un local, par ex. ;
  
  
• Renault-Nissan. La part du capital de Nissan détenue par Renault va passer de 43 % à 15 % (vu le cours de bourse actuel, défavorable pour Renault, elles seront placées dans une fiduciaire). Nissan va avoir le droit de vote chez Renault (dont il détient 15 %, à égalité avec l'État français) et Renault va retrouver son droit de vote chez Nissan (suspendu dans le cadre d'un accord forcé intervenu en 2015 suite à la bévue de Macron de faire racheter par l'État et en douce des actions de Renault, générant de la suspicion japonaise d'une possible prise de contrôle). Nissan semble frileuse pour l'aventure Ampere (filiale de l'Alliance spécialisée dans la bagnole électrique, y compris les logiciels) : 10 % du capital au lieu des 15 % prévus, huit mois de négociation, une incertitude quant à l'apport de ses brevets et chercheurs, etc. ;
  
  
• En Hongrie, nouveau décret gouvernemental ordonnant aux librairies situées à moins de 200 mètres d'une école ou d'une église de vendre sous film plastique les livres pour enfants qui abordent, de près ou de loin, l'homosexualité. De plus, les livres suspects ne doivent plus être exposés dans les rayons jeunesse. Les distributeurs s'interrogent sur le périmètre (Harry Potter = propagande gay ou on ? Alors que la saga n'arborde pas ce thème, seules des déclarations a posteriori de l'auteure dévoilent l'homosexualité de Dumby). Pour ne pas avoir emballé certains bouquins, le réseau de librairies Lira a écopé d'une amende de 32 k€. La chaîne Libri a été condamnée à une amende de 3 k€ pour des livres qui n'auraient pas dû se trouver dans le rayon jeunesse.

Le 10 juillet 2023, la Commission européenne a adopté la nouvelle décision d'adéquation des États-Unis en matière de données personnelles : EU-US Data Privacy Framework (ou Trans-Atlantic DPF ou Cadre de protection des données). Les données personnelles peuvent donc à nouveau circuler librement entre l'UE et les É-U (à destination des seules entités ricaines auto-certifiées, pour être précis, cf. ci-dessous).

Pour les définitions, les enjeux, et l'historique, lire ici.

TL;DR : rien de sérieux, pas d'apport sur les points bloquants ayant entraînés l'invalidation de la précédente décision, l'UE a, une fois encore, baissé pavillon.

Cette décision n'a pas d'effet rétroactif, donc les plaintes adressées antérieurement à la CNIL (et autres APD) ne sont pas caduques (cf. question 10). Depuis le 10 juillet :

• les entités ricaines doivent à nouveau s'auto-certifier. Liste ici. Tant que ce n'est pas fait, des transferts de données persos ne peuvent pas reposer sur ce nouveau cadre ;
  
  
• l'annulation des décisions antérieures a eu un effet rétroactif (cf. 3^e paragraphe en partant de la fin), et tout semble indiquer que la nouvelle décision se fera invalider par la CJUE, donc, si le DFP est invalidé, ouvrir des plaintes sous son régime revient à faire constater un manquement au RGPD durant une plus longue période.

L'avis du Comité Européen de la Protection des Données (CEPD), qui coordonne toutes les Autorités nationales de Protection des Données (APD) comme la CNIL, est mitigé :

• Le décret ricain EO 14086 laisse intacte la surveillance de masse temporaire (koikecé ?), toujours nommée « collecte en vrac », qui ne fait l'objet d'aucun contrôle par une autorité indépendante, ni avant, ni après ;
  
  
• Le prétendu tribunal permettant un droit de recours aux Européens est toujours un comité fantoche de l'exécutif ricain qui répondra toujours une réponse-type qui ne pourra pas faire l'objet d'un appel (comme avant, quoi) ;
  
  
• Il faudra vérifier en pratique le sens donné aux mots utilisés dans le décret ricain (genre « nécessité » et « proportionnalité ») et l'application concrète du cadre. Ce qui est impossible sans compter sur un lanceur d'alerte comme Snowden… ;
  
  
• Les exceptions permettant de sortir du nouveau cadre défini sont floues ;
  
  
• Quand toutes les agences de renseignement ricaines seront-elles mises en conformité avec ce nouveau cadre (octobre 2023, d'après la promesse ricaine) ? ; Droit d'accès (indirect, je présume) très restreint ; Et de nombreux autres petits points qui ne font pas sérieux à mes yeux (je vais y revenir).

Le Parlement européen a voté une résolution qui va dans le même sens : attendre que le nouveau cadre, qui n'a pas été assez amendé pour offrir une protection équivalente au RGPD, soit appliqué côté États-Unis avant d'adopter une décision d'adéquation. Une fois encore, on s'est torché avec la démocratie.

La réaction de NOYB ne diffère pas de mon résumé de novembre 2022 pointé au début de ce shaarli.

La section 702 de la loi ricaine FISA (qui autorise la collecte des données et des metadonnées des personnes ne disposant pas de la citoyenneté ricaine, voir ici, point 2) est caduque à la fin de l'année sauf renouvellement par le Congrès. En adoptant une décision d'adéquation avant ce débat, l'UE prive le parlement ricain et se prive de tout levier de négociation. Même si nous dépendons énormément des ricains au niveau technique cf. le bilan de mes plaintes CNIL, l'UE, c'est environ 450 millions de personnes, donc un sacré marché économique, donc il y avait moyen de peser. L'UE a renoncé à une vision géopolitique (une fois de plus). :(

Comme d'autres, je trouve facile la critique des États-Unis quand nous, Français, pratiquons ce qu'on leur reproche. La réponse-type et l'absence de droit d'accès (ce que déplore aussi le CEPD), c'est ainsi que procèdent la CNIL, la CNCTR et le Conseil d'État dès qu'un citoyen veut savoir s'il est fiché par les renseignements ou les flics français (deuxième source). Seize (!) dossiers sont toujours devant la CEDH.

Ce traitement vaut aussi pour les non-citoyens français surveillés par la France via sa loi de surveillance internationale de 2015 (voir 1 et 2).

Que penser de l'absence de contrôle par une autorité indépendante quand, chez nous, la CNCTR, chargée de contrôler le renseignement, se déclare chaque année, et pas plus tard qu'en juin 2023, en manque de moyens et de compétences, ainsi qu'impuissante à contrôler les techniques de renseignement les plus intrusives ?

Le refus d'accès au dossier d'instruction durant de longues années dans le cadre d'une affaire pénale (toute thématique confondue), c'est aussi une pratique bien établie (Canard enchaîné du 16/11/2022).

Je ne suis pas en train de dire qu'il ne faut pas asticoter les États-Unis, mais qu'il faut aussi nettoyer devant notre porte.

L'accès à l'espace client de Red by SFR est conditionné par Google reCAPTCHA. Or, son utilisation n'est pas conforme au RGPD (voir), comme en atteste plusieurs décisions de la CNIL (1, 2, 3, 4).

Le site web de Red by SFR incorpore plusieurs ressources web (images, scripts JavaScript) de sociétés commerciales états-uniennes et/ou qui sont hébergées par de telles sociétés : Google Tag Manager, Bing (Microsoft), Facebook, ups.analytics.yahoo.com (hébergement Amazon), analytics.tiktok.com (hébergement Akamai Technologies), smetrics.sfr.fr (Adobe Inc. marketing cloud dissimulé en tracker first-party), plusieurs dizaines de régies publicitaires et assimilées, etc. Ces ressources sont également téléchargées lors de la consultation de l’espace client, à l’exception des régies de pub et assimilées. Cela n'est pas conforme au RGPD (voir).

Du coup, hop, réclamation déposée auprès de la CNIL il y a plusieurs mois.

Réclamation

Bonjour,

Ce jour, j’ai accédé à mon espace client sur le site web de Red by SFR (https://www.red-by-sfr.fr/).

La connexion à cet espace client nécessite l’utilisation de Google reCAPTCHA sans recueil du consentement (le refus des cookies dans le bandeau dédié n’empêche pas son chargement), cf. PJ 1. Cela n’est pas conforme au RGPD, cf. vos décisions passées contre l’IGPN, l’Assurance-Maladie, la première version de l’application StopCovid ou, plus récemment contre la société commerciale CityScoot (délibération SAN-2023-003 du 16 mars 2023).

L’utilisation de Google reCAPTCHA génère également des transferts illégaux de données personnelles, dont l’adresse IP du client SFR et des données techniques concernant son terminal, vers la société commerciale états-unienne Google. Illégaux au sens des articles 44 et suivants du RGPD (Schrems II, aucune décision d’adéquation, absence de garanties, absence de mesures complémentaires suffisantes, etc.).

Le site web de Red by SFR fait automatiquement télécharger un paquet de ressources web (scripts, images, etc.) propriétés d’entités de droit états-unien et/ou hébergées sur des serveurs détenus par de telles entités : Google Tag Manager, Bing (Microsoft), Facebook, ups.analytics.yahoo.com (hébergement Amazon), analytics.tiktok.com (hébergement Akamai Technologies), smetrics.sfr.fr (Adobe Inc. marketing cloud dissimulé en tracker first-party), plusieurs dizaines de régies publicitaires et assimilées, etc. Ces ressources sont également téléchargées lors de la consultation de l’espace client, à l’exception des régies de pub et assimilées. Ces téléchargements génèrent des transferts illégaux de données personnelles du client SFR (adresse IP, données techniques sur le terminal, etc.) vers un État tiers non adéquat.

Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne SFR.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

J'ai eu recours à la place de marché de Darty. Auparavant, j'avais parcouru en vain tous les magasins physiques dont je supposais qu'ils pouvaient vendre ce que je cherchais. Comme quoi, ceux qui nous bassinent avec la libre concurrence comme solution à tous les maux peuvent se rhabiller.

Les emails transactionnels sont émis par une société commerciale états-unienne (Twilio).

Ils contiennent des liens et des images de traçage (détecter l'ouverture ou un clic sur un lien). L'essentiel est hébergé par Twilio. Mêmes les images rédactionnelles (qui participent au contenu) sont diffusées via Akamai Technologies. D'autres sont récupérées depuis Google.

Le site web de Darty est diffusé via le CDN d’Akamai Technologies et il incorpore plusieurs scripts JavaScript de sociétés commerciales états-uniennes et/ou qui sont hébergés par de telles sociétés : Google Fonts, assets.adobedtm.com et www.fnac.com = Akamai, cdn.cookielaw.org et hcaptcha = Cloudflare, iadvize.com = Amazon Cloudfront. Liste non exhaustive, il y en a plusieurs dizaines, y compris des régies publicitaires ou équivalents…

Tout cela n'est pas conforme au RGPD. Pour les liens et images de traçage, lire ici. Pour les CDN, les scripts et les hébergeurs ricains, voir là.

Du coup, hop, réclamation déposée auprès de la CNIL il y a plusieurs mois.

Réclamation

Bonjour,

Le 03/02/2023, j’ai acheté sur la place de marché de Darty (https://www.darty.com/).

Tout au long de l’achat, Darty m’a envoyé des emails sur le déroulé / suivi de ma commande. Ces emails sont regroupés dans PJ 1.

Comme l’indique leur entête « Received », à l’exception de « Votre colis Darty.com est en cours de livraison » et « Votre colis Darty.com a été livré », la totalité de ces emails sont émis par des serveurs emails de la société commerciale états-unienne Twilio Inc., qui agit comme prestataire emailing de Darty. Twilio est soumise au Cloud Act, cf. ma démonstration dans ma réclamation CNIL numéro <CENSURE>, qui est incompatible avec le RGPD. Il y a donc un transfert illégal de données personnelles, a minima l’adresse emails du client Darty, vers un État tiers non adéquat sans mise en œuvre de mesures complémentaires.

La forme de certains emails (« Facture de la commande », « Votre colis est en chemin […] », « Votre colis est en cours de livraison […] », « Suite à votre livraison Chronopost » laissent à penser qu’ils sont émis par une société commerciale tierce (le vendeur ou le livreur) à qui Darty aurait transmis l’adresse emails de son client, mais :

• Le prestataire d’e-mailing est le même pour l’ensemble des emails reçus suite à mon achat, Twilio ;
  
  
• Le sujet de l’email est de la forme « Société_X via Darty » ;
  
  
• La valeur de l’entête email « X-Entity-ID » inséré par Twilio est identique entre tous les emails reçus suite à mon achat. Cet entête sert à identifier le client de Twilio. Valeur identique = même client, c’est-à-dire Darty ;
  
  
• Tous les emails reçus suite à mon achat contiennent une image de traçage récupérée depuis un même nom de domaine, « u6051214.ct.sendgrid.net ».
  Tous les emails ont été émis par Darty ou par Twilio pour le compte de Darty, même si le contenu de certains a été rédigé / fourni par le vendeur final ou le livreur. Peut-être que le vendeur et le livreur sont co-responsables du traitement « envoi d’emails transactionnels », du choix du prestataire d’emailing, etc., mais rien le montre en première analyse.

Des emails (« Validation de votre commande n°[…] », « Votre commande n°[…] est en cours de préparation », « Expédition de votre commande n°[…] », « Evaluez votre vendeur », « Facture de la commande », « Votre colis est en chemin […] », « Votre colis est en cours de livraison […] », « Suite à votre livraison Chronopost ») contiennent une image de traçage (1 pixel * 1 pixel, transparente, dont le nom comporte un identifiant unique, cf. votre terminologie https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Ils permettent de détecter et de consigner l’ouverture d’un email. Certains emails (« Facture de la commande », « Votre colis est en chemin […] », « Votre colis est en cours de livraison […] », « Suite à votre livraison Chronopost ») comportent plusieurs images de traçage : une pour Darty (« https ://u6051214.ct.sendgrid.net/wf/open[…] »), et une pour le vendeur (« https ://tracking.<CENDURE_domaine_du_vendeur>/images/pixel2.gif ») ou le livreur (« http ://www.chronopost.fr/tagmail/tag.gif[…] »).

Concernant ces emails comportant plusieurs images de traçage : on peut raisonnablement penser que leur contenu a été produit par le vendeur effectif ou le livreur puis relayé par Darty et son prestataire d’e-mailing. Reste à déterminer si Darty est co-responsable du traitement de données personnelles que va induire le chargement de ces images à l’ouverture de l’email. Après tout, il a relayé cet email et demander à son prestataire de l’émettre.

L’utilisation, par le groupe La Poste (dont fait partie Chronopost), d’images de traçage dans ses emails transactionnels fait l’objet de ma réclamation CNIL numéro <CENSURE mais dispo ici> toujours en cours de traitement.

Notons que les images « u6051214.ct.sendgrid.net » sont hébergées sur les serveurs informatiques de Twilio. Cela signifie qu’à l’ouverture de l’email par le client Darty, ces images seront téléchargées automatiquement. Il y aura donc contact direct entre le logiciel de messagerie du client Darty et les serveurs informatiques de Twilio, ce qui générera un transfert illégal de données personnelles (adresse IP du client Darty, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.

Un email (« Facture de la commande ») contient des liens de traçage constitués de deux identifiants uniques, l’un permettant d’identifier une campagne emails parmi toutes, l’autre un email précis dans cette campagne. Ils servent à détecter un clic sur un lien avant redirection vers la destination finale (site web du vendeur, réseaux sociaux, etc.). Ces liens utilisent le nom de domaine « tracking.<CENSURE_domaine_du_vendeur> ». On peut raisonnablement penser que le contenu de cet email a été produit par le vendeur effectif et relayé par Darty et son prestataire d’e-mailing. Reste à déterminer si Darty est co-responsable du traitement de données personnelles que va induire chacun de ces liens lorsque le client Darty cliquera dessus. Après tout, il a relayé cet email et demander à son prestataire de l’émettre.

Ces images et liens de traçage ne sont pas conformes au RGPD selon le CEPD (section V de WP 118) et vous-même (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Darty n’est pas soumis à une quelconque obligation légale, ni à une quelconque nécessité pour l’exécution du contrat, ni à une quelconque obligation technique de procéder à ce traçage. Le client Darty n’est pas informé et ne consent pas à ces traitements.

Des emails (« Validation de votre commande n°[…] », « Votre commande n°[…] est en cours de préparation », « Expédition de votre commande n°[…] », « Votre colis Darty.com est en cours de livraison », « Votre colis Darty.com a été livré », « Evaluez votre vendeur ») contiennent des images rédactionnelles (des images qui participent au contenu de l’email) diffusées via le CDN de la société commerciale états-unienne Akamai Technologies (« static.fnac-static.com »). D’autres images sont téléchargées depuis les serveurs informatiques de la société commerciale états-unienne Google (« www.gstatic.com »). Toutes ces images seront téléchargées automatiquement à l’ouverture de l’email. Comme pour tous les téléchargements sus-décrits, il y a donc un contact direct entre le logiciel de messagerie du client Darty et les serveurs informatiques d’Akamai et de Google, ce qui génère des transferts illégaux de données personnelles (adresse IP du client Darty, empreinte de son logiciel de messagerie, etc.) vers un État tiers non adéquat.

Le site web de Darty (texte, images, etc.) est lui-même diffusé via le CDN d’Akamai Technologies, y compris l’espace client et sa phase d’identification. À l’instant même de sa consultation, il fait automatiquement télécharger plusieurs scripts JavaScript de sociétés commerciales états-uniennes et/ou qui sont hébergés par de telles sociétés : Google Fonts, assets.adobedtm.com et www.fnac.com = Akamai, cdn.cookielaw.org et hcaptcha = Cloudflare, iadvize.com = Amazon Cloudfront. Liste non exhaustive, il y en a plusieurs dizaines, y compris des régies publicitaires ou équivalents, je n’ai pas l’énergie de tout cartographier, surtout que le paysage de la pub change très rapidement.

Tous les transferts de données personnelles sus-énumérés, web et emails, sont illégaux au sens des articles 44 et suivants du RGPD (Schrems II, votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics, décision 3_O_17493/20 de la Cour régionale de Munich portant sur l’utilisation de Google Fonts, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement). La politique de confidentialité de Darty (https://www.darty.com/achat/informations/donnees_personnelles.html) se contente d’affirmer que Darty « prendra toutes les mesures et garanties nécessaires pour sécuriser de tels transferts »… Bref, Darty met en œuvre aucune mesure complémentaire dans le cadre des transferts internationaux sus-décrits.

Tout ce qui précède illustre une carence de Darty dans le choix, le pilotage et l'audit de ses sous-traitants en matière de données personnelles, ce qui constitue une entorse aux articles 24 et 28 du RGPD.

Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne Darty.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Cogitiel = logiciel monolithique de gestion des adhésions, cotisations, etc. de la CGT.

Comme les autres syndicats, la CGT est constituée de syndicats d'établissement (CGT entreprise machin, par exemple), qui adhérent à une union nationale (ex. : CGT Éduc'action) et/ou à une fédération nationale (ex. : FERC SUP) qui, elles-mêmes, adhèrent à la Confédération Générale du Travail, la fameuse CGT. Il y a également un maillage territorial, constitué par les unions départementales et locales, qui permettent de rassembler et de coordonner en fonction de la géographie plutôt que des métiers (interprofessionnel).

Le secrétaire général (président) d'une union locale m'a divulgué (à un tiers, donc) des données persos sur des adhérents d'un syndicat d'établissement, alors que ce syndicat n'est même pas dans sa zone de chalandise. Pourquoi y a-t-il accès ? Le Cogitiel n'octroie-t-il pas trop de droits ? Le RGPD impose la sécurité des données persos et leur traitement minimal et proportionné.

Du coup, hop, signalement à la CNIL il y a plusieurs mois.

Réclamation

Bonjour,

Fin février, je voulais entrer en contact avec le syndicat CGT d'une entité de ma ville.

De passage dans les locaux de l'Union Locale <CENSURE> (UL) de la CGT, j'ai demandé à son secrétaire général (SG) s'il connaissait personnellement des membres de ce syndicat, s'il en avait déjà croisé lors de rencontres organisées par l'UL, etc. afin de faciliter ma prise de contact.

Le SG de l'UL a alors fait une recherche dans le Cogitiel, le logiciel web de gestion des adhésions, cotisations, etc. À ma connaissance, il est maintenu par la Confédération (c'est-à-dire la CGT), que je considère donc comme étant la responsable du traitement, d'où la présente réclamation vise la Confédération et non pas l'UL <CENSURE>.

Une recherche dans le Cogitiel dépasse le cadre de ma question, c'est une sur-réaction, je demandais à un individu s'il en connaissait d'autres, rien de plus. J'ai prévenu le SG sur l'instant, mais il a continué sa recherche dans le Cogitiel.

Ensuite, le SG a tourné l'écran de son ordinateur vers moi, me divulguant les noms, prénoms, date de naissance, adresse postale, numéros de téléphone, adresse emails, statut (à jour de cotisation, etc.), etc. de tous les syndiqués du syndicat que je cherchais. Il m'a noté, sur un post-it, l'adresse emails de deux syndiqués jeunes et à jour de cotisation. Cf. PJ 1.

Cela constitue une divulgation illicite de données personnelles à un tiers en cela que je ne suis pas syndiqué à l'UL, et que son secrétaire général, qui me "connaissait" depuis peu via le mouvement social autour de la réforme 2023 des retraites, n'avait pas de preuve d'une éventuelle syndicalisation CGT de ma part, etc. De plus, l'association entre ces adresses emails et l'appartenance syndicale de leur détenteur, donnée personnelle sensible, ne semble pas être publique.

J'ai également été étonné que le secrétaire général de l'UL <CENSURE> ait accès aux données personnelles des membres d'un syndicat d'établissement qui n'est pas dans la zone géographique de chalandise de ladite UL. En effet, le syndicat recherché est national et basé à Paris, donc il n'est pas affilié / adhérent à l'UL <CENSURE>.

De ce que j'en sais, le Cogitiel a une structure arborescente (les syndiqués sont rattachés à un syndicat, lui-même rattaché à plusieurs structures que sont les unions, les fédérations, etc.). Une gestion fine des droits apparaît donc comme possible (en sus d'être désirable et une obligation RGPD).

L'UL <CENSURE> me semble détenir trop de droits (de lecture, etc.) sur trop d'items (structures, fiche de syndiqués, etc.) du Cogitiel. Il s'agit d'une atteinte à la confidentialité des données personnelles des syndiqués de la CGT et au principe de minimisation : l'UL devrait avoir accès uniquement à ce qui la concerne, aux syndicats de sa zone géographique de chalandise, dans le cas présent. Le fait que ce ne soit manifestement pas le cas constitue une entorse aux articles 32, 5.1.c, et 5.1.f du RGPD.

D'une manière générale, de ce qui m'a été donné à voir, le Cogitiel est une usine à gaz monolithique développée il y a des années et dont l'utilisation (pour y saisir les membres d'un syndicat, par exemple) nécessite une formation. Le contexte humain n'aide pas : peu de personnes actives pour beaucoup de choses à faire (comme dans beaucoup d’associations), un certain jemenfoutisme de la législation, etc. Ce double contexte technique et humain laisse à penser que le Cogitiel ne garantit aujourd'hui pas la confidentialité des données personnelles des syndiqués, alors qu'il devrait justement insister sur cela afin de palier aux contextes décrits.

La présente a pour objectif d'informer la CNIL de la divulgation de données personnelles sus-relatée et de la solliciter afin qu’elle mette un terme à l'infraction au RGPD référencée dans la présente, et qu’elle sanctionne la CGT.

Je vais communiquer les mêmes éléments au DPO de la CGT.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

La coopérative des Mutins de Pangée propose des films sans DRM.

La partie technique est déléguée à la société commerciale française Kaemo (Kinow) qui, elle-même, a recours aux CDN et à l'hébergement informatique des sociétés commerciales états-uniennes Cloudflare et Amazon (services Cloudfront et AWS), y compris pour la diffusion des films. Les seuls moyens de paiement proposés sont les sociétés commerciales états-uniennes Paypal et Stripe.

Cela génère de fait des transferts illégaux de données personnelles (adresse IP, numéro de carte bancaire, films visionnés, informations techniques sur le navigateur web et l'ordinateur, etc.) aux États-Unis. Raisonnement ici. L'EDPS, l'APD des institutions européennes, a déjà sanctionné l'utilisation de Stripe dans sa décision 2020-1013.

Comme celle visant OpenStreetMap, cette réclamation, déposée il y a plusieurs mois, a été un crève-cœur : 1) j'aime ce que fait les Mutins, les films sans DRM, ça va dans le bon sens (cela exonère-t-il pour autant de toute critique ?) ; 2) je suis forcé de reconnaître que ça marchait moins bien avec l'ancien hébergeur, Infomaniak : téléchargements saccadés et faible débit depuis Orange, Free, et SFR (mais ça fonctionnait impec depuis OVH qui dispose d'une interconnexion avec Infomaniak, comme quoi, c'est possible d'agir sans recourir aux ricains).

Réclamation

Bonjour,

Le 14/03/2023, j'ai consulté le catalogue VOD (https://www.cinemutins.com/) des Mutins de Pangée.

L'hébergement informatique est sous-traité à la société commerciale française Kaemo (Kinow), qui, elle-même, a recours aux CDN et à l'hébergement informatique des sociétés commerciales états-uniennes Cloudflare et Amazon (services Cloudfront et AWS), y compris pour la diffusion des films (ce qui est étrange, puisque qu’Amazon, avec son service Prime Video, officie sur le même marché).

De plus, les seuls moyens de paiement proposés sont les sociétés commerciales états-uniennes Paypal et Stripe.

Cela génère de fait des transferts de données personnelles (adresse IP, numéro de carte bancaire, films visionnés, informations techniques sur le navigateur web et l'ordinateur, etc.) vers un État tiers non adéquat. De plus, dans sa décision numéro 2020-1013, l'EDPS a sanctionné l'utilisation de Stripe.

Ce qui s'approche le plus d'une politique de traitement des données personnelles sont les CGV de la plateforme (https://www.cinemutins.com/p/conditions-generales-de-ventes). Celles-ci n'exposent pas les mesures complémentaires que la société Les Mutins de Pangée mettrait en œuvre dans le cadre de ces transferts internationaux.

Le site web du prestataire Kinow (https://fr.kinow.com), qui est diffusé via Amazon Cloudfront et qui grouille de ressources web détenues et/ou hébergées par des sociétés commerciales états-uniennes (Google Analytics, Google Fonts, Google DoubleClick, Google Tag Manager, Fonticons / Cloudflare, etc.), ne met pas à disposition une quelconque politique de traitement des données personnelles qui permettrait de prendre connaissance des éventuelles mesures complémentaires mises en œuvre par ce sous-traitant dans le cadre de ces transferts internationaux.

En conséquence, les transferts de données personnelles sus-énumérés sont illégaux au sens des articles 44 et suivants du RGPD (Schrems II, votre mise en demeure du 10 février 2022 portant sur Google Analytics, décision de l’APD autrichienne du 22 avril 2022 portant sur Google Analytics, etc., pour un argumentaire détaillé, je vous renvoie à mes précédentes réclamations CNIL toujours en cours de traitement).

Cela illustre également une carence des Mutins de Pangée dans le choix, le pilotage et l'audit de leur sous-traitant en matière de données personnelles, ce qui constitue une entorse aux articles 24 et 28 du RGPD.

Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne les Mutins de Pangée.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Ces six derniers mois, j'ai apporté à la CNIL des éléments nouveaux concernant plusieurs de mes réclamations. Dans deux autres, la CNIL m'a informé avoir contacté le DPO de la structure que je mets en cause.

En conséquence, j'ai mis à jour les shaarlis suivants :

• Scaleway ;
  
  
• Silkhom et Expectra ;
  
  
• DILA ;
  
  
• Liens et images de traçage de Pôle emploi ;
  
  
• Météo France ;
  
  
• Sphère emploi de Pôle emploi.