GuiGui's Show

Le caractère illégal de la configuration de Google Analytics utilisée par les sites médias les oblige à changer d’outil de mesure pour conserver la certification de leur trafic. […] L’association nous a confirmé cette décision.

 
Autre source :

L'ACPM a informé ses membres du retrait du label pour Google Analytics 3 […] "Cet outil, considéré par le régulateur comme ne répondant plus aux exigences de confidentialité, ne permet plus à l’ACPM de continuer à lui attribuer son statut de membre associé", a indiqué l'Alliance. Il sera donc nécessaire pour tous les éditeurs digitaux concernés par cet outil de mesure de mettre en place un des 3 autres outils labellisés à ce jour : Piano / AT Internet, [IDFR] Wysistat, NSP [ Smartprofil ] […]

 
Les autres outils labellisés (1, 2) ne sont pas forcément conformes au RGPD, cf. mesure d'audience web et RGPD.

 
Quel inpact ? D'après Wikipedia :

Les chiffres de l'ACPM/OJD sont utilisés pour l'élaboration des tarifs de publicité des supports certifiés. Ils servent aussi, dans de nombreux cas, de base de référence pour les pouvoirs publics, l'administration ou les tribunaux lorsque se pose la question de connaître avec exactitude la diffusion de certains supports.

 
Via https://twitter.com/Dignilog1/status/1599797688786358272 en faisant une recherche sur Twitter.

On peut cumuler plusieurs profils Firefox ou Thunderbird. firefox -p ou thunderbird -p pour accéder au gestionnaire des profils, créer un profil, définir lequel sera ouvert par défaut, etc. firefox -p <nom_profil> pour ouvrir un profil. Ça fonctionne aussi sur winwin en bidouillant la cible d'un raccourci pour ajouter ce paramètre.

L'agenda Sunbird (Iceowl sur Debian) prend également en charge plusieurs profils. Mais il est lancé par un script d'emballage (wrapper) qui positionne tout un environnement. Or, pour ce script, le paramètre « -p » signifie le mode « pure » (aucune idée de ce que c’est), qui nécessite un binaire spécifique qui n'était pas livré par le paquet Debian. D'où l'erreur « run-mozilla.sh: Cannot execute /usr/lib/iceowl/iceowl-bin.pure. » quand je tente un « iceowl -p ».

Il faut donc le contourner.

Pour ouvrir le gestionnaire des profils : /usr/lib/iceowl/run-mozilla.sh /usr/lib/iceowl/iceowl-bin -p.

Pour ouvrir un profil spécifique : /usr/lib/iceowl/run-mozilla.sh /usr/lib/iceowl/iceowl-bin -p <nom_profil>.

Attention : ça ne fonctionne pas si une autre instance d'Iceowl est en cours d'exécution.

P.-S. : Sunbird / Iceowl n'est plus maintenu et il a été retiré des dépôts depuis au moins Debian 9. Il est remplacé par le calendrier Lightning intégré par défaut à Thunderbird. Mais un blocage psychologique me retient de migrer.

Une infographie classant une partie des logiciels utilisant le Fediverse par usage (réseau social, vidéos, blog, événementiel, etc.).

Via https://twitter.com/_Nidouille_/status/1605156064852336643 via https://twitter.com/bortzmeyer.

Lu sur une liste de discussion par emails :

Je te propose de meilleurs préjugés :

L’attachement à la perpétuation de l’espèce est instinctivement et terriblement fortement ancré dans nos cultures, ceci très indépendamment du niveau d’éducation.

L’attachement à protéger le cercle de la famille, les ressources et le capital du clan est aussi un vecteur très important de l’homophobie.

La grande majorité des gens projettent leur peur dans la menace relative que présente l’homosexualité pour leur propre perpétuation et la protection de leur capital familial.

Plus les gens possèdent de capital familial
Plus les gens se sentent menacés dans leur procréation.
Plus ils sont facilement homophobes.

Et quant tu associe procréation, enfants et homosexualité, tu déclenche toutes les alarmes les plus irrationnelles et les plus intenses qui soient.

Un BBQ en plein cagnard est un des pires endroits pour avoir des discussions rationnelles et intellectuellement honnêtes.

Des gens qui ne se connaissent pas, se retrouvent ensemble dans un espace restreint, sont déjà sur la défensive et assez peu empathiques.

[…]

Mauvais sujet au mauvais endroit et pas forcément avec les bonnes personnes.

La notion de capital familial (au sens de clan, de lignée, mobilisable pour défendre des intérêts), qui fait echo à celle de capital économique, social et culturel de Bourdieu, me parle bien.

Après, comme d'hab', y'a trouzemilles autres facteurs : ombre noire (homo refoulé, en très gros), conviction / religion, effet de groupe (une causerie en groupe est rarement pertinente), mauvaise expérience et généralisation, etc.

Une personne peut demander à ce que son nom comportant des lettres accentuées soit rectifié dans le système informatique d'une banque afin d'y intégrer lesdits accents. L'impossibilité technique et l'absence d'obligation d'accentuer les majuscules ne sont pas des arguments suffisants.

D'un autre côté, dans une décision, l'APD norvégienne avait donné raison à un Néerlandais qui demandait à sa banque de rectifier son nom de XXX Van YYY en XXX van YYY en argumentant que le droit de rectification ne requiert pas un degré d'inexactitude et ne permet pas d'adopter une approche basée sur le risque pour déterminer quand ce droit peut être déclenché. La banque a contesté la décision. Le tribunal a jugé que ce n'est pas la nature de la donnée qui compte mais son exactitude au regard de la finalité du traitement. Dans le cas d'espèce, la finalité étant la gestion de la relation client, il n'y a pas de risque d'erreur d'identification. De plus, la banque faisait valoir l'effort déraisonnable qu'il lui faudrait pour corriger (elle importe les noms depuis le registre national de la population, dans lequel tous les noms sont en majuscule, y applique un traitement "tout en minuscule sauf la première lettre", et on peut supposer que ce traitement écrase toute modif' manuelle).

Via https://twitter.com/aeris22/status/1585954255801909248.

Après une première plainte concernant l'impossibilité de s'inscrire à Pôle emploi sans accepter le téléchargement de scripts hébergés sur les serveurs informatiques d'une société commerciale états-unienne, une deuxième plainte portant sur les liens et l'image traçants que Pôle emploi insère dans ses emails, et une troisième plainte portant sur les ateliers organisés via Microsoft Teams et Bit.ly, une quatrième plainte est nécessaire.

Sphère emploi est la plateforme collaborative d'échanges (un réseau social, quoi) de Pôle emploi. Le logiciel sous-jacent est un produit de la société commerciale française Whaller. Aeris a émis des doutes concernant la conformité RGPD du produit en consultant son site web officiel. Cette instance de Pôle emploi les confirme : il y a bien des transferts illégaux de données personnelles vers les États-Unis (Google Fonts, scripts hébergés par Amazon, image par Akamai) par le produit lui-même, ce qui illustre que la conformité de la vitrine (site web officiel) reflète souvent celle du produit. Et, comme d'hab', on constate des carences dans le choix, le pilotage et l'audit des sous-traitants.

Pôle emploi envoie, par email, des invitations à rejoindre Sphère emploi. Onze en un mois et demi, ce qui est excessif. Pour s'y opposer, il faut créer un compte sur la plateforme et accepter ses CGU, ce qui est disproportionné et contraire à l'objectif recherché par le demandeur d'emploi (si je ne veux plus recevoir d'invitation, c'est que je ne veux pas rejoindre la plateforme…). Décliner une invitation est sans effet : on est ré-invité à rejoindre le même canal / groupe encore et encore (alors que quand je refuse une invitation, je peux légitimement m'attendre à ce qu'on me fiche la paix). On peut contacter le DPO de Pôpôle, mais quand on me spamme, je me sens légitime à exiger un mécanisme d'opposition automatisé.

Pôle emploi ne communique pas des informations légalement obligatoires comme la base légale du traitement de données personnelles que constitue Sphère emploi. D'une manière générale, Pôle emploi tend à présenter tous ses traitements comme relevant de sa mission d'intérêt public ou d'une obligation légale. Cf. la mise en forme de sa politique générale de confidentialité : le Code du travail est mis en avant et, par exemple, la base légale de la sécurisation de l'espace recruteur n'est pas énoncée, laissant à penser qu'elle en relève alors que la prévention de la « fraude » relève de l'intérêt légitime. Dans le cas de Sphère emploi, la politique de confidentialité du service énonce « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi », sans fournir, du coup, sa base légale (qui, d'après cette citation, ne peut pas être l'obligation légale ni la mission d'intérêt public)… D'autres traitements (e-mailing, visioconférence, transferts vers les États-Unis, etc.) ne sont pas référencés, et les informations minimales (tel jeu de données persos est utilisé pour telle finalité fondée sur telle base légale, etc.) manquent à l'appel… Pôle emploi joue sur la confusion.

Comme tous les emails de Pôle emploi (cf. premier paragraphe), les invitations contiennent des liens et image de traçage sans obligation légale ni obligation contractuelle ou technique ni consentement.

Du coup, hop, plainte à la CNIL.

Nouveautés :

• Première fois que je pointe les lignes directrices du CEPD relative à la transparence (WP 260). Version française. Elles précisent les informations à communiquer à propos d'un traitement de données personnelles, et la manière de procéder (concision, clarté, plusieurs niveaux de lecture, etc.) ;
  
  
• Dans sa doctrine, la CNIL explique qu'un responsable de traitement peut s'appuyer sur une obligation légale seulement si elle est impérative (un texte qui prévoit l'installation de caméras dans un lieu public ne l'est pas, par exemple), qu'elle s'impose explicitement à lui (et pas uniquement aux personnes concernées par le traitement), et qu'elle est précise (un objectif général, même prévu par la loi, comme la sécurité des données, est insuffisant). Il en va de même pour la base légale de la mission d'intérêt public (source). Sinon, couic, comme ici avec la prise de température via des caméras thermiques durant le Covid dans des aéroports de Belgique (la Cour d'Appel a réduit la sanction, mais l'absence de base légale et d'information sur le traitement demeurent intacte).

Email au DPO de Pôle emploi

Le RGPD impose d'exercer d'abord ses droits (ici d'opposition) auprès du délégué à la protection des données personnelles de l'entité. J'en profite pour lui signaler les infractions que je constate. Ces dernières peuvent être directement remontées à l'autorité de protection des données personnelles, d'où la parallélisation de ma demande au DPO et de ma plainte auprès de la CNIL.

Je l'ai envoyé aux adresses emails consignées dans la politique de confidentialité de Sphère emploi et dans la politique générale de protection des données personnelles de Pôle emploi.

Sujet : Exercice droit d'opposition et signalement infractions RGPD

Bonjour,

Je suis inscrit en tant que demandeur d’emploi auprès de Pôle emploi.

À ce titre, entre le 04/11/2022 et le 21/12/2022, j'ai reçu onze emails de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres Provence Alpes ». Cf. PJ 1.

Décliner plusieurs invitations ne stoppe pas l'émission de nouvelles invitations :

• Le 15/12/2022 à 13 h 54, j’ai décliné l’invitation reçue le même jour à 13 h 36 (cf. la couleur du lien dans la page 7 de PJ 1). À 14 h 21, je recevais une nouvelle invitation à rejoindre la même sphère sur la même plateforme. J’ai décliné à nouveau (cf. page 8 de PJ 1), et j’ai reçu, à nouveau, une invitation à rejoindre la même sphère le 21/12 (cf. page de 10 de PJ 1) ;
  
  
• Le 18/12/2022 à 20 h 29, j’ai décliné le rappel d’une invitation reçu le même jour à 20 h 21 (cf. PJ 2). Le 21/12/2022, j’ai reçu une nouvelle invitation concernant la même sphère sur la même plateforme (cf. page 11 de PJ 1).

Le pied de page des emails énonce : « Si vous ne souhaitez plus recevoir de messages de Sphère emploi ou en modifier le type et la fréquence d'envoi, connectez-vous à votre compte pour personnaliser vos notifications. ».

Pour se connecter sur la plateforme Sphère emploi, il faut « créer votre compte » et « accepter les conditions générales d'utilisation du site ». Or, je ne veux pas faire cela, je veux uniquement ne plus recevoir les invitations à rejoindre ladite plateforme. Le lien consigné dans le pied de page des emails d'invitation ne permet pas de contourner cette étape.

Mes demandes

1) Je ne veux plus recevoir les emails de la plateforme Sphère emploi. À ce titre, j'exerce mon droit d'opposition pour l'adresse emails émettrice du présent email. Si le traitement est fondé sur le consentement, la présente demande est à interpréter comme un retrait de mon consentement (quand bien même il n'a pas été collecté) ;

2) Merci de revenir vers moi pour me confirmer la prise en compte de mon opposition et son effectivité ;

3) J'ai reçu onze invitations et rappels d'invitation de Sphère emploi entre le 04/11/2022 et le 21/12/2022. Cf. PJ 1. C'est excessif, notamment l'aspect répétitif / systématique qui tend à forcer l'acception des invitations afin d'avoir la paix. Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum ;

      Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

4) Comme relaté ci-dessus, pour s'opposer à la réception des invitations de Sphère emploi, il faut créer un compte sur la plateforme et accepter ses conditions d'utilisation. Cela est contraignant, contraire à l'objectif recherché par le demandeur d'emploi (ne pas rejoindre Sphère emploi) et disproportionné. Bien évidemment, le demandeur d'emploi peut vous écrire ainsi qu'à sa conseillère assignée mais cela est tout autant disproportionné : quand on m’envoie une masse conséquente d’emails automatiques, j’attends un mécanisme d’opposition automatisé en état de marche.

      De plus, le refus d’une invitation ne produit pas l’effet auquel peut légitimement s’attendre un demandeur d’emploi, à savoir qu’on cesse de l’inviter.

      Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

5) Carence dans les informations décrivant le traitement Sphère emploi (articles 12 et 13 du RGPD).

     Le pied de page des emails énonce « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr ». Cf. PJ 1. C’est inexact, je ne suis pas utilisateur de Sphère emploi puisque utiliser le site web nécessite de s’y créer un compte utilisateur (cf. l'article 3 des mentions légales, https://sphere-emploi.fr/portal/article/3984) et d'accepter les conditions d’utilisation de la plateforme, ce que je n’ai pas fait.

     De plus, je n’ai pas reçu d’information, comme la possibilité de m’opposer, avant de recevoir les invitations alors que, manifestement, des données personnelles, au moins mon adresse emails, ont été insérées dans ce traitement (Sphère emploi).

     Ensuite, dans les mentions légales de la plateforme (https://sphere-emploi.fr/portal/article/3984), la base légale du traitement de données personnelles n’est pas indiquée. Par déduction, ce n’est pas le consentement (il n’est pas récolté au préalable et décliner une invitation ne suffit pas à être retiré du traitement), ni une obligation légale (le responsable du traitement doit démontrer en quoi son traitement répond à une telle obligation précise, cela ne peut pas être un objectif vague et/ou d’ordre général, cf. WP 260 du CEPD, et Pôle emploi indique que les données ne sont pas traitées dans le « cadre du contrôle de la recherche d’emploi »), ni une mission de service public (mêmes raisons, la législation ne missionne pas explicitement Pôle emploi pour créer une plateforme collaborative à destination des demandeurs d'emploi). Donc, la base légale est l’intérêt légitime. Or, lesdits ne sont pas présentés, alors qu'il s'agit d'une obligation (article 13.1.d du RGPD).

      De même, aucune information est donnée sur le caractère (réglementaire, contractuel) de l’utilisation des données personnelles ni sur son aspect facultatif ou obligatoire ni sur les conséquences d’un refus de communication des données personnelles (sur ce dernier point, la phrase « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » constitue un indice faible). C'est pourtant une exigence de l'article 13.2.e du RGPD.

      La politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) ne référence pas ce traitement et ne fournit pas de réponse aux carences précédemment soulignées. Par ailleurs, elle ne répond pas aux exigences d'exhaustivité et de clarté définies par le RGPD et le CEPD : quel jeu de données est utilisé pour telle finalité présentée ? Sur quelle base légale repose telle finalité présentée ? Durée de conservation de chaque jeu de données ? Etc.

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

6) Comme tous les emails émis par Pôle emploi, chaque invitation contient au moins une image de traçage (d'après la terminologie de la CNIL, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), et tous les liens qu'elle contient sont des liens de traçage, même ceux qui redirigent simplement vers la page d'accueil de Sphère emploi ou vers le profil de la personne qui a émis l'invitation (la conseillère assignée par Pôle emploi). Nom de domaine dédié (« r.mail.sphere-emploi.fr ») délégué à votre prestataire d'e-mailing (SendInBlue), motifs « tr » (diminutif de « track ») et « cl » (« click ») dans l'URL de chaque lien, identifiant unique à chaque lien afin de consigner un clic sur celui-ci. Image 1 x 1 pixel transparente (format GIF) donc invisible et n'apportant rien au contenu rédactionnel. Cf. PJ 1 et page 4 de PJ 3.

     Vous êtes soumis à aucune obligation légale nécessitant de traquer la lecture des emails par les demandeurs d'emplois et leurs clics sur des liens. Absence de nécessité pour l'exécution d'un contrat ou de votre mission de service publique. Aucune information au demandeur d'emploi et absence de recueil de son consentement. Il s'agit donc d'un manquement au RGPD selon le CEPD (section V de WP 118) et la CNIL (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

7) Lors de son chargement, la page d’accueil de la plateforme Sphère emploi (https://sphere-emploi.fr/) fait télécharger automatiquement (cf. PJ 4 au format HTTP Archive) :

• Une police de caractères auprès du service Fonts de la société commerciale états-unienne Google ;
  
  
• Des scripts JavaScript du service StatusPage de la société commerciale Atlassian qui les héberge sur les serveurs informatiques de la société commerciale états-unienne Amazon ;
  
  
• Une image hébergée sur les serveurs informatiques de la société commerciale états-unienne Akamai Technologies (rackcdn.com).

     On peut raisonnablement en déduire que l'entièreté de la plateforme fait télécharger ces ressources sur chacune de ses pages.

     De même, les images qui participent au contenu des emails (logo Pôle emploi, etc.) sont diffusées via le CDN de la société commerciale états-unienne Cloudflare. Elles sont téléchargées automatiquement par le logiciel de messagerie du demandeur d'emploi à l'ouverture de l'email.

     Ces téléchargements induisent un contact direct entre le terminal du demandeur d’emploi et des serveurs informatiques détenus par les sociétés commerciales états-uniennes sus-énumérés. Pour le raisonnement détaillé, cf. https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     Ce contact direct induit le transfert vers les États-Unis de plusieurs données personnelles du demandeur d’emploi : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (l’entête HTTP Referer consigne pour le compte de quel site web des ressources web sont téléchargées), la date et l’heure de ses consultations de Sphère emploi (même entête), etc. Là encore, voir le raisonnement complet en https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     À titre d'illustration, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérés au point précédent (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks).

     Ces transferts de données personnelles vers les États-Unis constituent des manquements au RGPD (articles 44 à 49 du RGPD) : absence de décision d’adéquation et de clauses contractuelles-type (invalidées par l'arrêt Schrems II de la Cour de Justice de l'UE), absence de garanties appropriées complétées par des mesures complémentaires répondant aux exigences de l’arrêt Schrems II, absence de consentement au sens de l’article 49.1.a du RGPD (absence d’information, absence de recueil du consentement, transferts systématiques, cf. les lignes directrices 2/2018 du CEPD), absence de nécessité à l’exécution d’un contrat (il est possible d'héberger ces ressources web sur le même hébergement web que la plateforme ou auprès d'un hébergeur européen, de recourir à des prestataires européens similaires, etc.), et absence d'information sur l'existence de ces transferts au sens de l'article 13.1.f du RGPD. Là encore, le raisonnement est détaillée par la CNIL : https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     La plateforme Sphère emploi est un produit de la société commerciale française Whaller qui agit comme sous-traitant de Pôle emploi (cf. article 1 des mentions légales, https://sphere-emploi.fr/portal/article/3984). Il y a donc, de la part de Pôle emploi, carence dans le choix, le pilotage et l’audit de ses sous-traitants.

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

8) Merci de me communiquer les informations légales (article 13 du RGPD) manquantes (cf. question 5 et article 13.1.f du RGPD appliqué aux faits relatés dans la question 7).

Bonne journée.

Introduction de ma plainte CNIL

Bonjour,

Je suis inscrit à Pôle emploi en tant que demandeur d'emploi.

À ce titre, j’ai reçu plusieurs email de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres <REGION_CENSURÉE> ».

Merci de noter que nous ne sommes pas en présence d'un traitement obligatoire lié à la mission de service public de Pôle emploi : « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » (source : la politique de confidentialité de la plateforme collaborative).

Infractions :

• Nombre excessif d'emails d'invitation (11 en 1 mois et demi). La démarche est abusive par sa répétitivité : décliner plusieurs invitations ne suffit pas à stopper l'émission de nouvelles invitations à rejoindre les mêmes groupes. Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum ;
  
  
• Le pied de page de chaque email énonce qu'on peut s'opposer au traitement… en créant un compte sur la plateforme (avec acceptation des CGU). C'est contraignant, contraire à l'objectif recherché par le demandeur d'emploi (ne pas rejoindre la plateforme) et disproportionné. Contacter le DPO pour s'opposer est également disproportionné : face au volume d'emails, le demandeur d'emploi peut légitimement s'attendre à un mécanisme d’opposition automatisé en état de marche ;
  
  
• Plusieurs informations obligatoires au sens de l'article 13 du RGPD ne sont pas communiquées : base légale, présentation des intérêts poursuivis, mentions relevant de l'article 13.2.e du RGPD, etc. D'une manière générale, la politique de confidentialité de Pôle emploi ne satisfait pas aux obligations d'exhaustivité et de clarté du RGPD et du CEPD ;
  
  
• Utilisation, dans lesdits emails d'invitation, de liens et d'image de traçage sans obligation légale ni nécessité contractuelle ou technique ni recueil du consentement (WP 118) ;
  
  
• Transfert de données personnelles vers les États-Unis. Images des emails hébergées par Cloudflare. Sur le site web de la plateforme : utilisation de Google Fonts, de scripts hébergés par Amazon, et d'une image hébergée par Akamai.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Je vous invite à considérer les demandeurs d'emploi comme des personnes vulnérables (comme les employés le sont vis-à-vis de traitements mis en œuvre par leur employeur), donc à ne pas attendre de recevoir trouzemilles plaintes identiques à celle-ci avant d'agir, car cela n'arrivera pas : méconnaissance du RGPD, chronophage, peur des sanctions, etc.

J'ai sollicité le DPO de Pôle emploi pour exercer mon droit d'opposition. Je ne vous demande pas d'appuyer ma demande, car le délai légal de réponse court toujours.

Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne Pôle emploi.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Plainte CNIL détaillée

Bonjour,

Je suis inscrit en tant que demandeur d’emploi auprès de Pôle emploi.

À ce titre, j’ai reçu plusieurs email de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres <RÉGION_CENSURÉE> » (ci-après « Sphère emploi » / « la plateforme »).

Onze emails entre le 04/11/2022 et le 21/12/2022 « signés » par la conseillère qui m’est assignée par Pôle emploi. Cf. PJ 1. Leur présentation est rustique, car je désactive la prise en charge HTML de mon logiciel de messagerie.

Premier grief : c’est excessif et abusif, notamment l’aspect répétitif / systématique qui tend à se résigner à accepter les invitations « pour avoir la paix ». Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum.

Le pied de page des emails énonce : « Si vous ne souhaitez plus recevoir de messages de Sphère emploi ou en modifier le type et la fréquence d'envoi, connectez-vous à votre compte pour personnaliser vos notifications. ». Cf. PJ 1.

Pour se connecter sur la plateforme Sphère emploi (https://sphere-emploi.fr/) avec son identité numérique Pôle emploi (mécanisme d’authentification unique), il faut « créer votre compte » et « accepter les conditions générales d'utilisation du site ». Or, je ne veux pas faire cela, je veux uniquement ne plus recevoir les invitations à rejoindre ladite plateforme. Le lien consigné dans le pied de page des emails d’invitation ne permet pas de contourner cette étape.

Décliner plusieurs invitations ne stoppe pas l’émission de nouvelles invitations :

• Le 15/12/2022 à 13 h 54, j’ai décliné l’invitation reçue le même jour à 13 h 36 (cf. la couleur du lien dans la page 7 de PJ 1). À 14 h 21, je recevais une nouvelle invitation à rejoindre la même sphère (le même groupe) sur la même plateforme. J’ai décliné à nouveau (cf. page 8 de PJ 1), et j’ai reçu, à nouveau, une invitation à rejoindre le même groupe le 21/12 (cf. page de 10 de PJ 1) ;
  
  
• Le 18/12/2022 à 20 h 29, j’ai décliné le rappel d’une invitation reçu le même jour à 20 h 21 (cf. PJ 2). Le 21/12/2022, j’ai reçu une nouvelle invitation concernant la même sphère sur la même plateforme (cf. page 11 de PJ 1).

Contrairement aux autres moyens de communication, il n’existe pas de paramètre concernant Sphère emploi dans les préférences de l’espace personnel du demandeur d’emploi sur le site web principal de Pôle emploi (https://candidat.pole-emploi.fr).

Deuxième grief : le moyen de s’opposer est contraignant, disproportionné, et contraire à l’objectif recherché par le demandeur d’emploi (ne pas rejoindre la plateforme). Et le refus d’une invitation ne produit pas l’effet auquel peut légitimement s’attendre un demandeur d’emploi, à savoir qu’on cesse de l’inviter.

Oui, le demandeur d’emploi peut contacter le DPO de Pôle emploi et/ou la conseillère qu’on lui a assignée, mais cela reste disproportionné : quand on m’envoie une masse conséquente d’emails automatiques, j’attends un mécanisme d’opposition automatisé en état de marche.

Oui, l’email contient un entête « List-Unsubscribe », mais 99 % de la population ne sait pas l’utiliser. Sans compter qu’on ne saurait être sûr de son efficacité : j’ai essayé le 26/12/2022, et je n’ai pas reçu un quelconque acquittement automatique, ce qui est pourtant la norme en matière de désabonnement.

Le pied de page des emails énonce « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr ». Cf. PJ 1. C’est inexact, je ne suis pas utilisateur puisque, comme relaté ci-dessus, utiliser le site web nécessite la création d’un compte (cf. article 3 des mentions légales, https://sphere-emploi.fr/portal/article/3984) et l’acceptation des conditions d’utilisation, ce que je n’ai pas fait à date.

Je n’ai pas reçu d’information (comme la possibilité de m’opposer) avant la réception des invitations alors que, manifestement, des données personnelles, au moins mon adresse emails, ont été insérées dans ce traitement.

Dans les mentions légales de la plateforme Sphère emploi (https://sphere-emploi.fr/portal/article/3984), la base légale n’est pas indiquée.

Par déduction, ce n’est pas le consentement (il n’est pas récolté au préalable et décliner une invitation ne suffit pas à être retiré du traitement), ni une obligation légale (le responsable du traitement doit démontrer en quoi son traitement répond à une telle obligation légale précise, cela ne peut pas être un objectif vague et/ou d’ordre général, cf. WP 260 du CEPD, et Pôle emploi indique que les données ne sont pas traitées dans le « cadre du contrôle de la recherche d’emploi »), ni une mission de service public (mêmes raisons, la législation ne missionne pas explicitement Pôle emploi pour créer une plateforme collaborative à destination des demandeurs d'emploi). Donc, il s’agit de l’intérêt légitime. Or, les intérêts légitimes ne sont pas énoncés, alors qu’il s’agit d’une obligation (article 13.1.d du RGPD).

De même, aucune information sur le caractère (réglementaire, contractuel) de l’utilisation des données personnelles ni sur son aspect facultatif ou obligatoire ni les conséquences d’un refus (sur ce dernier point, la phrase « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » constitue un indice faible). C'est pourtant une exigence de l'article 13.2.e du RGPD.

La politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) ne référence pas ce traitement et ne fournit pas de réponse aux carences précédemment soulignées. Par ailleurs, elle ne répond pas aux exigences d'exhaustivité et de clarté définies par le RGPD et le CEPD : quel jeu de données est utilisé pour telle finalité présentée ? Sur quelle base légale repose telle finalité présentée ? Durée de conservation de chaque jeu de données ? Etc.

Troisième grief : manquement aux articles 12 et 13 du RGPD.

Enfin, comme les autres emails émis par Pôle emploi (ou ses prestataires), cf. ma plainte CNIL numéro 44-17-47, les emails d’invitation à rejoindre Sphère emploi contiennent une image de traçage selon votre terminologie (cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) : image transparente (format GIF) de dimensions 1 x 1 pixel donc invisible et n’apportant rien au contenu rédactionnel. Cf. page 4 de PJ 3.

De même, tous les liens sont des liens de traçage (cf. PJ 1, même ceux qui redirigent simplement vers la page d’accueil de Sphère emploi ou vers le profil de la personne qui a émis l’invitation (la conseillère assignée par Pôle emploi). Nom de domaine dédié (« r.mail.sphere-emploi.fr ») délégué à votre prestataire d’e-mailing (SendInBlue), motifs « tr » (diminutif de « track ») et « cl » (« click ») dans l'URL de chaque lien, identifiant unique à chaque lien afin de consigner un clic sur celui-ci

Aucune nécessité technique ou obligation légale impose ce traçage. Aucune information ni recueil du consentement du demandeur d’emploi. Donc manquement au RGPD (section V du WP 118 et votre doctrine sus-pointée).

Pour les détails techniques, je vous renvoie à ma plainte CNIL numéro 44-1747.

Quatrième grief : liens et image de traçage en l’absence d’obligation, de nécessité et de consentement.

Lors de son chargement, la page d’accueil de la plateforme Sphère emploi (https://sphere-emploi.fr/) fait télécharger automatiquement :

• Une police de caractères auprès du service Fonts de la société commerciale états-unienne Google ;
  
  
• Des scripts JavaScript du service StatusPage de la société commerciale Atlassian qui les héberge sur les serveurs informatiques de la société commerciale états-unienne Amazon ;
  
  
• Une image hébergée par la société commerciale états-unienne Akamai Technologies (rackcdn.com).

On peut raisonnablement en déduire que l’entièreté de la plateforme fait télécharger ces ressources web sur chacune de ses pages web.

De même, les images qui participent au contenu des emails (logo Pôle emploi, etc.) sont diffusées via le CDN de la société commerciale états-unienne Cloudflare. Elles sont téléchargées automatiquement par le logiciel de messagerie à l’ouverture de l’email.

Ces téléchargements induisent un contact direct entre le terminal du demandeur d’emploi et les serveurs informatiques détenus par les sociétés commerciales états-uniennes sus-énumérées.

Ce contact direct induit le transfert vers les États-Unis de plusieurs données personnelles du demandeur d’emploi : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (l’entête HTTP Referer consigne pour le compte de quel site web des ressources web sont téléchargées), la date et l’heure de ses consultations de Pôle emploi (même entête), etc.

Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au point précédent (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks).

Ces transferts de données personnelles constituent des manquements au RGPD : absence de décision d’adéquation, absence de garanties appropriés complétés par des mesures complémentaires répondant aux exigences de l’arrêt Schrems II de la CJUE, absence de consentement au sens de l’article 49.1a du RGPD (absence d’information, absence de recueil du consentement, transferts systématiques), absence de nécessité à l’exécution d’un contrat (internalisation, hébergement UE, etc.), et absence d’information sur l’existence de ces transferts au sens de l'article 13.1.f du RGPD.

Dans le cas d’espèce, la plateforme Sphère emploi est un produit de la société commerciale française Whaller qui agit comme sous-traitant de Pôle emploi (cf. article 1 des mentions légales, https://sphere-emploi.fr/portal/article/3984). Il y a donc, de la part de Pôle emploi, carence dans le choix, le pilotage et l’audit de ses sous-traitants.

Cinquième grief : transfert illégal de données personnelles vers les États-Unis.

J'ai enregistré ces transferts illégaux de données personnelles dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics). Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je reste à votre disposition pour vous communiquer cet enregistrement HAR par tout autre moyen à votre convenance.

Enfin, je vous rappelle que tous les demandeurs d’emploi (inscrits à Pôle emploi) ne sont pas des informaticiens sensibilisés au RGPD, ni même des personnes qui disposent du temps long (j’en suis à 7 h) nécessaire à l’analyse en détail de la situation et au dépôt d’une réclamation auprès de votre commission.

De même, ils seront nombreux à se résigner à se faire spammer par la plateforme Sphère emploi de Pôle emploi et/ou à accepter les invitations de cette plateforme afin de se prémunir contre toute sanction éventuelle.

Les demandeurs d’emploi doivent être considérés comme des personnes vulnérables comme le sont les employés vis-à-vis de traitements mis en œuvre par leur employeur, à ceci près que les demandeurs d’emploi n’ont pas de syndicat ni de délégué, ce qui accroît leur vulnérabilité.

Ainsi, ne vous attendez pas à recevoir plusieurs milliers de plaintes similaires à la mienne et agissez.

J’ai sollicité, ce jour, le DPO de Pôle emploi afin d’exercer mon droit d’opposition. Cf. PJ 4. Le délai légal n’étant pas expiré, je ne vous demande pas d’appuyer ma demande. J’en profite pour lui signaler les manquements au RGPD sus-énumérés. Je vous tiendrais informer de son éventuelle réponse.

Par la présente, je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencés dans la présente, et qu’elle sanctionne Pôle emploi.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

ÉDIT DU 20/07/2023 :

Réponse du DPO de Pôle emploi du 25/01/2023 :

Bonjour,

Je vous remercie pour votre mail, qui est actuellement en cours de traitement.

Au vue de la complexité de votre demande et du nombre de services à contacter, je vous informe que le délai maximal de traitement de cette demande sera prolongé de deux mois, comme le permet l’article 12.3 du RGPD.

Je peux déjà vous informer que votre demande relative à votre droit d’opposition a été traitée : vous ne recevrez plus de mail de la part de votre conseillère vous invitant à rejoindre Sphère emploi.
Les autres points soulevés sont actuellement en cours de traitement dans les services compétents et je vous transmettrai leurs réponses dès que possible.

Cordialement.

Réponse du DPO de Pôle emploi du 17/03/2023 :

Bonjour,

Je vous remercie pour votre patience et reviens vers vous suite à votre demande concernant la plateforme Sphère emploi. Voici les éléments correctifs effectués :

Tout d’abord, comme précisé dans mon précédent mail du 25 janvier 2023, votre demande relative à votre droit d’opposition a été traitée : vous ne recevrez plus de mail de la part de votre conseillère Pôle emploi vous invitant à rejoindre Sphère emploi.

Ensuite, le pied de page des e-mails d’invitation a été modifié : un lien de désinscription permet désormais de se désinscrire de la liste de diffusion sans la création préalable d’un compte sur Sphère emploi.

De plus, les mentions d’informations présentes sur le site de Sphère emploi ont été mises à jour et sont disponibles ici : https://sphere-emploi.fr/portal/article/3984

Enfin, les différents systèmes de traçages que vous avait relevé sont désactivés : les e-mails ne contiennent plus d’images tracées ni d’URL tracées. Ils ne contiennent plus de pixel de traçage de l’ouverture et il n’y a plus d’envoi d’images hébergées sur un CDN.
De même, les polices sont désormais chargées directement depuis nos serveurs. Les scripts StatusPage est soumis au consentement explicite de l’utilisateur et ne sont plus chargés pas défaut.

Cordialement.

Il semble improbable que ce soit le DPO de Pôle emploi qui ait incité son sous-traitant Whaller à se mettre en conformité en matière de scripts externes hébergés aux USA. En effet, le 4 novembre 2022, Aeris étrillait Whaller dans le thread Twitter d'un officiel du gouvernement (https://twitter.com/aeris22/status/1595807654445973505). Whaller lui avait demandé conseil. Le 01/02/2023, Aeris annonce que Whaller s'est bougé (https://twitter.com/aeris22/status/1620725832674074630). Je pense que Whaller a corrigé son produit et que Pôle emploi en a bénéficié comme tous les autres clients.

Ma réponse du 20/03/2023 au DPO de Pôle emploi (TL;DR : y'a encore du boulot) :

Bonjour,

Concernant les téléchargements de ressources web depuis des États tiers non adéquats (point 7 de ma demande initiale) :

• La page d'accueil de Sphère emploi et celle des mentions légales de ce service (a minima, peut-être d'autres pages de la plateforme sont concernées) téléchargent des scripts JavaScript de la société commerciale états-unienne New Relic (js-agent.newrelic.com). Notez que le cœur du problème est ici (produit d'une société états-unienne). De plus, ces scripts sont hébergés, par New Relic, derrière le CDN de la société commerciale états-unienne Fastly. Une fois chargés, ces scripts envoient, toutes les minutes, un rapport technique à New Relic via le CDN de la société commerciale états-unienne Cloudflare (bam.nr-data.net). Le raisonnement déroulé dans ma demande initiale est totalement applicable à ces scripts, d'où manquement au RGPD ;
  
  
• Concernant les scripts de StatusPage :
  • En effet, leur téléchargement est effectué après l'affichage d'un bandeau cookies. Mais, que l'usager accepte ou ferme le bandeau (avec la croix en haut à droite), les scripts sont téléchargés et le "cookie" de StatusPage est déposé (en vrai, il s'agit d'objets dans l'espace de stockage du navigateur web, mais le raisonnement est identique). Or, il ne s'agit pas d'un traceur exempté de consentement au sens de la CNIL (cf. https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Donc ce traceur doit être déposé uniquement en cas de consentement explicite. De plus, ce traceur n'est pas référencé dans la section 8 des mentions légales de Sphère emploi alors qu'il m'apparaît qu'il faut le traiter comme un cookie. De même, le téléchargement des scripts devrait avoir lieu uniquement en cas de consement ;
    
    
  • Lorsqu'un RT souhaite se reposer sur le consentement pour effectuer un transfert de données persos vers un État tiers non adéquat, c'est celui prévu à l'article 49.1.a du RGPD qui s'applique, pas celui prévu à l'article 6.1.a. Il s'agit d'un consentement spécifique au transfert, pas d'un consentement au traitement. Pour qu'il soit valable, l'usager doit être informé, je cite « des risques que ce transfert pou[rr]ait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées ». Actuellement, le bandeau ne précise pas qu'il s'agit d'un transfert ni des risques ;
    
    
  • Comme indiqué dans ma demande initiale, seul un transfert occasionnel peut reposer sur l'article 49.1.a du RGPD. Cf. les lignes directrices 2/2018 du CEPD, et la doctrine de la CNIL (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics, question « Est-il possible de continuer à transférer des données avec le consentement explicite des personnes ? »). Comme indiqué dans ma demande initiale, aucun autre mécanisme prévu aux articles 45 et suivants du RGPD ne semblent convenir à votre traitement et un hébergement interne de ces scripts ou un renoncement à leur utilisation semble inéluctable.

Concernant les images et les liens de traçage : ne recevant plus, à ma demande, les emails de Sphère emploi, je ne peux pas confirmer leur disparition. En revanche, les autres emails réguliers de Pôle emploi (réponse d'un conseiller, « Vous avez reçu un courrier […] dans votre espace pole-emploi.fr », email de présentation d'une formation, etc.) contiennent toujours des liens et des images de traçage. Pour les raisons exposées dans ma demande initiale, ces liens et images de traçage ne sont pas plus conformes au RGPD que ceux contenus auparavant dans les emails de Sphère emploi.

Concernant les informations relatives au traitement (point 5 de ma demande initiale) :

• Quelle décision avez-vous pris concernant la phrase « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr » contenue dans le pied de pages des emails d'invitation à Sphère emploi ? Pour rappel, celle-ci est inexacte : mon adresse emails a été injectée dans le traitement (Sphère emploi) en amont, sans action de ma part ni information préalable, et que, pour être utilisateur de Sphère emploi, il faut créer un compte et accepter les CGU, ce que je n'ai jamais fait ;
  
  
• Comme indiqué dans ma demande initiale, Sphère emploi, et notamment l'injection automatique de l'adresse emails d'un usager dans le traitement, ne peut pas reposer sur la base légale de la mission d'intérêt public : absence de spécificité avec la mission confiée à Pôle emploi (lien distendu). Cf. WP 260 du CEPD que la CNIL reprend dans sa doctrine (https://www.cnil.fr/fr/les-bases-legales/mission-interet-public, parallèle intéressant à faire avec https://www.cnil.fr/fr/les-bases-legales/obligation-legale dont le plus grand niveau de détail permet d'appréhender le raisonnement attendu) ;
  
  
• Je ré-itère la totalité de mes griefs à l'encontre de la politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) : traitements pas référencés, informations (sur plusieurs traitements) manquantes, base légale erronée (là encore, tous les traitements sur des données des usagers de Pôle emploi ne peuvent pas reposer sur la base légale de la mission d'intérêt public), absence de clarté et d'exhaustivité (cf. WP 260 du CEPD), etc. Cf. ma demande initiale pour les détails.

Pouvez-vous, svp, m'informer des actions correctrices que vous allez mettre en œuvre ?

Bonne journée.

Mon complément de réclamation adressé à la CNIL le 20/03/2023 :

Bonjour,

Suite à ma demande du 26/12/2022, le DPO de Pôle emploi m'a répondu, le 25/01/2023, qu'il prolongeait son délai maximal de réponse de deux mois. Cf. PJ 1.

Le 17/03/2023, il m’a répondu. Cf. PJ 2.

Le DPO de Pôle emploi a fait droit à ma demande d’opposition et plusieurs manquements au RPGD ont été corrigés (ajout d’un lien de désinscription dans le pied des emails émis par Sphère emploi, suppression des liens et des images de traçage contenus dans les emails émis par Sphère emploi, ajout d’informations obligatoires ‒ article 13 du RGPD ‒ à la politique de confidentialité de Sphère emploi, et suppression de ressources web hébergées dans des États tiers non adéquats).

Néanmoins, plusieurs manquements au RGPD demeurent :

• De nouveaux scripts JavaScript développés et maintenus par une société commerciale états-unienne (qui amasse, en clair, les données que ces scripts récoltent) et diffusés via des CDN états-uniens ont été ajoutés au service Sphère emploi alors que d’autres scripts tout aussi non conformes ont été retirés suite à ma demande… Manquement aux articles 45 à 49 du RGPD ;
  
  
• Les scripts StatusPage (de la société commerciale australienne Atlassian et hébergés par la société commerciale états-unienne Amazon Inc.) sont désormais téléchargés après le bandeau « cookie » de Sphère emploi. Or, ce bandeau ne permet pas le refus et le fermer vaut acceptation. Ces scripts stockent un traceur dans l’espace de stockage permanent du navigateur web. Ce traceur n’étant pas exempté de consentement, son dépôt ne peut avoir lieu qu’après l’octroi du consentement. Or, si l’on ferme le bandeau, le traceur est déposé. De plus, il y a une confusion : le consentement à un transfert vers un État tiers non adéquat est prévu dans l’article 49 du RGPD qui dispose également que l’usager soit informé du transfert et des risques. Or, le bandeau de Pôle emploi (et les mentions légales) n’informe pas de cela. De toute façon, un tel consentement permet uniquement un transfert occasionnel, ce qui n’est pas le cas ici, le transfert est systématique ;
  
  
• Contrairement à ce qui est consigné dans la nouvelle politique de confidentialité de Sphère emploi, ce traitement, et notamment l’injection automatique de l’adresse emails des demandeurs d’emplois dans la liste de diffusion de Sphère emploi ne peut pas reposer sur la base légale de la mission de service public (absence de lien, de rapport, de spécificité avec celle confiée à Pôle emploi) ;
  
  
• La politique de confidentialité générale de Pôle emploi n’est toujours pas conforme au RGPD : elle fonde tous les traitements sur la mission de service public, la majorité des traitements ne sont pas référencés, des informations requises par les articles 12 et 13 du RGPD manquent à l’appel, absence de clarté et d’exhaustivité (WP 260 CEPD) sur le quadruplet { jeu de données ; finalité ; base légale ; durée de conservation } de chaque traitement, etc.

Ce jour, j’ai répondu au DPO de Pôle emploi pour appuyer sur ces points. Cf. PJ 3.

Bonne journée.

La réponse du DPO de Pôle emploi du 14/04/2023 (réponse polie de la catégorie "fin de discussion, merci, revenez nous voir") :

Bonjour Monsieur,

Nous vous remercions pour vos sollicitations au sujet de la protection des données à caractère personnel au sein de Pôle emploi, qui nous permettent d’améliorer nos pratiques.

Suite à nos échanges, nous avons mis en place plusieurs mesures correctrices ainsi que des plans d’actions qui font l’objet de suivis réguliers afin de veiller à la conformité de nos traitements de données à caractère personnel.

Nous collaborons ainsi avec l’ensemble de nos services et de nos sous-traitants pour nous assurer que nos pratiques sont toujours conformes aux exigences légales et réglementaires. Soyez assuré que nous poursuivons nos efforts pour nous améliorer continuellement dans ce domaine.

Cordialement.

Ma réponse du 16/04/2023 adressée au DPO de Pôle emploi (les manquements signalés perdurent + merci d'expliciter les mesures correctives mises en œuvre) :

Bonjour,

Pouvez-vous, svp, m'informer des mesures correctrices que vous avez prises ? Ma demande initiale et mon complément du 20 mars vous le demandaient explicitement.

Sur Sphère emploi, je constate une absence de changement en ce qui concerne le transfert de données personnelles à des États tiers non adéquats (New Relic donc Fastly et CloudFlare donc États-Unis ; Atlassian donc Amazon donc États-Unis).

De même, je constate aucun changement concernant la politique de confidentialité de Pôle emploi, à ceci près que celle de Sphère emploi n'est plus accessible (« Oups ! La page n'existe pas… (Erreur 404) »).

Bonne semaine.

Mon complément à ma réclamation CNIL du 16/04/2023 :

Bonjour,

Suite à ma réplique du 20/03/2023 qui faisait suite à la réponse du DPO de Pôle emploi du 17/03/2023, ce dernier m’a répondu à nouveau le 14/04/2023, cf. PJ 1.

Il s’agit d’une réponse type de politesse qui ne répond pas à mes demandes et qui vise à écourter notre échange.

Pourtant, les infractions au RGPD signalées perdurent :

• Transferts illégaux de données personnelles vers des États tiers non adéquats (New Relic donc Fastly et Cloudflare donc États-Unis ; Atlassian donc Amazon donc États-Unis) lors de la navigation web sur le réseau social Sphère emploi ;

  • Sphère emploi étant basé sur le logiciel de la société commerciale française Whaller, cela peut signifier une carence de Pôle emploi dans le choix, le pilotage et l’audit de ses sous-traitants. (Pour rappel, l’article 1 des mentions légales du service affirme que Whaller agit en tant que sous-traitant de Pôle emploi.)
• Dépôt d’un traceur non exempté de consentement (selon votre grille de lecture https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite), et ce même si l’usager de Sphère emploi ferme le bandeau cookies sans consentir. Le bandeau ne permet pas non plus d’en refuser le dépôt ;
  
  
• Dans sa politique de confidentialité, Pôle emploi déclare recourir à la base légale de la mission d‘intérêt public pour tous ses traitements, y compris, donc, pour l'injection automatique de l'adresse emails des usagers dans le réseau social Sphère emploi. Or, cette base légale est inapplicable par absence de spécificité de certains traitements, dont Sphère emploi, avec la mission confiée à Pôle emploi, au sens du CEPD (WP 260) et de votre grille d’analyse (https://www.cnil.fr/fr/les-bases-legales/mission-interet-public) ;
  
  
• La politique de confidentialité de Pôle emploi ne satisfait pas aux exigences d’exhaustivité et de clarté au sens du CEPD (WP 260) : la majorité des traitements mis en œuvre ne sont pas référencés, des informations requises par les articles 12 et 13 du RGPD sont absentes, notamment sur le quadruplet { jeu de données ; finalité ; base légale ; durée de conservation } propre à chaque traitement, etc.

Ce jour, j’ai signalé ces absences de changement au DPO de Pôle emploi et je lui ai demandé de m’expliciter les corrections qu’il dit avoir mis en œuvre. Cf. PJ 2.

Néanmoins, en étant au stade de la réponse type polie, je pense que mes demandes et mon signalement d’infractions au RGPD n’aboutiront pas, donc je sollicite à nouveau la CNIL pour intervenir dans ce dossier.

Bonne journée.

Mon complément du 26/05/2023 à ma réclamation CNIL :

Bonjour,

Un mois et une semaine plus tard, pas de réponse du DPO de Pôle emploi à mon email du 16/04/2023, donc aucune précision sur les mesures correctrices mises en œuvre. Je maintiens les griefs énoncés, aucune amélioration. Aucune volonté de dialoguer émane du DPO Pôle emploi (cf. PJ 1 du dernier complément) donc je ne le relancerai pas.

Bonne fin de semaine.

FIN DE L'ÉDIT DU 20/07/2023.

Les décisions de justice sont publiques après anonymisation (sauf réserves : huis-clos, divorce, adoption, succession et autres affaires de famille) . Depuis 2020, il y a même une démarche française de publication systèmatique.
En revanche, les documents produits par les parties prenantes d'un procès ne sont pas publics. Une partie peut choisir de publier les siens, comme le font les Exégètes Amateurs, mais pas ceux de la partie opposée.

Les documents produits par une administration (ou à sa demande) sont communicables au public sauf réserves (en cours d'élaboration, secret défense, secret fiscal, etc.). Voir mes notes.
Lors d'un contentieux administratif portant sur un arrêté ou un décret ou une décision publique ou individuelle, etc., un ministère mobilise ses juristes internes pour rédiger sa défense. Ces documents sont-ils publics ?

Fin 2017, je m'interrogeais sur les écrits en défense opposés aux Exégètes Amateurs par les ministères. Je trouvais pédagogique, instructif et formateur de prendre connaissance également des écritures des ministères qui défendaient les décrets attaqués par les Exégètes. Cela permettait d'avoir une vision complète sur les dossiers, de lire les arguments des ministères, puis de constater ceux que les Exégètes ont laissé de côté, comment ils ont interprété les autres et y ont répondu, comment on argumente / contre-argumente, comprendre une procédure, etc.

À l'époque, je m'en suis épanché sur IRC auprès de Benjamin Bayart en sa qualité de membre des Exégètes. J'étais persuadé d'avoir vu passer, dans la loi pour une République numérique, des dispositions légales allant dans le sens de la publication des écritures juridiques des administrations, et j'exposais tout cela. Évidemment, je n'ai pas gardé trace de cette causerie, et je ne retrouve plus ladite disposition. Les Exégètes battaient déjà de l'aile (je l'ignorais alors), donc mon idée ne l'intéresse pas plus que cela.

En 2019, je découvre que l'idée a fait son chemin. Et comme je juge Benjamin plus compétent et plus en relation avec des juristes que moi, je me désintéresse du sujet.

Fin 2022, cela me revient en tête. Je ne trouve pas de retour d'expérience des Exégètes, et ils ne publient toujours pas les écritures des ministères. Mais peut-être n'ont-ils pas eu le temps ou l'envie ? Je décide de me repencher sur le sujet.

Première étape : la page du site web de la CADA dédiée aux documents à caractère juridictionnel. « Ne sont pas considérés comme des documents administratifs, les documents élaborés directement par les juridictions ou pour l’exercice de la justice : […] les pièces établies pour les besoins d’une procédure : dossier d’instruction , commissions rogatoires , procès-verbaux d’audition , rapports d’expertise , mémoires et observations des parties , conclusions du commissaire du gouvernement ou rapporteur public ; ».

Pour moi, ce n'était pas clair : un ministère n'est pas une juridiction et il n'exerce pas la justice.

Quand on est dans le flou, on peut chercher dans les avis rendus par la CADA. Je trouve deux avis que je comprends : le numéro 20183325 et le numéro 20181411.

Le deuxième est limpide : « La commission souligne qu’il en va de même des documents qui, bien qu'élaborés par des autorités administratives, ne sont pas détachables d'une procédure juridictionnelle tels que les mémoires en défense d'une administration (CE, 28 avril 1993, n° 117480) ou encore les rapports, notes et études destinés à la rédaction de ces mémoires (CE, 12 octobre 1994, n° 123584). »

Mais je doute toujours :

• Dans un cas, il est demandé la communication de documents préparatoires à un mémoire en défense, et rien permet d'apprécier que le jugement (du tribunal administratif) pour lequel le mémoire en défense a été préparé est définitif ;
  
  
• Dans l'autre, la procédure judiciaire (pour laquelle le mémoire a été produit) porte sur une décision individuelle (visant deux ex-agents publics d'une commune). En rédigeant ce shaarli, je me dis que si c'était vraiment le problème, la CADA aurait cité l'article L311-6 du CRPA (qui réserve la communication de certains documents administratifs à la personne qui en est l'objet) ;
  
  
• Dans les deux cas, la CADA évoque une « procédure juridictionnelle, qu'elle soit de nature civile, pénale ou commerciale », pas un contentieux administratif. De même, les « mémoires » sont évoqués au milieu d'une liste de documents rédigés par l'ordre judiciaire (PV d'audition, rapport d'expertise, etc., dossier d'instruction, etc.). Il est donc difficile d'en déduire que ça s'applique aussi à une administration partie-prenante d'un contentieux administratif.

Le 29 novembre 2022, j'envoie un courrier au ministère de l'Intérieur afin d'obtenir une copie des mémoires en réplique / défense qu'il a produit dans des contentieux administratifs l'opposant aux Exégètes.

J'y expose trois arguments :

• Ces documents sont administratifs, car ils ont été rédigés par une administration centrale dans le cadre de ses missions. Cf. article L300-2 du Code des Relations entre le Public et l'Administration (CRPA) ;
  
  
• Ces mémoires peuvent être communiqués sans attenter à la vie privée (cf. L311-6 CRPA qui vient en dérogation du L311-1 CRPA), puisque l'acte attaqué est un décret publié (pas une décision visant un individu) et que les requérantes sont des associations de loi 1901 (personnes morales, pas des individus) ;
  
  
• Leur communication ne porte pas atteinte à une procédure engagée devant une juridiction (cf. L311-5 CRPA qui vient aussi en dérogation du L311-1 CRPA), puisque les jugements pour lesquels ces mémoires ont été produits sont devenus définitifs depuis plusieurs années.

En somme, j'en appelle à une mise en balance des droits : intérêt pédagogique et contrôle de l'action publique versus préparation sereine d'un jugement et vie privée. Mais, comme nous allons le voir, ce n'est pas le sujet.

Dans sa réponse du 15 décembre 2022, le ministère de l'Intérieur m'expose qu'un mémoire en défense produit par une administration n'est pas un document administratif. Je ne peux donc pas me prévaloir des dispositions du CRPA pour en obtenir une copie.

La jurisprudence bien fournie communiquée à l'appui de la réponse permet de s'assurer de sa véracité.

Dans ses conclusions pour préparer l'arrêt numéro 401933 du Conseil d'État (boss final de l'ordre administratif français), la rapporteure publique rappelle la jurisprudence en vigueur : « Si la demande est fondée sur la loi du 17 juillet 1978, alors le juge administratif est toujours compétent pour en connaître, quand bien même le document ne relève pas, en vérité, du champ d’application de cette loi et que la communication doit être refusée sur son fondement. […] la summa divisio entre documents administratifs et judiciaires repose sur un critère fonctionnel, ce qui explique que des documents émanant d’une juridiction puissent être qualifiés d’administratifs 5 et que des documents n’en émanant pas puisse revêtir ce caractère. Or la qualification de document relatif à la fonction juridictionnelle est acquise dans trois séries de configurations. D’abord, pour les documents procédant directement de la fonction de juger, à savoir les jugements, décisions, arrêts et ordonnances rendues par les juridictions […] Ensuite, pour les documents de travail internes aux juridictions, qui servent donc de support ou de cadre à la fonction de juger (pour une brochure sur l’indemnisation du préjudice corporel […] ; pour des fiches de connexité […] Enfin, pour les documents élaborés par des autorités non juridictionnelles, dès lors qu’ils sont indissociables d’une procédure juridictionnelle ([…] des pièces jointes au mémoire de l’administration ; […] pour le rapport établi par un préfet en vue de la présentation d’un mémoire en défense […]) ».

Il est évident que les mémoires en défense sont indissociables d'une procédure juridictionnelle. Jamais un ministère ne produira spontanément de tels documents, ça n'aurait pas de sens. Ils sont produits parce qu'une procédure juridictionnelle les y contraint. L'existence de ladite procédure précède la production du mémoire.

Peu importe que la demande dont était saisi le Conseil d'État porte sur la communication d'une plainte (et de ses pièces jointes) par le procureur. Certes, ce n'est pas exactement la même problématique que la mienne, mais le rappel de la jurisprudence en vigueur rédigé par la rapporteure est pertinent et dissocié de ce contexte.

Ce faisant, ma demande de communication basée sur le CRPA est infondée (puisque le CRPA s'occupe uniquement des documents administratifs). Mais allons au-delà, examinons mes arguments ci-dessus.

Dans son avis numéro 20174486, la CADA statue qu'un mémoire en défense et un en réplique ne sont pas des documents administratifs. Pourtant, la procédure judiciaire portait sur des arrêtés ministériels (pas sur des décisions individuelles, donc), et les requérantes étaient des associations de loi 1901 (pas d'atteinte à la vie privée, donc). Le jugement était définitif au moment de la demande de communication (jugement rendu le 16/12/2016, saisine CADA en septembre 2017).

Idem dans son avis numéro 20200560.

Ainsi, mes arguments (absence d'atteinte à la vie privée et à une procédure judiciaire en cours) ont déjà été examinés et sont sans effet. Encore une fois, c'est normal : si les documents ne sont pas administratifs, alors réfuter des dérogations applicables à la communication de documents administratifs est hors sujet.

Deux points demeurent.

Pourquoi n'avais-je pas trouvé ces avis de la CADA que le ministère a dégainé ? Car j'ai cherché uniquement depuis le moteur de recherche du site web de la CADA. Le site web cada.data.gouv.fr diffuse des avis que le site web de la CADA ne diffuse pas (explication ici).

Si tous les documents à caractère juridictionnel (y compris une correspondance visant à préparer un mémoire) ne sont pas communicables, pourquoi l'article L311-5 du CRPA dispose que la communication de documents administratifs portant atteinte à une procédure engagée devant une juridiction est interdite ? Quel est l'intérêt de cette disposition ? J'imagine qu'il existe des cas que je ne perçois pas. La CADA semble donner un exemple de documents qui ne sont pas communicables à ce titre : « ils déclenchent une procédure » (comme un signalement au procureur ou comme « les documents élaborés par les conseils généraux à destination d’un juge dans le cadre de la protection de l’enfance » ?).

Remarquons un truc drôle : dans ses avis numéros 20200560 et 20201331, la CADA relate que l'administration impliquée avait bien communiqué, au requérant, les mémoires en défense qu'il demandait. Cela n'a pas fait fléchir la CADA pour autant.

Lesdites administrations ont fauté (cf. ci-dessus), donc il n'est pas possible d'en dégager un principe général, de s'en prévaloir pour obtenir la communication de documents non communicables (au sens du CRPA). De plus, dans l'un des cas, le demandeur est également impliqué dans la procédure judiciaire, ce qui peut expliquer la dérogation appliquée par l'administration (le demandeur avait déjà eu connaissance du document durant la procédure).

Ma demande de communication de documents auprès du ministère de l'Intérieur

Malgré la formulation, je l'ai adressé à la PRADA désignée par le ministère de l'Intérieur (PRADA = Personne Responsables de l’Accès aux Documents Administratifs).

Objet : demande de communication de documents (loi 78-753)

Monsieur le Ministre,

Je vous demande de me communiquer une copie des documents suivants :

• Mémoire en défense du 28 septembre 2015 du ministère de l’Intérieur transmis au Conseil d’État pour les besoins de la procédure numéro 389140, cf. https ://s.42l.fr/389140 (il s’agit d’un lien court vers la décision du Conseil d’État) ;
  
  
• Mémoire en défense du 18 août 2017 du ministère de l’Intérieur transmis au Conseil d’État dans le cadre de la procédure numéro 404996 (sous-procédure 406347), cf. https ://s.42l.fr/404996 ;
  
  
• Mémoire en défense de janvier 2018 du ministère de l’Intérieur transmis au Conseil d’État pour les besoins de la procédure numéro 406083, cf. https ://s.42l.fr/406083 ;
  
  
• Mémoire en défense de mars-mai 2017 du ministère de l’Intérieur transmis au Conseil d’État dans le cadre de la procédure numéro 405792, cf. https ://s.42l.fr/405792.

Pour votre totale information :

• Dans ces procédures, les requérantes étaient des associations de loi 1901. Elles demandaient l’abrogation de décrets gouvernementaux et d’une décision du ministre de l’Intérieur. Les décisions contestées ne sont donc pas des décisions individuelles, et les requérantes ne sont pas des personnes physiques, donc ma demande ne porte pas atteinte à la vie privée de personnes physiques ;
  
  
• Les décisions du Conseil d’État intervenues suite aux procédures pour lesquelles ces mémoires ont été produits sont devenues définitives depuis plusieurs années, donc ma demande ne porte pas atteinte à une procédure engagée devant une juridiction ;
  
  
• Dans ces procédures devant le Conseil d’État, juridiction suprême de l’ordre administratif, le ministère de l’Intérieur, en tant qu’administration centrale, était la partie défenderesse, et a produit lesdits mémoires dans le cadre de ses missions.

Conformément à l’article L311-9, 3° du CRPA, je vous demande de m’adresser ces documents par courrier électronique à l’adresse <CENSURE>.

Je demeure à votre entière disposition pour toute précision complémentaire nécessaire à l’instruction de la présente.

Veuillez agréer, Monsieur le Ministre, l’expression de ma très haute considération.

Réponse

L'emphase est d'origine.

Monsieur,

Par un courrier reçu le 1er décembre 2022, vous avez sollicité la communication des documents suivants:

• le mémoire en défense produit le 28 septembre 2015 par le ministère de l’intérieur devant le Conseil d’État dans l’affaire n° 389140;
  
  
• le mémoire en défense produit le 18 août 2017 par le ministère de l’intérieur devant le Conseil d’Etat dans l’affaire n° 404996;
  
  
• le mémoire en défense produit en janvier 2018 par le ministère de l’intérieur devant le Conseil d’Etat dans l’affaire n° 406083;
  
  
• le mémoire en défense produit en mars-mai 2017 par le ministère de l’intérieur devant le Conseil d’Etat dans l’affaire n° 405792.

Conformément à l'article L. 311-1 du code des relations entre le public et l'administration (CRPA), les administrations concernées sont tenues de communiquer les documents administratifs qu'elles détiennent aux personnes qui en font la demande.

Aux termes de l'article L. 300-2 du CRPA: "Sont considérés comme documents administratifs, au sens des titres Ier, III et IV du présent livre, quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l’État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions, codes sources et décisions."

Or, les documents, quelle que soit leur nature, qui se rattachent à la fonction juridictionnelle, c'est-à-dire qui sont détenus par une juridiction (même s'ils sont également détenus par une administration) et se rattachent à la fonction de juger, n'ont pas le caractère de documents administratifs (CE, 5 mars 2018, n° 401933; CE, 7 mai 2010, n° 303168).

Les mémoires en défense sont donc des documents juridictionnels et non des documents administratifs au sens de l'article L. 300-2 du CRPA.

Par ses avis, la Commission d'accès aux documents administratifs estime ne pas être compétente pour se prononcer sur une demande de communication d’un mémoire en défense, dès lors que ce document ne présente pas un caractère administratif et n’entre donc pas dans le champ d’application du CRPA. Voir par exemple : avis du 31 décembre 2017 n° 20174486 ; avis du 30 avril 2021 n° 20210702 ; avis du 25 juin 2020 n° 20200560 ; avis du 25 juin 2020 n° 20201331.

Pour ces motifs, il ne peut être fait droit à votre demande de communication.

Si vous souhaitez contester cette décision, il vous appartient de saisir la Commission d'accès aux documents administratifs dans un délai de deux mois à compter de la réception du présent mail (articles R. 311-15 et R. 343-1 du CRPA).

Il s'agit d'un recours administratif préalable obligatoire.

En cas de décision explicite de refus à la suite de la saisine de la CADA, vous pouvez introduire un recours contentieux auprès du tribunal administratif compétent dans un délai de deux mois à compter de la date de cette décision.

En cas de décision implicite de refus à la suite de la saisine de la CADA, vous pouvez introduire un recours contentieux auprès du tribunal compétent dans un délai de deux mois à compter de la date de la naissance de la décision implicite, deux mois à compter de l'expiration du délai de deux mois courant depuis l'enregistrement de la saisine par la CADA (articles R. 343-4 et R. 343-5 du CRPA).

Je vous remercie de bien vouloir accuser bonne réception du présent mail.

Cordialement,

Adjoint au sous-directeur
sous-direction du conseil juridique et contentieux
Direction des libertés publiques et des affaires juridiques

Toute personne peut obtenir la communication de documents (sauf réserves) produits par une administration publique française ou pour son compte (au sens large, collectivité locale, délégataire privé d'un service public, etc.). Cf. mes notes sur le sujet.

Afin de fluidifier les échanges, les administrations sont tenues de désigner une PRADA (Personne Responsable de l'Accès aux Documents Administratifs). En fonction de leur taille, toutes les administrations ne sont pas tenues de désigner une PRADA (la page pointée par ce shaarli consigne les différents seuils).

Sur la page pointée par ce shaarli, il est possible de chercher la PRADA d'une administration et d'obtenir son adresse emails. Un fichier CSV est également disponible (bizarre qu'il ne soit pas sur data.gouv.fr).

Une administration est tenue de faire circuler, en son sein, une demande de communication d'un document jusqu'à la personne en capacité d'y répondre, donc il n'est pas obligatoire de contacter la PRADA, mais on peut imaginer que cela accélère le traitement d'une demande.

Sauvegarde, y compris incrémentale, de machines virtuelles KVM / conteneurs.

Possibilité de restaurer uniquement un ou plusieurs fichiers / dossiers (comme on peut le faire avec guestfish).

Formater un bloc ISCSI en ZFS, activer la compression et la déduplication (en ligne de commande, avec les outils ZFS…), et le bonheur commence.

Proxmox Backup Server est installé sur une VM / hôte indépendant des hyperviseurs, qui est joint au cluster des hyperviseurs (et ainsi gagne le droit de communiquer avec).

Merci à Seb' pour la découverte et à Alex pour la mise en prod'. :)

Je ne veux pas gagner ma vie, je l’ai [ déjà ]

Via le numéro 105 (décembre 2022 - février 2023) de Fakir.