GuiGui's Show

La Banque Populaire refuse d'effacer des informations personnelles de mon dossier : situation familiale (célibataire, marié, pacsé, etc.), statut d’occupation d’un logement (locataire, propriétaire, etc.) et depuis quand, catégorie socio-professionnelle générale et détaillée, et statut INSEE. Elles seraient collectées et conservées dans le cadre de la réglementation sur la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT).

Pour moi, en me basant sur les lignes directrices de l'ACPR, ce n'est pas le cas, au moins pour les trois premières (le statut INSEE et la CSP sont dérivés de la profession dont la collecte est obligatoire), mais les banques doivent procéder à une évaluation du risque LCB-FT que représente un client (futur ou actuel), et pour ce faire, elles peuvent collecter environ nawak.

Même s'il y a absence de pertinence, d'adéquation à la finalité affichée, et de nécessité des informations ? Celles énumérées ci-dessus sont insignifiantes, dépourvues de sens, et inutiles pour évaluer un risque LCB-FT (un célibataire blanchit-il plus de fric ? Un propriétaire finance-t-il plus le terrorisme ? Et réciproquement ?). La proportionnalité entre l'objectif et l'atteinte à la vie privée est également questionnable : le peu d'infos qui ne peut pas forcément être déduit des opérations sur un compte bancaire, pouf, la banque veut les collecter…

Du coup, hop, plainte à la CNIL.

ÉDIT DU 02/12/2022 : ajout de la réponse de la CNIL datée du 28/11/2022. Résumé : incompétence de la CNIL, renvoi vers l'ACPR. Ma plainte n'a pas été clôturée pour autant. FIN DE L'ÉDIT.
ÉDIT DU 29/12/2022 : ajout de la réponse de la CNIL datée du 05/12/2022 suite à mon complément interrogatif du 02/12/2022. Résumé : pas d'info utile, plainte clôturée. FIN DE L'ÉDIT.

Introduction

Bonjour,

Le 21/01/2020, par LRAR, j'ai demandé à la conseillère qui m'est affectée à la Banque Populaire <CENSURE> d'effacer certaines données personnelles de mon dossier client.
Refus, un verrou informatique mettrait mon dossier en défaut même si « au vu du peu de services souscrits, elles sont effectivement inutiles ».

Le 22/02/2020, par LRAR, j'ai demandé l'effacement de ces même données au DPO.
Refus, données collectées et conservées dans le cadre des obligations légales de la BP <CENSURE>.

Réponse insatisfaisante du DPO : elle est basée sur des obligations légales inexistantes et elle ne m'informe pas de la raison réelle et précise pour laquelle chaque donnée litigieuse est conservée et l'utilisation qu'en fait BP <CENSURE> (en quoi elle est pertinente pour atteindre la finalité annoncée).

Je sollicite l'intervention de la CNIL pour appuyer ma demande d'effacement de certaines de mes données personnelles auprès de la BP <CENSURE>.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Bonne journée.

Plainte détaillée

Elle contient au moins une erreur : l'échange téléphonique avec la conseillère bancaire qui m'est affectée n'a pas eu lieu le 17/12/2020 mais le 17/12/2019.

Bonjour,

Je suis client de la Banque Populaire <CENSURE> (« BP <CENSURE> » ou « BP » ci-après).

Le 21/01/2020, j’ai sollicité, par LRAR, la conseillère bancaire de mon agence qui m’est affectée pour lui demander d’effacer, de mon dossier client, ma situation familiale, mon statut d’occupation de mon logement (locataire / propriétaire, et depuis quand), ma catégorie socio-professionnelle (CSP) générale, ma CSP détaillée et mon statut INSEE. Cf. PJ1.

En l’absence de réponse et d’exécution de ma demande (ces données se visualisent dans l’espace client web de la BP), j’ai contacté ladite conseillère, par téléphone, le 18/02/2020. Elle m’a indiqué ne pas pouvoir procéder à la suppression des données personnelles sus-énumérées au motif qu’un verrou informatique mettrait en défaut mon dossier, car il s’agirait d’informations obligatoires, même si, dans mon cas, au vu du peu de services souscrits, elles sont effectivement inutiles.

Le 22/02/2020, j’ai demandé, par LRAR, l’effacement des données personnelles sus-référencées au DPO de la BP <CENSURE>. Cf PJ 2.

Le 02/03/2020, le DPO de la BP <CENSURE> m’a répondu que ces données personnelles ne peuvent pas être effacées, car elles sont collectées dans le cadre de la réglementation permettant de lutter contre le blanchiment d’argent et le financement du terrorisme, sans toutefois citer un quelconque de ces textes. Cf. PJ 3.

Le 10/03/2020, j’ai répondu au DPO de la BP <CENSURE>, par LRAR, qu’a minima, le recueil de la situation familiale et du statut d’occupation d’un logement (et depuis quand) n’est pas une obligation légale. L’Autorité de Contrôle Prudentiel et de Résolution (ACPR) confirme cela dans ses lignes directrices rédigées à la demande des organismes financiers, cf. https://acpr.banque-france.fr/contenu-de-tableau/lignes-directrices-relatives-lidentification-la-verification-de-lidentite-et-la-connaissance-de-la. Cf pages 1 et 2 de PJ 4.

En l’absence de réponse malgré la bonne réception de ma LRAR, j’ai relancé le DPO de la BP <CENSURE> le 07/12/2020. Cf page 3 de PJ 4.

Je n’ai pas reçu de nouvelle réponse du DPO de la BP <CENSURE>. À ce jour, les données personnelles sus-énumérées sont toujours affichées dans mon espace client web, ce qui démontre qu’elles n’ont pas été effacées de mon dossier client

Il découle de ce qui précède (absence d’obligation légale) que la réponse du DPO de la BP <CENSURE> est un prétexte mensonger, un paravent. Ce n’est pas la première fois que je peine à prendre connaissance de la finalité et de la base légale réelles pour lesquelles la BP <CENSURE> collecte et conserve certaines de mes données personnelles. Il s’agit d’une infraction au RGPD à part entière qui n’aide pas à avoir confiance.

    Le 17/12/2020, par téléphone, ma conseillère m’a informé qu’il est strictement obligatoire de lui communiquer mon niveau de revenus. Devant mon insistance, elle m’a avoué que la convention de compte incluait une autorisation de découvert, et que celle-ci impose la déclaration d’un niveau de revenus. Cela fait sens (évaluation de la solvabilité, etc.), mais je ne voulais pas de ladite convention de compte (et je l’ai signifié à la conseillère qui tentait de me la vendre), donc il était inutile de collecter mon niveau de revenus au motif d’un produit qu’elle incluait.

    Durant la même conversation, elle m’a informé qu’il est obligatoire de lui communiquer le nom et l’adresse postale de mon employeur… avant de reconnaître, devant mon insistance, que c’est nécessaire uniquement pour obtenir une ristourne sur la cotisation liée à la convention de comptes… à laquelle je n’envisageais pas de souscrire, pour rappel.

    Ainsi, si j’avais écouté ma conseillère sans la questionner avec insistance, je lui aurais communiqué des données personnelles dont le recueil est présenté, à tort, comme étant obligatoire, ce qui n’est pas le cas, ni légalement ni contractuellement (profil de la relation et niveau de risque).

    La réponse du 02/03/2020 du DPO de la BP <CENSURE> est incomplète et ne satisfait pas aux exigences de transparence du RGPD : il ne m’indique pas, pour chaque donnée personnelle dont je demande la suppression, la raison précise (quelle disposition réglementaire) de sa collecte et de sa conservation, l’utilisation qui en est faite par BP, et les conséquences d’une demande de suppression de ma part. Or, nous avons vu ci-dessus que le refus de communiquer le nom de mon employeur, dont la collecte m’a été présenté, par ma conseillère, comme une obligation, entraîne uniquement l’absence d’application d’une ristourne, pas la fin de la relation contractuelle, ce qu’il m’appartient d’accepter ou de refuser librement. Il pourrait en être de même pour les données litigieuses, mais l’opacité est entravante.

Sur le fond, la BP <CENSURE> ne peut se prévaloir d’une quelconque obligation légale pour conserver ma situation familiale, mon statut d’occupation d’un logement (et depuis quand), et, dans une moindre mesure, ma CSP et mon statut INSEE.

    En effet, le Code monétaire et financier n’impose pas leur recueil par un organisme financier. De même, l’arrêté du 2 septembre 2009 pris en application du R561-12 du même code ne les énumère pas comme étant des éléments d’information susceptibles d’être recueillis par un organisme financier. Si le même arrêté prévoit le recueil des « activités professionnelles actuellement exercées », il ne prévoit pas d’en dériver le statut INSEE ni la CSP, ni la date de début de l’activité. L’arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme apporte aucun changement sur ces points.

    La dernière version des lignes directrices de l’ACPR (https://acpr.banque-france.fr/sites/default/files/media/2022/05/11/20220404_lignes_directrices_revisees_relatives_identification_verification_connaissance.pdf) confirme cette absence d’obligation légale et réserve une collecte fine et précise de l’activité professionnelle aux personnes publiquement exposées. Je n’ignore pas que des lignes directrices sont un instrument de droit souple qui ne permet pas de définir une interdiction générale, mais l’énumération et l’analyse de la réglementation par l’ACPR est factuelle. De plus, ces lignes cadrent, définissent les objectifs à atteindre, les moyens minimaux à mettre en œuvre, les critères d’évaluation, l’état d’esprit, la logique, et la réflexion à mener, etc.

    De plus, la pertinence (et donc la nécessité) des données personnelles sus-énumérées comme éléments d’information utiles pour lutter contre le blanchiment et le financement du terrorisme dans le contexte d’évaluation du profil / niveau de risque de la relation contractuelle n’est pas avérée. Un célibataire blanchit-il plus d’argent ? Une propriétaire finance-t-elle plus le terrorisme ? L’intuition met en évidence l’absence de causalité et l’insuffisance de ces données personnelles pour évaluer le risque cible. Encore une fois, dans ses lignes directrices pour évaluer le profil de risque de la relation contractuelle, l’ACPR ne reprend pas ces éléments. Ils ne sont même pas des éléments minimaux de cette évaluation, ils sont exclus de la vision à avoir de la problématique. D’après l’ACPR, une évaluation pertinente du risque se base plutôt sur la « compréhension de l’activité financière du client », sur la provenance, le montant et la destination des fonds, sur la nature de la clientèle (personne publiquement exposée ?) et des services (un compte courant est un produit financier à « risque standard »), etc.

La BP <CENSURE> ne peut se prévaloir de mon consentement puisque je lui demande l’effacement de ces données personnelles depuis plusieurs années.

Ma situation ne correspond pas à celles, référencées dans sa notice RGPD (https://www.banquepopulaire.fr/votre-banque/reglementation/protection-des-donnees-personnelles/), pour lesquelles la BP <CENSURE> fait valoir son intérêt légitime :

• Ces données personnelles ne servent pas à prévenir la fraude ni à lutter contre la criminalité financière. En effet, le test en trois étapes (intérêt, nécessité, balance des droits) n’est pas validé :

  • La situation familiale, le statut d’occupation d’un logement, la CSP (générale et détaillée) et le statut INSEE ne sont pas des informations pertinentes pour atteindre l’objectif affiché lorsque le client est une personne physique qui n’est pas une personne publique exposée et dont le seul service souscrit est un compte courant, c’est-à-dire un produit à « risque standard », car lesdites données ne permettent pas de « comprendre les opérations » entrantes sur ledit compte (origine), au sens de l’ACPR, ni d’apprécier la « nature de la clientèle » ;
    
    
  • L’ACPR ne référence pas les données personnelles sus-énumérées comme étant des informations pertinentes dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme, donc leur pertinence dans la lutte contre la fraude et la criminalité financière… Fraude-t-on plus quand on est en couple ou quand on est locataire ? ;
    
    
  • La collecte est intrusive et déloyale : la banque biaise la justification qu’elle donne à son client (cf. mon témoignage ci-dessus) et utilise le fait d’être un service nécessaire au quotidien pour lui demander tout et son contraire, car la peur des conséquences d’un refus de communication rode. Les banques sont des ogres qui concentrent notre intimité alors la conservation du peu d’informations qu’elles ignorent n’est pas réjouissante et caractérise, entre autres éléments, un déséquilibre entre l’intérêt de la banque et les droits de ses clients.
• Ces données ne servent pas non plus à prévenir et gérer les incivilités à l’égard du personnel BP ni à assurer la sécurité des locaux et du SI de BP (aucun lien entre les données en question et ces finalités) ni à évaluer le niveau de risque lié à une demande de crédit (j’ai jamais formulé une telle demande durant toute ma relation contractuelle avec BP) ;
  
  
• Enfin, elles ne servent pas à mener des enquêtes de satisfaction (la présente plainte porte sur des informations consignées dans mon dossier client en dehors de toute enquête de satisfaction), ni à améliorer la relation client (en quoi ? Là encore, le test en trois étapes n’est pas validé pour le jeu de données en question, pour les mêmes raisons d’absence de pertinence et de proportionnalité), ni à prospecter ou à communiquer (la page 10 de la notice RGPD de la BP énonce que seuls les noms, prénoms, adresse, date et lieu de naissance sont concernées par ce cas et j’ai refusé, dès le début de la relation contractuelle, tout démarchage et n’en ai jamais reçu, donc si mes données personnelles sont conservées à cette fin, leur conservation est inutile).

En l’absence d’obligation légale, d’intérêt légitime, de consentement, ou d’une autre base légale recevable, BP ne saurait valablement justifier la conservation de mes données personnelles sus-énumérées et son refus de procéder à leur effacement. Il s’agit d’une collecte inutile de données personnelles, contraire au principe de minimisation du RGPD.

J’ajoute que la collecte (ou l’actualisation) des données personnelles sus-énumérées s’est déroulée suite à une perte de ma carte bancaire en 2018-2019. Ma conseillère BP m’a forcé à actualiser mon dossier avant de donner suite à certaines de mes demandes. J’ai laissé traîner de nombreux mois avant d’accepter, car j’avais besoin d’une banque et de moyens de paiement en état de marche (tout en refusant ce que j’ai pu, comme la communication du nom et de l’adresse de mon employeur ou mon niveau de revenus, cf. ci-dessus). Il apparaît néanmoins que, de ces faits, la collecte (ou l’actualisation) de mes données personnelles a été illicite et déloyale (client pris au piège).

De même, en l’absence de réponse de ma part, certaines informations présentes aujourd’hui dans mon dossier client BP ont été inventées : je ne suis pas devenu <CENSURE> le <CENSURE> ; Je n’ai pas été embauché le <CENSURE>. D’autres informations ont été déduites, à tort, des opérations sur mon compte courant : si la Direction Régionale des FInances Publiques <CENSURE> vire ma rémunération, il ne s’agit pas pour autant de mon employeur (elle centralise le paiement pour les administrations de la région).

C’est aussi pour ces deux motifs (collecte forcée et données incorrectes) que je demande la suppression desdites données personnelles.

En conclusion, devant l’obstination de la BP <CENSURE>, je sollicite l’intervention de la CNIL pour appuyer ma demande d’effacement de certaines de mes données personnelles de mon dossier client BP <CENSURE> : situation familiale, statut d’occupation d’un logement (locataire / propriétaire / etc.) et depuis quand, catégorie socio-professionnelle générale et détaille, et statut INSEE).

Dans le cas où l’effacement d’une donnée entraînerait la fin de ma relation contractuelle avec la BP <CENSURE>, ma demande d’effacement de ladite donnée est caduque et je demande, à la place, comme je l’ai écrit au DPO de la BP <CENSURE> en mars 2020, l’obtention de la raison précise (quelle disposition réglementaire) de sa collecte et de sa conservation, et l’utilisation qui en est faite par la BP.

Bonne journée.

Réponse de la CNIL du 28/11/2022

[…]

Je vous informe que la CNIL n’a pas vocation à se prononcer, au cas par cas, sur le profil de la relation contractuelle établie entre un client et sa banque qui définit le degré d’exposition au risque de blanchiment ou de financement du terrorisme et, par conséquent, la nature des informations susceptibles d’être collectées auprès de ce client afin de se prémunir de ce risque.

A cet égard, il appartient aux établissements financiers d’ajuster leur obligation de vigilance en fonction de l'évaluation du risque de blanchiment de capitaux et de financement du terrorisme propre à chaque relation d'affaire, ou à chaque client.

Enfin, et pour votre parfaite information, je vous indique que l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a, parmi ses responsabilités, reçu la mission de contrôler la mise en œuvre effective des mesures de lutte contre le blanchiment des capitaux et le financement du terrorisme (articles L561-36 et suivants du Code monétaire et financier). Ainsi, les entités appartenant au secteur financier sont soumises au pouvoir de contrôle de cette autorité, mais également à son pouvoir de sanction dans le cas où elles enfreindraient une disposition législative ou réglementaire.

Par conséquent, si vous l’estimez utile, vous pouvez vous rapprocher de l’ACPR afin de recueillir toute information complémentaire, notamment sur cette règlementation.

[…]

Même début de réponse qu'en 2020. Pourtant, cette fois-ci, j'ai bien expliqué en quoi la collecte de ces données persos n'est ni adéquate à la finalité recherchée, ni nécessaire, ni proportionnée. Mais, a priori, la CNIL n'a pas compétence pour apprécier cela dans le cadre de la lutte contre le blanchiment et le financement du terrorisme.

Je copie ici ce que m'inspirait la réponse datée de 2020 de la CNIL : « C'est là où ça me dépasse… L'ACPR défini un socle minimal que les banques peuvent dépasser par extrême prudence. La CNIL dit que la réglementation LCB-FT permet à une banque de demander ce qu'elle veut. Le jour où un banquier expliquera qu'il croit voir une corrélation entre la taille du zboub et le blanchiment de fric, il pourra collecter ladite taille chez ses clients afin d'évaluer le risque dans le cadre de la LCB-FT ?! Sérieux… »

En 2020, la CNIL me renvoyait vers le médiateur de la consommation auprès de ma banque. Cette fois-ci, elle me renvoie vers l'ACPR. L'extrême prudence n'étant pas une infraction à une disposition législative ou réglementaire du Code monétaire et financier, je ne vois pas comment l'ACPR pourrait agir (ceci dit, la réponse de la CNIL m'invite à me rapprocher de l'ACPR uniquement pour me faire expliquer la réglementation) … Qui, alors ?

Mon complément interrogatif du 02/12/2022

Puisque ma plainte n'avait pas été clôturée suite à la réponse du 28/11/2022, j'ai posé les questions que je soulève au point précédent : la réglementation LCB-FT ne fixant pas de limite supérieure à ce qui peut être collecté par une banque, comment éviter les abus ? Qui peut contrôler ? Quid du principe de minimisation du RGPD (collecter uniquement ce qui est nécessaire) ? Pourquoi n'est-il pas de la compétence de la CNIL de vérifier l'adéquation, la nécessité, et la proportionnalité d'une collecte de données persos (la base juridique de l'obligation légale n'y fait pas obstacle) ?

Bonjour,

Je vous remercie pour votre réponse.

Un point échappe à ma compréhension : malgré tout, les données personnelles collectées par une banque ne doivent-elles pas être en adéquation avec la finalité recherchée, ainsi que nécessaires et proportionnées à ladite finalité ? Sans cela, une banque peut recueillir tout et n'importe quoi au prétexte qu'elle y voit une corrélation avec la LCB-FT : port de lunettes, nombre de voitures, taille, poids, etc. Un RT ne doit-il pas collecter uniquement ce qui est nécessaire à une finalité (minimisation) ?

Qui contrôle cela ? L'ACPR rédige des lignes directrices, qui ont valeur de socle minimal conseillé. Rien interdit à une banque d'être sur-prudente, donc je doute que l'ACPR puisse agir.

Pourquoi la CNIL ne peut-elle pas évaluer la pertinence (adéquation / nécessité / proportionnalité) d'une collecte de données persos dans le cadre de la LCB-FT ? Interdiction légale ?

Bonne fin de semaine.

Réponse de la CNIL du 05/12/2022

Ma plainte a été clôturée dans la foulée.

[…]

Le cadre juridique de ces obligations est fixé par la Directive européenne n°2005/60/CE du 26 octobre 2005, qui a été transposée en droit français le 31 janvier 2009. La plupart de celles-ci figurent dans le Code monétaire et financier au Livre V, Titre VI « Obligations relatives à la lutte contre le blanchiment des capitaux, le financement des activités terroristes et les loteries, jeux et paris prohibés », articles L561-1 et suivants.

Enfin l'objectif poursuivi par le traitement de ces données est la mise en place d'une surveillance adaptée aux risques de blanchiment de capitaux et de financement du terrorisme pendant toute la durée de la relation d’affaires. Dans ce cadre, la banque conserve les documents d’identification de son client aussi longtemps que dure la relation commerciale et pendant 5 ans à compter de la cessation de cette relation. Ceux relatifs aux opérations sont conservés 5 ans à compter de leur exécution.

[…]

Je ne suis pas plus avancé. :(

Je ne comprenais pas pourquoi des responsables de traitement de données personnelles (RT) proposent de s'opposer à un traitement de données personnelles basé sur leur intérêt légitime (exemple). Pour moi, je pouvais m’opposer qu’à ce que je consentais (puisque le reste est soit obligatoire, soit relève de l'intérêt légitime qui existe précisément pour avoir rien à demander à la personne qui fait l'objet d'un traitement). Or…

vous avez consenti – vous devez alors retirer ce consentement et non vous opposer ;

Donc :

• Si consentement : retirer le consentement (et pas s'opposer, joie de la nuance) ;
  
  
• Si obligation légale ou nécessité au contrat ou préservation des intérêts vitaux : aucune opposition possible ;
  
  
• Si intérêt légitime ou mission d'intérêt public :
  • Si prospection commerciale : l'opposition est de droit ;
    
    
  • Pour tout le reste, il faut justifier d'une « situation particulière » (exemple : une décision basée sur ton profilage te désavantage) et personnelle (il n'est pas possible d'invoquer des motifs d'ordre général comme des préoccupations portant sur la sécurité d'une base de données, source : arrêt du Conseil d'État de 2019). L'opposition est à la discrétion du RT. Si le traitement est mis en œuvre afin qu'il puisse faire valoir ses droits en justice ou sécuriser son système informatique, aucune opposition possible. Pour les autres cas (genre lutte contre la fraude ou analyse de tendance), le RT prétextera un motif impérieux, tu pourras rien prouver, et lala. Donc, en pratique, en dehors du démarchage, le droit d'opposition est marginal / exceptionnel, pas généralisé (il permet de gérer des cas très précis).

Depuis fin 2020, OpenStreetMap (OSM) utilise le CDN de la société commerciale ricaine Fastly pour diffuser une carte géographique alternative à Google Maps (et consorts). Ce n'est pas conforme au RGPD. Fin 2021, j'ai exposé mon insatisfaction et mon opposition dans un coup de gueule sur les alternatives libristes et dans une réponse. En gros, je me méfie du mécénat d'entreprise et du poids démesuré des sociétés Fastly, Cloudflare, Akamai, Amazon Cloudfront, etc. dans nos vies numériques.

Seule la carte géographique du site web officiel est concernée. Les cookies déposés par le site web officiel (connexion, stockage du dernier emplacement géographique consulté, etc.) ne sont pas transmis à Fastly. Les recherches (en mode simple ou en mode calcul d'itinéraire) non plus. L'intégration de Fastly est soignée. D'autres sites proposant la même carte ne sont pas forcément concernés.

Néanmoins, la carte géographique est découpée selon un quadrillage (pour faire simple). Chaque case, qui se nomme une tuile (« tile » en anglais), est une image. Elle est téléchargée indépendamment des autres via une requête web dédiée. L'URL de chaque tuile qui compose la carte transite par Fastly. Dans le journal de ses serveurs web, elle consigne donc une association entre une date et heure de consultation, une adresse IP, le modèle et quelques caractéristiques techniques d’un terminal, et les URLs de tuiles qui, en fonction du niveau de zoom, peuvent être extrêmement précises (porter sur un petit territoire) et qui ont de l’intérêt pour l’utilisateur d’OSM (il consulte les infos sur ce lieu et/ou sur ses alentours).

J'ai beaucoup hésité avant de déposer une plainte CNIL. Je pense qu'il faut secouer ses amis (je contribue à OSM, j’ai financé un serveur de mise en cache des tuiles, etc.), leur dire quand ce qu'ils font n'est pas ouf. De même, le recours à Fastly par OSM constitue un abus de confiance, car OSM est très souvent présenté comme une cartographie libre, communautaire / collaborative, alternative à Google Maps, alors, qu’au final, elle repose en partie sur un acteur états-unien déjà présent dans les coulisses de (trop) nombreux sites web, et que cet acteur reçoit des données personnelles sur les utilisateurs de la carte OSM… tout comme Google Maps.

Que peut faire OSM ? Recourir à un CDN européen ou à un mix de CDNs de différentes nationalités. Communiquer sur l'existence de cartes dépourvues de Faslty (même si le niveau de service n'est pas identique). Informer (au sens de l'article 49.1a du RGPD, c'est-à-dire exposer le risque encouru).

J'ai également signalé que l'éditeur en ligne d'OSM n'est pas fonctionnel s'il ne télécharge pas des scripts JavaScripts auprès du projet jsDelivr (qui repose sur Fastly et Cloudflare). Ne pas internaliser quelques scripts quand on gère un projet informatique de cette ampleur et que l'on héberge un éditeur de carte géographique, ce n'est pas crédible. J'ai constaté le proxy pour télécharger des trucs depuis l'IGN. J'ai laissé pisser le téléchargement d'un script depuis Microsoft (virtualearth.net) parce qu'à un moment…

Place à ma plainte.

Introduction

Bonjour,

Depuis fin 2020, pour afficher sa carte géographique sur son site web (https://www.openstreetmap.org/) la fondation OpenStreetMap a recours au CDN de la société commerciale états-unienne Fastly. Les contacts directs entre le terminal du visiteur / utilisateur de ladite carte et les serveurs informatiques de Fastly génèrent des transferts de données personnelles vers les États-Unis en infraction avec les articles 44 et suivants du RGPD.

Je vais signaler ses manquements à la fondation OpenStreetMap en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte pour sanction auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Bonne journée.

Plainte détaillée

Bonjour,

Pour diffuser sa carte géographique sur son site web (https://www.openstreetmap.org/), la fondation OpenStreetMap (« OSM » ci-après) a recours au CDN de la société commerciale états-unienne Fastly :

    $ dig +short tile.openstreetmap.org
    dualstack.n.sni.global.fastly.net.
    146.75.117.91

Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être OSM dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans le cas présent, Fastly est un CDN du deuxième type. Pour s’en assurer, il suffit de constater la présence des entêtes HTTP ajoutés par Fastly à sa réponse à une requête web (cf. sa documentation officielle https://developer.fastly.com/reference/http/http-headers/X-Served-By/) :

    $ curl -s -o /dev/null -D - 'https ://tile.openstreetmap.org/18/132752/90191.png' |grep -E '^x-(served|cache)'
    x-served-by: cache-hhn4054-HHN
    x-cache: HIT
    x-cache-hits: 1

Il y a donc un contact direct entre le terminal de l’utilisateur d’OSM, et les serveurs informatiques de Fastly.

En tant qu’intermédiaire incontournable entre OSM et son utilisateur, Fastly reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.).

Seule la carte géographique est diffusée via Fastly. Les données saisies dans le champ de recherche (en mode simple ou en mode calcul d’itinéraire) et les cookies (pour stocker le dernier endroit géographique consulté et en cas de connexion sur le site) ne sont pas transmis à Fastly (nom de domaine dédié à la carte géographique).

En revanche, la carte est découpée selon un quadrillage. Chaque case se nomme une tuile (« tile » en anglais). Elle est téléchargée indépendamment des autres cases via une requête web dédiée. Concrètement, une tuile est une image. Évidemment, plus le niveau de zoom est faible, plus une tuile est associée à un grand territoire géographique (exemple : la tuile https://tile.openstreetmap.org/5/15/10.png stocke une grande partie du Royaume-Uni et de l’Irlande). Plus le niveau de zoom est important, plus une tuile est associée à un petit fragment de territoire (exemple : la tuile https://tile.openstreetmap.org/18/132752/90191.png stocke le bâtiment de la CNIL).

Les URLs des tuiles transitent par Fastly. Dans le journal de ses serveurs web, cette société commerciale consigne donc une association entre une adresse IP, une date et heure de consultation, le modèle et quelques caractéristiques techniques d’un terminal, et les URLs de tuiles qui, en fonction du niveau de zoom, peuvent être extrêmement précises (porter sur un petit territoire) et qui ont de l’intérêt pour l’utilisateur d’OSM (il consulte les infos sur ce lieu et/ou sur ses alentours).

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, les téléchargements de tuiles sus-référencés depuis les serveurs informatiques de la société commerciale états-unienne Fastly génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles de l’utilisateur d’OSM : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses consultations de la carte d’OSM, la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), l’URL des tuiles (et donc, avec un zoom important, le centre d’intérêt de l’utilisateur d’OSM, le lieu géographique consulté), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique, comme Fastly, qui, par sa présence dans les coulisses de nombreux sites web, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://wiki.osmfoundation.org/wiki/Privacy_Policy), OSM ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat. De plus, on peut avoir la certitude qu’OSM met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web de son utilisateur le téléchargement automatique et en arrière-plan d’images (les tuiles) directement auprès des serveurs informatiques de Fastly. Dès lors, une requête de téléchargement émise par le navigateur web de l’utilisateur OSM ne chemine pas par l’infrastructure technique d’OSM (dit autrement, il y a un contact direct entre le terminal de l’utilisateur d’OSM et les serveurs informatiques de Fastly), donc elle échappe totalement à OSM, qui peut, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

OSM ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable :

• OSM peut recourir à un CDN (ou à tout autre type d’hébergement informatique) européen disposant de serveurs informatiques localisés dans l’UE. Ou, pour ne pas pénaliser les autres régions du monde (le cas échéant), recourir à plusieurs prestataires régionaux (un pour l’UE, un autre pour le reste du monde, par exemple) et rediriger ses utilisateurs sur les serveurs de l’un ou l’autre des prestataires avec une répartition DNS géolocalisée (OpenStreetMap le fait déjà pour son moteur de recherche interne Nominatim et pour d’autres de ses services) ;
  
  
• OSM peut mettre en avant des versions de sa carte dépourvues de Fastly comme https://tile.openstreetmap.fr/ (propriété de l’association OpenStreetMap France et hébergée en France) ;
  
  
• En tout état de cause, OSM peut informer ses utilisateurs des risques (au sens de l’article 49.1a du RGPD) et conditionner le chargement de sa carte géographique à leur consentement.

En conclusion, lors de la consultation de la carte OSM, les téléchargements automatiques des tuiles depuis les serveurs informatiques détenus par la société commerciale états-unienne Fastly, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

Le site web d’OSM propose une fonctionnalité permettant d’intégrer un fragment de la carte à un site web (pour illustrer un propos, indiquer un lieu, fournir une indication géographique, etc.). Le chargement de la carte depuis le site web « contenant » / « intégrateur » se fera alors depuis les serveurs de Fastly, ce qui, de fait, rend ledit site web non conforme au RGPD.

Le recours à Fastly par OSM constitue un abus de confiance, car OSM est très souvent présenté comme une cartographie libre, communautaire / collaborative, alternative à Google Maps, alors, qu’au final, elle repose en partie sur un acteur états-unien déjà présent dans les coulisses de (trop) nombreux sites web, et que cet acteur reçoit des données personnelles sur les utilisateurs de la carte OSM… tout comme Google Maps.

OSM a recours à Fastly seulement depuis fin 2020. Elle ne saurait donc ignorer les décisions de justice et d’APD sus-énumérées : les règles du jeu existaient avant son passage à Fastly.

Son éditeur en ligne de sa carte géographique (onglet « Modifier » sur le même site web), fait automatiquement télécharger des scripts JavaScripts depuis le CDN du projet jsdelivr.net qui repose sur les serveurs informatiques des CDN des sociétés commerciales états-uniennes Cloudflare et Fastly.

    L’argumentaire est identique à celui déroulé ci-dessus concernant la carte géographique d’OSM. La nécessité du recours à jsdelivr et du transfert de données personnelles qui en découle n’est pas recevable, car il est techniquement, juridiquement et économiquement possible d’héberger lesdits scripts sur les serveurs informatiques d’OSM. Surtout quand on est capable d’héberger un éditeur de carte sur lesdits serveurs (qui peut le plus peut le moins). À défaut, il est possible de recourir à un hébergeur européen disposant de serveurs localisés dans l’UE.

Je vais signaler, à la fondation OpenStreetMap, ses manquements au RGPD afin qu’elle s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’elle entreprendrait, les faits relatés ci-dessus constituent en soi une violation du Règlement qui justifie à elle seule le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Après OVH, qui envoie des emails contenant des liens et des images traçantes hébergés par Microsoft, Cloudflare et Amazon, vient le tour de Scaleway. Décidément, le cloud souverain pouet pouet, ce n'est pas encore ça. :(

En 2019, j'ai testé Scaleway. Pour terminer la création du compte client, il faut valider un numéro de téléphone qui sera utilisé pour une authentification à deux facteurs (2FA). J'évite au maximum l'usage d'un téléphone et je suis contre la 2FA (je préconise l'utilisation d'un gestionnaire de mots de passe très longs et aléatoires). Donc j'abandonne ma commande. Donc je n'entre pas en relation commerciale avec Scaleway.

En 2020, 2021 et 2022, Scaleway m'a envoyé des emails typiques d'une relation commerciale… qui n'existe pas. Impossible de me connecter à mon espace client pour clôturer mon compte malgré une réinitialisation du mot de passe. Je suis peut-être tombé dans un cas technique particulier, en tout cas, il n'est pas prévu par la politique de confidentialité. À mes yeux, mes données personnelles n'auraient pas dû être conservées aussi longtemps (bientôt 4 ans).

Les emails sont émis via le prestataire états-unien d'e-mailing SendGrid / Twilio, ce qui n'est pas conforme au RGPD… Scaleway, qui se positionne sur le créneau du cloud souverain et qui fait la pub de sa contribution à cette dynamique est donc incapable de construire une infrastructure emails ?!

Les emails contiennent des liens et une image traçants (contenant un identifiant unique pour détecter l'ouverture de l'email et un clic sur un lien), sans nécessité ni recueil du consentement, autre manquement au RGPD…

Le jour du dépôt de ma plainte CNIL, j'ai contacté Scaleway (j'avais déjà contacté, en 2021, l'adresse du support client, émettrice des emails… sans succès). Quatre jours après, l'« équipe privacy » de Scaleway m'informait de la bonne exécution de ma demande d'effacement (c'est déjà ça), et qu'elle répondra à mes questions (base légale, durée de conservation, presta ricain, liens et image traçants, etc.) dans les délais prescrits par le RGPD. À suivre. Je constate à nouveau qu'il faut toujours suivre la procédure et écrire à l'adresse consignée dans la politique de confidentialité.

Nouveauté : c'est la première fois que j'étaye autant en quoi un contrat conclu avec un prestataire européen risque de relever du CLOUD Act, en utilisant une grille d'analyse pertinente.

Email au DPO de Scaleway

Le RGPD impose d'exercer d'abord ses droits (ici d'effacement) auprès du délégué à la protection des données personnelles de l'entité. J'en profite pour lui signaler les infractions que je constate. Ces dernières peuvent être directement remontées à l'autorité de protection des données personnelles, d'où la parallélisation de ma demande au DPO et de ma plainte auprès de la CNIL.

Je l'ai envoyé aux adresses emails consignées dans la politique de confidentialité de Scaleway.

Sujet : Exercice droit à l'effacement et signalement infractions RGPD

Bonjour,

En janvier 2019, j'ai envisagé de devenir client Scaleway. Lors de ma commande, et donc de la création d’un compte client, je n'ai pas souhaité valider un numéro de téléphone (2FA) pourtant obligatoire. Ainsi, ma commande s'est arrêtée nette et je ne suis pas devenu client Scaleway.

En février 2019, j'ai reçu un email provenant de Scaleway dont le sujet était « News from Scaleway ». Son pied de page consignait « You received this email because you are a Scaleway customer. ». Non, je ne suis pas un client, donc je n'aurai pas dû le recevoir.

Nouvel email reçu en juillet 2020. Sujet de l'email : « We’re evolving our Instances prices. Here’s why. ». Aucune indication du motif de son envoi (même si je m’en doute).

En janvier 2021, j’ai reçu plusieurs emails « Your Credit Card is expiring ». Aucune indication du motif de leur envoi (même si je m’en doute). Agacé, je suis la procédure pour obtenir un nouveau mot de passe (je l'obtiens), puis je tente de me connecter à la console Scaleway sans y parvenir (messages d'erreur). Le 29/01/2021, je signale cet historique et ces messages d'erreur à support <à> scaleway.net, et je demande la clôture de mon compte "client" (même si je ne l'ai jamais été). Aucune réponse à ce jour.

Le 28/10/2022, nouvel email de Scaleway. Sujet : « Scaleway - Please reset your password ». Toujours aucune indication de la raison de son envoi (je ne suis toujours pas client, donc je me moque de la sécurité de mon compte client…).

Mes demandes :
1) Pouvez-vous m'informer de la finalité et de la base légale pour lesquelles j'ai reçu chacun des emails sus-référencés ?

2) Votre politique de confidentialité (https://www.scaleway.com/fr/politique-confidentialite/) prévoit le cas du client Scaleway. La conservation des données personnelles est alors de 5 ans après la fin de la relation contractuelle ou du délai légal. Or, dans le cas d’un abandon de commande et de la création d'un compte client (qui n’est pas prévu par votre politique de confidentialité), cette durée est manifestement excessive. SW détient et traite encore mes données personnelles 3 ans et 10 mois après ma tentative de commande, ça n’a pas d’intérêt ni de sens. D’autant qu’il existe un risque de jamais être supprimé puisque la relation contractuelle prendra jamais fin puisqu’aucun élément est susceptible de la déclencher…

    Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre concernant cette durée de conservation dans le cas particulier qui est le mien ?

3) Votre email du 28/10/2022 est émis par un serveur emails de la société commerciale états-unienne Twilio (SendGrid). Il y a donc eu un transfert de données personnelles (adresse emails du "client" Scaleway, etc.) depuis Scaleway vers une entité de droit états-unien, ce qui n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de Twilio/SendGrid.

    J'ai lu les mentions légales de Twilio qui exposent qu'après le 03/08/2021, le contrat entre une entité domiciliée dans l'UE et Twilio est conclu avec la filiale irlandaise de Twilio, mais cela change rien.

    En effet, cette filiale a pour unique actionnaire Twilio Inc., une société immatriculée dans le Delaware qui dispose de plusieurs bureaux aux États-Unis (Californie, Géorgie, Colorado, etc., cf. https://www.twilio.com/fr/company/jobs) dans lesquels des décisions stratégiques sont prises (ingénierie, direction des ventes, conformité, analyse des risques, lutte contre la fraude, etc. cf., là encore, https://www.twilio.com/fr/company/jobs).

    De plus, il existe une unique infrastructure technique mondiale Twilio administrée depuis la Californie. D’une part, ses emplois en informatique sont à pourvoir aux États-Unis, cf. https://www.twilio.com/fr/company/jobs. D’autre part, l’adresse postale et le numéro de téléphone du service « exploitation du réseau » de Twilio, mentionnés dans sa déclaration dans la base de données de l’ARIN pour louer ses adresses IP (dont celle du serveur qui a émis l’email que j’ai reçu le 28/10/2022), sont ceux de ses bureaux états-uniens, cf. « whois 168.245.78.119 ».

    Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

4) Votre email du 28/10/2022 contient au moins une image de traçage (d'après la terminologie de la CNIL, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) et tous les liens qu'il contient sont des liens de traçage, y compris ceux envoyant vers Facebook ou scaleway.com. Nom de domaine dédié (« lsg.scaleway.net »), motif « click » / « open » dans l'URL de chaque lien, identifiant unique à chaque lien afin de détecter un clic dessus + identifiant commun à tous les liens afin d'identifier la campagne / l'email parmi tous ceux émis, et image 1 x 1 pixel transparente. Vous êtes soumis à aucune obligation légale nécessitant de traquer vos "clients". Absence de nécessité pour l'exécution d'un contrat d'un tel traçage. Aucune information au "client" ni recueil de son consentement. Il s'agit donc d'un manquement au RGPD selon le CEPD (document WP 118, section V) et la CNIL (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Vos emails de 2020 et 2021 contiennent également une image et des liens traçants, donc votre manquement au RGPD dure depuis au moins 2 ans et demi.

    Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

5) Pouvez-vous clôturer mon compte "client" et effacer l'ensemble de mes données personnelles ?

6) Merci de revenir vers moi pour me confirmer la fermeture effective de mon compte client et de l'effacement effectif de toutes mes données personnelles.

Bonne journée.

Introduction de ma plainte CNIL

Bonjour,

Suite à l'abandon d'une commande et d'une création d'un compte client en janvier 2019, l'hébergeur informatique Scaleway m'a envoyé, en 2020, en 2021, et en octobre 2022, des emails non sollicités typiques de ceux émis durant une relation commerciale contractualisée (ce qui n'est pas le cas). Il ne s'agit pas de démarchage.

Le 29/01/2021, j'ai contacté le service client de Scaleway pour clôturer mon prétendu compte client. Aucune réponse.

Infractions de Scaleway :

• Traitement de données personnelles justifié par une base légale irrecevable (relation contractuelle alors que j'ai jamais été client) ;
  
  
• Durée de conservation des données personnelles, 3 ans et 10 mois, excessive (compte-tenu que j'ai jamais été client) ;
  
  
• Recours au prestataire d'e-mailing SendGrid / Twilio donc transfert de données personnelles (adresse emails du client, etc.) vers les États-Unis ;
  
  
• Utilisation, dans ses emails, de liens et d'image de traçage sans nécessité ni recueil du consentement ;
  
  
• Absence de réponse en 1 an et 10 mois, donc impossibilité d’exercer concrètement mon droit d’effacement.

Je sollicite l'intervention de la CNIL pour appuyer ma demande d'effacement de mes données personnelles et pour sanctionner les infractions de Scaleway.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Bonne journée.

Plainte détaillée

Bonjour,

En janvier 2019, j’ai envisagé de devenir client de la société commerciale Scaleway (« SW » ci-après). Durant ma commande et la création d’un compte client, je n’ai pas souhaité valider un numéro de téléphone (2FA) alors que c’était obligatoire. Ainsi, ma commande s’est arrêtée nette et je ne suis pas devenu client de SW.

En février 2019, j’ai reçu un email de SW dont le sujet était « News from Scaleway ». Son pied de page consignait « You received this email because you are a Scaleway customer. ». Non, je ne suis pas client, donc je n’aurai pas dû le recevoir.

Nouvel email reçu en juillet 2020. Sujet : « We’re evolving our Instances prices. Here’s why. ». Aucune indication du motif de son envoi (même si l’on s’en doute). Cf. pages 1 et 2 de PJ 1 (l’affichage est rustique, car je désactive la prise en charge du code HTML dans mon logiciel de messagerie).

En janvier 2021, j’ai reçu plusieurs emails « Your Credit Card is expiring ». Cf. page 1 de PJ 2. Aucune indication du motif de leur envoi (même si l’on s’en doute). Agacé, j’ai suivi la procédure pour obtenir un nouveau mot de passe (je l’ai obtenu), puis j’ai tenté de me connecter à mon espace client SW dans l’intention de le clôturer, mais je n’y suis pas parvenu (messages d’erreurs techniques).

Le 29/01/2021, j’ai signalé ce dysfonctionnement au service d’assistance aux clients de SW (c’est-à-dire au service client) et j’ai demandé la clôture de mon compte « client » (même si je ne l’ai jamais été), cf. PJ 3.

J’ai reçu aucune réponse. Première infraction au RGPD : absence de réponse, donc impossibilité d’exercer concrètement son droit à l’effacement.

Le 28/10/2022, nouvel email de SW. Sujet : « Scaleway - Please reset your password ». Toujours aucune indication de la raison de son envoi. Cf. PJ 4.

La teneur des emails illustrent qu’ils sont envoyés dans le cadre d’une relation contractuelle entre un fournisseur de services et son client. N’étant pas devenu son client (abandon de la création de mon compte client et de ma commande, impossibilité de me connecter à mon espace client même en réinitialisant mon mot de passe, etc.), SW traite mes données personnelles pour une (ou plusieurs) finalité et base légale irrecevables. Première infraction au RGPD.

La politique de confidentialité de SW (https://www.scaleway.com/fr/politique-confidentialite/) prévoit le cas de la relation contractuelle. La durée de conservation des données personnelles est alors de cinq ans après la fin de ladite relation ou du délai légal. Or, dans le cas d’un abandon de commande ou de création d’un compte client (qui n’est pas prévu par la politique de confidentialité), cette durée de conservation est manifestement excessive. SW détient et traite encore mes données personnelles 3 ans et 10 mois après ma tentative de commande. D’autant qu’il existe un risque de jamais être supprimé de la base de données de SW puisque la relation contractuelle prendra jamais fin puisqu’aucun élément est susceptible de la déclencher (et que le délai légal est très rarement implémenté). Deuxième infraction au RGPD.

L’email de SW du 28/10/2022 est émis par un serveur emails de la société commerciale états-unienne Twilio (SendGrid), cf. son entête « Received » dans la page 2 de PJ 4. Il y a donc eu un transfert de données personnelles (adresse emails du « client » SW, etc.) à une entité de droit états-unien, ce qui n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de Twilio. Troisième infraction au RGPD et abus de confiance caractérisé puisque SW se positionne sur le créneau de la souveraineté numérique de la France et communique à fond et en permanence sur le sujet et sur sa contribution.

    J'ai lu les mentions légales de Twilio (https://www.twilio.com/legal/tos) qui exposent qu'après le 03/08/2021, le contrat entre une entité domiciliée dans l'UE et Twilio est conclu avec la filiale irlandaise de Twilio, mais cela change rien.

    En effet, cette filiale a pour unique actionnaire Twilio Inc., une société immatriculée dans le Delaware qui dispose de plusieurs bureaux aux États-Unis (Californie, Géorgie, Colorado, etc., cf. https://www.twilio.com/fr/company/jobs) dans lesquels des décisions stratégiques sont prises (ingénierie, direction des ventes, conformité, analyse des risques, lutte contre la fraude, etc. cf., là encore, https://www.twilio.com/fr/company/jobs).

    De plus, il existe une unique infrastructure technique mondiale Twilio administrée depuis la Californie. D’une part, les emplois en informatique sont à pourvoir aux États-Unis, cf. https://www.twilio.com/fr/company/jobs. D’autre part, l’adresse postale et le numéro de téléphone du service « exploitation du réseau » de Twilio, mentionnés dans sa déclaration dans la base de données de l’ARIN pour louer ses adresses IP (dont celle du serveur qui a émis l’email que j’ai reçu le 28/10/2022), sont ceux de ses bureaux états-uniens. Cf. :

    $ whois 168.245.78.119 | grep -A2 -E '(Address:|(: (TSNO-ARIN|ABUSE3074-ARIN)))'
    Address: Twilio, Inc.
    Address: 1801 California Street
    Address: Suite 500
    City: Denver
    StateProv: CO
    --
    OrgAbuseHandle: ABUSE3074-ARIN
    OrgAbuseName: Abuse Desk
    OrgAbusePhone: +1-888-985-7363
    --
    OrgTechHandle: TSNO-ARIN
    OrgTechName: Twilio SendGrid Network Operations
    OrgTechPhone: +1-888-985-7363

    Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, de ces faits, Twilio Ireland est soumise au Cloud Act, tout comme la relation entre SW et Twilio.

L’email de SW du 28/10/2022 contient une image de traçage (à sa toute fin), d’après votre terminologie (cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). De même, tous les liens qu’il contient sont des liens de traçage, y compris ceux renvoyant vers le site web officiel de SW et vers Facebook. Cf. pages 2 et suivantes de PJ 4.

    L’image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du « client » SW. Il s’agit d’une image transparente (gif) de dimensions 1 pixel sur 1 pixel, dit autrement, d’une image invisible.

    Dans son URL, constatons le motif (« open ») qui reflète son utilisation, détecter et consigner l’ouverture de l’email qui la contient.

    Elle est téléchargée via un nom de domaine Internet dédié (« lsg.scaleway.net »). Par contraste, les images qui participent au contenu (logo de l’entête, logo dans le pied de page) sont téléchargées directement depuis les serveurs informatiques de SW (« global-assets.s3.fr-par.scw.cloud »).

    Les liens pointent d’abord sur des serveurs web dédiés de SW (nom de domaine « lsg.scaleway.net ») qui redirigent vers les destinations finales.

    Dans l’URL de chaque lien, constatons le motif « click » qui reflète leur usage, détecter et consigner un clic.

    Dans l’URL de chaque lien, constatons un identifiant unique commun à tous les liens qui doit servir à identifier de manière unique l’email parmi tous ceux émis, et un identifiant unique à chaque lien qui sert à identifier un lien dans l’email et à coder la véritable destination du lien (vers laquelle il convient de rediriger après traçage).

SW ne peut se prévaloir d’une quelconque obligation légale à traquer ses « clients ». La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final).

Le « client » SW, destinataire de cet email, n'est pas informé de l’aspect traçant des liens et de l’image qu’il contient et son consentement n'est pas récolté.

Il découle des deux derniers points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Quatrième infraction au RGPD.

    Les emails de SW de 2020 et 2021 contiennent également une image et des liens de traçage. Cette infraction dure donc depuis au moins deux ans et demi. Cf. pages 3 et suivantes de PJ 1 et pages 6 et suivantes de PJ 2.

La présente plainte a pour objectif de signaler les manquements au RGPD sus-référencés de Scaleway à l’autorité de contrôle que vous êtes dans un objectif de sanction à l’encontre de SW et de documentation des nombreuses infractions au RGPD qui ont cours afin de guider votre action. Je sollicite une action de la CNIL sur l’ensemble des infractions sus-énumérées (que le quidam ne peut ni contrôler ni imposer).

De plus, je sollicite la CNIL afin d’appuyer l’exercice de mon droit à l’effacement de mes données personnelles. Pour rappel, j’ai sollicité Scaleway à ce sujet le 29/01/2021 sans réponse à ce jour (hormis un nouvel email non sollicité).

J’estime avoir exercé mon droit à l’effacement et les autres faits relatés dans la présente constituent des violations du Règlement qui peuvent faire l’objet d’une plainte auprès d’une APD sans un exercice préalable des droits auprès du responsable du traitement (arrêt TS 1039/2022 du Tribunal Supremo espagnol).

Bonne journée.

Réponse partielle de Scaleway après cinq jours

Monsieur,

Conformément à votre demande, nous vous informons que votre compte client et les données personnelles s'y rattachant ont bien été supprimées dans le respect des contraintes légales et règlementaires actuellement en vigueur.

L'équipe Privacy de Scaleway s'efforce de répondre aux autres points soulevés dans votre mail dans les délais prescrits par le RGPD.

Cordialement,
L'équipe Privacy de Scaleway

Relance de Scaleway un mois après leur réponse

Scaleway a dépassé le délai légal pour me répondre (un mois), notamment à ma question numéro 1, sans m'informer de sa volonté de prolonger ce délai comme le permet le RGPD (article 12)…

Bonjour,

Je vous remercie pour la suppression de mon compte "client".

Un mois plus tard, je n'ai pas encore reçu votre réponse aux autres points soulevés dans ma demande initiale. À quelle date estimez-vous me répondre ?

Bonne journée.

ÉDIT DU 29/12/2022 : ajout de mes échanges avec Scaleway. FIN DE L'ÉDIT.

ÉDIT DU 20/07/2023 :

Le 14/01/2023, suite à l'absence de réponse du DPO de Scaleway après deux mois, j'ai adressé à la CNIL ce complément de réclamation :

Bonjour,

Le 13/11/2022, j’ai contacté le DPO de Scaleway via les deux adresses emails consignées dans la politique de confidentialité de la société commerciale (https://web.archive.org/web/20221115201610/https://www.scaleway.com/fr/politique-confidentialite/). J’y demande une correction des infractions RGPD rapportées dans la présente réclamation CNIL et j’y demande, à nouveau, l’effacement de mes données personnelles. Cf. PJ 1.

Le 18/11/2022, il m’informe que mes données ont été supprimées et qu’il « s'efforce de répondre aux autres points soulevés dans votre mail dans les délais prescrits par le RGPD. ». Cf. PJ 2.

Mes « autres points » comportent au moins une demande d’information (finalité et base légale d’un traitement), car la politique de confidentialité ne la consigne pas. Cette demande aurait dû être traitée dans un court délai, compte-tenu que les informations demandées devraient être préparées (voire communiquées) en amont et donc disponibles à tout moment, cf. article 12.1 du RGPD. Le délai de traitement d’un mois prévu par l’article 12.3 du RGPD semble raisonnable et proportionné.

N’ayant pas reçu un quelconque complément de réponse ou une quelconque information du prolongement du délai de traitement de ma demande, j’ai relancé Scaleway le 18/12/2022 afin qu’elle m’informe d’une estimation du temps de traitement restant. Cf. PJ 3.

À ce jour, c’est-à-dire deux mois après ma demande initiale adressée aux adresses emails consignée dans la politique de confidentialité, je n’ai toujours pas reçu de réponse de Scaleway.

En conséquence, le premier complément vise à amender ma réclamation CNIL de la façon suivante :

• Je ne demande plus à la CNIL d’appuyer ma demande d’effacement (celle-ci ayant été satisfaite le 18/11/2022) ;
  
  
• Je maintiens ma demande à la CNIL de sanctionner Scaleway pour ses infractions au RGPD relatées dans ma réclamation ;
  
  
• Je demande à la CNIL de constater que, même en contactant le service dédié mentionné dans sa politique de confidentialité, Scaleway ne traite pas, sous deux mois (et deux ans après ma première demande adressée au service clients) et après relance, une demande d’information sur un traitement ainsi qu’un signalement d’infractions au RGPD, alors qu’elle m’a annoncé s’efforcer d’y procéder dans les délais prescrits.

Bonne journée.

FIN DE L'ÉDIT DU 20/07/2023.

Rappel : pour exercer ses droits relatifs à ses données personnelles (accès, rectification, opposition, effacement, limitation, portabilité, etc.) un justificatif n'est pas obligatoire, sauf en cas de doute raisonnable.

Un courrier envoyé par la CNIL à un responsable de traitement de données personnelles dans le cadre d'une réclamation (plainte) qui lui a été adressé est un document librement communicable au sens du CRPA et de la CADA.

(Serpent Google) ‒ C'est juste un coud de confiaaance

Via https://www.nextinpact.com/article/70415/flock-prend-hauteur-et-nous-dessine-triste-monde-tragique.

Les sites web de presse contiennent des images, des vidéos, des infographies, des podcasts, des feuilles de style, des polices de caractères, des scripts, et d'autres ressources web hébergées sur des serveurs informatiques de sociétés commerciales états-uniennes, ce qui est, à date, incompatible avec le RGPD. Le raisonnement juridique est le même que dans mes précédentes plaintes.

La presse a également recours au CDN de sociétés commerciales états-uniennes pour diffuser leurs pages web (le texte, quoi), ce qui, là encore, n'est pas conforme au RGPD (même raisonnement juridique qu'au point précédent). En tant qu'intermédiaire entre le lecteur et l'hébergeur final du journal, le CDN voit et consigne que tel terminal (adresse IP + langue + modèle + caractéristiques techniques) consulte tels articles (URL complète) à telles dates + heures.

La diffusion de l'information en France dépend d'acteurs ricains. Souveraineté, où es-tu ?

Chez quasiment tous, on constatera également le dépôt en douce de cookies de traçage tiers (induit par l'intégration des ressources web sus-énumérées). Certains journaux (ASI, Les Jours, Mediapart, Next Inpact) ont également recours à un prestataire états-unien d'e-mailing (pour une newsletter ou pour les emails d'abonnement / renouvellement / résiliation). Là encore, c'est illégal, cf. la décision de l'Autorité de Protection des Données personnelles bavaroise portant sur l'utilisation de MailChimp. Chez un autre (Numerama), on constatera un bandeau cookies trompeur et imbitable.

Je suis le sujet depuis 2018 (en ce qui concerne Mediapart). En 2020, j'ai informé tous les journaux de leur irrespect de la vie privée de leurs lecteurs. Sauf Disclose, L'informé, Off Investigation, et StreetPress que j'ai découvert (et envisagé de lire) après. De même, j'ai découvert que Next Inpact a recours à Cloudflare pour l'hébergement de ses images en 2021 ou 2022.

Aucune amélioration entre 2020 et aujourd'hui, sauf chez Basta. Mediapart dispose de la rentabilité et du poids pour se mettre en conformité (adapter ses pratiques, former ses journalistes, développer les éventuels outils manquants, etc.), mais en fait rien (y compris lors de sa « nouvelle formule » de 2021).

Je ne m'intéresse pas aux médias dominants (Le Monde, Le Figaro, Les Echos, Libération, etc.), car, d'une part, je ne les lis pas car ils ne correspondent pas à mes attentes. D'autre part, ils recourent à la publicité, donc leur consultation génère des centaines de requêtes web vers plusieurs dizaines d'acteurs qui changent tous les quatre matins. C'est ingérable.

Je n'ai pas déposé de plainte à la CNIL concernant Le Ravi puisqu'il est mourru en septembre 2022. :(

J'avais un peu laissé tomber, mais les 42 plaintes de David Libeau portant sur l'utilisation de Google Analytics par les sites de presse, m'ont redonné espoir. Surtout que ça semble produire un début de commencement de semblant de bout d'effet.

Surtout, on ne va pas se mentir, j'ai eu récemment tout le temps pour rédiger mes douze plaintes. Cela m'a coûté quasiment un mois ETP.

Nouveautés :

• Première fois que je dépose des plaintes contre plusieurs acteurs d'un même secteur d'activité, et que j'invite la CNIL à les étudier en lot (mêmes infractions, même secteur d'activité, infractions très courante dans ledit secteur), et à porter ses efforts à cette granularité-là (en 2015, la CNIL avait mis en demeure une palanquée de sites web de rencontres amoureuses) ;
  
  
• Première fois que je souligne une entrave à la concurrence que constituent les infractions au RGPD. Les journaux qui se rapprochent de la conformité au RGPD ont dû investir (argent, temps) et/ou renoncer à des sources de revenus (et de visibilité), et peine à assurer leur équilibre économique, là où les médias dominants, qui bafouent le RGPD, s'en sortent plutôt bien. Cela ralentit fortement l'émergence et le développement de journaux, respectueux, à la fois de l'éthique journalistique et de la vie privée de leur lectorat ;
  
  
• Première fois que j'argue de l'illégalité de l'utilisation de Google reCAPTCHA ;
  
  
• Première fois que je fournis des preuve au format archive HTTP (HTTP Archive, HAR) ;
  
  
• L'une des premières fois que je développe la possible soumission de prestataires européens au CLOUD Act.

Bref, place à mes douze plaintes contre des journaux.

Accès direct

• Arrêt sur images
  
  
• Basta
  
  
• Disclose
  
  
• Fakir
  
  
• Les Jours
  
  
• L'informé
  
  
• Mediapart
  
  
• Next Inpact
  
  
• Numerama
  
  
• Off Investigation
  
  
• Siné mensuel
  
  
• StreetPress

Arrêt sur images

Introduction

Bonjour,

Le site web du journal Arrêt sur images transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Analytics, Google Fonts, Google Optimize, Vimeo, Twitter, Embedly, MailChimp.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements existants perdurent à ce jour et de nouveaux ont été mis en œuvre.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Arrêt sur images (« ASI » ci-après), https://www.arretsurimages.net/, fait automatiquement télécharger, au navigateur web de ses lecteurs, une multitude de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Arrêt sur images : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par ASI (exemple : une vidéo YouTube volontairement intégrée par ASI à l’un de ses articles fait télécharger, à son tour, Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être ASI dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur d’ASI et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web d’ASI, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur d’ASI : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures d’ASI (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.arretsurimages.net/confidentialite), ASI ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude qu’ASI met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur d’ASI le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par ASI. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur d’ASI ne chemine pas par l’infrastructure technique d’ASI ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur d’ASI et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à ASI et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

ASI ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Script de mesure d’audience Google Analytics (via le script Google Tag Manager) hébergé sur les serveurs informatiques de la société commerciale états-unienne du même nom. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • ASI ne recourt pas à la publicité et l’écrasante majorité de ses articles est réservée à ses abonnés. Dans ce contexte, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés est un indicateur pertinent et suffisant. À quoi bon savoir quels articles sont lus et ont eu le plus de succès ? À rien, le journal est déjà financé. Danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent lire ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et ASI ne recueille pas le consentement de son lecteur), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Scripts de test A/B, d’analyse et d’optimisation du parcours client Google Optimize hébergés sur les serveurs informatiques de Google ;

  • Le Comité européen de la protection des données (CEPD) ne considère pas qu’un traitement destiné à améliorer un service est nécessaire à l’exécution d’un contrat (cf. Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées). Donc, le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat. (Notons qu’ASI ne recueille pas non plus le consentement de son lecteur.)

• Polices de caractères téléchargées auprès du service Fonts de la société commerciale états-unienne Google hébergé sur les serveurs informatiques de cette dernière ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20).

• Scripts de la société commerciale états-unienne Google YouTube hébergés sur les serveurs informatiques de Google ;

  • Ils sont présents sur toutes les pages, mêmes celles qui contiennent aucune vidéo, ce qui constitue des transferts de données personnelles inutiles et contraires au principe de minimisation du RGPD ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, ASI ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Scripts de la société commerciale états-unienne Vimeo hébergés sur les serveurs informatiques de Vimeo ;

  • Ils sont présents sur toutes les pages, mêmes celles sans vidéo, ce qui constitue des transferts de données personnelles inutiles et contraires au principe de minimisation du RGPD ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Vimeo dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant un identifiant unique) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, ASI ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Scripts de la société commerciale française Dailymotion. Certains d’entre eux (api.dmcdn.net, s1.dmcdn.net, etc.) sont diffusés via des CDNs états-uniens (comme Limelight Networks / Edgio) ;

  • Certains de ses scripts hébergés par des prestataires états-uniens (ex. : api.dmcdn.net) sont présents sur toutes les pages d’ASI, mêmes celles sans vidéo, ce qui constitue des transferts de données personnelles inutiles et contraires au principe de minimisation du RGPD ;
    
    
  • Lorsque la page (un article, par exemple) contient une vidéo Dailymotion, le téléchargement automatique du lecteur de vidéos de Dailymotion entraîne, par rebond, en cascade, le téléchargement de scripts techniques auprès de Google (s0.2mdn.net, imasdk.googleapis.com, etc.) ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Dailymotion dépose et lit des cookies. Lorsque l’on déclenche la lecture d’une vidéo Dailymotion intégrée au site web d’ASI, un encart nous demande d’accepter les cookies de Dailymotion. Cet encart propose un bouton « personnaliser ou refuser » qui pointe vers https://www.dailymotion.com/legal/consent#purposes). Cette page nous apprend qu’il s’agit de cookies tierce-partie utilisés pour la publicité standard et ciblée, la mesure d’audience, la mesure de la réceptivité d’une pub, etc. Ils contiennent des identifiants uniques. Ils ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Pourtant, il y a une acceptation tacite desdits cookies après 10 secondes d’inaction. Idem si l’on clique sur « personnaliser ou refuser » : les cookies sont déposés et la lecture de la vidéo commence après dix secondes… c’est-à-dire pendant la lecture de la politique cookies de Dailymotion et l’octroie (ou non) du consentement. Cela n’est pas conforme au RGPD. Notons bien que, l’on accepte les cookies ou non, les téléchargements sus-présentés (et donc les transferts de données personnelles qui en découlent) sus-énumérés ont déjà eu lieu avant l’apparition de cet encart.

• Intégration de tweets via le widget Twitter qui fait télécharger automatiquement des ressources web auprès des serveurs informatiques de la société commerciale états-unienne du même nom ;

  • Seuls quelques articles (exemple : https://www.arretsurimages.net/chroniques/initiales-ds/aurelie-et-trouve-font-la-velorution-dans-le-93) et la page d’accueil d’ASI (tweets du directeur du journal) contiennent au moins un tweet, donc, en arrivant sur un article, le lecteur de d’ASI ne saurait s’attendre au chargement du widget de Twitter (absence d’une pratique généralisée et facilement identifiable).
• Certains tweets et vidéos (entre autres contenus multimédias) repris par ASI sont intégrés à son site web à l’aide du service Embedly de la société commerciale états-unienne A Medium Company, qui, elle-même, a recours au CDN de la société états-unienne Cloudflare. Exemple : https://www.arretsurimages.net/chroniques/le-matinaute/total-chiffres-et-chantages.
  • Aucune valeur ajoutée, le service pourrait être fourni sans (Twitter, YouTube, Vimeo, etc. disposent d’infrastructures techniques leur permettant d’encaisser un nombre conséquent d’utilisateurs), donc disproportion entre l’intérêt d’ASI et l’atteinte aux droits de ses lecteurs.

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible de réduire le nombre de prestataires. Pourquoi recourir à plusieurs prestataires pour un même type de contenus (pour diffuser des vidéos, par exemple) ? ASI en choisi un, forme ses équipes sur cette solution, etc., et cesse de charger les scripts de plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.

De plus, il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web externalisées comme les polices de caractères Google Fonts, un outil de mesure d’audience, etc.

Ensuite, il est possible d'héberger ces ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à la société commerciale française Octopuce (cas de YouTube, Vimeo et Dailymotion). De même, il existe des prestataires européens de mesure d’audience.

De sus, certaines pratiques rédactionnelles peuvent être adaptées. Plutôt que d'intégrer un tweet dans un article en utilisant le widget Twitter, les journalistes d’ASI peuvent citer le propos qu’il contient comme ils le font de propos oraux ou lors de reprise de propos écrits, et laisser à leur lecteur la possibilité de cliquer sur un lien pour aller lire ledit tweet. S'il s'agit de conserver une trace, une capture d'écran convient. De même, un lien vers une vidéo YouTube ou Vimeo ou Dailymotion est préférable à une intégration de ladite vidéo. Laisser le choix au lecteur.

En tout état de cause, il est possible de conditionner certains téléchargements (tweets via le widget Twitter, vidéos YouTube ou Vimeo ou Dailymotion, etc.), à un clic du lecteur d’ASI sur un encart l’informant que l’affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

De plus, à l’exception des tweets et des vidéos, le site web d’ASI fonctionne parfaitement et à contenu équivalent si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre ASI et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par ASI découle une disproportion entre l’intérêt, pour ASI, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web d’Arrêt sur images, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 et le 31 octobre 2022 (pour l’un d’eux) avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Dans sa politique de confidentialité (https://www.arretsurimages.net/confidentialite), ASI déclare avoir recours à MailChimp pour envoyer ses « gazettes, mails de relance, et mails transactionnels ». MailChimp est un service de The Rocket Science Group, société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne.

Il y a donc transfert de données personnelles (adresse emails de l’abonné ASI, etc.) à une entité de droit états-unien.

Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Ces multiples transferts auprès de (trop) nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. ASI est tout l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, les manquements au RGPD sus-référencés au président d’Arrêt sur images (pas de DPO identifiable), cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des solutions techniques (internalisation, minimisation, politique du référent, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté d’Arrêt sur images de se conformer au RGPD. Aucun changement en deux ans, à l’exception de l’ajout de Google Optimize sur toutes les pages…

J’estime avoir tenté d’exercer mes droits auprès d’ASI. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs qu’Arrêt sur images et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre d’Arrêt sur images.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ accès libre aux articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Basta

Introduction

Bonjour,

Le site web du journal Basta transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google YouTube, Twitter, Vimeo, CDN Cloudflare.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 10/03/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Basta, https://basta.media, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Basta : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Basta (exemple : une vidéo YouTube volontairement intégrée par Basta à l’un de ses articles fait télécharger, à son tour, la régie publicitaire Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Basta dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Basta et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Basta, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur Basta : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Basta (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Je n’ai pas trouvé de politique de confidentialité (ou assimilé) sur le site web de Basta. De plus, on peut avoir la certitude que Basta met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de Basta le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Basta. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur de Basta ne chemine pas par l’infrastructure technique de Basta ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur Basta et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à Basta et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Basta ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes présentes dans au moins l’un des cinquante derniers articles publiés en date du 23/10/2022 ou sur l’une des pages du site web de Basta :

• Podcast via les services de la société commerciale allemande hearthis.at qui a recours au CDN de la société commerciale états-unienne Cloudflare pour diffuser son lecteur de podcasts. Exemple : https://basta.media/Vous-avez-Tchernobyl-dans-le-bide-des-femmes-se-battent-face-a-Bayer-pour-la-reconnaissance-de-leur-calvaire-implant-contraception-Essure ;

  • Seuls quelques rares articles de Basta contiennent un podcast, donc, en accédant à un tel article, le lecteur de Basta ne saurait s’attendre au chargement d’un podcast (absence d’une pratique généralisée et facilement identifiable).

• Intégration de tweets avec le widget Twitter qui fait télécharger automatiquement des ressources web auprès des serveurs informatiques de la société commerciale états-unienne du même nom. Exemples : https://basta.media/Climat-face-a-l-inaction-des-gouvernements-des-scientifiques-entrent-en-rebellion ; https://basta.media/Secheresse-La-cle-pour-economiser-l-eau-c-est-le-sol-vivant-jardinage-compost-alternatives ;

  • Seuls quelques articles de Basta contiennent un tweet, donc, en accédant à un tel article, le lecteur de Basta ne saurait s’attendre au chargement du widget de Twitter (absence d’une pratique généralisée et facilement identifiable).

• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemple : https://basta.media/AgroParisTech-nous-refusons-de-servir-ce-systeme-ingenieurs-diplomes-declaration ;

  • Seuls quelques articles de Basta contiennent une vidéo YouTube, donc, en accédant à un tel article, le lecteur de Basta ne saurait s’attendre au chargement du lecteur de vidéos de YouTube (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de Basta ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Basta ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Vidéos hébergées par la société commerciale états-unienne Vimeo sur ses propres serveurs informatiques. Ressources web (lecteur de vidéos, télémétrie, etc.) téléchargées depuis les sociétés commerciales états-uniennes Akamai Technologies, Fastly et Google Cloud. Exemples : https://basta.media/Therapie-resistance-et-humanite-au-festival-de-cinema-d-Attac-Images-mouvementees ; https://basta.media/mort-de-Blessing-Matthew-a-la-frontiere-franco-italienne-un-temoignage-pointe-la-responsabilite-des-gendarmes ;

  • Seuls quelques articles de Basta contiennent une vidéo Vimeo, donc, en accédant à un tel article, le lecteur de Basta ne saurait s’attendre au chargement du lecteur de vidéos de Vimeo (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de Vimeo entraîne, par rebond, par cascade, le téléchargement de scripts de mesure de la performance des applications web de la société commerciale états-unienne New Relic (js-agent.newrelic.com) diffusés via le CDN de la société commerciale états-unienne Fastly. Ces scripts envoient, toutes les minutes, un rapport technique à New Relic via le CDN de la société commerciale états-unienne Cloudflare (bam.nr-data.net) ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Vimeo dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant un identifiant unique) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Basta ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).
• Cartes géographiques présentées par la société commerciale états-unienne CartoDB (basemaps.cartocdn.com) qui a recours au CDN de la société commerciale états-unienne Fastly. Exemple : https://basta.media/des-methaniseurs-menacent-l-environnement-la-carte-inedite-des-accidents-en-Bretagne-Splann ;
  
  
• Intermédiaire de paiement DonorBox intégré uniquement sur la page de dons (https://basta.media/don). DonorBox est un service de la société commerciale états-unienne Rebel Idealist. Cette dernière a recours au CDN de Cloudflare.
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, DonorBox dépose et lit des cookies. Il s’agit de cookies tierce-partie dont, en l’absence d’information de la part de Basta (absence de bandeau cookies, d’une politique de confidentialité ou assimilé), il n’est pas aisé de savoir s’ils sont exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite).

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible d’internaliser certaines ressources, c’est-à-dire de les héberger sur le même serveur informatique que les pages web ou les images. Basta internalise déjà ses infographies (exemples : https://basta.media/superprofits-du-cac40-TotalEnergie-STMicro-pourquoi-le-debat-sur-leur-taxation-est-legitime ; https://basta.media/webdocs/police/). Exemple du reste à faire ? Les podcasts : le journal Les Jours internalise les siens, cf. https://lesjours.fr/podcasts/refuseurs/ep1-contexte-agro-refuseurs/.

Il est également possible de réduire le nombre de prestataires. Pourquoi recourir à plusieurs prestataires pour un même type de contenus (pour diffuser des vidéos, par exemple) ? Basta en choisi un, forme ses équipes sur cette solution, etc., et cesse d'en utiliser plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.

Ensuite, il est possible d'héberger certaines ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à une société commerciale française (Octopuce). De même, il existe des prestataires pour les podcasts, les cartes géographiques, les dons, etc.

En sus, certaines pratiques rédactionnelles peuvent être adaptées. Plutôt que d'intégrer un tweet dans un article en utilisant le widget Twitter, les journalistes de Basta peuvent citer le propos qu’il contient comme ils le font de propos oraux ou lors de reprise de propos écrits, et laisser à leur lecteur la possibilité de cliquer sur un lien pour aller lire ledit tweet. S'il s'agit de conserver une trace, une capture d'écran convient. Même chose pour une vidéo (YouTube ou Vimeo) ou une carte géographique.

    On notera que, parfois, les journalistes de Basta publient une capture d’écran d’un tweet ou un lien vers une vidéo au lieu de l’intégrer dans leur article (exemple : https://basta.media/un-diplome-d-excellence-pour-un-monde-durable-finance-principalement-par-la-bnp). Ce qui est frappe est donc l’inconsistance dans le temps et entre les journalistes. Or, une telle consistance permettrait de réduire le nombre de transferts de données personnelles vers les États-Unis, et serait ainsi en accord avec le principe de minimisation du RGPD. Il manque seulement un peu de concertation, de prise de décision et d’harmonisation des pratiques au sein de la rédaction.

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos, tweets, cartes géographiques, etc.), à un clic du lecteur de Basta sur un encart l’informant que l’affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Basta découle une disproportion entre l’intérêt, pour Basta, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de Basta, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 et le 31 octobre 2022 (pour l’un d’eux) avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces transferts de données personnelles à des organisations états-uniennes sont commis par un journal qui se revendique alternatif, indépendant, et attentif au respect de la vie privée ainsi qu’au logiciel libre (exemple : https://basta.media/inscription-newsletter). La divergence entre l’image dont se prévaut Basta et ses actes sus-énumérés constitue un abus de confiance.

    D’autant que le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Basta est parfois l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, ces manquements au RGPD au président de Basta (pas de DPO identifiable). Ma LRAR n’a pas été reçue. Je l’ai ré-émise le 10/03/2020, cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des contournements techniques (internalisation, politique du référent, etc.) et des solutions organisationnelles (recourir à des prestataires européens, adapter les pratiques, etc.).

La nouvelle formule du site web de Basta en 2021 a fait disparaître l’utilisation antérieure de Google Analytics, de Google Fonts, et d’un logo Creative Commons téléchargé depuis l’organisation du même nom. Il est difficile de déterminer s’il s’agit d’une réelle compréhension des enjeux ou d’un choix technique et silencieux d’un programmeur web (ou d’une agence web) consciencieux lors de la refonte dudit site web. En effet, il y a toujours le bouton traçant Creative Commons sur le portail de la presse libre édité par Basta (et pointé par l’entête du site web Basta), cf. https://portail.basta.media/, par exemple.

On notera une absence de progrès sur le contenu rédactionnel : Basta a toujours recours à Google YouTube, à Vimeo, au widget de Twitter, etc. C’est sur ce point qu’il convient désormais d’appuyer, et c’est l’objet de la présente plainte.

J’estime avoir tenté d’exercer mes droits auprès de Basta. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que Basta, comme les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), et Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), demeure éminemment plus respectueux de la vie privée de ses lecteurs que la presse traditionnelle sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens. Dans le cas présent, Basta doit terminer son travail de mise en conformité.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Disclose

Introduction

Bonjour,

Le site web du journal Disclose transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Fonts, Google reCAPTCHA, Stripe, Google Maps, DocumentCloud.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à Disclose en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Disclose (« Di » ci-après), https://disclose.ngo/fr, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Disclose : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Di (exemple : un système de dons volontairement intégré par Di fait télécharger un outil de mesure d’audience, Google reCAPTCHA, Google Maps, et d’autres).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Di dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Di et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Di, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur Di : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Di (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Je n’ai pas trouvé de politique de confidentialité (ou assimilé) sur le site web de Disclose. De plus, on peut avoir la certitude que Di met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web de son lecteur le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Di. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur Di ne chemine pas par l’infrastructure technique de Di ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur Di et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à Di et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Di ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, chaque enquête, chaque actualité, etc.) :

• Scripts de la société commerciale états-unienne de paiement en ligne Stripe (js.stripe.com, m.stripe.com, m.stripe.network). Cette dernière a recours aux CDNs des sociétés commerciales états-unienne Fastly et Amazon ;

  • Ces scripts ne semblent pas être utilisés : sur sa page de dons, Di a recours à un autre prestataire de paiement. En tout état de cause, ces scripts pourraient être inclus et téléchargés uniquement sur la page qui en a besoin, pas sur toutes les pages du site web de Di. Principe de minimisation du RGPD ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Stripe dépose et lit un cookie. Il s’agit d’un cookie tierce-partie de traçage (il contient un identifiant unique) qui n’est donc pas exempté de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Di ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Scripts de pistage de la société commerciale états-unienne Twitter (syndication.twitter.com, plateform.twitter.com) hébergés sur les serveurs informatiques de cette dernière ;

  • Ils sont nativement étiquetés « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut. Ils servent à identifier l'audience venant de Twitter et à promouvoir Di. De fait, ils ne sauraient être nécessaires à l’exécution d’un contrat entre un journal et son lecteur. De plus, il y a disproportion entre l’intérêt qu’en retire Di et l’atteinte aux droits de son lecteur (surtout de celui qui n’utilise pas Twitter) ;
• Le site web de Di fonctionne parfaitement si l'on bloque les téléchargements des deux précédents points (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre que les ressources web qu’ils énumèrent ne sont pas nécessaires à l'exécution du contrat entre Di et son lecteur.

Ressources web externes téléchargées dans certains articles / enquêtes et dans certaines pages (en sus des précédentes) :

• Documents PDF intégrés via la visionneuse de l’organisation sans but lucratif états-unienne DocumentCloud, qui, elle-même, a recours au CDN de Cloudflare pour la diffuser. Exemples : https://disclose.ngo/fr/article/la-france-a-autorise-des-livraisons-armements-a-la-russie-en-2021 ; charte du journal et récépissé de déclaration en préfecture dans https://disclose.ngo/fr/page/a-propos ;

  • Il y a une intégration de documents PDF dans certains articles uniquement, ce qui entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de DocumentCloud et de ses prestataires auxquels le lecteur de Di ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • La visionneuse de documents de DocumentCloud fait télécharger des ressources web supplémentaires auprès du service Fonts de Google ;
    
    
  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20).

• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemples : https://disclose.ngo/fr/article/operation-sirli-etat-francais-vise-par-une-plainte-pour-complicite-de-crime-contre-humanite ; https://disclose.ngo/fr/page/a-propos ;

  • Il y a une intégration de vidéos YouTube dans certains articles uniquement, ce qui entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de Google auxquels le lecteur de Di ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de Di ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (ils contiennent deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Di ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Sur la page de dons (https://disclose.ngo/fr/page/faites-un-don), intégration des intermédiaires de paiement Donorbox et Okpal ;

  • L’intégration d’Okpal génère le téléchargement de polices de caractères auprès de Google Fonts. Cf. le point ci-dessus concernant DocumentCloud ;
    
    

  • Donorbox fait télécharger ses ressources web (images, feuilles de style, scripts, etc.) auprès du CDN de la société commerciale états-unienne Cloudflare ;

  • L’intégration de Donorbox entraîne les téléchargements suivants :

    • Script de mesure d’audience de la société commerciale états-unienne Cloudflare (static.cloudflareinsights.com) que cette dernière héberge sur ses propres serveurs ;

      • Notons que la présentation de son outil par Cloudflare (https://www.cloudflare.com/fr-fr/web-analytics/) est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Comme rappelé ci-dessus, selon la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le téléchargement du script (https ://static.cloudflareinsights.com/beacon.min.js/vaafb692b2aea4879b33c060e79fe94621666317369993) à partir de l’encart Donorbox sur la page web dons de Di génère un transfert, vers le service Web Analytics de Cloudflare, des données personnelles énumérées au début de la présente plainte ;
        
        
      • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat. Surtout que cet outil est utilisé par un prestataire de Di pour son propre compte, pour ses besoins, pas pour ceux de Di, ce qui signifie que Di a aucun droit de regard.
    • Feuille de style du service Material Design de la société commercial états-unienne Google hébergée sur les serveurs informatiques de cette dernière ;
      
      

    • Scripts de l’intermédiaire de paiement Paypal, société commerciale états-unienne, diffusés via les CDNs des sociétés commerciales états-uniennes Fastly et EdgeCast Networks ;

    • Le script reCAPTCHA de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière ;

      • Comme vous l’avez analysé dans votre mise en demeure du 15 juillet 2020 portant sur l’utilisation de reCAPTCHA dans la première version de StopCovid, dans votre décision du 11 avril 2022 portant sur l’utilisation de reCAPTCHA dans le formulaire de signalement de l’IGPN, et dans votre décision du 13 juillet 2022 portant sur l’utilisation de reCAPTCHA par la CNAM, l’utilisation de reCAPTCHA est soumise au consentement. Or, Di et Donorbox ne le recueillent pas ;
        
        
      • Le traitement n’a donc pas de base légale. Un transfert de données personnelles vers les États-Unis pour télécharger un outil qui effectuera un traitement dénué de base légale (ou qui est basé sur le consentement) ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
    • Scripts de l’outil de cartographie Maps de la société commerciale états-unienne Google, hébergés sur les serveurs informatiques de cette dernière ;
      
      
    • On notera qu’il est possible d’intégrer Donorbox à un site web sans télécharger, au chargement de la page web contenant l’encart de dons, ces nombreuses dépendances auprès d’entités états-uniennes. Le journal Basta y parvient. Principe de minimisation.

• Certaines enquêtes sont publiées sous la forme d’un sous-site web dédié. Exemple : https://lactalistoxique.disclose.ngo/fr/. On y trouve alors :

  • Polices de caractères de la société commerciale états-unienne Fonticons (use.fontawesome.com) diffusées via le CDN de Cloudflare ;

  • Polices de caractères Google Fonts. Cf. les points concernant DocumentCloud et Okpal ;

    • En vertu du principe de minimisation, un seul prestataire devrait être utilisé pour un même type de ressources web (ici, une police de caractères), au lieu de deux actuellement (Fonticons et Google Fonts).
  • Scripts et feuille de style de la société commerciale états-unienne Mapbox hébergés chez Amazon.

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web aujourd’hui externalisées comme une visionneuse de documents PDF (il existe trouzemilles visionneuses de PDF développées en JavaScript et librement réutilisables) ou des vidéos (avec les logiciels ESUP Pod, PeerTube, etc.).

De même, il est possible de contracter avec des prestataires européens qui hébergent leurs serveurs informatiques au sein de l’UE, comme un prestataire de collecte de dons ou un hébergeur de vidéos.

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, Tweets, etc.), à un clic du lecteur de Di sur un encart l’informant que l’affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Disclose découle une disproportion entre l’intérêt, pour Di, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de Disclose, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Di est tout l’inverse.

Je vais signaler, à Disclose, ces manquements au RGPD. Notons qu’aucun DPO est désigné et qu’en l’absence de politique de confidentialité, aucune procédure de contact spécifique est communiquée. Mon signalement va donc atterrir sur le bureau de personnes qui ne sont pas outillées pour y répondre.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Disclose et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Disclose.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Fakir

Introduction

Bonjour,

Le site web du journal Fakir transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Fonts, MailerLite, Google YouTube, Facebook, Twitter, Google reCAPTCHA.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Fakir, https://fakirpresse.info/, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Fakir : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Fakir (exemple : une vidéo Google YouTube volontairement intégrée par Fakir à son article fait télécharger, à son tour, la régie publicitaire Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Fakir dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Fakir et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Fakir, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur Fakir : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Fakir (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Je n’ai pas trouvé de politique de confidentialité (ou assimilé) sur le site web de Fakir. De plus, on peut avoir la certitude que Fakir met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de Fakir le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Fakir. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur Fakir ne chemine pas par l’infrastructure technique de Fakir ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur de Fakir et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à Fakir et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Fakir ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre le site web d’un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Polices de caractères téléchargées auprès du service Fonts de la société commerciale états-unienne Google ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20) ;
    
    
  • Notons que ces téléchargements sont également déclenchés par chaque page de la boutique (https://www.fakirpresse.info/boutique/).

• Scripts et feuilles de style jquery slick de la fondation états-unienne OpenJS hébergés auprès du projet JsDelivr, qui a recours aux CDNs des sociétés commerciales états-uniennes Cloudflare et Fastly ;

• Image de la société commerciale états-unienne MailerLite diffusée via le CDN de Cloudflare ;

  • Il s’agit d’une image « chargement en cours » / « roue qui tourne ». Elle est utilisée lors de l’inscription à la newsletter de Fakir. Elle n’est donc pas d’usage courant, mais le formulaire d’inscription à la newsletter qui la fait télécharger est intégré au menu de droite du site web de Fakir, donc elle est quand même téléchargée en permanence sur toutes les pages du site web ;
    
    
  • MailerLite est un prestataire d’e-mailing. Il y a donc transfert de données personnelles (adresse emails de l’abonné, etc.) à une entité de droit états-unien afin que celle-ci effectue l’envoi de la newsletter. Ce transfert de données personnelles aux États-Unis, distinct de celui constitué par le téléchargement de l’image sus-présenté, n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de MailerLite ;
    
    
  • En application du principe de minimisation prévu par le RGPD, Fakir pourrait proposer le formulaire d’inscription à sa newsletter dans une page web dédié, et le menu pourrait pointer sur cette page interne. Ainsi, le téléchargement de l’image (et le transfert de données personnelles qu’il constitue) aurait lieu uniquement sur cette page, et non pas sur l’ensemble des pages (car le menu est commun), ce qui constitue une surprise pour le lecteur de Fakir. On notera qu’une page dédiée existe déjà (https://fakirpresse.info/spip.php?page=newsletter), donc qu’il reste à effectuer uniquement la modification du menu. On a connu plus contraignant.
• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière ;
  • Du fait de l’intégration des vidéos en bas de la page d’accueil et dans le menu de droite, des téléchargements (et donc des transferts de données personnelles) à destination de Google ont lieu sur chaque page. Puisqu’il existe une rubrique dédiée nommée « vidéos », ces transferts sont inutiles et contraires au principe de minimisation du RGPD ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de Fakir ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Fakir ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

Ressources web externes communes à tous les articles (en sus des précédentes) :

• Scripts de la société commerciale états-unienne Facebook (connect.facebook.net, etc.) hébergés sur les serveurs informatiques de cette dernière ;

  • Ces scripts (et d’autres en provenance de Facebook) sont également téléchargés par l’encart « Suivez-nous sur Facebook » du pied de page de la page d’accueil de la boutique (https://www.fakirpresse.info/boutique/) ;
    
    
  • En quoi un suivi des lecteurs de Fakir, qui sont déjà ciblés, afin de faire connaître Fakir et ses articles (utilisation habituelle de ces scripts de Facebook) est-il nécessaire à l'exécution d'un contrat ? En rien.
• Scripts de la société commerciale états-unienne Twitter (bouton de partage) hébergés sur les serveurs informatiques de cette dernière ;
  • En quoi un suivi des lecteurs de Fakir, qui sont déjà ciblés, afin de faire connaître Fakir et ses articles (utilisation habituelle de ces scripts de Twitter) est-il nécessaire à l'exécution d'un contrat ? En rien.

Ressources web externes présentes sur certaines pages (en sus de celles présentes sur toutes les pages listées ci-dessus) :

• Le script reCAPTCHA de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière, est téléchargé sur la fiche descriptive de chaque produit de la boutique (exemple : https://www.fakirpresse.info/boutique/les-livres/99-je-vous-ecris-du-front-de-la-somme.html).

  • Comme vous l’avez analysé dans votre mise en demeure du 15 juillet 2020 portant sur l’utilisation de reCAPTCHA dans la première version de StopCovid, dans votre décision du 11 avril 2022 portant sur l’utilisation de reCAPTCHA dans le formulaire de signalement de l’IGPN, et dans votre décision du 13 juillet 2022 portant sur l’utilisation de reCAPTCHA par la CNAM, l’utilisation de reCAPTCHA est soumise au consentement. Or, Fakir ne le recueille pas ;
    
    
  • Le traitement n’a donc pas de base légale. Un transfert de données personnelles vers les États-Unis pour télécharger un outil qui effectuera un traitement dénué de base légale (ou qui est basé sur le consentement) ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
• L’outil de cartographie Maps de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière, est intégré sur au moins une page du site web de Fakir (https://www.fakirpresse.info/spip.php?page=agiravecfakir) ;
  
  
• Script du projet BootstrapCDN hébergé par le projet JsDelivr, donc par les CDNs de Cloudflare et de Fastly ;
  • On retrouve ce script presque partout (page d’accueil, rubriques « archives », « éditions », « vidéos », « agir avec Fakir », etc.).

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible de leur nombre en arrêtant de faire télécharger des ressources qui ne sont pas effectivement utilisées (cela semble être le cas de reCAPTCHA et des feuilles de style BootstrapCDN / jsdelivr).

De plus, il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web externalisées comme les polices de caractères Google Fonts, les feuilles de style BootstrapCDN / jsdelivr, etc.

Ensuite, il est possible d'héberger ces ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à la société commerciale française Octopuce (cas de YouTube). De même, il existe des prestataires européens d’e-mailing et de cartographie dont les serveurs sont situés dans l’UE (cas de MailerLite et de Google Maps).

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, carte Google Maps, etc.), à un clic du lecteur de Fakir sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

En sus, à l’exception des vidéos YouTube, le site web de Fakir fonctionne parfaitement à contenu équivalent si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre Fakir et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Fakir découle une disproportion entre l’intérêt, pour Fakir, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de Fakir, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de (trop) nombreuses organisations états-uniennes sont commis par un journal qui se revendique indépendant, alternatif, et dont la ligne éditoriale promeut un contrôle démocratique sur les multinationales (que sont les sociétés destinatrices des transferts sus-référencés) et une sobriété technologique (exemple : https://www.fakirpresse.info/la-guerre-de-la-5-g-aura-t-elle-lieu) qui ne saurait passer par trouzemilles requêtes web inutiles auprès d’une dizaine d’acteurs états-uniens. La divergence entre l’image dont se prévaut Fakir et ses actes sus-énumérés constitue un abus de confiance caractérisé.

    D’autant que le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Le site web de Fakir est tout l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, les manquements au RGPD sus-référencés au journal Fakir (pas de DPO identifiable), cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (je fais référence à l’arrêt C‑40/17 de la CJUE, et celle-ci avait déjà, à date, rendu son arrêt dit « Schrems I »), mais je préconisais déjà des contournements techniques (internalisation, politique du référent, etc.) et des solutions organisationnelles (recourir à des prestataires européens, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté de Fakir de se conformer au RGPD. En deux ans, aucun changement, aucune amélioration.

J’estime avoir tenté d’exercer mes droits auprès de Fakir. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Fakir et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Fakir.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Les Jours

Introduction

Bonjour,

Le site web du journal Les Jours transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Cloudflare, Google Analytics, Cloudflare Web Analytics, Twitter, Facebook, MailChimp.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Les Jours (« LJ » ci-après), https://lesjours.fr, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Les Jours : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par LJ (exemple : Google Analytics volontairement intégré par LJ à son site web fait télécharger, à son tour, un des scripts de collecte de la régie publicitaire Google DoubleClick puisque ces deux services de Google sont intriqués).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être LJ dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur des Jours et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de LJ, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur de LJ : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de LJ (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://lesjours.fr/les-jours-c-quoi/cookies-donnees-personnelles), LJ ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que LJ met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web de son lecteur le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par LJ et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par LJ. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur LJ ne chemine pas par l’infrastructure technique de LJ ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur LJ d’une part et les serveurs informatiques du CDN choisi par LJ et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre), donc elle échappe totalement à LJ et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

LJ ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

    Notons que certains transferts de données personnelles, comme l’intégration de vidéos depuis la plateforme YouTube de la société commerciale états-unienne Google, sont conditionnés à l’acceptation des cookies dans le bandeau cookies ou à un clic sur le bouton « Autoriser » d’un encart permettant le chargement de la vidéo dans un article. Mais cet encart (et le bandeau cookies) n’informe pas le lecteur des risques que les transferts de données personnels sus-jacents peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement est confus (on accepte les cookies, pas vraiment le transfert) et vicié (pas d’information au sens de l’article 49.1a du RGPD).

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Recours au CDN de la société commerciale états-unienne Cloudflare pour servir toutes les pages (texte), toutes les images, et tous les podcasts, y compris l’espace pour s’abonner et l’espace client qui manipulent des données personnelles supplémentaires (cookies, mot de passe, identité civile, adresse emails, adresse postale, historique des abonnements, etc.). Ces données personnelles transitent par Cloudflare (j’ignore si elle les consigne ou leur applique un traitement additionnel, mais elle en a la possibilité technique).

  • Notons qu’en tant qu’intermédiaire incontournable entre LJ et son lecteur, Cloudflare reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Cloudflare reçoit et consigne donc l’historique des lectures des lecteurs de LJ ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale de LJ et en fonction de l’abonné, donc elles ne peuvent pas être mises en cache (ou de manière limitée, et au risque de faire fuiter la vie privée). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Cloudflare (exemple : « cf-cache-status: DYNAMIC », cf. https://developers.cloudflare.com/cache/about/default-cache-behavior/), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final de Les Jours (Claranet, d’après ses mentions légales). Du coup, Cloudflare est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais des prestataires basés et hébergés informatiquement dans l’UE proposent des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
    
    
  • Quant aux ressources web statiques (images, feuilles de style, polices de caractères, certains scripts) qui sont effectivement servies par Cloudflare (ce qui soulage effectivement l’hébergeur final de LJ), on rappelle qu’elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on encaisse le même trafic pour ses pages web dynamiques : qui peut le plus peut le moins ;
    
    
  • À la vue de son nombre d’abonnés (12 000 en 2021, cf. https://lesjours.fr/obsessions/vie-jours/ep117-comptes-2021/), il n’apparaît pas que LJ ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). D’ailleurs, le journal Arrêt sur images, qui compte presque le double d’abonnés (source : https://www.arretsurimages.net/chroniques/la-vie-du-site/nos-comptes-vos-abonnements-des-nouvelles-darret-sur-images), n’a pas recours a un CDN. Tout au plus s’agit-il d’un arbitrage financier inexplicable : Les Jours est rentable et l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • LJ ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de LJ). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir LJ et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• Script de mesure d’audience de la société commerciale états-unienne Cloudflare (static.cloudflareinsights.com) que cette dernière héberge sur ses propres serveurs ;

  • Notons que la présentation de son outil par Cloudflare (https://www.cloudflare.com/fr-fr/web-analytics/) est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Comme rappelé ci-dessus, selon la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le téléchargement du script (https ://static.cloudflareinsights.com/beacon.min.js/v652eace1692a40cfa3763df669d7439c1639079717194) à partir du site web LJ génère un transfert, vers le service Web Analytics de Cloudflare, des données personnelles énumérées au début de la présente plainte. Il s’agit d’un deuxième transfert, destiné à un deuxième traitement, distinct de celui relaté au point précédent (CDN) ;
    
    
  • Alors que la lecture de l’écrasante majorité des articles de LJ est réservée à ses abonnés et que LJ ne recourt pas à la publicité, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés est un indicateur pertinent et suffisant, comme les ventes le sont pour un journal papier. À quoi bon savoir quels articles sont lus et ont eu le plus de succès ? À rien, le journal est tout de même financé. Danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent lire ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Polices de caractères de la société commerciale états-unienne Hoefler&Co (cloud.typography.com) qui, elle-même, pour les diffuser, a recours au CDN de la société commerciale états-unienne Akamai Technologies. La décision 3_O_17493/20 de la Cour régionale de Munich concernant Google Fonts est de pleine application ;

  • L’URL « https ://cloud.typography.com/6234674/791928/css/fonts.css » est redirigée vers « https ://lesjours.fr/css/fonts/653770/F6D57B3C2EC8F0BB7.css ». Cela peut signifier que LJ a commencé à ré-internaliser la police de caractères sans aller au terme, et que l’effort restant à fournir est insignifiant. En attendant, Akamai reçoit et consigne toujours les données personnelles sus-énumérées…

• Si l’on accepte les cookies facultatifs dans le bandeau dédié (sans jamais être informé des transferts de données personnelles vers les États-Unis que cela va engendrer), des scripts et des images supplémentaires sont automatiquement téléchargés depuis les serveurs informatiques de :

  • La société commerciale états-unienne Google, pour son service Analytics (cf. votre mise en demeure du 10 février 2022 à ce sujet), qui, lui-même, télécharge le service Google Tag Manager (avant même le consentement explicite du lecteur LJ sur la ligne dédiée du bandeau cookies) et un script de collecte de la régie publicitaire Google DoubleClick (ce couplage représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs des Jours) ;

    • Mêmes arguments que pour l’outil de mesure d’audience de Cloudflare ;

  • La société commerciale états-unienne Facebook. « Régie publicitaire » Facebook Pixel, nous dit le bandeau cookies de LJ ;

    • En quoi un suivi des lecteurs de LJ, qui sont déjà ciblés, afin de « faire connaître » LJ (je cite son bandeau cookies) est-il nécessaire à l’exécution d’un contrat entre un journal et son lecteur ? En rien.

  • La société commerciale états-unienne Twitter. Publicité et ciblage sur le réseau social tel un apporteur d’affaires (Twitter Cards, syndication).

    • En quoi un suivi des lecteurs de LJ, qui sont déjà ciblés, afin de « faire connaître » LJ (je cite son bandeau cookies) est-il nécessaire à l’exécution d’un contrat entre un journal et son lecteur ? En rien.
  • Notons que les ressources des trois derniers points sont nativement étiquetées « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut… ;
    
    
  • Puisque le téléchargement des ressources énumérées aux points précédents est conditionné au consentement du lecteur LJ (au sens de l’article 6.1a du RGPD, pas au sens du 49.1a), le transfert de données personnelles qu’il constitue ne saurait relever de la nécessité à l’exécution d’un contrat.

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible de réduire le nombre de prestataires. Pourquoi recourir à trois produits de mesure d’audience (Google Analytics, Cloudflare Web Analytics et Matomo ‒ m.lesjours.fr ‒) ? LJ en choisi un, forme ses équipes sur cette solution, etc., et cesse d'en utiliser plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.

De plus, il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web aujourd’hui externalisées comme les polices de caractères.

De même, il est possible de contracter avec des prestataires européens qui hébergent leurs serveurs informatiques au sein de l’UE (cas du CDN).

Ensuite, à l'exception du CDN de Cloudflare, le site web de LJ fonctionne parfaitement à contenu équivalent si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre LJ et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par LJ découle une disproportion entre l’intérêt, pour LJ, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web des Jours, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Dans sa politique de confidentialité (https://lesjours.fr/les-jours-c-quoi/cookies-donnees-personnelles), LJ déclare avoir recours à MailChimp pour envoyer ses newsletters d’information. MailChimp est un service de The Rocket Science Group, société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne.

Il y a donc transfert de données personnelles (adresse emails de l’abonné à la newsletter LJ, etc.) à une entité de droit états-unien.

Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Ces multiples transferts auprès d’organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Les Jours est tout l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, les manquements au RGPD sus-référencés au journal Les Jours, cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des solutions techniques (internalisation, politique du référent) et des débuts de solutions organisationnelles et sectorielles (adapter les pratiques journalistiques, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté des Jours de se conformer au RGPD. En deux ans, la situation s’est aggravée : ajout d’un CDN états-unien, ajout d’un troisième outil de mesure d’audience états-unien (Cloudflare Web Analytics), maintien des transferts vers les États-Unis existants (police de caractères, Facebook, Twitter, Google Analytics, etc.), etc.

J’estime avoir tenté d’exercer mes droits auprès des Jours. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.
Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont plus respectueux de la vie privée de leurs lecteurs que Les Jours et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre des Jours.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

L'informé

Introduction

Bonjour,

Le site web du journal L'informé transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Fastly, Google Cloud, Piano Xiti (ex-AT Internet), Google Fonts, Facebook, DocumentCloud.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à L'informé en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal L'informé (« LI » ci-après), www.linforme.com, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être LI dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de LI et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de LI, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur LI : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de LI (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.linforme.com/static/politique-de-confidentialite), LI déclare l’existence de transferts de données personnelles à des pays tiers non adéquats. LI ne déclare pas avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que LI met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de LI le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par LI et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par LI. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur LI ne chemine pas par l’infrastructure technique de LI ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur LI d’une part et les serveurs informatiques du CDN choisi par LI et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre part), donc elle échappe totalement à LI et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

LI ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, tous les articles, etc.) :

• Recours au CDN de la société commerciale états-unienne Fastly pour servir toutes les pages (texte) et toutes les images (linforme-focus.sirius.press), y compris l’espace pour s’abonner (https://www.linforme.com/abonnements) et l’espace client qui manipule des données personnelles supplémentaires (cookie, mot de passe, identité civile, adresse emails, historique des abonnements, etc.). Ces données personnelles transitent par Fastly (j’ignore si elle les consigne ou leur applique un traitement additionnel, mais elle en a la possibilité technique).

  • Notons qu’en tant qu’intermédiaire incontournable entre LI et son lecteur, Fastly reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Fastly reçoit et consigne donc l’historique des lectures des lecteurs de LI ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale de LI et en fonction de l’abonné, donc elles ne peuvent pas être mises en cache (ou de manière limitée, et au risque de faire fuiter la vie privée). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Fastly (exemple : « x-cache: MISS », cf. https://docs.fastly.com/en/guides/checking-cache#using-the-simple-curl-command), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final de L'informé. Du coup, Fastly est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service ;
    
    
  • Quant aux ressources web statiques (images, feuilles de style, certains scripts) qui sont effectivement servies par Fastly (ce qui soulage effectivement l’hébergeur final de LI), on rappelle qu’elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on encaisse le même trafic pour ses pages web dynamiques : qui peut le plus peut le moins ;
    
    
  • Compte-tenu de sa jeunesse (quelques semaines) et donc de son très probable faible nombre d’abonnés (en comparaison, le journal Arrêt sur images encaisse 21 000 abonnés sans CDN, cf. https://www.arretsurimages.net/chroniques/la-vie-du-site/nos-comptes-vos-abonnements-des-nouvelles-darret-sur-images), il n’apparaît pas que LI ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). Tout au plus s’agit-il d’un arbitrage financier inexplicable : un éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • LI ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de LI). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • D’après ses mentions légales (https://www.linforme.com/static/mentions-legales), l’hébergeur final de LI est le service Cloud de la société commerciale états-unienne Google. Celle-ci dispose de ressources informatiques conséquentes, d’une excellente connectivité réseau à travers le monde et d’une capacité à encaisser les attaques par déni de service à même de satisfaire les besoins d’un jeune journal comme LI. Le recours à Fastly est donc inutile, sauf à considérer un arbitrage financier (dépense chez Fastly pour éviter un surcoût de ressources côté Google Cloud, en supposant que Fastly coûte moins cher que Google Cloud ce qui reste à vérifier) qui ne saurait être un critère suffisant pour enfreindre le RGPD d’après le CEPD
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir LI et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• D’après ses mentions légales (https://www.linforme.com/static/mentions-legales), l’hébergeur informatique final de LI est la société commerciale états-unienne Google. Comme nous l’avons mis en évidence au point précédent, les pages web de LI ne sont pas mises en cache par Fastly. Donc, chaque requête web pour les consulter est transmise à Google par Fastly. Ainsi, bien qu’il n’y ait pas de contact direct entre le terminal du lecteur LI et les serveurs informatiques de Google, les données personnelles du lecteur LI sus-énumérées sont donc transmises, par rebond, par Fastly, à Google (l’adresse IP l’est via l’entête HTTP « Fastly-Client-IP » ajouté par Fastly, cf. https://developer.fastly.com/reference/http/http-headers/Fastly-Client-IP/) ;

  • Cumuler Google et Fastly, et donc doubler le nombre de transferts de données personnelles vers les États-Unis alors que Google saurait encaisser à lui seul le trafic généré par LI et fournir la qualité de service attendue (cf. point précédent) est contraire au principe de minimisation du RGPD.

• Scripts de mesure d’audience Xiti (logs1412.xitim.com, tag.aticdn.net) de la société commerciale française AT Internet ;

  • Depuis mars 2021, l’unique actionnaire en est la société commerciale états-unienne Piano Software Inc. (cf. https://www.atinternet.com/presses/at-internet-sassocie-a-piano-pour-creer-la-premiere-plateforme-dexperience-client-basee-sur-lanalyse-contextuelle/). Cette dernière est immatriculée dans le Delaware (cf. https://icis.corp.delaware.gov/Ecorp/EntitySearch/NameSearch.aspx) et elle dispose de plusieurs bureaux aux États-Unis (New York, Philadelphie, cf. https://resources.piano.io/about/) ;
    
    
  • Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, des faits énoncés au point précédent, AT Internet est soumise au Cloud Act, qui est incompatible avec le RGPD. Votre analyse appuyant votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics est donc de pleine application ici ;
    
    
  • AT Internet a recours au CDN de la société commerciale états-unienne Amazon (cf. https://www.atinternet.com/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/#traitees-et-stockees). Il y a donc un contact direct entre le terminal du lecteur de LI et les serveurs d’Amazon ;
    
    
  • Alors que la lecture des articles de LI est réservée à ses abonnés et que LI ne recourt pas à la publicité, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés est un indicateur pertinent et suffisant. À quoi bon savoir quels articles sont lus et ont eu le plus de succès ? Danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent entendre ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Scripts et images de la plateforme de gestion du consentement (CMP) Axeptio de la société commerciale française Agilitation ;

  • Cette dernière héberge les scripts de sa CMP (api.axept.io, client.axept.io, et static.axept.io) auprès du CDN de la société commerciale états-unienne Amazon et ses images (axeptio.imgix.net) auprès de la société commerciale états-unienne Zebrafish Labs, qui elle-même, a recours au CDN de Fastly ;
    
    
  • L’encart « Je choisis » de la CMP fait télécharger automatiquement les icônes correspondantes aux services qui déposeront des cookies (Facebook Pixel et Google Ads dans le cas présent) depuis les serveurs informatiques de la société commerciale états-unienne Google (gstatic.com).

• Police de caractères téléchargée auprès du service Fonts de la société commerciale états-unienne Google (a priori, elle a été supprimée le 27 ou le 28 octobre 2022) ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20).
• Si l’on accepte les cookies facultatifs dans le bandeau dédié (sans jamais être informé des transferts de données personnelles vers les États-Unis que cela va engendrer), des scripts et des images supplémentaires sont automatiquement téléchargés depuis :
  • Les serveurs informatiques de la société commerciale états-unienne Facebook. Service Facebook Pixel permettant d’« identifier les lecteurs venus de Facebook » (je cite le bandeau cookies de LI) ;
    
    
  • Les serveurs informatiques de la société commerciale états-unienne Google. Service Ads permettant de « mesurer l'efficacité des campagnes sponsorisées » (je cite le bandeau cookies de LI). Google couple ses services (YouTube est couplé à DoubleClick, Analytics à DoubleClick et Ads, etc.), donc risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de LI ;
    
    
  • En quoi les traitements des deux points précédents sont-ils nécessaires à l’exécution d’un contrat entre un lecteur et un journal ? En rien. Puisque le téléchargement des ressources énumérées aux points précédents est conditionné au consentement du lecteur de LI (au sens de l’article 6.1a du RGPD, pas au sens du 49.1a), le transfert de données qu’il constitue ne saurait relever de la nécessité à l’exécution d’un contrat.

Ressources web externes présentes sur certaines pages et articles :

• Pour protéger son formulaire de contact (https://www.linforme.com/contactez-nous), LI a recours au service de CAPTCHA de la société commerciale allemande Friendly Captcha. Cette dernière a recours au CDN de Cloudflare pour diffuser les ressources web (scripts) de son service ;
  
  
• Documents PDF intégrés à certains articles via la visionneuse de l’organisation sans but lucratif états-unienne DocumentCloud, qui, elle-même, a recours au CDN de Cloudflare pour la diffuser (exemple : https://www.documentcloud.org/documents/23204203-conclusions-c_470_21fr) ;
  • La visionneuse de documents de DocumentCloud fait télécharger de ressources web supplémentaires auprès du service Fonts de Google (cf. le point dédié ci-dessus).

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web comme un outil de mesure d’audience, une police de caractères, une CMP, une protection pour formulaires web, etc.

Ensuite, il est possible d'héberger ces ressources web (CMP, outil de mesure d’audience, CAPTCHA, etc.) auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. De même, il existe de tels prestataires d’hébergement informatique et de CDN.

En tout état de cause, à l’exception du CDN et de l’hébergeur, le site web de LI fonctionne parfaitement si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre LI et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par LI découle une disproportion entre l’intérêt, pour LI, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de L'informé, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. LI est tout l’inverse.

Ces manquements au RGPD sont aggravés par la jeunesse de LI. Ce journal a ouvert ses portes le 21 octobre 2022. Cela signifie qu’il a été conçu et développé (programmé, codé) dans les années 2021 et 2022. Il ne saurait donc ignorer les décisions de justice et d’APD sus-énumérées. Sa jeunesse ne lui permet pas de se prévaloir d’une quelconque inertie pour s’adapter : les règles du jeu existaient avant sa conception. L’existence de transferts illégaux de données personnelles vers un pays tiers non adéquat doit donc être regardé comme un manquement au principe de protection des données personnelles dès la conception prévu par le RGPD.

Je vais signaler, à L’informé, ces manquements au RGPD. Notons qu’aucun DPO est désigné et qu’aucune procédure de contact est communiquée par LI dans sa politique de confidentialité. Mon signalement va donc atterrir sur le bureau de personnes qui ne sont pas outillées pour y répondre.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que L'informé et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de L'informé.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ accès libre aux articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Mediapart

Introduction

Bonjour,

Le site web du journal Mediapart transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Fastly, Piano Xiti (ex-AT Internet), AppNexus, Facebook, Twitter, Google YouTube, DocumentCloud, Google Fonts, CDN Cloudflare.
Manquements répétés aux articles 44 et suivants du RGPD.

Email envoyé au journal le 15/05/2018 puis LRAR envoyée le 13/02/2020. Pas de réponse. Les manquements existants perdurent à ce jour et de nouveaux ont été mis en œuvre.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Mediapart (« MP » ci-après), https://www.mediapart.fr, fait automatiquement télécharger, au navigateur web de ses lecteurs, une multitude de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Mediapart : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par MP (exemple : une infographie volontairement intégrée par MP à son article fait télécharger, à son tour, Google Analytics).

N’en étant pas utilisateur, je ne traiterai pas l’application mobile de Mediapart dont la politique de confidentialité de MP nous dit qu’elle contient des ressources web externes états-uniennes distinctes ou supplémentaires de celles du site web MP qui est l’objet de la présente.

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être MP dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de MP et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de MP, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur MP : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de MP (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Notons que le site web de MP positionne un entête HTTP « Referrer-Policy » avec la valeur « strict-origin-when-cross-origin », qui est la politique de référent par défaut des navigateurs web modernes, et qui consiste à transmettre aux tiers (les hébergeurs informatiques des ressources web tierces intégrées au site web MP) uniquement l’adresse du site web (« https://www.mediapart.fr ») au lieu de l’URL complète (ce qui révélerait auxdits tiers l’article précis lu par le lecteur de MP).

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.mediapart.fr/confidentialite), MP ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que MP met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de MP le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par MP et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par MP. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur MP ne chemine pas par l’infrastructure technique de MP ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur MP d’une part et les serveurs informatiques du CDN choisi par MP et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre part), donc elle échappe totalement à MP et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

MP ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Recours au CDN de la société commerciale états-unienne Fastly pour servir toutes les pages (texte) et toutes les images, y compris l’espace pour s’abonner (https://abo.mediapart.fr/) et l’espace client (https://moncompte.mediapart.fr) qui manipule des données personnelles supplémentaires (cookies, mot de passe, pseudonyme, identité civile, adresse postale, coordonnées bancaires, adresse emails, profession, année de naissance, historique des abonnements, etc.). Ces données personnelles transitent par Fastly (j’ignore si elle les consigne ou leur applique un traitement additionnel, mais elle en a la possibilité technique).

  • Notons qu’en tant qu’intermédiaire incontournable entre MP et son lecteur, et malgré la politique du référent décrite ci-dessus, Fastly reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Fastly reçoit et consigne donc l’historique des lectures des lecteurs de MP ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale de MP et en fonction de l’abonné (son pseudo est mentionné dans le menu horizontal, par exemple), donc elles ne peuvent pas être mises en cache (ou de manière limitée, et au risque de faire fuiter la vie privée). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Fastly (exemple : « x-cache: MISS, MISS », cf. https://docs.fastly.com/en/guides/checking-cache#using-the-simple-curl-command), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final de Mediapart (OVH, d’après ses mentions légales). Du coup, Fastly est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais OVH propose des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
    
    
  • Quant aux ressources web statiques (images, feuilles de style, polices de caractères, certains scripts) qui sont effectivement servies par Fastly (ce qui soulage effectivement l’hébergeur final de MP), on rappelle qu’elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on encaisse le même trafic pour ses pages web dynamiques : qui peut le plus peut le moins ;
    
    
  • À la vue de son nombre d’abonnés (https://blogs.mediapart.fr/edwy-plenel/blog/150322/mediapart-quatorze-ans-tous-ses-chiffres-comptes-et-resultats), il n’apparaît pas que MP ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). Tout au plus s’agit-il d’une erreur lors de la conception de la nouvelle formule du site web en 2021 (MP ne recourait pas à un CDN avant cela) ou d’un arbitrage financier inexplicable : Mediapart est rentable (au point d’affecter environ 100 000 € au fonds pour une presse libre, cf. https://fondspresselibre.org/wp/assets/uploads/2022/10/Rapport-Impact-FPL-2022-VOK-LOW.pdf) et l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • MP ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de MP). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir MP et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• Scripts de la société commerciale anglaise Polyfill hébergés par le CDN de Fastly. Scripts permettant d’implémenter de nouvelles fonctionnalités web sur de vieux navigateurs web qui ne les prennent pas en charge nativement ;

  • Il est possible de développer en interne ses propres polyfill (qui est un terme générique) ou d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) les polyfill librement distribués par d’autres développeurs.

• Scripts de la société commerciale belge Selligent, filiale du groupe états-unien CM Group (https://cmgroup.com/), hébergés sur le CDN de la société commerciale états-unienne Cloudflare ;

  • Notons que deux cookies sont déposés par ce prestataire, et qu’ils sont classés comme étant nécessaires dans le bandeau cookie de MP. Ces cookies sont donc transmis à Cloudflare (entête HTTP comme un autre) ;
    
    
  • Quel est l’intérêt réel de la « mise en avant des services, offres, et avantages » auprès des abonnés de MP (je cite la politique de confidentialité de MP) ? En quoi est-ce nécessaire à l’exécution du contrat (l’abonné a déjà souscrit, il connaît donc les services et les avantages de son abonnement) ? En rien ;
    
    
  • Ce prestataire fait automatiquement télécharger des scripts auprès du service Azure de la société commerciale états-unienne Microsoft. MP ne peut ignorer ce fait, car elle a positionné, sur son site web, une instruction ordonnant au navigateur web de son lecteur de précharger lesdits scripts (« <link rel="preload" href="https ://targetemsecure.blob.core.windows.net/84e5c880-8719-4773-8dad-7c722eb16350/84e5c880871947738dad7c722eb16350_1.js" as="script"> ». Notons que Microsoft n’est pas mentionnée dans la politique de confidentialité de MP alors qu’elle est destinatrice de ce transfert de données.

• Scripts de mesure d’audience Xiti de la société commerciale française AT Internet ;

  • Depuis mars 2021, l’unique actionnaire en est la société commerciale états-unienne Piano Software Inc. (cf. https://www.atinternet.com/presses/at-internet-sassocie-a-piano-pour-creer-la-premiere-plateforme-dexperience-client-basee-sur-lanalyse-contextuelle/). Votre analyse appuyant votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics est de pleine application ici ;
    
    
  • AT Internet a recours au CDN de la société commerciale états-unienne Amazon (cf. https://www.atinternet.com/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/#traitees-et-stockees). Il y a donc un contact direct entre le terminal du lecteur de MP et les serveurs d’Amazon ;
    
    
  • Alors que la lecture des articles de MP est réservée à ses abonnés et que MP ne recourt pas à la publicité, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés est un indicateur pertinent et suffisant. À quoi bon savoir quels articles sont lus et ont eu le plus de succès alors que MP dénonce le grand danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent entendre (cf. https://www.mediapart.fr/journal/economie/130218/les-milliardaires-de-la-presse-gaves-d-aides-publiques-et-privees?page_article=3, dernier paragraphe avant le point 4) ?
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme nécessaire à l’exécution d’un contrat.

• Si l’on accepte les cookies facultatifs dans le bandeau dédié (sans jamais être informé des transferts de données personnelles vers les États-Unis que cela va engendrer), des scripts et des images supplémentaires sont automatiquement téléchargés depuis :

  • La société commerciale états-unienne CrazyEgg, pour du suivi de parcours client. Cette société a recours au CDN de Cloudflare pour diffuser ses ressources ;
    
    
  • La société commerciale états-unienne Facebook. Il s’agit d’images transparentes de dimensions un pixel sur un pixel au format gif, autrement dit d’images invisibles. Il s’agit d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. En quoi un suivi des lecteurs de MP, qui sont déjà ciblés, afin de « faire la promotion de Mediapart » (je cite sa politique de confidentialité), est-il nécessaire à l’exécution d’un contrat entre le journal et son lecteur ? En rien ;
    
    

  • La société commerciale états-unienne AppNexus (adnxs.com). Il s’agit, entre autres, d’une régie publicitaire qui détient 8 % du marché publicitaire mondial selon le numéro 163 des Dossiers du Canard enchaîné, d’où un risque accru de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de MP. Notons qu’AppNexus n’est pas référencée dans la politique de confidentialité de MP alors qu’elle est destinatrice de ce transfert de données personnelles ;

  • La société commerciale française Gammed (adbutter.net). Ciblage d’audience sur des sites web pour promouvoir Mediapart. Les scripts sont hébergés dans le service Cloud de la société commerciale états-unienne Google. Ils font émettre, au navigateur web du lecteur MP, des requêtes web destinées à la société AppNexus sus-décrite.

    • Notons qu’un dépôt de cookie a lieu et qu’il est donc transmis à Google (entête HTTP comme un autre) ;
      
      
    • En quoi un « ciblage d'audience sur des sites tiers » nécessite-t-il de suivre les lecteurs MP, déjà ciblés ? En quoi ce suivi afin de « faire la promotion de Mediapart » (je cite sa politique de confidentialité) est-il nécessaire à l’exécution d’un contrat entre un journal et son lecteur ? En rien ;
      
      
    • Notons que la politique de confidentialité de MP est trompeuse puisqu’elle indique que les données de navigation sont « hébergées à Amsterdam (Pays-Bas) et à Dublin (Irlande). ». Elles sont hébergées par Google, société commerciale états-unienne, donc le Cloud Act est de pleine application quel que soit le lieu effectif de stockage.
  • Notons que toutes ces ressources sont nativement étiquetées « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut… ;
    
    
  • Puisque le téléchargement des ressources énumérées aux points précédents est conditionné au consentement du lecteur MP (au sens de l’article 6.1a du RGPD, pas au sens du 49.1a), le transfert de données personnelles qu’il constitue ne saurait relever de la nécessité à l’exécution d’un contrat.

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis appartenant à cette première catégorie de « ressources web externes sans apport rédactionnel » n'est pas établie, car il est techniquement et juridiquement possible de développer en interne des ressources web équivalentes (cas de Polyfill, Selligent, etc.) et/ou d'opter pour une solution logicielle acquise auprès d’un tiers mais hébergée en interne (sur les mêmes serveurs informatiques que les pages web) ou chez un prestataire européen (cas de Xiti, Polyfill, Polyfill, etc.), ou de contracter avec des prestataires équivalents mais basés et hébergés informatiquement dans l'UE (cas du CDN Fastly, de Xiti, Selligent, CrazyEgg, Gammed, etc.).

De plus, à l'exception du CDN de Fastly, le site web de MP fonctionne parfaitement si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre MP et son lecteur.

Ressources web externes présentes dans au moins un article récent :

• Infographies et cartographies proposées via Datawrapper, société commerciale allemande dont les ressources web (et donc, in fine, les infographies) sont diffusées via le CDN de la société Cloudflare. Exemple : https://www.mediapart.fr/journal/international/081022/l-exode-des-russes-un-mouvement-inedit-impressionnant-et-inattendu ;

• Infographies hébergées par Flourish, service de la société anglaise Canva UK Operations, qui, elle-même, utilise le CDN de la société commerciale états-unienne Amazon, et fait télécharger automatiquement l’outil Google Analytics (cf. votre mise en demeure du 10/02/2022 à ce sujet), des ressources additionnelles auprès de Google Fonts ainsi que des polices de caractères servies par Cloudflare (via le domaine xyzbmojn.net, propriété de la société Canva sus-nommée). Exemple : https://www.mediapart.fr/journal/economie/101022/autour-de-chailley-dans-l-yonne-les-megapoulaillers-continuent-de-pousser ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20).

• Vidéos YouTube via la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemple : https://www.mediapart.fr/journal/economie/101022/penurie-de-main-d-oeuvre-dans-les-transports-publics-la-ratp-et-la-sncf-aux-abois ;

  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de MP.

• Vidéos hébergées par la société commerciale états-unienne Vimeo sur ses propres serveurs informatiques. Exemple : https://www.mediapart.fr/journal/international/071022/elle-braque-sa-banque-au-liban-crie-depuis-trois-ans-le-pouvoir-ne-nous-entend-pas ;

  • Le téléchargement automatique du lecteur de vidéos de Dailymotion au chargement d’un article entraîne, par rebond, en cascade, le téléchargement de ressources web (lecteur de vidéos, télémétrie) depuis les sociétés commerciales états-uniennes Akamai Technologies, Fastly et Google Cloud.

• Vidéos hébergées par la société commerciale française Dailymotion. Exemple : https://www.mediapart.fr/journal/france/280922/quand-michel-pincon-nous-faisait-visiter-chantilly-kolkhoze-de-riches ;

  • Le téléchargement automatique du lecteur de vidéos de Dailymotion au chargement d’un article entraîne, par rebond, en cascade, le téléchargement de scripts techniques auprès de Google (s0.2mdn.net, imasdk.googleapis.com, etc.). D’autres ressources (api.dmcdn.net, s1.dmcdn.net, etc.) sont diffusées par des CDNs états-uniens (comme Limelight Networks / Edgio).

• Vidéos hébergées par l’Institut National de l’Audiovisuel (INA). Son visionneur de vidéos fait télécharger automatiquement des ressources auprès :

  • du projet jsDelivr, c’est-à-dire des sociétés états-uniennes Cloudflare et Fastly ;
    
    
  • de LinkedIn, filiale de Microsoft ;
    
    
  • de jwpcdn.com c’est-à-dire de Fastly et de la société états-unienne EdgeCast Network.

• Les vidéos (entre autres contenus multimédias) reprises par Mediapart sont intégrées à son site web à l’aide du service Embedly de la société commerciale états-unienne A Medium Company, qui, elle-même, a recours au CDN de la société Cloudflare ;

  • Aucune valeur ajoutée (YouTube, Vimeo, etc. disposent d’infrastructures techniques leur permettant d’encaisser un nombre conséquent d’utilisateurs), donc disproportion entre l’intérêt de Mediapart et l’atteinte aux droits de ses lecteurs. Exemples : voir points YouTube / Vimeo ci-dessus.

• Documents PDF hébergés par l’organisation sans but lucratif états-unienne DocumentCloud, qui, elle-même, a recours au CDN de Cloudflare. Exemple : https://www.mediapart.fr/journal/france/220822/l-embarras-des-autorites-sanitaires-face-aux-pesticides-dans-l-eau-potable ;

  • La visionneuse de documents de DocumentCloud fait télécharger des ressources web supplémentaires auprès du service Fonts de Google (cf. le point sur Flourish ci-dessus).
• Intégration de tweets via le widget Twitter qui fait télécharger automatiquement, au lecteur MP, des ressources web auprès de la société commerciale états-unienne Twitter. Exemple : https://www.mediapart.fr/journal/international/091022/vladimir-poutine-la-semaine-de-toutes-les-desillusions ;
  
  
• Podcasts fournis par la société commerciale française Audiomeans qui en délègue l’hébergement à Amazon et qui fait télécharger des ressources web auprès du projet JsDelivr, donc des sociétés états-uniennes Cloudflare et Fastly. Exemple : https://www.mediapart.fr/journal/politique/091022/finances-locales-se-prend-un-mur ;
  
  
• Podcasts fournis par la société commerciale suédoise Acast qui a recours au CDN d’Amazon et qui fait télécharger automatiquement l’outil Google Analytics (cf. votre mise en demeure du 10/02/2022 à ce sujet). Exemple : https://www.mediapart.fr/journal/culture-et-idees/091022/l-esprit-critique-theatre-paroles-brutales-art-brut-et-vie-brutalisee ;
  
  
• Ressources web de l’AFPForum, éditées par l’Agence France Presse, mais hébergées par le CDN de la société commerciale états-unienne Akamai Technologies ;
  
  
• Seuls quelques articles de MP contiennent une vidéo ou un document PDF ou une infographie ou un podcast ou l’un des autres éléments sus-énuméré, donc, en accédant à un tel article, le lecteur de MP ne saurait s’attendre au chargement des ressources web externes sus-référencées ni aux transferts de données personnelles vers un pays tiers non adéquat qui en découle (absence d’une pratique généralisée et facilement identifiable).

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis appartenant à cette deuxième catégorie de « ressources web externes qui participent au contenu » n'est pas établie, car il est possible de réduire le nombre de prestataires. Pourquoi recourir à plusieurs prestataires pour un même type de contenus (infographies, podcasts, vidéos, etc.) ? MP en choisi un, forme ses équipes sur cette solution, etc., et cesse d'en utiliser plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.

De plus, il est possible d'internaliser certaines de ces ressources web et outils. Exemples : cette infographie dynamique du Monde diplomatique est hébergée en interne, https://www.monde-diplomatique.fr/cartes/fichage ; un podcast des Jours est hébergé en interne, https://lesjours.fr/podcasts/refuseurs/ep1-contexte-agro-refuseurs/. De même, il existe trouzemilles visionneuses de documents PDF développées en JavaScript et librement réutilisables.

    De plus, vu son ancrage et sa bonne santé financière, MP pourrait prendre la tête d'un consortium, fût-il informel, qui développerait les outils manquants (si tel est le cas) et qui les mettrait à disposition, fût-elle de manière payante, de l'ensemble de la profession. Mutualisation par la demande. Exemple : le journal Next Inpact, bien plus sectoriel et petit que MP, a développé un guichet unique pour l'achat à l'article de titres de presse numérique et indépendante nommée La Presse Libre.

Ensuite, il est possible d'héberger certaines de ces ressources web et outils auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à une société commerciale française (Octopuce).

De même, certaines pratiques rédactionnelles peuvent être adaptées. Plutôt que d'intégrer un tweet dans un article en utilisant le widget Twitter, les journalistes de MP peuvent citer le propos qu’il contient comme ils le font de propos oraux ou lors de reprise de propos écrits, et laisser à leur lecteur la possibilité de cliquer sur un lien pour aller lire ledit tweet. S'il s'agit de conserver une trace, une capture d'écran convient. De même, une infographie dynamique peut être résumée par une capture d'écran statique associée à un lien permettant d’accéder à la version dynamique qui nécessite un transfert de données personnelles vers les États-Unis. Proposer un lien vers une vidéo plutôt que de l’intégrer. Bref, laisser le choix au lecteur.

En tout état de cause, il est possible de conditionner le téléchargement de certaines de ces ressources (vidéos, tweets, infographies, etc.), à un clic du lecteur MP sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par MP découle une disproportion entre l’intérêt, pour MP, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

Sans compter que, parmi les 37 (!) sociétés commerciales référencées dans la politique de confidentialité de MP (https://www.mediapart.fr/confidentialite) et dans son bandeau cookies, seules trois (SoundCloud, Spotify et CartoDB), soit moins de 10 %, ne sont pas états-uniennes.

Toutes les autres sont soit de droit états-unien, soit ont des actionnaires majoritaires états-uniens (Xiti, Selligent), soit ont des bureaux aux États-Unis (Xiti), soit… Dans les deux derniers cas, la législation états-unienne (FISA, Cloud Act, etc.) leur est donc opposable, comme l’analyse le memorandum d’un cabinet d’avocats états-unien remis au ministère de la Justice et de la sécurité des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo). L’arrêt « Schrems II » et toutes les décisions citées le long de cette plainte sont, par conséquence, de pleine application à leur égard.

De plus, il faudrait vérifier que les trois sociétés européennes sus-mentionnées (SoundCloud, Spotify et CartoDB) n’ont pas, comme toutes les autres sociétés sus-citées, recours à un hébergeur ou à un CDN états-unien, auquel cas, l’analyse déroulée tout au long de cette plainte leur serait également applicable. Je n’ai pas trouvé de pages sur le site web de MP intégrant le service de ces trois sociétés, donc je n’ai pas pu procéder à cette vérification.

En conclusion, lors de la navigation sur le site web de Mediapart, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 (pour l’un d’eux) et le 30 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts illégaux auprès de (trop) nombreuses organisations états-uniennes sont commis par un journal qui se revendique indépendant, différent, alternatif, libre, d’« innovation continue en matière de Web » (je cite les ambitions du projet : https://presite.mediapart.fr/contenu/le-projet.html). La divergence entre l’image dont se prévaut Mediapart et ses actes sus-énumérés constitue un abus de confiance caractérisé.

    D’autant que le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Mediapart est tout l’inverse.

Le 15/05/2018, j’ai signalé, par email, ces manquements au RGPD au DPO, au président et à la rédaction de Mediapart, cf. PJ 1. Je n’ai pas reçu de réponse. En revanche, les emails m’informant de la reconduction tacite de mon abonnement me parviennent bien, donc l’hypothèse d’un dysfonctionnement technique est peu probable.

Le 08/06/2019, j’ai signalé, par email, à une journaliste (copie toute la rédaction), l’absence de pertinence à pointer un document, en l’occurrence un communiqué de presse, sur Facebook quand il est disponible sur un site web officiel, en l’occurrence celui de l’homme politique dont il était question, cf PJ 2. Je n’ai pas reçu de réponse.

Le 13/02/2020, j’ai signalé, par LRAR, les mêmes manquements au RGPD qu’en 2018 au président de Mediapart, cf PJ 3 et PJ 4. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des contournements techniques (internalisation, politique du référent) et des débuts de solutions organisationnelles et sectorielles (concevoir des outils, formation, adaptation des pratiques journalistiques, etc.).

Notons que la « nouvelle formule » du site web de Mediapart de 2021 a rien apporté du côté de la mise en conformité avec le RGPD. Le maintien de ces transferts illégaux de données personnelles vers un pays tiers non adéquat doit donc être regardé comme un manquement au principe de protection des données personnelles dès la conception prévu par le RGPD.

Cet historique illustre l’indifférence au long cours et l’absence de volonté de Mediapart de se conformer au RGPD. En quatre ans, la situation s’est aggravée : ajout d’un CDN états-unien, recours à des prestataires supplémentaires hébergés sur des serveurs informatiques détenues par des entités états-uniennes, absence de suivi des prestataires existants (Xiti est soumis au Cloud Act depuis son rachat en 2021), etc.

J’estime avoir tenté d’exercer mes droits auprès de MP. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Mediapart et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Mediapart.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Next Inpact

Introduction

Bonjour,

Le site web du journal Next Inpact transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Cloudflare, MailChimp, hCaptcha.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à Next Inpact en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Next Inpact (« NI » ci-après), https://www.nextinpact.com, fait automatiquement télécharger, au navigateur web de ses lecteurs, plusieurs ressources web (images, scripts JavaScript, documents PDF, etc.) qui sont diffusés via le CDN de la société commerciale états-unienne Cloudflare. Il y a un contact direct entre le terminal du lecteur de NI et les serveurs informatiques de Cloudflare :

    $ dig +short cdnx.nextinpact.com cdn2.nextinpact.com cdn3.nextinpact.com api.bonsplans.tech | xargs -L1 whois | grep OrgName | uniq
    OrgName: Cloudflare, Inc.

    Les images téléchargées auprès de ce CDN sont celles qui participent au contenu (entête de chaque article, illustrations d’articles comme https://www.nextinpact.com/article/70223/comment-installer-dernier-kde-sur-kubuntu-ou-autre-distribution, preuves des propos tenus ou rapportés dans un article comme https://www.nextinpact.com/article/70198/comment-meilleur-stalkerware-grand-public-sadresse-aux-hommes-en-mal-controle, etc.), les icônes de boutons dans l’espace abonné et les avatars des commentateurs sous les articles.
    Les documents PDF en question participent également au contenu (exemple : récupération d’une décision de justice évoqué dans un article comme https://www.nextinpact.com/article/69908/la-ligne-editoriale-france-soir-a-epreuve-cgu-google).
    Les scripts sont ceux qui permettent de récupérer les « bons plans » c’est-à-dire les bonnes affaires commerciales du moment depuis un autre site web du journal.

Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être NI dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans le cas d’espèce, Cloudflare est un CDN du deuxième type. Pour s’en assurer, on peut consulter les entêtes HTTP qu’il insère dans ses réponses aux requêtes web (cf. la documentation officielle de Cloudflare : https://developers.cloudflare.com/cache/about/default-cache-behavior/ ; https://developers.cloudflare.com/fundamentals/get-started/reference/http-request-headers) :

    $ curl -s -o /dev/null -D - ‘https ://cdnx.nextinpact.com/compress/850-412/data-next/images/bd/wide-linked-media/4034.jpg’ | grep -E '^(server|cf-)'
    cf-cache-status: HIT
    server: cloudflare
    cf-ray: 75fb2c36ae97cdd7-CDG

    $ curl -s -o /dev/null -D - 'https ://api.bonsplans.tech/api/public/BonPlan/list?Tri=0&Page=1&OnlyPartnered=true&Nb=5' | grep -E '^(server|cf-)'
    cf-cache-status: DYNAMIC
    server: cloudflare
    cf-ray: 75fb2f35dc63d564-CDG

Il y a donc un contact direct entre le terminal du lecteur de NI et les serveurs informatiques de Cloudflare, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) par Cloudflare.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de NI, les téléchargements de ressources web hébergées auprès du CDN de la société commerciale états-unienne Cloudflare génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur de NI : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de NI (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.nextinpact.com/p/charte-deontologique), NI ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que NI met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de NI le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques de la société commerciale états-unienne Cloudflare. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur NI ne chemine pas par l’infrastructure technique de NI (dit autrement, il y a un contact direct entre le terminal du lecteur NI et les serveurs informatiques de Cloudflare), donc elle échappe totalement à NI, qui peut, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

NI ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable :

• Les ressources web statiques (images, documents PDF, etc.) qui sont effectivement servies par Cloudflare (ce qui soulage effectivement l’hébergeur final de NI) peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on n’en utilise pas pour ses pages web dynamiques : qui peut le plus peut le moins ;
  
  
• Certaines ressources web statiques (comme le script api.bonsplans.tech) ne sont pas mises en cache par le CDN (cf. ci-dessus la présentation des entêtes HTTP ajoutés par Cloudflare). Les requêtes web sont donc toutes transmises à l’hébergeur final de NI qui n’est donc pas soulagé. Du coup, Cloudflare est un intermédiaire inutile pour ces ressources-là, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais l’hébergeur final de NI, Scaleway, propose des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
  
  
• À la vue de son nombre d’abonnés (8 000 en 2022, cf. https://www.nextinpact.com/blog/69977/recalibre-next-inpact-se-reorganise-et-va-lavant), il n’apparaît pas que NI ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). D’ailleurs, le journal Arrêt sur images, qui compte environ le triple d’abonnés (source : https://www.arretsurimages.net/chroniques/la-vie-du-site/nos-comptes-vos-abonnements-des-nouvelles-darret-sur-images), n’a pas recours a un CDN. Tout au plus s’agit-il d’un arbitrage financier inexplicable : l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
  
  
• En tout état de cause, des sociétés commerciales françaises et européennes proposent des réseaux de distribution de contenus. NI ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de NI). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
  
  
• Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir NI et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

En conclusion : lors de la consultation du site web de Next Inpact, les téléchargements automatiques de ressources web (images, documents PDF, scripts JavaScripts, etc.) qui sont diffusés via le CDN d’une société commerciale états-unienne, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

Je pensais qu’un lecteur avancé de NI pouvait s’opposer à certains transferts vers ce CDN à l’aide d’une extension pour navigateur web comme uMatrix ou uBlock Origin. En effet, il me semblait que le contenu rédactionnel est hébergé sur cdnx.nextinpact.com et que les avatars des commentateurs sont hébergés sur cdn2.nextinpact.com. Il suffisait donc de bloquer cdn2.
    Or, du contenu rédactionnel est parfois stocké sur cdn2 (exemples : extrait d’un courrier dans https://www.nextinpact.com/article/69013/hadopi-1-il-y-a-treize-ans-conseil-constitutionnel-censurait-machine-a-bannir-dinternet ; schéma explicatif dans https://www.nextinpact.com/article/69015/article-17-justice-europeenne-valide-filtrage-sil-respecte-exceptions-au-droit-dauteur et dans https://www.nextinpact.com/article/68894/les-objectifs-mission-europeenne-juice-etudier-pres-jupiter-et-trois-ses-lunes, etc.).
    Le lecteur de NI a donc aucun moyen technique de limiter le nombre de transferts de ses données personnelles vers le CDN de Cloudflare lors de sa lecture de NI.

Pour proposer ses newsletters (https://www.nextinpact.com/newsletter), Next Inpact a recours à MailChimp, service de The Rocket Science Group, société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne.

Il y a donc transfert de données personnelles (adresse emails de l’abonné aux newsletters de Next Inpact, etc.) à une société commerciale de droit états-unien.

Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Pour protéger son formulaire de contact (https://www.nextinpact.com/contact), NI a recours au service hCaptcha de la société commerciale états-unienne Intuition Machines. Celle-ci héberge ses traitements derrière le CDN de Cloudflare :

    $ dig +short hcaptcha.com newassets.hcaptcha.com | xargs -L1 whois | grep OrgName | uniq
    OrgName: Cloudflare, Inc.

Dans sa politique de confidentialité (https://www.hcaptcha.com/privacy), Intuition Machines reconnaît le transfert aux États-Unis : « Comme décrit dans notre section "Note à l'attention des clients situés en dehors des États-Unis", sachez que vos données personnelles seront transférées, traitées et stockées aux États-Unis. ».

La même politique n’énonce pas l’utilisation d’outils juridiques supplémentaire ni de mesures complémentaires pour encadrer les transferts des données européennes des Européens.

L’utilisation de hCaptcha par Next Inpact constitue une infraction aux articles 44 et suivants du RGPD. Pas de décision d’adéquation, pas d’outils juridiques, pas de mesures complémentaires, pas d’information sur le transfert ni de recueil du consentement, et aucune nécessité pour l’exécution d’un contrat (la possibilité de contacter NI est un « service » supplémentaire et distinct de sa lecture qui, elle, fait l’objet du contrat ; NI pourrait recourir à d’autres outils de protection de formulaire y compris à un prestataire européen hébergé informatiquement dans l’UE, etc.).

J'ai enregistré tous ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces transferts de données personnelles aux États-Unis (CDN, MailChimp, hCaptcha) constituent un abus de confiance, car Next Inpact a beaucoup œuvré pour l’éthique de la presse en ligne et pour préserver la vie privée de ses abonnés (création d’une régie publicitaire sans pub ciblée, ne plus recourir à Microsoft Azure pour l’hébergement informatique frontal, œuvrer pour faire vivre un modèle économique par abonnement, etc.). La divergence entre l’image dont se prévaut NI et ses actes sus-énumérés caractérise cet abus de confiance. Je reconnais m’être senti trahit quand j’ai constaté, par hasard, le recours à Cloudflare.

    Quant à lui, le citoyen lambda n’a pas de repère : il ne dépend pas d’un acteur états-unien pour obtenir les images de son journal papier, et, ce faisant, il est seul durant sa lecture de son journal papier. Ce n’est pas le cas avec un journal en ligne comme NI.

Je vais signaler, au DPO de Next Inpact, ces manquements au RGPD.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que Next Inpact, comme les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos qui peine à trouver son équilibre financier) et Basta (généraliste), entre autres, demeure éminemment plus respectueux de la vie privée de ses lecteurs que la presse traditionnelle sus-citée. Il démontre ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens. Dans le cas présent, Next Inpact doit terminer son long travail de mise en conformité avec le RGPD.

Pour être en conformité avec le RGPD, Next Inpact, tout comme les journaux cités dans le paragraphe précédent, est entravé par l’organisation actuelle du secteur (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas son activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, NI est faiblement référencé et sacrifie sa visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort) et par les investissements nécessaires (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Numerama

Introduction

Bonjour,

Le site web du journal Numerama transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Cloudflare, Google Analytics, Cloudflare Web Analytics, AppNexus, Google DoubleClick, Amazon Ad System, Twitter, CDN Fastly, Google YouTube.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Numerama (« Nume » ci-après), https://www.numerama.com, fait automatiquement télécharger, au navigateur web de ses lecteurs, une multitude de ressources web externes (scripts JavaScript, images, feuilles de style, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Numerama : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Nume (exemple : une régie publicitaire volontairement intégrée par Nume à son article fait télécharger, à son tour, des ressources web depuis l’un de ses partenaires publicitaires / de reciblage).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Nume dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Nume et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Nume, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur de Nume : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Nume (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Notons que le site web de Nume positionne un entête HTTP « Referrer-Policy » avec la valeur « no-referrer-when-downgrade », ce qui a pour effet d’amoindrir la politique du référent par défaut des navigateurs web modernes et de transmettre aux tiers (prestataire de mesure d’audience, régie publicitaire, etc.), l’URL complète des pages web du site web de Nume consultées par son lecteur (au lieu de l’URL de base du site web avec la politique par défaut), ce qui permet à ces tiers de suivre la navigation du lecteur Nume à travers les différents articles et pages web du site web de Nume. Tous les tiers intégrés sur le site web de Nume (et nous verrons qu’il y en a plusieurs centaines) reçoivent donc l’historique des lectures d’un terminal (adresse IP, caractéristiques techniques du navigateur web et du terminal) et donc des lecteurs de Nume. En résumé, Numerama amoindrit sciemment la protection de la vie privée de ses lecteurs.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.numerama.com/politique-donnees-personnelles/), Nume déclare l’existence de transferts de données personnelles à un pays tiers non adéquat, les États-Unis. Nume ne déclare pas avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énumérés. Des « mesures supplémentaires » sont mentionnées, sans plus de précisions. De plus, on peut avoir la certitude que Nume met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de Nume le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par Nume et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Nume. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur Nume ne chemine pas par l’infrastructure technique de Nume ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur Nume d’un part et les serveurs informatiques du CDN choisi par Nume et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre part), donc elle échappe totalement à Nume et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Nume ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

    Notons que certains transferts de données personnelles, comme l’intégration de vidéos YouTube ou l’affichage de tweets via le widget Twitter, sont conditionnés à l’acceptation des cookies (de YouTube, Twitter, etc.) dans le bandeau cookies de Nume.

        Mais, d’une part, ce dernier n’informe pas le lecteur des risques que les transferts de données personnels sus-jacents peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement est confus (on accepte les cookies, pas vraiment le transfert) et vicié (absence des informations requises par l’article 49.1a du RGPD).

        D’autre part, le bandeau cookies énumère environ 205 prestataires, avec, pour chaque, plusieurs sous-paramètres (acceptation des cookies, acceptation des traitements, acceptation de l’intérêt légitime à afficher de la pub, etc.). Cela complique la recherche du « bon » prestataire pour débloquer le chargement du contenu. De sus, le nom dudit prestataire n’est pas communiqué dans l’encart totalement noir qui empêche le chargement du contenu. Tout cela incite le lecteur de Nume à accepter tous les cookies et traitements du bandeau cookies (et, in fine, tous les transferts de données personnelles). Le consentement ainsi obtenu doit être regardé comme étant vicié.

    Le consentement prévu par l’article 49.1a du RGPD n’est, de ces faits, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Recours au CDN de la société commerciale états-unienne Cloudflare pour servir toutes les pages web (le texte).

  • Notons qu’en tant qu’intermédiaire incontournable entre Nume et son lecteur, Cloudflare reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Cloudflare reçoit et consigne donc l’historique des lectures des lecteurs de Nume ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale de Nume, donc elles ne peuvent pas être mises en cache (ou difficilement). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Cloudflare (exemple : « cf-cache-status: DYNAMIC », cf. https://developers.cloudflare.com/cache/about/default-cache-behavior/), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final de Nume (OVH, d’après ses mentions légales). Du coup, Cloudflare est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais OVH propose des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
    
    
  • On constate que Nume s’occupe lui-même de la mise en cache, côté serveur, de ses ressources statiques (images et scripts) ;
    
    
  • À la vue de son nombre de visiteurs uniques par mois, 10 millions par mois (cf. https://www.numerama.com/a-propos/), il n’apparaît pas que Nume ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). Tout au plus s’agit-il d’un arbitrage financier inexplicable : l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • Nume ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de Nume). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir Nume et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• Script de mesure d’audience de la société commerciale états-unienne Cloudflare (static.cloudflareinsights.com) que cette dernière héberge sur ses propres serveurs ;

  • Notons que la présentation de son outil par Cloudflare (https://www.cloudflare.com/fr-fr/web-analytics/) est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Comme rappelé ci-dessus, selon la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le téléchargement du script (https ://static.cloudflareinsights.com/beacon.min.js/vaafb692b2aea4879b33c060e79fe94621666317369993) à partir du site web de Nume génère un transfert, vers le service Web Analytics de Cloudflare, des données personnelles énumérées au début de la présente plainte. Il s’agit d’un deuxième transfert, destiné à un deuxième traitement, distinct de celui relaté au point précédent (CDN) ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et Nume ne recueille pas le consentement de son lecteur pour charger cet outil), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Script de mesure d’audience Google Analytics (via le script Google Tag Manager) hébergé sur les serveurs informatiques de la société commerciale états-unienne du même nom. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et Nume ne recueille pas le consentement de son lecteur pour charger cet outil), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Script de mesure d’audience, de performances et de visibilité des contenus de la société commerciale états-unienne Parsely diffusé via le CDN de la société commerciale états-unienne Cloudflare ;

  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et Nume ne recueille pas le consentement de son lecteur pour charger cet outil), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Le site web de Nume fonctionne parfaitement à fonctionnalités et contenu équivalent si l'on bloque tous les téléchargements référencés aux trois précédents points (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre Nume et son lecteur ;

• Scripts et autres ressources web d’une palanquée de régies publicitaires et assimilées (pour rappel, le bandeau cookies référence environ 205 entités…) dont beaucoup sont des sociétés commerciales états-uniennes ou font télécharger les réclames et les traceurs depuis des serveurs informatiques détenus par de telles sociétés. Je ne vais pas toutes les analyser, pas folle la guêpe, mais voici quelques exemples :

  • Société commerciale états-unienne Amazon (amazon-adsystem.com) qui héberge sa régie sur ses serveurs informatiques ;
    
    
  • Google DoubleClick qui héberge sa régie sur ses serveurs informatiques ;
    
    
  • Société commerciale états-unienne Twitter qui héberge son mécanisme sur ses serveurs informatiques ;
    
    
  • Société commerciale états-unienne AppNexus (adnxs) qui héberge sa régie sur ses serveurs informatiques ;
    
    
  • Société commerciale états-unienne Magnite (rubiconproject.com) qui héberge sa régie sur ses serveurs informatiques (via un routage DNS opéré par la société commerciale états-unienne Akamai Technologies, toutefois) ;
    
    
  • Société commerciale états-unienne Integral Ad Science (adsafeprotected.com), qui s’héberge chez Amazon ;
    
    
  • Société commerciale états-unienne Pubmatic, qui s’héberge auprès de la société commerciale états-unienne Akamai Technologies ;
    
    
  • Société commerciale états-unienne TripleLift (3lift.com) qui s’héberge auprès d’Amazon ;
    
    
  • Société commerciale française Opti Digital, qui s’héberge chez Cloudflare ;
    
    
  • Dans le bandeau cookies détaillé, ces traitements sont présentés comme étant basés sur l’intérêt légitime concernant la publicité standard et sur le consentement concernant la publicité ciblée. Donc, les transferts de données personnelles induits par les téléchargements qui permettent la récupération desdites publicités ne peuvent pas être considérés comme étant nécessaires à l’exécution d’un contrat (puisque le traitement en lui-même, la pub, est justifiée par l’intérêt légitime et le consentement). Le 49.1c du RGPD n’est pas applicable puisque celui-ci porte sur la conclusion, en coulisse, d’un contrat bénéfique à la personne physique (par opposition à l’intérêt légitime du responsable d’un traitement prévu par le 6.1f), auquel la publicité ne saurait être rattachée.

Ressources web externes présentes dans tous les articles (en sus des précédentes) :

• Lecture audio des articles (donc scripts, images, son, etc.) via la société commerciale états-unienne Remixd Media qui héberge ses ressources web auprès du service Cloud de la société commerciale états-unienne Google et auprès de la société commerciale états-unienne JW Player qui, elle-même, a recours au CDN de la société commerciale états-unienne Fastly ;
  
  
• Vidéos de la société commerciale états-unienne Google YouTube hébergées sur les serveurs informatiques de Google.
  • Elles sont présentes dans l’écrasante majorité des articles (section « La suite en vidéo » en bas de page).

Ressources web externes présentes dans certains articles (en sus des précédentes) :

• Intégration de tweets via le widget Twitter qui fait télécharger automatiquement des ressources web auprès des serveurs informatiques de la société commerciale états-unienne Twitter.
  • Seuls quelques articles de Nume contiennent un tweet, donc, en arrivant sur un article, le lecteur ne saurait s’attendre au chargement du widget de Twitter (absence d’une pratique généralisée et facilement identifiable).

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible de réduire le nombre de prestataires.
Pourquoi recourir à trois prestataires de mesure d’audience ? Nume en choisi un, forme ses équipes sur cette solution, etc., et cesse d'en utiliser plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.
De même, pourquoi recourir à environ 200 régies publicitaires / reciblage / traçage / marketing ? La lecture d’un article de Numerama génère environ 250 requêtes web avec un cache de navigateur web vide (première consultation) et environ 200 requêtes les fois suivantes. Il y a des transferts de données à plusieurs dizaines d’entités (françaises, européennes ou autres). Il y a une disproportion forte entre les intérêts (économiques) de Nume et la très forte atteinte aux droits de ses lecteurs.

De plus, il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web comme un outil de mesure d’audience, une plateforme de vidéos, un lecteur audio des articles (le journal Les Jours y parvient, exemple : https://lesjours.fr/podcasts/refuseurs/ep1-contexte-agro-refuseurs/), etc.

Ensuite, il est possible d'héberger ces ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à la société commerciale française Octopuce (cas de YouTube). De même, il existe des prestataires européens de mesure d’audience, de CDN, de lecture audio d’articles, etc. Idem pour les régies publicitaires et assimilées, Numerama en utilise d’ailleurs plusieurs (Criteo, Sirdata, Smartadserver, etc.).

De sus, certaines pratiques rédactionnelles peuvent être adaptées. Plutôt que d'intégrer un tweet dans un article en utilisant le widget Twitter, les journalistes de Nume peuvent citer le propos qu’il contient comme ils le font de propos oraux ou lors de reprise de propos écrits, et laisser à leur lecteur la possibilité de cliquer sur un lien pour aller lire ledit tweet. S'il s'agit de conserver une trace, une capture d'écran convient. De même, un lien vers une vidéo (YouTube ou autre, peu importe) est préférable à une intégration de ladite vidéo. Laisser le choix au lecteur.

En tout état de cause, il est possible de conditionner certains téléchargements (tweets via le widget Twitter, vidéos YouTube ou autres, etc.), à un clic du lecteur de Nume sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Nume découle une disproportion entre l’intérêt, pour Nume, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion : lors de la navigation sur le site web de Numerama, les très nombreux téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Dans sa politique de confidentialité (https://www.numerama.com/politique-donnees-personnelles/), Numerama déclare avoir recours à MailChimp et à Amazon pour « vous envoyer des e-mails ». MailChimp est un service de The Rocket Science Group, société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne. Amazon a déjà été traitée ci-dessus, donc je n’y reviens pas.

Il y a donc transfert de données personnelles (adresse emails de l’abonné aux newsletters de Numerama, etc.) à deux entités de droit états-unien.

Ces transferts de données personnelles aux États-Unis ne sont pas conformes au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Ces multiples transferts auprès de (trop) nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Numerama est le paroxysme de l’inverse.

Revenons sur le bandeau cookies de Numerama :

• Il manque cruellement de clarté et de concision, ce qui est contraire à l’article 12.1 du RGPD et aux lignes directrices sur la transparence du CEPD. Environ 205 entités y sont référencées. Pour chaque, plusieurs sous-paramètres peuvent être activés ou désactivés (acceptation des cookies, acceptation des traitements, acceptation de l’intérêt légitime à afficher de la pub, etc.). Surcharge d’informations qui vicie le consentement ;
  
  
• Il permet de s’opposer à des traitements (et donc à des transferts de données personnelles vers les États-Unis) annoncés, par ledit bandeau, comme relevant de l’intérêt légitime. Confusion de base légale : un même traitement ne peut pas relever en même temps de l’intérêt légitime et du consentement ;
  
  
• L’action « continuer sans accepter » du bandeau basique n’a pas le même effet que le bouton « tout refuser » de l’interface « avancée » (celle qui liste l’ensemble des traitements et des entités impliquées) accessible par le bouton « paramétrer vos choix ». En effet, le bouton « continuer sans accepter » désactive la publicité ciblée, mais laisse active la publicité standard. Le bouton « tout refuser », quant à lui, désactive totalement l’essentiel des régies publicitaires et assimilées (et donc les transferts de données personnelles associés) ainsi que l’essentiel des traitements annexes sus-énumérés (lecteur audio des articles, etc.). Cela n’est pas conforme au RGPD : le choix par défaut (« continuer sans accepter ») devrait avoir l’effet de « tout refuser »… sauf à jouer sur la confusion entre l’intérêt légitime et le consentement (cf. point précédent) afin de laisser activé, par défaut, des cookies, des traitements (et des transferts) qui relèvent in fine du consentement (puisqu’ils peuvent être refusés avec le bouton « tout refuser »). Confusion entretenue et manipulations techniques ayant pour but de vicier le consentement du lecteur de Nume ;
  
  
• Le bandeau cookies qui s’affiche à la première consultation de Nume n’est pas le même que celui auquel on peut accéder depuis la page « Politique Cookies » (https://www.numerama.com/politique-cookies/). En effet, le premier propose les actions « continuer sans accepter » + « tout accepter et continuer » + « paramétrer vos choix ». Le deuxième propose les actions « tout accepter et continuer » + « paramétrer vos choix » + « tout refuser et continuer ». Le choix « tout refuser et continuer » est donc absent du bandeau principal, celui qui a le plus d’audience. Pour le trouver, il faut aller dans « paramétrer vos choix ». Cela est de nature à vicier le consentement du lecteur de Numerama.

Le 13/02/2020, j’ai signalé, par LRAR, au directeur de la publication de Numerama, les transferts illégaux de données personnelles aux États-Unis sus-référencés et l’un des dysfonctionnements du bandeau cookies, cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des solutions techniques (internalisation, politique du référent, etc.) et organisationnelles (modèle économique basé sur un abonnement ou sur un mix publicité / abonnement sans pub, adaptation des pratiques journalistiques, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté de Numerama de se conformer au RGPD. En deux ans, la situation n’a pas évolué d’un iota.

J’estime avoir tenté d’exercer mes droits auprès de Numerama. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Numerama est précisément dans ce cas-là. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Numerama et que le reste de la presse traditionnelle sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Numerama.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Off Investigation

Introduction

Bonjour,

Le site web du journal Off Investigation transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Cloudflare, Google Analytics, Stripe, Google Fonts, Google reCAPTCHA, Google Translate.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à Off Investigation en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Off Investigation (« OI » ci-après), https://www.off-investigation.fr/, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Off Investigation : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par OI (exemple : une vidéo YouTube volontairement intégrée par OI à l’un de ses articles fait télécharger, à son tour, la régie publicitaire Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être OI dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur d’OI et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web d’OI, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur d’OI : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures d’OI (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.off-investigation.fr/politique-de-confidentialite/), OI ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude qu’OI met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur d’OI le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par OI et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par OI. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur d’OI ne chemine pas par l’infrastructure technique d’OI ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur d’OI d’une part et les serveurs informatiques du CDN choisi par OI et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre part), donc elle échappe totalement à OI et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

OI ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, articles, rubriques du menu, etc.) :

• Recours au CDN de la société commerciale états-unienne Cloudflare pour servir toutes les pages (texte) et toutes les images, y compris l’espace pour s’abonner (https://www.off-investigation.fr/abonnement/) qui manipule des données personnelles supplémentaires (cookie, mot de passe, pseudonyme, identité civile, adresse postale, adresse emails, historique des abonnements, etc.). Ces données personnelles transitent par Cloudflare (j’ignore si elle les consigne ou leur applique un traitement additionnel, mais elle en a la possibilité technique).

  • Notons qu’en tant qu’intermédiaire incontournable entre OI et son lecteur, Cloudflare reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Cloudflare reçoit et consigne donc l’historique des lectures des lecteurs d’OI ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale d’OI et en fonction de l’abonné, donc elles ne peuvent pas être mises en cache (ou de manière limitée, et au risque de faire fuiter la vie privée). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Cloudflare (exemple : « cf-cache-status: DYNAMIC », cf. https://developers.cloudflare.com/cache/about/default-cache-behavior/), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final d’Off Investigation (Themecloud, d’après ses mentions légales). Du coup, Cloudflare est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais des sociétés commerciales européennes proposent des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
    
    
  • Quant aux ressources web statiques (images, feuilles de style, polices de caractères, certains scripts) qui sont effectivement servies par Cloudflare (ce qui soulage effectivement l’hébergeur final d’OI), on rappelle qu’elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on encaisse le même trafic pour ses pages web dynamiques : qui peut le plus peut le moins ;
    
    
  • OI n’a pas atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). Tout au plus s’agit-il d’un arbitrage financier inexplicable : l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • OI ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de OI). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir OI et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• Script de mesure d’audience Google Analytics et Google Tag Manager. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et OI ne recueille pas le consentement de son lecteur), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Scripts de la société commerciale états-unienne de paiement en ligne Stripe (js.stripe.com, m.stripe.com, m.stripe.network). Cette dernière a recours aux CDNs des sociétés commerciales états-uniennes Fastly et Amazon ;

  • Ces scripts ne semblent pas être utilisés (sur sa page de dons, OI a recours à un autre prestataire de paiement). Peut-être un plugin WordPress défectueux ? En tout état de cause, ces scripts pourraient être retirés ou inclus et téléchargés uniquement sur la page qui en a besoin, pas sur toutes les pages du site web d’OI. Principe de minimisation du RGPD ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Stripe dépose et lit un cookie. Il s’agit d’un cookie tierce-partie de traçage qui n’est donc pas exempté de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). D’après sa politique de confidentialité (https://www.off-investigation.fr/politique-de-confidentialite/), OI classe ce cookie dans la catégorie des cookies « fonctionnels » et ainsi force son acceptation au motif « Nous utilisons Stripe pour le traitement de paiement. ». Or, ce cookie contient un identifiant unique (qui permet donc de tracer le lecteur d’OI) et il ne devrait pas être déposé lors de la consultation de chaque page web d’OI, encore moins quand ledit lecteur effectue aucun acte de paiement auprès d’OI.

• Polices de caractères Google Fonts hébergées sur les serveurs informatiques de la société commerciale états-unienne du même nom ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20) ;
    
    
  • A priori, le plugin WordPress « ays-popup-box » utilisé par OI sur son site web est responsable du déclenchement de ces téléchargements.

• Pour protéger le formulaire d’inscription à sa newsletter intégré à chaque page de son site web et l’encart permettant de se connecter à son compte présent dans tous ses articles, OI intégre le script reCAPTCHA de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière ;

  • Comme vous l’avez analysé dans votre mise en demeure du 15 juillet 2020 portant sur l’utilisation de reCAPTCHA dans la première version de StopCovid, dans votre décision du 11 avril 2022 portant sur l’utilisation de reCAPTCHA dans le formulaire de signalement de l’IGPN, et dans votre décision du 13 juillet 2022 portant sur l’utilisation de reCAPTCHA par la CNAM, l’utilisation de reCAPTCHA est soumise au consentement. Or, OI ne le recueille pas ;
    
    
  • Le traitement n’a donc pas de base légale. Un transfert de données personnelles vers les États-Unis pour télécharger un outil qui effectuera un traitement dénué de base légale (ou qui est basé sur le consentement) ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
• Scripts, feuilles de style, et images du service Translate de la société commerciale états-unienne Google hébergés sur les serveurs informatiques de cette dernière ;
  • On notera qu’une requête web de type POST est émise vers l’URL « https://translate.googleapis.com/element/log?format=json&hasfast=true&authuser=0 » (relevons le mot-clé « log » dans celle-ci). Les données émises ne sont pas formatées ni présentées d’une manière humainement lisible ou facilement décodable, mais la réponse JSON contient des éléments (« ANDROID_BACKUP », « BATTERY_STATS », etc.) qui laissent à penser que des informations techniques concernant le terminal du lecteur d’OI ont été transmises à Google ;
    
    
  • OI revendique être un « média d’enquête vidéo » (cf. https://www.off-investigation.fr/soutenir/). Or, lesdites vidéos ne sont pas traduites (ni à l’oral, ni via des sous-titres). OI s’adresse donc à un public francophone. De ce fait, la possibilité de traduire les articles écrits d’OI doit être regardé comme un service supplémentaire, annexe, pas comme étant nécessaire à l’exécution du contrat entre OI et son lecteur ;
    
    
  • En tout état de cause, il est possible d’utiliser Google Translate en mode API. Ce serait alors les serveurs informatiques d’OI qui seraient en contact direct avec ceux de Google, et plus le terminal du lecteur d’OI (Twitter propose cela pour traduire des tweets depuis son interface web, par exemple).

Ressources web externes téléchargées dans certains articles (en sus de toutes les précédentes) :

• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemple : https://www.off-investigation.fr/lvmh-ruffin-saisit-la-cour-europeenne-des-droits-de-lhomme/ ;
  • Il y a une intégration de vidéos YouTube sur certains articles uniquement, ce qui entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de Google auxquels le lecteur d’OI ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs d’OI ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Dans sa politique de confidentialité (https://www.off-investigation.fr/politique-de-confidentialite/), OI en informe son lecteur, mais ne lui permet pas de donner (ou non) son consentement ;
    
    
  • Cette utilisation de YouTube est incompréhensible puisqu’OI dispose de sa propre plateforme de vidéos hébergée dans l’UE et l’utilise dans certains de ses articles (exemple récent : https://www.off-investigation.fr/la-redac-la-bande-annonce/). Pourquoi cumuler avec YouTube ? OI choisi l’une des plateformes, forme ses équipes sur cette solution, etc., et cesse d'utiliser YouTube. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD. Le cumul permet à OI d’espérer se faire connaître (malgré les algorithmes de YouTube qui ne lui sont pas favorables), mais la disproportion entre le faible intérêt dont peut se prévaloir OI et l’atteinte conséquente (on parle de l’ogre Google…) aux droits de ses lecteurs le rend inacceptable.

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web aujourd’hui externalisées comme un outil de mesure d’audience, un outil de protection de formulaire web, une police de caractères, etc.

De même, il est possible de contracter avec des prestataires européens qui hébergent leurs serveurs informatiques au sein de l’UE, comme un CDN, un traducteur automatique, etc.

En sus, à l’exception des vidéos YouTube, de reCAPTCHA, et du CDN, le site web d’OI fonctionne parfaitement à fonctionnalités et contenu équivalents si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre OI et son lecteur.

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, par exemple), à un clic du lecteur d’OI sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par OI découle une disproportion entre l’intérêt, pour OI, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web d’Off Investigation, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. OI est tout l’inverse.

Je vais signaler, à Off Investigation, ces manquements au RGPD. Notons que, dans sa politique de confidentialité, seul un contact générique est prévu (pas celui d’un DPO), donc, comme bien souvent, mon signalement va atterrir sur le bureau de personnes qui ne sont pas outillées pour y répondre.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs qu’Off Investigation et que le reste de la presse « traditionnelle » sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre d’Off Investigation.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Siné mensuel

Introduction

Bonjour,

Le site web du journal Siné mensuel transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Analytics, Google Fonts, Google YouTube, BootstrapCDN (CDN Fastly).
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Siné (« Siné » ci-après), https://www.sinemensuel.com/, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Siné : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Siné (exemple : une vidéo Google YouTube volontairement intégrée par Siné à l’un de ses articles fait télécharger, à son tour, la régie publicitaire Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Siné dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Siné et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Siné, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur de Siné : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Siné (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Je n’ai pas trouvé de politique de confidentialité (ou assimilé) sur le site web de Siné. De plus, on peut avoir la certitude que Siné met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de Siné le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Siné. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur de Siné ne chemine pas par l’infrastructure technique de Siné ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur Siné et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à Siné et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Siné ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, la boutique, etc.) :

• Script de mesure d’audience Google Analytics. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • Siné ne recourt pas à la publicité et il est essentiellement un journal papier. Son site web rediffuse les éditos, chroniques et articles déjà publiés dans la version papier. Dans ce contexte, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés et de ventes sont un indicateur pertinent et suffisant. À quoi bon savoir quels articles de l’édition web sont lus et ont eu le plus de succès ? À rien, le journal est tout de même financé, et la version web n’est pas représentative du lectorat. Danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent lire ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et Siné ne recueille pas le consentement de son lecteur), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.
• Scripts et feuilles de style jquery de la fondation états-unienne OpenJS hébergés sur les serveurs informatiques de la société commerciale états-unienne Google (ajax.googleapi.com) ;
  
  
• Script et feuille de style du projet BootstrapCDN hébergés par le projet JsDelivr, qui a recours aux CDNs des sociétés commerciales états-uniennes Cloudflare et Fastly.

Ressources web externes intégrées à certaines pages et articles :

• Polices de caractères téléchargées auprès du service Fonts de la société commerciale états-unienne Google ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20) ;
    
    
  • Ces polices sont téléchargées uniquement depuis certaines pages (accueil, abonnements, etc.).
• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière.
  • Il y a une intégration d’une vidéo YouTube dans plusieurs articles (exemples : https://www.sinemensuel.com/playlist/la-playlist-de-septembre-de-djubaka/, https://www.sinemensuel.com/videos/doully-jai-rate-saint-pierre-parce-que-jetais-trop-defoncee-cest-con-2/) et sur la page d’accueil (quand des articles qui en contiennent sont en une). Ce n’est pas prévisible, et cela entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de Google auxquels le lecteur de Siné ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, par cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de Siné ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Siné ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web externalisées comme les polices de caractères Google Fonts, les scripts et les feuilles de style BootstrapCDN / jquery, un outil de mesure d’audience, etc.

Ensuite, il est possible d'héberger ces ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à la société commerciale française Octopuce (en remplacement de YouTube). De même, il existe des prestataires européens spécialisés dans la mesure d’audience dont les serveurs sont situés dans l’UE (en remplacement de Google Analytics).

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, par exemple), à un clic du lecteur de Siné sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

De plus, à l’exception des vidéos YouTube et d’une déformation visuelle, le site web de Siné fonctionne parfaitement à contenu équivalent si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre Siné et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Siné découle une disproportion entre l’intérêt, pour Siné, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors d’une navigation sur le site web de Siné, les téléchargements automatiques de ressources web externes (scripts JavaScript, feuilles de style, polices de caractères, vidéos, etc.), propriétés de sociétés états-uniennes qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de plusieurs organisations états-uniennes sont commis par un journal qui se revendique indépendant, alternatif, et dont la ligne éditoriale prône l’anticapitalisme (dans lequel baignent pourtant les multinationales destinatrices des transferts sus-référencés). La divergence entre l’image dont se prévaut Siné et ses actes sus-énumérés constitue un abus de confiance caractérisé.

    D’autant que le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Le site web de Siné est tout l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, les manquements au RGPD sus-référencés à la directrice de Siné (pas de DPO identifiable), cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des contournements techniques (internalisation, politique du référent, etc.) et des solutions organisationnelles (recourir à des prestataires européens, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté de Siné de se conformer au RGPD. En deux ans, aucun changement, aucune amélioration excepté, semble-t-il, le retrait de Google reCAPTCHA (qui n’était déjà plus utilisé en pratique).

J’estime avoir tenté d’exercer mes droits auprès de Siné. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Siné et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Siné.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

StreetPress

Introduction

Bonjour,

Le site web du journal StreetPress transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Analytics, Facebook, Twitter, Adobe, CDN Cloudflare, Google YouTube, CDN Akamai, Google reCAPTCHA.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à StreetPress en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal StreetPress (« SP » ci-après), https://www.streetpress.com/, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par StreetPress : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par SP (exemple : un formulaire d’inscription à une newsletter volontairement intégré par SP fait télécharger, à son tour, Cloudflare Web Analytics).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être SP dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de SP et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de SP, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur SP : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de SP (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans son semblant de politique de confidentialité (https://www.streetpress.com/mentions), SP ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que SP met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de SP le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par SP. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur SP ne chemine pas par l’infrastructure technique de SP ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur SP et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à SP et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

SP ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, articles, pages référencées dans le menu, etc.) :

• Scripts et images de la plateforme de gestion du consentement (CMP) Axeptio de la société commerciale française Agilitation ;

  • Cette dernière héberge les scripts de sa CMP (api.axept.io, client.axept.io, et static.axept.io) auprès de la société commerciale états-unienne Amazon et ses images (axeptio.imgix.net) auprès de la société commerciale états-unienne Zebrafish Labs, qui elle-même, a recours au CDN de la société commerciale états-unienne Fastly ;
    
    
  • L’encart « Je choisis » de la CMP fait télécharger automatiquement les icônes correspondantes aux services qui déposeront des cookies (Facebook Pixel, Google Analytics, Google ReCAPTCHA, et Teads, Twitter dans le cas présent) depuis les serveurs informatiques de la société commerciale états-unienne Google (gstatic.com).

• Police de caractères et feuilles de style de la société commerciale états-unienne Adobe (use.typekit.net) diffusée via le CDN de la société commerciale états-unienne Akamai Technologies ;

• Scripts de traçage de la société commerciale états-unienne Twitter (analytics.twitter.com, static-ads.twitter.com) hébergés sur les serveurs informatiques de cette dernière ;

  • Ces scripts sont nativement étiquetés « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut. Le bandeau cookies nous informe qu’ils « identifie les visiteurs en provenance de Twitter ». Cela n’est pas nécessaire à l’exécution du contrat entre un journal et son lecteur.

• Scripts de traçage de la société commerciale états-unienne Facebook (connect.facebook.com) hébergés sur les serveurs informatiques de cette dernière ;

  • Ces scripts sont nativement étiquetés « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut. Le bandeau cookies nous informe qu’ils « identifie les visiteurs en provenance de Facebook ». Cela n’est pas nécessaire à l’exécution du contrat entre un journal et son lecteur.

• Script de mesure d’audience Google Analytics via Google Tag Manager. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • Le téléchargement de Google Tag Manager entraîne celui d’un script de collecte de la régie publicitaire de Google, DoubleClick. Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de SP ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et SP ne recueille pas le consentement de son lecteur), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Formulaire d’inscription à une newsletter et scripts associés de la société commerciale française Sendinblue (in-automate.sendinblue.com ; sibautomation.com) diffusés via le CDN de la société commerciale états-unienne Cloudflare ;

  • L’intégration de ce formulaire de newsletter dans le pied de toutes les pages du site web SP entraîne le téléchargement du script de mesure d’audience de la société commerciale états-unienne Cloudflare (static.cloudflareinsights.com) que cette dernière héberge sur ses propres serveurs ;

    • Notons que la présentation de son outil par Cloudflare (https://www.cloudflare.com/fr-fr/web-analytics/) est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Comme rappelé ci-dessus, selon la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le téléchargement du script (https ://static.cloudflareinsights.com/beacon.min.js/vaafb692b2aea4879b33c060e79fe94621666317369993) à partir de l’encart newsletter sur les pages web de SP génère un transfert, vers le service Web Analytics de Cloudflare, des données personnelles énumérées au début de la présente plainte ;
      
      
    • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat. Surtout que cet outil est utilisé par un prestataire de SP pour son propre compte, pour ses besoins, pas pour ceux de SP, ce qui signifie que SP a aucun droit de regard.
  • En application du principe de minimisation prévu par le RGPD, SP pourrait proposer le formulaire d’inscription à sa newsletter dans une unique page web dédiée, et le pied de page pourrait pointer sur cette page interne. Ainsi, le téléchargement dudit formulaire (et les transferts de données personnelles qu’il constitue et entraîne) aurait lieu uniquement sur cette page, et non pas sur l’ensemble des pages, ce qui, de surcroît, constitue une surprise pour le lecteur de SP.

• Pour protéger le formulaire d’inscription à sa newsletter intégré à chaque page de son site web, SP intégre également le script reCAPTCHA de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière ;

  • Comme vous l’avez analysé dans votre mise en demeure du 15 juillet 2020 portant sur l’utilisation de reCAPTCHA dans la première version de StopCovid, dans votre décision du 11 avril 2022 portant sur l’utilisation de reCAPTCHA dans le formulaire de signalement de l’IGPN, et dans votre décision du 13 juillet 2022 portant sur l’utilisation de reCAPTCHA par la CNAM, l’utilisation de reCAPTCHA est soumise au consentement. Or, SP ne le recueille pas ;
    
    
  • Le traitement n’a donc pas de base légale. Un transfert de données personnelles vers les États-Unis pour télécharger un outil qui effectuera un traitement dénué de base légale (ou qui est basé sur le consentement) ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
• Dans tous ses articles, SP fait automatiquement télécharger les images, vidéos et scripts de la plateforme publicitaire de la société commerciale luxembourgeoise Teads qui les héberge auprès de la société Akamai Technologies.

Ressources web externes téléchargées dans certains articles (en sus des précédentes) :

• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemples : https://www.streetpress.com/sujet/1666791582-mort-suspecte-prison-maison-arret-nanterre-hauts-seine-troubles-psychiatriques-detenu-depute-sabrina-sebaihi-enquete-surveillants ;
  • Il y a une intégration de vidéos YouTube sur certains articles uniquement, ce qui entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de Google auxquels le lecteur de SP ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de SP ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, SP ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web externalisées comme une police de caractère, des vidéos (avec les logiciels ESUP Pod, PeerTube, etc.), un outil de mesure d’audience, une CMP, etc.

De même, il est possible de contracter avec des prestataires européens qui hébergent leurs serveurs informatiques au sein de l’UE, comme une CMP, un hébergeur de vidéos, un gestionnaire de newsletters, ou une régie publicitaire.

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, par exemple), à un clic du lecteur de SP sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

De plus, à l’exception des vidéos YouTube et du formulaire de newsletter (et donc de reCAPTCHA), le site web de SP fonctionne parfaitement à fonctionnalités et contenu équivalents si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre SP et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par SP découle une disproportion entre l’intérêt, pour SP, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de StreetPress, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. SP est tout l’inverse.

Je vais signaler, à StreetPress, ces manquements au RGPD. Notons qu’aucun DPO est désigné et qu’aucune procédure de contact spécifique est communiquée dans la pseudo politique de confidentialité. Mon signalement va donc atterrir sur le bureau de personnes qui ne sont pas outillées pour y répondre.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que StreetPress et que le reste de la presse « traditionnelle » sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de StreetPress.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Clap de fin pour Le Ravi, journal satirique indépendant en région PACA. :(

Soudaine absence de soutien des collectivités locales (Conseil régional, Conseil départemental), coûteuse présence en kiosque et transition numérique insuffisante, équipe sous dimensionnée, surchargée (journal, actions éducatives, etc.) et lessivée, enchaînement de procès-bâillon, etc.

Le format HAR permet de conserver une trace de toutes les requêtes web nécessaires pour afficher une page web. Date+heure, URL, adresse IP du serveur, entêtes de la question et de la réponse, contenu (au format texte quand c'est possible, au format base64 sinon), chronométrage, etc.

Concrètement, il s'agit d'un fichier JSON.

L'onglet « réseau » des outils de développement web de Firefox permet de créer une telle archive. Clic droit sur une requête ou roue crantée à droite du panneau, puis « Tout enregistrer en tant que HAR ». Cet outil sait également ouvrir une archive HAR.

La première fois que j'en ai entendu parler, c'est dans une analyse de l'Autorité de Protection des Données personnelles autrichienne (la CNIL autrichienne, quoi). Ce format a donc déjà servi dans des procédures administratives officielles. Cela permet de consigner les ressources externes d'une page web (Google Analytics, Google Fonts, etc.) pour en informer un responsable de traitement de données personnelles ou une APD ou qui tu veux.