GuiGui's Show

Dans Remmina (client VNC, RDP, etc.), configurer la profondeur de couleur pour un protocole (exemple : RDP) et définir cette configuration par défaut pour les futures connexions applique la profondeur de couleur choisie aux autres protocoles (VNC, par exemple), pas uniquement à celui qu'on était en train de configurer.

Ce n'est pas idiot : en général, on réduit la profondeur de couleur quand on a un problème de débit, il est le plus souvent imputable à la connexion du client (Remmina, donc), et il est improbable que tous les serveurs de type VNC soient derrière une connexion rapide et que tous les serveurs de type RDP soient derrière une connexion lente (par exemple). Donc, y'a de grands chances que si l'utilisateur de Remmina renonce à la négociation automatique, c'est qu'il veut le faire pour toute connexion, peu importe le protocole.

Cette histoire m'a permis d'apprendre que Vino, le serveur VNC de GNOME, n'est plus maintenu et qu'il est remplacé par gnome-remote-desktop (qui dépend de Wayland, et trouzemilles dépendances à des composants GNOME, pas cool si l'on utilise MATE, par exemple). Source.

Pour récupérer les paramètres de vino : gsettings list-recursively org.gnome.Vino.

Lancer vino depuis un terminal : /usr/libexec/vino-server (j'oublie à chaque fois). Je ne paramètre pas d'authentification, je protège avec un pare-feu (pas par un NAT, hein), et je valide les connexions entrantes à la mano (notification).

Lancé depuis le terminal, vino explicite la profondeur de couleur négociée : « Pixel format for client <CENSURE> 8 bpp, depth 8 true colour: max r 7 g 7 b 3, shift r 0 g 3 b 6 ». Quand Remmina est bien configuré, ça donne : « 32 bpp, depth 24, little endian true colour: max r 255 g 255 b 255, shift r 16 g 8 b 0 ».

Démystification des vidéos YouTube « primitive build » spectaculaires / divertissantes (construire seul des piscines et autres structures impressionnantes en pleine nature et à partir de rien) :

• Utilisation de pelles et d'une pelleteuse, maniées par plus de travailleurs que ceux filmés… alors que le but du concept est de montrer ce qui est faisable en étant environ seul, et en partant de zéro (« primitive »)… Ça retire le côté spectaculaire ;
  
  
• Peinture opaque en concassant des feuilles et/ou en transperçant des fruits. Il s'agit évidemment de vraie peinture versée hors champ. En revanche, l'argument "regardez la superficie qu'ils couvrent avec le peu de peinture confectionnée" du démystificateur est insensé : les mystificateurs peuvent refaire de la peinture sans le montrer, c'est courant dans les tutoriels ;
  
  
• Pièges à animaux que l'on ne voit pas fonctionner (coupure au montage). Pièges à poisson en bambou dans lesquels les poissons sont insérés et poussés par un gars hors champ ;
  
  
• Poterie = boue sur des verres existants ;
  
  
• Déchets laissés sur place (canettes, sacs de ciment, etc.). Les piscines sans escalier deviennent des pièges pour des animaux qui tomberaient. L'eau stagnante devient un vivier à moustiques (est-ce un problème dans un coin reculé ?).

Ces vidéos sont très mises en avant par YouTube (sur sa page d'accueil en ce qui me concerne), et j'avais déjà tiqué sur la confection de peinture.

Via https://www.youtube.com/watch?v=NG8X8rykIb8&t=27s.

Problèmes

Depuis des années, mon Samsung Galaxy S3 i9305, acheté au début de l'année 2017 et peu utilisé ensuite par conviction, dysfonctionne :

• Quand il est allumé, il plante. Soit il redémarre inopinément (et je dois re-saisir le code PIN de la carte SIM), soit, cas le plus fréquent, il est inerte (écran noir, aucune réaction à appel / SMS / pression des boutons) et il bouffe sa batterie à très grande vitesse. Il faut l'éteindre en retirant la batterie. C'est invivable quand tu attends un appel… ;
  
  
• Quand un appel arrive (juste avant l'apparition de l'écran qui permet de prendre / jeter l'appel), ou durant un appel, vlam, redémarrage inopiné. Toujours aussi insupportable quand tu attends un appel (l'opérateur ne le signale pas toujours, surtout si l'interlocuteur a raccroché très tôt en tombant sur la messagerie vocale) ;
  
  
• Je dois le surveiller quand il charge sa batterie, car, là aussi, il plante, c'est-à-dire qu'il arrête de charger en cours de chemin, qu'il ne répond plus aux boutons et qu'il consomme sa batterie à très grande vitesse (un comble !). Même quand il est "éteint" (explication des guillemets). Là encore, il faut retirer la batterie ;
  
  
• Parfois, il refuse de s'allumer. Je dois brancher l'alim', la débrancher quand l'animation "batterie en charge" apparaît, et l'allumer normalement ;
  
  
• A priori, il n'y a pas de mini-batterie interne, donc à chaque retrait de la batterie, la date et l'heure sont perdues. Si, au redémarrage, il reçoit des SMS avant d'actualiser la date et l'heure par le réseau (GSM ou NTP over WiFi / données mobiles), ceux-ci seront datés de 2012 et apparaîtront au tout début d'une conversation existante. Super pratique.

Un collègue fan d'électronique m'a expliqué que l'origine est probablement l'étage d'alimentation de la carte mère, le point faible des Samsung du début des années 2010. Sur le web, on trouve des articles qui relatent une panne matérielle d'autres composants de la carte mère.

Le point trois ci-dessus crédibilise une panne d'origine matérielle : même quand Lineage est inactif, la charge échoue.

Choix du remplaçant

J'ai décidé de racheter le même modèle d'occasion. Je n'avais pas envie de me farcir un comparatif des différents systèmes (Lineage, GrapheneOS, /e/OS, Replicant, etc.) ni de peiner à identifier un ordiphone disposant d'une batterie amovible (j'y tiens absolument, pour les raisons suivantes) compatible avec ce système ni à peiner pour obtenir les droits administrateurs (root). Je n'ai pas de besoins qui le justifie. Je veux un téléphone et un système de navigation (GPS) dont la carte géographique n'a pas une obsolescence définie par une licence logicielle.

Direction Le Bon Coin. Désormais, il faut valider un numéro de téléphone. Dommage. :( Je ne connais pas d'alternative française fiable, donc allons-y pour ça… LBC propose également un service d'intermédiation / protection de la transaction, moyennant une commission. Attention aux vendeurs qui refusent de l'utiliser (bien lire la description du produit).

Verrouillage réseau / Network lock / SIM Lock, encore…

Le vendeur ne le précisait pas, et je n'ai pas pensé à demander (j'oublie toujours qu'on peut faire chier le monde avec ce genre de connerie inutile…), donc je me suis retrouvé avec un téléphone bloqué chez un opérateur. Après la saisie du code PIN de la carte SIM, notification « Carte SIM non valide. Carte SIM avec verr réseau insérée » et écran « Code de déverrouillage réseau ».

Ça sert à rien d'installer un autre système, comme Lineage, ce n'est pas lui qui gère ce blocage. Pour illustration : en 2017, après avoir effacé toute la mémoire interne de mon téléphone (ce qui l'a bloqué sur l'opérateur d'origine, il était débloqué avant cela), l'installation de Lineage ne l'avait pas débloqué.

J'ai trouvé des tutos web qui se complètent les uns les autres pour accéder au menu « service mode » d'Android, et désactiver le blocage opérateur par là. Sauf que ce menu ne me propose pas la dernière étape du tutoriel (« NW Lock NV Data INITIALLIZ »)… Hé oui, Je suis en Android 4.4.4, et Google (ou Samsung) a bloqué cette possibilité (d'après des messages dans des forums web).

Revenir à une ancienne version d'Android (4.1.1 / 4.1.2 lis-je), débloquer, puis passer à Lineage ? Il faut trouver un « firmware stock » dans la bonne version, pour le modèle précis de téléphone. Or, je trouve uniquement du 4.4.4. De plus, a priori, il ne faut pas en installer un qui inclut un mauvais modem ou un CSC (Country Specific Code) qui ne correspond pas à la zone géographique / à l'opérateur… De plus, il faut adapter les tutoriels, conçus pour winwin, pour GNU/Linux et trouver des outils équivalents. Enfin, il faut avoir confiance (certes, j'écraserai le système avec Lineage, mais rien garantit que le firmware stock ne va pas foirer ou véroler le bootloader ou le modem ou…).

(Pour l'anecdote, sur mon "ancien" Samsung S3, j'ai flashé le CSC et le modem avec un firmware pack censé être bloqué sur Orange. J'ai fait ça depuis un système GNU/Linux Debian avec heimdall-frontend (paquet Debian heimdall-flash-frontend). Le firmware mis à disposition ayant été sauvegardé par le logiciel Odin, il faut un peu ruser : onglet Flash, charger le fichier PIT ‒ la table des partitions ‒ depuis l'une des archives contenues dans le firmware pack, ajouter la partition HIDDEN, y associer le fichier hidden.img de l'archive CSC contenue dans celle du firmware pack, ajouter la partition CACHE, y associer le fichier cache.img de l'archive CSC, démarrer le téléphone en download mode, le brancher en USB, lancer le flash. Après ça, ma carte SIM Free fonctionne toujours avec Lineage. Donc le CSC et le modem ne font pas tout.)

Sur un forum, je lis que le CSC a rien avoir avec le verrouillage (il s'agirait de fichiers complémentaires d'un opérateur, tels les bloatwares), que c'est spécifique au système / ROM de Samsung, blablabla (ce que confirme mon expérience ci-dessus, mais ce que peut potentiellement infirmer ma boulette de 2017 sus-relatée), que le SIM lock est consigné dans la partition EFS… ce qu'un autre forum dément (ce n'est pas stocké dans EFS). Une vidéo YouTube évoque un logiciel qui lit et calcule le code de déverrouillage via une liaison adb, etc.

Bref, on lit tout et son contraire, et je manque de culture dans le domaine pour trier le vrai du faux de l'obsolète. J'avais eu le même problème quand je me suis mis à la cuisine.

Faire débloquer

Johndescs me rappelle qu'à chaque coin de rue se trouve une boutique qui propose de déverrouiller un téléphone. Je décide de chercher dans ma ville. Le premier résultat d'un moteur de recherche web est une boutique dont une pote m'avait fait l'éloge (pour d'autres prestations qu'un désimlockage, certes). Je m'y rends. 15 €. J'accepte en décidant d'échanger de l'argent contre mon temps. Ce domaine ne m'intéresse pas, j'ai pas envie d'y investir mon temps.

J'ai appris qu'il a essayé d'obtenir un code de déverrouillage auprès de l'opérateur, mais que ledit code n'a pas fonctionné (mensonge d'Orange ou ordiphone ayant déjà subi une tentative de déblocage ?). Ensuite, il m'a dit qu'il l'avait flashé, que ça nécessite un équipement spécial (le fameux boîtier évoqué par certains tutoriels ?). Je n'avais pas laissé une quelconque empreinte (genre un fichier dans un coin), donc je suis incapable de dire s'il s'agit du même système, mais, en tout cas, il s'agit de la même version d'Android qu'au début…

Coût total du remplacement

Au final : 20 € à l'ancien proprio, 6,70 € de colis, 0,99 € de commission Le Boin Coin (voir ci-dessus), et 15 € de désimlockage.

Total : 42,69 €. \o/ Ça ne s'invente pas. :D

Installer Lineage sur le remplaçant

Lineage ne prend plus en charge ce modèle d'ordiphone, mais j'ai gardé tous les fichiers que j'ai utilisés pour l'installer en 2017. Oui, ce n'est pas bien, j'utilise une vieille version sur un équipement raccordé à des réseaux, donc impact des failles de sécurité, tout ça, mais c'est dans la continuité de mon choix initial (ne pas passer de temps à comparer les systèmes actuels et les téléphones compatibles).

Mon tutoriel pour installer Lineage sur un Samsung Galaxy S3 fonctionne toujours, rien à y redire.

Remarques concernant quelques logiciels pour ordiphone

La version 3.5.3 d'afwall+ (pare-feu) n'arrive pas à obtenir les droits administrateurs (root) alors que je les lui ai accordé. La version 3.5.2.1 (avant-dernière à ce jour) y parvient. Curiosité : en ré-installant la version 3.5.3 après avoir installé la 3.5.2.1, cela fonctionne…

Offline calendar, qui permet d'avoir un calendrier local (pas synchronisé) dans tout logiciel de calendrier (y compris celui de base de Lineage) n'est plus maintenu et redirige maintenant vers Etar qui est un calendrier complet (pas juste le backend de stockage).

Dans OSMAnd~ (navigation GPS en utilisant la carte géographique libre et collaborative OpenStreetMap), lors que j'ai cliqué sur l'icône en forme de cible afin d'afficher ma position, OSMAnd~ m'a informé qu'il télécharge les données AGPS. Il me semble que c'est nouveau.

Note

Après une semaine d'utilisation, ce nouveau téléphone répond au cahier des charges : il a jamais planté, y compris quand je l'ai chargé ou que j'ai reçu un appel. \o/ Dans quelque temps, je réinstallerai Lineage sur mon ancien ordiphone afin de valider que les problèmes sus-décrits sont bien d'origine matérielle.

Le seul truc bizarre à l'heure actuelle est qu'à grande fréquence (toutes les cinq à dix minutes, je dirais), l'écran de mon nouvel ordiphone s'allume comme si j'avais touché les boutons (alors qu'il est posé sur un meuble). Le plus drôle fût un écran noir avec un message d'erreur relatant des droits insuffisants pour l'appareil photo. Il a crû détecter un bouton ou geste ou autre, et comme je n'ai pas encore utilisé l'appareil photo (l'application), je ne lui ai pas donné les autorisations, d'où ce message d'erreur. Mais ces sursauts consomment de la batterie, donc pas cool.

En 2023, 4,3 milliards d'euros de l'Unédic (assurance-chômdu, c'est-à-dire cotisations sociales et CSG), soit 11 % des recettes du régime chômdu, serviront à financer Pôle emploi à hauteur de 60 %. Stable par rapport à 2021.

À mettre en balance avec le déficit 2021 de l'Unédic : 6,8 milliards d'euros. 6,8 - 4,3 = 2,5… Liés aux exonérations de cotisations sociales patronales, au petit jeu consistant à déshabiller Pierre pour habiller Paul via, entre autres, le transvasement de la CSG, etc.

Pour rappel, Pôle emploi c'est :

• Financer des prestataires privés (nommés opérateurs privés de placement ‒ OPP ‒) pour des ateliers répétitifs de rédaction de CV / lettres de motiv' et de simulation d'entretien d'embauche. Pour y pousser un demandeur d'emploi, la déloyauté de la conseillère (la mentionner très vite dans tout un baratin) et les grosses ficelles seront de mise : en voyant un CV bien fichu, elle gribouillera d'inverser l'ordre d'apparition des expériences et des compétences. Il y a également le classique non-débat âge versus date de naissance, et tant d'autres trolls ;
  
  
• Proposer un webinaire « protéger ses données personnelles » confectionné par Google (qui est mieux placé que cet aspirateur à données persos ?) et une formation de 19 mois (!) sur le Metavers (c'est-à-dire sur du vent d'une multinationale ricaine), ce qui revient, là-encore, à financer le privé. Quel rapport avec les besoins des employeurs et ceux de la société ? ;
  
  
• Proposer des offres d'emploi, des formations et des salons, toujours en jouant sur la confusion entre ce qui est obligatoire ou non et la peur induite, même si ça n'a qu'un vague rapport avec le projet professionnel (un administrateur système et réseaux se verra proposer du dev' web à gogo, bien entendu) voire pas du tout (le même se verra proposer « les métiers de la mode ») ;
  
  
• Des services à l'utilité / efficacité douteuse (réseau social Sphère emploi, « compétence validée », etc.). Sphère emploi est sous-traité à la société commerciale Whaller. Tiens encore du privé… ;
  
  
• Trouzemilles infractions au RGPD ;
  
  
• Notoirement inefficace ;
  
  
• Contrôle social et humiliation ;
  
  
• Une parfaite machine à radier les chômeurs… afin de renflouer l'Unédic pillé par Pôle emploi ? Sources pour la parfaite machine à radier : 1, 2 ;
  
  
• Fournir un emploi inutile à environ 50 000 personnes (conseillères, inspecteurs, directeurs)… sans quoi celles-ci pointeraient au chômdu ? :))))

Tout ça pour 4,3 milliards d'euros par an. C'pas beau ?

Le caractère illégal de la configuration de Google Analytics utilisée par les sites médias les oblige à changer d’outil de mesure pour conserver la certification de leur trafic. […] L’association nous a confirmé cette décision.

 
Autre source :

L'ACPM a informé ses membres du retrait du label pour Google Analytics 3 […] "Cet outil, considéré par le régulateur comme ne répondant plus aux exigences de confidentialité, ne permet plus à l’ACPM de continuer à lui attribuer son statut de membre associé", a indiqué l'Alliance. Il sera donc nécessaire pour tous les éditeurs digitaux concernés par cet outil de mesure de mettre en place un des 3 autres outils labellisés à ce jour : Piano / AT Internet, [IDFR] Wysistat, NSP [ Smartprofil ] […]

 
Les autres outils labellisés (1, 2) ne sont pas forcément conformes au RGPD, cf. mesure d'audience web et RGPD.

 
Quel inpact ? D'après Wikipedia :

Les chiffres de l'ACPM/OJD sont utilisés pour l'élaboration des tarifs de publicité des supports certifiés. Ils servent aussi, dans de nombreux cas, de base de référence pour les pouvoirs publics, l'administration ou les tribunaux lorsque se pose la question de connaître avec exactitude la diffusion de certains supports.

 
Via https://twitter.com/Dignilog1/status/1599797688786358272 en faisant une recherche sur Twitter.

On peut cumuler plusieurs profils Firefox ou Thunderbird. firefox -p ou thunderbird -p pour accéder au gestionnaire des profils, créer un profil, définir lequel sera ouvert par défaut, etc. firefox -p <nom_profil> pour ouvrir un profil. Ça fonctionne aussi sur winwin en bidouillant la cible d'un raccourci pour ajouter ce paramètre.

L'agenda Sunbird (Iceowl sur Debian) prend également en charge plusieurs profils. Mais il est lancé par un script d'emballage (wrapper) qui positionne tout un environnement. Or, pour ce script, le paramètre « -p » signifie le mode « pure » (aucune idée de ce que c’est), qui nécessite un binaire spécifique qui n'était pas livré par le paquet Debian. D'où l'erreur « run-mozilla.sh: Cannot execute /usr/lib/iceowl/iceowl-bin.pure. » quand je tente un « iceowl -p ».

Il faut donc le contourner.

Pour ouvrir le gestionnaire des profils : /usr/lib/iceowl/run-mozilla.sh /usr/lib/iceowl/iceowl-bin -p.

Pour ouvrir un profil spécifique : /usr/lib/iceowl/run-mozilla.sh /usr/lib/iceowl/iceowl-bin -p <nom_profil>.

Attention : ça ne fonctionne pas si une autre instance d'Iceowl est en cours d'exécution.

P.-S. : Sunbird / Iceowl n'est plus maintenu et il a été retiré des dépôts depuis au moins Debian 9. Il est remplacé par le calendrier Lightning intégré par défaut à Thunderbird. Mais un blocage psychologique me retient de migrer.

Une infographie classant une partie des logiciels utilisant le Fediverse par usage (réseau social, vidéos, blog, événementiel, etc.).

Via https://twitter.com/_Nidouille_/status/1605156064852336643 via https://twitter.com/bortzmeyer.

Lu sur une liste de discussion par emails :

Je te propose de meilleurs préjugés :

L’attachement à la perpétuation de l’espèce est instinctivement et terriblement fortement ancré dans nos cultures, ceci très indépendamment du niveau d’éducation.

L’attachement à protéger le cercle de la famille, les ressources et le capital du clan est aussi un vecteur très important de l’homophobie.

La grande majorité des gens projettent leur peur dans la menace relative que présente l’homosexualité pour leur propre perpétuation et la protection de leur capital familial.

Plus les gens possèdent de capital familial
Plus les gens se sentent menacés dans leur procréation.
Plus ils sont facilement homophobes.

Et quant tu associe procréation, enfants et homosexualité, tu déclenche toutes les alarmes les plus irrationnelles et les plus intenses qui soient.

Un BBQ en plein cagnard est un des pires endroits pour avoir des discussions rationnelles et intellectuellement honnêtes.

Des gens qui ne se connaissent pas, se retrouvent ensemble dans un espace restreint, sont déjà sur la défensive et assez peu empathiques.

[…]

Mauvais sujet au mauvais endroit et pas forcément avec les bonnes personnes.

La notion de capital familial (au sens de clan, de lignée, mobilisable pour défendre des intérêts), qui fait echo à celle de capital économique, social et culturel de Bourdieu, me parle bien.

Après, comme d'hab', y'a trouzemilles autres facteurs : ombre noire (homo refoulé, en très gros), conviction / religion, effet de groupe (une causerie en groupe est rarement pertinente), mauvaise expérience et généralisation, etc.

Une personne peut demander à ce que son nom comportant des lettres accentuées soit rectifié dans le système informatique d'une banque afin d'y intégrer lesdits accents. L'impossibilité technique et l'absence d'obligation d'accentuer les majuscules ne sont pas des arguments suffisants.

D'un autre côté, dans une décision, l'APD norvégienne avait donné raison à un Néerlandais qui demandait à sa banque de rectifier son nom de XXX Van YYY en XXX van YYY en argumentant que le droit de rectification ne requiert pas un degré d'inexactitude et ne permet pas d'adopter une approche basée sur le risque pour déterminer quand ce droit peut être déclenché. La banque a contesté la décision. Le tribunal a jugé que ce n'est pas la nature de la donnée qui compte mais son exactitude au regard de la finalité du traitement. Dans le cas d'espèce, la finalité étant la gestion de la relation client, il n'y a pas de risque d'erreur d'identification. De plus, la banque faisait valoir l'effort déraisonnable qu'il lui faudrait pour corriger (elle importe les noms depuis le registre national de la population, dans lequel tous les noms sont en majuscule, y applique un traitement "tout en minuscule sauf la première lettre", et on peut supposer que ce traitement écrase toute modif' manuelle).

Via https://twitter.com/aeris22/status/1585954255801909248.

Après une première plainte concernant l'impossibilité de s'inscrire à Pôle emploi sans accepter le téléchargement de scripts hébergés sur les serveurs informatiques d'une société commerciale états-unienne, une deuxième plainte portant sur les liens et l'image traçants que Pôle emploi insère dans ses emails, et une troisième plainte portant sur les ateliers organisés via Microsoft Teams et Bit.ly, une quatrième plainte est nécessaire.

Sphère emploi est la plateforme collaborative d'échanges (un réseau social, quoi) de Pôle emploi. Le logiciel sous-jacent est un produit de la société commerciale française Whaller. Aeris a émis des doutes concernant la conformité RGPD du produit en consultant son site web officiel. Cette instance de Pôle emploi les confirme : il y a bien des transferts illégaux de données personnelles vers les États-Unis (Google Fonts, scripts hébergés par Amazon, image par Akamai) par le produit lui-même, ce qui illustre que la conformité de la vitrine (site web officiel) reflète souvent celle du produit. Et, comme d'hab', on constate des carences dans le choix, le pilotage et l'audit des sous-traitants.

Pôle emploi envoie, par email, des invitations à rejoindre Sphère emploi. Onze en un mois et demi, ce qui est excessif. Pour s'y opposer, il faut créer un compte sur la plateforme et accepter ses CGU, ce qui est disproportionné et contraire à l'objectif recherché par le demandeur d'emploi (si je ne veux plus recevoir d'invitation, c'est que je ne veux pas rejoindre la plateforme…). Décliner une invitation est sans effet : on est ré-invité à rejoindre le même canal / groupe encore et encore (alors que quand je refuse une invitation, je peux légitimement m'attendre à ce qu'on me fiche la paix). On peut contacter le DPO de Pôpôle, mais quand on me spamme, je me sens légitime à exiger un mécanisme d'opposition automatisé.

Pôle emploi ne communique pas des informations légalement obligatoires comme la base légale du traitement de données personnelles que constitue Sphère emploi. D'une manière générale, Pôle emploi tend à présenter tous ses traitements comme relevant de sa mission d'intérêt public ou d'une obligation légale. Cf. la mise en forme de sa politique générale de confidentialité : le Code du travail est mis en avant et, par exemple, la base légale de la sécurisation de l'espace recruteur n'est pas énoncée, laissant à penser qu'elle en relève alors que la prévention de la « fraude » relève de l'intérêt légitime. Dans le cas de Sphère emploi, la politique de confidentialité du service énonce « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi », sans fournir, du coup, sa base légale (qui, d'après cette citation, ne peut pas être l'obligation légale ni la mission d'intérêt public)… D'autres traitements (e-mailing, visioconférence, transferts vers les États-Unis, etc.) ne sont pas référencés, et les informations minimales (tel jeu de données persos est utilisé pour telle finalité fondée sur telle base légale, etc.) manquent à l'appel… Pôle emploi joue sur la confusion.

Comme tous les emails de Pôle emploi (cf. premier paragraphe), les invitations contiennent des liens et image de traçage sans obligation légale ni obligation contractuelle ou technique ni consentement.

Du coup, hop, plainte à la CNIL.

Nouveautés :

• Première fois que je pointe les lignes directrices du CEPD relative à la transparence (WP 260). Version française. Elles précisent les informations à communiquer à propos d'un traitement de données personnelles, et la manière de procéder (concision, clarté, plusieurs niveaux de lecture, etc.) ;
  
  
• Dans sa doctrine, la CNIL explique qu'un responsable de traitement peut s'appuyer sur une obligation légale seulement si elle est impérative (un texte qui prévoit l'installation de caméras dans un lieu public ne l'est pas, par exemple), qu'elle s'impose explicitement à lui (et pas uniquement aux personnes concernées par le traitement), et qu'elle est précise (un objectif général, même prévu par la loi, comme la sécurité des données, est insuffisant). Il en va de même pour la base légale de la mission d'intérêt public (source). Sinon, couic, comme ici avec la prise de température via des caméras thermiques durant le Covid dans des aéroports de Belgique (la Cour d'Appel a réduit la sanction, mais l'absence de base légale et d'information sur le traitement demeurent intacte).

Email au DPO de Pôle emploi

Le RGPD impose d'exercer d'abord ses droits (ici d'opposition) auprès du délégué à la protection des données personnelles de l'entité. J'en profite pour lui signaler les infractions que je constate. Ces dernières peuvent être directement remontées à l'autorité de protection des données personnelles, d'où la parallélisation de ma demande au DPO et de ma plainte auprès de la CNIL.

Je l'ai envoyé aux adresses emails consignées dans la politique de confidentialité de Sphère emploi et dans la politique générale de protection des données personnelles de Pôle emploi.

Sujet : Exercice droit d'opposition et signalement infractions RGPD

Bonjour,

Je suis inscrit en tant que demandeur d’emploi auprès de Pôle emploi.

À ce titre, entre le 04/11/2022 et le 21/12/2022, j'ai reçu onze emails de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres Provence Alpes ». Cf. PJ 1.

Décliner plusieurs invitations ne stoppe pas l'émission de nouvelles invitations :

• Le 15/12/2022 à 13 h 54, j’ai décliné l’invitation reçue le même jour à 13 h 36 (cf. la couleur du lien dans la page 7 de PJ 1). À 14 h 21, je recevais une nouvelle invitation à rejoindre la même sphère sur la même plateforme. J’ai décliné à nouveau (cf. page 8 de PJ 1), et j’ai reçu, à nouveau, une invitation à rejoindre la même sphère le 21/12 (cf. page de 10 de PJ 1) ;
  
  
• Le 18/12/2022 à 20 h 29, j’ai décliné le rappel d’une invitation reçu le même jour à 20 h 21 (cf. PJ 2). Le 21/12/2022, j’ai reçu une nouvelle invitation concernant la même sphère sur la même plateforme (cf. page 11 de PJ 1).

Le pied de page des emails énonce : « Si vous ne souhaitez plus recevoir de messages de Sphère emploi ou en modifier le type et la fréquence d'envoi, connectez-vous à votre compte pour personnaliser vos notifications. ».

Pour se connecter sur la plateforme Sphère emploi, il faut « créer votre compte » et « accepter les conditions générales d'utilisation du site ». Or, je ne veux pas faire cela, je veux uniquement ne plus recevoir les invitations à rejoindre ladite plateforme. Le lien consigné dans le pied de page des emails d'invitation ne permet pas de contourner cette étape.

Mes demandes

1) Je ne veux plus recevoir les emails de la plateforme Sphère emploi. À ce titre, j'exerce mon droit d'opposition pour l'adresse emails émettrice du présent email. Si le traitement est fondé sur le consentement, la présente demande est à interpréter comme un retrait de mon consentement (quand bien même il n'a pas été collecté) ;

2) Merci de revenir vers moi pour me confirmer la prise en compte de mon opposition et son effectivité ;

3) J'ai reçu onze invitations et rappels d'invitation de Sphère emploi entre le 04/11/2022 et le 21/12/2022. Cf. PJ 1. C'est excessif, notamment l'aspect répétitif / systématique qui tend à forcer l'acception des invitations afin d'avoir la paix. Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum ;

      Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

4) Comme relaté ci-dessus, pour s'opposer à la réception des invitations de Sphère emploi, il faut créer un compte sur la plateforme et accepter ses conditions d'utilisation. Cela est contraignant, contraire à l'objectif recherché par le demandeur d'emploi (ne pas rejoindre Sphère emploi) et disproportionné. Bien évidemment, le demandeur d'emploi peut vous écrire ainsi qu'à sa conseillère assignée mais cela est tout autant disproportionné : quand on m’envoie une masse conséquente d’emails automatiques, j’attends un mécanisme d’opposition automatisé en état de marche.

      De plus, le refus d’une invitation ne produit pas l’effet auquel peut légitimement s’attendre un demandeur d’emploi, à savoir qu’on cesse de l’inviter.

      Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

5) Carence dans les informations décrivant le traitement Sphère emploi (articles 12 et 13 du RGPD).

     Le pied de page des emails énonce « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr ». Cf. PJ 1. C’est inexact, je ne suis pas utilisateur de Sphère emploi puisque utiliser le site web nécessite de s’y créer un compte utilisateur (cf. l'article 3 des mentions légales, https://sphere-emploi.fr/portal/article/3984) et d'accepter les conditions d’utilisation de la plateforme, ce que je n’ai pas fait.

     De plus, je n’ai pas reçu d’information, comme la possibilité de m’opposer, avant de recevoir les invitations alors que, manifestement, des données personnelles, au moins mon adresse emails, ont été insérées dans ce traitement (Sphère emploi).

     Ensuite, dans les mentions légales de la plateforme (https://sphere-emploi.fr/portal/article/3984), la base légale du traitement de données personnelles n’est pas indiquée. Par déduction, ce n’est pas le consentement (il n’est pas récolté au préalable et décliner une invitation ne suffit pas à être retiré du traitement), ni une obligation légale (le responsable du traitement doit démontrer en quoi son traitement répond à une telle obligation précise, cela ne peut pas être un objectif vague et/ou d’ordre général, cf. WP 260 du CEPD, et Pôle emploi indique que les données ne sont pas traitées dans le « cadre du contrôle de la recherche d’emploi »), ni une mission de service public (mêmes raisons, la législation ne missionne pas explicitement Pôle emploi pour créer une plateforme collaborative à destination des demandeurs d'emploi). Donc, la base légale est l’intérêt légitime. Or, lesdits ne sont pas présentés, alors qu'il s'agit d'une obligation (article 13.1.d du RGPD).

      De même, aucune information est donnée sur le caractère (réglementaire, contractuel) de l’utilisation des données personnelles ni sur son aspect facultatif ou obligatoire ni sur les conséquences d’un refus de communication des données personnelles (sur ce dernier point, la phrase « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » constitue un indice faible). C'est pourtant une exigence de l'article 13.2.e du RGPD.

      La politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) ne référence pas ce traitement et ne fournit pas de réponse aux carences précédemment soulignées. Par ailleurs, elle ne répond pas aux exigences d'exhaustivité et de clarté définies par le RGPD et le CEPD : quel jeu de données est utilisé pour telle finalité présentée ? Sur quelle base légale repose telle finalité présentée ? Durée de conservation de chaque jeu de données ? Etc.

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

6) Comme tous les emails émis par Pôle emploi, chaque invitation contient au moins une image de traçage (d'après la terminologie de la CNIL, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), et tous les liens qu'elle contient sont des liens de traçage, même ceux qui redirigent simplement vers la page d'accueil de Sphère emploi ou vers le profil de la personne qui a émis l'invitation (la conseillère assignée par Pôle emploi). Nom de domaine dédié (« r.mail.sphere-emploi.fr ») délégué à votre prestataire d'e-mailing (SendInBlue), motifs « tr » (diminutif de « track ») et « cl » (« click ») dans l'URL de chaque lien, identifiant unique à chaque lien afin de consigner un clic sur celui-ci. Image 1 x 1 pixel transparente (format GIF) donc invisible et n'apportant rien au contenu rédactionnel. Cf. PJ 1 et page 4 de PJ 3.

     Vous êtes soumis à aucune obligation légale nécessitant de traquer la lecture des emails par les demandeurs d'emplois et leurs clics sur des liens. Absence de nécessité pour l'exécution d'un contrat ou de votre mission de service publique. Aucune information au demandeur d'emploi et absence de recueil de son consentement. Il s'agit donc d'un manquement au RGPD selon le CEPD (section V de WP 118) et la CNIL (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

7) Lors de son chargement, la page d’accueil de la plateforme Sphère emploi (https://sphere-emploi.fr/) fait télécharger automatiquement (cf. PJ 4 au format HTTP Archive) :

• Une police de caractères auprès du service Fonts de la société commerciale états-unienne Google ;
  
  
• Des scripts JavaScript du service StatusPage de la société commerciale Atlassian qui les héberge sur les serveurs informatiques de la société commerciale états-unienne Amazon ;
  
  
• Une image hébergée sur les serveurs informatiques de la société commerciale états-unienne Akamai Technologies (rackcdn.com).

     On peut raisonnablement en déduire que l'entièreté de la plateforme fait télécharger ces ressources sur chacune de ses pages.

     De même, les images qui participent au contenu des emails (logo Pôle emploi, etc.) sont diffusées via le CDN de la société commerciale états-unienne Cloudflare. Elles sont téléchargées automatiquement par le logiciel de messagerie du demandeur d'emploi à l'ouverture de l'email.

     Ces téléchargements induisent un contact direct entre le terminal du demandeur d’emploi et des serveurs informatiques détenus par les sociétés commerciales états-uniennes sus-énumérés. Pour le raisonnement détaillé, cf. https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     Ce contact direct induit le transfert vers les États-Unis de plusieurs données personnelles du demandeur d’emploi : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (l’entête HTTP Referer consigne pour le compte de quel site web des ressources web sont téléchargées), la date et l’heure de ses consultations de Sphère emploi (même entête), etc. Là encore, voir le raisonnement complet en https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     À titre d'illustration, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérés au point précédent (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks).

     Ces transferts de données personnelles vers les États-Unis constituent des manquements au RGPD (articles 44 à 49 du RGPD) : absence de décision d’adéquation et de clauses contractuelles-type (invalidées par l'arrêt Schrems II de la Cour de Justice de l'UE), absence de garanties appropriées complétées par des mesures complémentaires répondant aux exigences de l’arrêt Schrems II, absence de consentement au sens de l’article 49.1.a du RGPD (absence d’information, absence de recueil du consentement, transferts systématiques, cf. les lignes directrices 2/2018 du CEPD), absence de nécessité à l’exécution d’un contrat (il est possible d'héberger ces ressources web sur le même hébergement web que la plateforme ou auprès d'un hébergeur européen, de recourir à des prestataires européens similaires, etc.), et absence d'information sur l'existence de ces transferts au sens de l'article 13.1.f du RGPD. Là encore, le raisonnement est détaillée par la CNIL : https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure.

     La plateforme Sphère emploi est un produit de la société commerciale française Whaller qui agit comme sous-traitant de Pôle emploi (cf. article 1 des mentions légales, https://sphere-emploi.fr/portal/article/3984). Il y a donc, de la part de Pôle emploi, carence dans le choix, le pilotage et l’audit de ses sous-traitants.

     Pouvez-vous m'informer des actions correctrices que vous allez mettre en œuvre ?

8) Merci de me communiquer les informations légales (article 13 du RGPD) manquantes (cf. question 5 et article 13.1.f du RGPD appliqué aux faits relatés dans la question 7).

Bonne journée.

Introduction de ma plainte CNIL

Bonjour,

Je suis inscrit à Pôle emploi en tant que demandeur d'emploi.

À ce titre, j’ai reçu plusieurs email de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres <REGION_CENSURÉE> ».

Merci de noter que nous ne sommes pas en présence d'un traitement obligatoire lié à la mission de service public de Pôle emploi : « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » (source : la politique de confidentialité de la plateforme collaborative).

Infractions :

• Nombre excessif d'emails d'invitation (11 en 1 mois et demi). La démarche est abusive par sa répétitivité : décliner plusieurs invitations ne suffit pas à stopper l'émission de nouvelles invitations à rejoindre les mêmes groupes. Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum ;
  
  
• Le pied de page de chaque email énonce qu'on peut s'opposer au traitement… en créant un compte sur la plateforme (avec acceptation des CGU). C'est contraignant, contraire à l'objectif recherché par le demandeur d'emploi (ne pas rejoindre la plateforme) et disproportionné. Contacter le DPO pour s'opposer est également disproportionné : face au volume d'emails, le demandeur d'emploi peut légitimement s'attendre à un mécanisme d’opposition automatisé en état de marche ;
  
  
• Plusieurs informations obligatoires au sens de l'article 13 du RGPD ne sont pas communiquées : base légale, présentation des intérêts poursuivis, mentions relevant de l'article 13.2.e du RGPD, etc. D'une manière générale, la politique de confidentialité de Pôle emploi ne satisfait pas aux obligations d'exhaustivité et de clarté du RGPD et du CEPD ;
  
  
• Utilisation, dans lesdits emails d'invitation, de liens et d'image de traçage sans obligation légale ni nécessité contractuelle ou technique ni recueil du consentement (WP 118) ;
  
  
• Transfert de données personnelles vers les États-Unis. Images des emails hébergées par Cloudflare. Sur le site web de la plateforme : utilisation de Google Fonts, de scripts hébergés par Amazon, et d'une image hébergée par Akamai.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Je vous invite à considérer les demandeurs d'emploi comme des personnes vulnérables (comme les employés le sont vis-à-vis de traitements mis en œuvre par leur employeur), donc à ne pas attendre de recevoir trouzemilles plaintes identiques à celle-ci avant d'agir, car cela n'arrivera pas : méconnaissance du RGPD, chronophage, peur des sanctions, etc.

J'ai sollicité le DPO de Pôle emploi pour exercer mon droit d'opposition. Je ne vous demande pas d'appuyer ma demande, car le délai légal de réponse court toujours.

Je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencées dans la présente, et qu’elle sanctionne Pôle emploi.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Plainte CNIL détaillée

Bonjour,

Je suis inscrit en tant que demandeur d’emploi auprès de Pôle emploi.

À ce titre, j’ai reçu plusieurs email de Pôle emploi m’invitant à « rejoindre la plateforme collaborative Sphère Emploi Cadres <RÉGION_CENSURÉE> » (ci-après « Sphère emploi » / « la plateforme »).

Onze emails entre le 04/11/2022 et le 21/12/2022 « signés » par la conseillère qui m’est assignée par Pôle emploi. Cf. PJ 1. Leur présentation est rustique, car je désactive la prise en charge HTML de mon logiciel de messagerie.

Premier grief : c’est excessif et abusif, notamment l’aspect répétitif / systématique qui tend à se résigner à accepter les invitations « pour avoir la paix ». Avant la création d'un compte sur la plateforme, celle-ci devrait émettre une invitation et un à deux rappels maximum.

Le pied de page des emails énonce : « Si vous ne souhaitez plus recevoir de messages de Sphère emploi ou en modifier le type et la fréquence d'envoi, connectez-vous à votre compte pour personnaliser vos notifications. ». Cf. PJ 1.

Pour se connecter sur la plateforme Sphère emploi (https://sphere-emploi.fr/) avec son identité numérique Pôle emploi (mécanisme d’authentification unique), il faut « créer votre compte » et « accepter les conditions générales d'utilisation du site ». Or, je ne veux pas faire cela, je veux uniquement ne plus recevoir les invitations à rejoindre ladite plateforme. Le lien consigné dans le pied de page des emails d’invitation ne permet pas de contourner cette étape.

Décliner plusieurs invitations ne stoppe pas l’émission de nouvelles invitations :

• Le 15/12/2022 à 13 h 54, j’ai décliné l’invitation reçue le même jour à 13 h 36 (cf. la couleur du lien dans la page 7 de PJ 1). À 14 h 21, je recevais une nouvelle invitation à rejoindre la même sphère (le même groupe) sur la même plateforme. J’ai décliné à nouveau (cf. page 8 de PJ 1), et j’ai reçu, à nouveau, une invitation à rejoindre le même groupe le 21/12 (cf. page de 10 de PJ 1) ;
  
  
• Le 18/12/2022 à 20 h 29, j’ai décliné le rappel d’une invitation reçu le même jour à 20 h 21 (cf. PJ 2). Le 21/12/2022, j’ai reçu une nouvelle invitation concernant la même sphère sur la même plateforme (cf. page 11 de PJ 1).

Contrairement aux autres moyens de communication, il n’existe pas de paramètre concernant Sphère emploi dans les préférences de l’espace personnel du demandeur d’emploi sur le site web principal de Pôle emploi (https://candidat.pole-emploi.fr).

Deuxième grief : le moyen de s’opposer est contraignant, disproportionné, et contraire à l’objectif recherché par le demandeur d’emploi (ne pas rejoindre la plateforme). Et le refus d’une invitation ne produit pas l’effet auquel peut légitimement s’attendre un demandeur d’emploi, à savoir qu’on cesse de l’inviter.

Oui, le demandeur d’emploi peut contacter le DPO de Pôle emploi et/ou la conseillère qu’on lui a assignée, mais cela reste disproportionné : quand on m’envoie une masse conséquente d’emails automatiques, j’attends un mécanisme d’opposition automatisé en état de marche.

Oui, l’email contient un entête « List-Unsubscribe », mais 99 % de la population ne sait pas l’utiliser. Sans compter qu’on ne saurait être sûr de son efficacité : j’ai essayé le 26/12/2022, et je n’ai pas reçu un quelconque acquittement automatique, ce qui est pourtant la norme en matière de désabonnement.

Le pied de page des emails énonce « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr ». Cf. PJ 1. C’est inexact, je ne suis pas utilisateur puisque, comme relaté ci-dessus, utiliser le site web nécessite la création d’un compte (cf. article 3 des mentions légales, https://sphere-emploi.fr/portal/article/3984) et l’acceptation des conditions d’utilisation, ce que je n’ai pas fait à date.

Je n’ai pas reçu d’information (comme la possibilité de m’opposer) avant la réception des invitations alors que, manifestement, des données personnelles, au moins mon adresse emails, ont été insérées dans ce traitement.

Dans les mentions légales de la plateforme Sphère emploi (https://sphere-emploi.fr/portal/article/3984), la base légale n’est pas indiquée.

Par déduction, ce n’est pas le consentement (il n’est pas récolté au préalable et décliner une invitation ne suffit pas à être retiré du traitement), ni une obligation légale (le responsable du traitement doit démontrer en quoi son traitement répond à une telle obligation légale précise, cela ne peut pas être un objectif vague et/ou d’ordre général, cf. WP 260 du CEPD, et Pôle emploi indique que les données ne sont pas traitées dans le « cadre du contrôle de la recherche d’emploi »), ni une mission de service public (mêmes raisons, la législation ne missionne pas explicitement Pôle emploi pour créer une plateforme collaborative à destination des demandeurs d'emploi). Donc, il s’agit de l’intérêt légitime. Or, les intérêts légitimes ne sont pas énoncés, alors qu’il s’agit d’une obligation (article 13.1.d du RGPD).

De même, aucune information sur le caractère (réglementaire, contractuel) de l’utilisation des données personnelles ni sur son aspect facultatif ou obligatoire ni les conséquences d’un refus (sur ce dernier point, la phrase « En aucun cas, les données collectées ne seront traitées par Pôle emploi dans le cadre du contrôle de la recherche d’emploi. » constitue un indice faible). C'est pourtant une exigence de l'article 13.2.e du RGPD.

La politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) ne référence pas ce traitement et ne fournit pas de réponse aux carences précédemment soulignées. Par ailleurs, elle ne répond pas aux exigences d'exhaustivité et de clarté définies par le RGPD et le CEPD : quel jeu de données est utilisé pour telle finalité présentée ? Sur quelle base légale repose telle finalité présentée ? Durée de conservation de chaque jeu de données ? Etc.

Troisième grief : manquement aux articles 12 et 13 du RGPD.

Enfin, comme les autres emails émis par Pôle emploi (ou ses prestataires), cf. ma plainte CNIL numéro 44-17-47, les emails d’invitation à rejoindre Sphère emploi contiennent une image de traçage selon votre terminologie (cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) : image transparente (format GIF) de dimensions 1 x 1 pixel donc invisible et n’apportant rien au contenu rédactionnel. Cf. page 4 de PJ 3.

De même, tous les liens sont des liens de traçage (cf. PJ 1, même ceux qui redirigent simplement vers la page d’accueil de Sphère emploi ou vers le profil de la personne qui a émis l’invitation (la conseillère assignée par Pôle emploi). Nom de domaine dédié (« r.mail.sphere-emploi.fr ») délégué à votre prestataire d’e-mailing (SendInBlue), motifs « tr » (diminutif de « track ») et « cl » (« click ») dans l'URL de chaque lien, identifiant unique à chaque lien afin de consigner un clic sur celui-ci

Aucune nécessité technique ou obligation légale impose ce traçage. Aucune information ni recueil du consentement du demandeur d’emploi. Donc manquement au RGPD (section V du WP 118 et votre doctrine sus-pointée).

Pour les détails techniques, je vous renvoie à ma plainte CNIL numéro 44-1747.

Quatrième grief : liens et image de traçage en l’absence d’obligation, de nécessité et de consentement.

Lors de son chargement, la page d’accueil de la plateforme Sphère emploi (https://sphere-emploi.fr/) fait télécharger automatiquement :

• Une police de caractères auprès du service Fonts de la société commerciale états-unienne Google ;
  
  
• Des scripts JavaScript du service StatusPage de la société commerciale Atlassian qui les héberge sur les serveurs informatiques de la société commerciale états-unienne Amazon ;
  
  
• Une image hébergée par la société commerciale états-unienne Akamai Technologies (rackcdn.com).

On peut raisonnablement en déduire que l’entièreté de la plateforme fait télécharger ces ressources web sur chacune de ses pages web.

De même, les images qui participent au contenu des emails (logo Pôle emploi, etc.) sont diffusées via le CDN de la société commerciale états-unienne Cloudflare. Elles sont téléchargées automatiquement par le logiciel de messagerie à l’ouverture de l’email.

Ces téléchargements induisent un contact direct entre le terminal du demandeur d’emploi et les serveurs informatiques détenus par les sociétés commerciales états-uniennes sus-énumérées.

Ce contact direct induit le transfert vers les États-Unis de plusieurs données personnelles du demandeur d’emploi : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), son affiliation à Pôle emploi (l’entête HTTP Referer consigne pour le compte de quel site web des ressources web sont téléchargées), la date et l’heure de ses consultations de Pôle emploi (même entête), etc.

Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au point précédent (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks).

Ces transferts de données personnelles constituent des manquements au RGPD : absence de décision d’adéquation, absence de garanties appropriés complétés par des mesures complémentaires répondant aux exigences de l’arrêt Schrems II de la CJUE, absence de consentement au sens de l’article 49.1a du RGPD (absence d’information, absence de recueil du consentement, transferts systématiques), absence de nécessité à l’exécution d’un contrat (internalisation, hébergement UE, etc.), et absence d’information sur l’existence de ces transferts au sens de l'article 13.1.f du RGPD.

Dans le cas d’espèce, la plateforme Sphère emploi est un produit de la société commerciale française Whaller qui agit comme sous-traitant de Pôle emploi (cf. article 1 des mentions légales, https://sphere-emploi.fr/portal/article/3984). Il y a donc, de la part de Pôle emploi, carence dans le choix, le pilotage et l’audit de ses sous-traitants.

Cinquième grief : transfert illégal de données personnelles vers les États-Unis.

J'ai enregistré ces transferts illégaux de données personnelles dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics). Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je reste à votre disposition pour vous communiquer cet enregistrement HAR par tout autre moyen à votre convenance.

Enfin, je vous rappelle que tous les demandeurs d’emploi (inscrits à Pôle emploi) ne sont pas des informaticiens sensibilisés au RGPD, ni même des personnes qui disposent du temps long (j’en suis à 7 h) nécessaire à l’analyse en détail de la situation et au dépôt d’une réclamation auprès de votre commission.

De même, ils seront nombreux à se résigner à se faire spammer par la plateforme Sphère emploi de Pôle emploi et/ou à accepter les invitations de cette plateforme afin de se prémunir contre toute sanction éventuelle.

Les demandeurs d’emploi doivent être considérés comme des personnes vulnérables comme le sont les employés vis-à-vis de traitements mis en œuvre par leur employeur, à ceci près que les demandeurs d’emploi n’ont pas de syndicat ni de délégué, ce qui accroît leur vulnérabilité.

Ainsi, ne vous attendez pas à recevoir plusieurs milliers de plaintes similaires à la mienne et agissez.

J’ai sollicité, ce jour, le DPO de Pôle emploi afin d’exercer mon droit d’opposition. Cf. PJ 4. Le délai légal n’étant pas expiré, je ne vous demande pas d’appuyer ma demande. J’en profite pour lui signaler les manquements au RGPD sus-énumérés. Je vous tiendrais informer de son éventuelle réponse.

Par la présente, je sollicite l’intervention de la CNIL afin qu’elle mette un terme aux infractions au RGPD référencés dans la présente, et qu’elle sanctionne Pôle emploi.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

ÉDIT DU 20/07/2023 :

Réponse du DPO de Pôle emploi du 25/01/2023 :

Bonjour,

Je vous remercie pour votre mail, qui est actuellement en cours de traitement.

Au vue de la complexité de votre demande et du nombre de services à contacter, je vous informe que le délai maximal de traitement de cette demande sera prolongé de deux mois, comme le permet l’article 12.3 du RGPD.

Je peux déjà vous informer que votre demande relative à votre droit d’opposition a été traitée : vous ne recevrez plus de mail de la part de votre conseillère vous invitant à rejoindre Sphère emploi.
Les autres points soulevés sont actuellement en cours de traitement dans les services compétents et je vous transmettrai leurs réponses dès que possible.

Cordialement.

Réponse du DPO de Pôle emploi du 17/03/2023 :

Bonjour,

Je vous remercie pour votre patience et reviens vers vous suite à votre demande concernant la plateforme Sphère emploi. Voici les éléments correctifs effectués :

Tout d’abord, comme précisé dans mon précédent mail du 25 janvier 2023, votre demande relative à votre droit d’opposition a été traitée : vous ne recevrez plus de mail de la part de votre conseillère Pôle emploi vous invitant à rejoindre Sphère emploi.

Ensuite, le pied de page des e-mails d’invitation a été modifié : un lien de désinscription permet désormais de se désinscrire de la liste de diffusion sans la création préalable d’un compte sur Sphère emploi.

De plus, les mentions d’informations présentes sur le site de Sphère emploi ont été mises à jour et sont disponibles ici : https://sphere-emploi.fr/portal/article/3984

Enfin, les différents systèmes de traçages que vous avait relevé sont désactivés : les e-mails ne contiennent plus d’images tracées ni d’URL tracées. Ils ne contiennent plus de pixel de traçage de l’ouverture et il n’y a plus d’envoi d’images hébergées sur un CDN.
De même, les polices sont désormais chargées directement depuis nos serveurs. Les scripts StatusPage est soumis au consentement explicite de l’utilisateur et ne sont plus chargés pas défaut.

Cordialement.

Il semble improbable que ce soit le DPO de Pôle emploi qui ait incité son sous-traitant Whaller à se mettre en conformité en matière de scripts externes hébergés aux USA. En effet, le 4 novembre 2022, Aeris étrillait Whaller dans le thread Twitter d'un officiel du gouvernement (https://twitter.com/aeris22/status/1595807654445973505). Whaller lui avait demandé conseil. Le 01/02/2023, Aeris annonce que Whaller s'est bougé (https://twitter.com/aeris22/status/1620725832674074630). Je pense que Whaller a corrigé son produit et que Pôle emploi en a bénéficié comme tous les autres clients.

Ma réponse du 20/03/2023 au DPO de Pôle emploi (TL;DR : y'a encore du boulot) :

Bonjour,

Concernant les téléchargements de ressources web depuis des États tiers non adéquats (point 7 de ma demande initiale) :

• La page d'accueil de Sphère emploi et celle des mentions légales de ce service (a minima, peut-être d'autres pages de la plateforme sont concernées) téléchargent des scripts JavaScript de la société commerciale états-unienne New Relic (js-agent.newrelic.com). Notez que le cœur du problème est ici (produit d'une société états-unienne). De plus, ces scripts sont hébergés, par New Relic, derrière le CDN de la société commerciale états-unienne Fastly. Une fois chargés, ces scripts envoient, toutes les minutes, un rapport technique à New Relic via le CDN de la société commerciale états-unienne Cloudflare (bam.nr-data.net). Le raisonnement déroulé dans ma demande initiale est totalement applicable à ces scripts, d'où manquement au RGPD ;
  
  
• Concernant les scripts de StatusPage :
  • En effet, leur téléchargement est effectué après l'affichage d'un bandeau cookies. Mais, que l'usager accepte ou ferme le bandeau (avec la croix en haut à droite), les scripts sont téléchargés et le "cookie" de StatusPage est déposé (en vrai, il s'agit d'objets dans l'espace de stockage du navigateur web, mais le raisonnement est identique). Or, il ne s'agit pas d'un traceur exempté de consentement au sens de la CNIL (cf. https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Donc ce traceur doit être déposé uniquement en cas de consentement explicite. De plus, ce traceur n'est pas référencé dans la section 8 des mentions légales de Sphère emploi alors qu'il m'apparaît qu'il faut le traiter comme un cookie. De même, le téléchargement des scripts devrait avoir lieu uniquement en cas de consement ;
    
    
  • Lorsqu'un RT souhaite se reposer sur le consentement pour effectuer un transfert de données persos vers un État tiers non adéquat, c'est celui prévu à l'article 49.1.a du RGPD qui s'applique, pas celui prévu à l'article 6.1.a. Il s'agit d'un consentement spécifique au transfert, pas d'un consentement au traitement. Pour qu'il soit valable, l'usager doit être informé, je cite « des risques que ce transfert pou[rr]ait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées ». Actuellement, le bandeau ne précise pas qu'il s'agit d'un transfert ni des risques ;
    
    
  • Comme indiqué dans ma demande initiale, seul un transfert occasionnel peut reposer sur l'article 49.1.a du RGPD. Cf. les lignes directrices 2/2018 du CEPD, et la doctrine de la CNIL (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics, question « Est-il possible de continuer à transférer des données avec le consentement explicite des personnes ? »). Comme indiqué dans ma demande initiale, aucun autre mécanisme prévu aux articles 45 et suivants du RGPD ne semblent convenir à votre traitement et un hébergement interne de ces scripts ou un renoncement à leur utilisation semble inéluctable.

Concernant les images et les liens de traçage : ne recevant plus, à ma demande, les emails de Sphère emploi, je ne peux pas confirmer leur disparition. En revanche, les autres emails réguliers de Pôle emploi (réponse d'un conseiller, « Vous avez reçu un courrier […] dans votre espace pole-emploi.fr », email de présentation d'une formation, etc.) contiennent toujours des liens et des images de traçage. Pour les raisons exposées dans ma demande initiale, ces liens et images de traçage ne sont pas plus conformes au RGPD que ceux contenus auparavant dans les emails de Sphère emploi.

Concernant les informations relatives au traitement (point 5 de ma demande initiale) :

• Quelle décision avez-vous pris concernant la phrase « Vous recevez ce courriel en tant qu'utilisateur du site www.sphere-emploi.fr » contenue dans le pied de pages des emails d'invitation à Sphère emploi ? Pour rappel, celle-ci est inexacte : mon adresse emails a été injectée dans le traitement (Sphère emploi) en amont, sans action de ma part ni information préalable, et que, pour être utilisateur de Sphère emploi, il faut créer un compte et accepter les CGU, ce que je n'ai jamais fait ;
  
  
• Comme indiqué dans ma demande initiale, Sphère emploi, et notamment l'injection automatique de l'adresse emails d'un usager dans le traitement, ne peut pas reposer sur la base légale de la mission d'intérêt public : absence de spécificité avec la mission confiée à Pôle emploi (lien distendu). Cf. WP 260 du CEPD que la CNIL reprend dans sa doctrine (https://www.cnil.fr/fr/les-bases-legales/mission-interet-public, parallèle intéressant à faire avec https://www.cnil.fr/fr/les-bases-legales/obligation-legale dont le plus grand niveau de détail permet d'appréhender le raisonnement attendu) ;
  
  
• Je ré-itère la totalité de mes griefs à l'encontre de la politique de confidentialité générale de Pôle emploi (https://www.pole-emploi.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html) : traitements pas référencés, informations (sur plusieurs traitements) manquantes, base légale erronée (là encore, tous les traitements sur des données des usagers de Pôle emploi ne peuvent pas reposer sur la base légale de la mission d'intérêt public), absence de clarté et d'exhaustivité (cf. WP 260 du CEPD), etc. Cf. ma demande initiale pour les détails.

Pouvez-vous, svp, m'informer des actions correctrices que vous allez mettre en œuvre ?

Bonne journée.

Mon complément de réclamation adressé à la CNIL le 20/03/2023 :

Bonjour,

Suite à ma demande du 26/12/2022, le DPO de Pôle emploi m'a répondu, le 25/01/2023, qu'il prolongeait son délai maximal de réponse de deux mois. Cf. PJ 1.

Le 17/03/2023, il m’a répondu. Cf. PJ 2.

Le DPO de Pôle emploi a fait droit à ma demande d’opposition et plusieurs manquements au RPGD ont été corrigés (ajout d’un lien de désinscription dans le pied des emails émis par Sphère emploi, suppression des liens et des images de traçage contenus dans les emails émis par Sphère emploi, ajout d’informations obligatoires ‒ article 13 du RGPD ‒ à la politique de confidentialité de Sphère emploi, et suppression de ressources web hébergées dans des États tiers non adéquats).

Néanmoins, plusieurs manquements au RGPD demeurent :

• De nouveaux scripts JavaScript développés et maintenus par une société commerciale états-unienne (qui amasse, en clair, les données que ces scripts récoltent) et diffusés via des CDN états-uniens ont été ajoutés au service Sphère emploi alors que d’autres scripts tout aussi non conformes ont été retirés suite à ma demande… Manquement aux articles 45 à 49 du RGPD ;
  
  
• Les scripts StatusPage (de la société commerciale australienne Atlassian et hébergés par la société commerciale états-unienne Amazon Inc.) sont désormais téléchargés après le bandeau « cookie » de Sphère emploi. Or, ce bandeau ne permet pas le refus et le fermer vaut acceptation. Ces scripts stockent un traceur dans l’espace de stockage permanent du navigateur web. Ce traceur n’étant pas exempté de consentement, son dépôt ne peut avoir lieu qu’après l’octroi du consentement. Or, si l’on ferme le bandeau, le traceur est déposé. De plus, il y a une confusion : le consentement à un transfert vers un État tiers non adéquat est prévu dans l’article 49 du RGPD qui dispose également que l’usager soit informé du transfert et des risques. Or, le bandeau de Pôle emploi (et les mentions légales) n’informe pas de cela. De toute façon, un tel consentement permet uniquement un transfert occasionnel, ce qui n’est pas le cas ici, le transfert est systématique ;
  
  
• Contrairement à ce qui est consigné dans la nouvelle politique de confidentialité de Sphère emploi, ce traitement, et notamment l’injection automatique de l’adresse emails des demandeurs d’emplois dans la liste de diffusion de Sphère emploi ne peut pas reposer sur la base légale de la mission de service public (absence de lien, de rapport, de spécificité avec celle confiée à Pôle emploi) ;
  
  
• La politique de confidentialité générale de Pôle emploi n’est toujours pas conforme au RGPD : elle fonde tous les traitements sur la mission de service public, la majorité des traitements ne sont pas référencés, des informations requises par les articles 12 et 13 du RGPD manquent à l’appel, absence de clarté et d’exhaustivité (WP 260 CEPD) sur le quadruplet { jeu de données ; finalité ; base légale ; durée de conservation } de chaque traitement, etc.

Ce jour, j’ai répondu au DPO de Pôle emploi pour appuyer sur ces points. Cf. PJ 3.

Bonne journée.

La réponse du DPO de Pôle emploi du 14/04/2023 (réponse polie de la catégorie "fin de discussion, merci, revenez nous voir") :

Bonjour Monsieur,

Nous vous remercions pour vos sollicitations au sujet de la protection des données à caractère personnel au sein de Pôle emploi, qui nous permettent d’améliorer nos pratiques.

Suite à nos échanges, nous avons mis en place plusieurs mesures correctrices ainsi que des plans d’actions qui font l’objet de suivis réguliers afin de veiller à la conformité de nos traitements de données à caractère personnel.

Nous collaborons ainsi avec l’ensemble de nos services et de nos sous-traitants pour nous assurer que nos pratiques sont toujours conformes aux exigences légales et réglementaires. Soyez assuré que nous poursuivons nos efforts pour nous améliorer continuellement dans ce domaine.

Cordialement.

Ma réponse du 16/04/2023 adressée au DPO de Pôle emploi (les manquements signalés perdurent + merci d'expliciter les mesures correctives mises en œuvre) :

Bonjour,

Pouvez-vous, svp, m'informer des mesures correctrices que vous avez prises ? Ma demande initiale et mon complément du 20 mars vous le demandaient explicitement.

Sur Sphère emploi, je constate une absence de changement en ce qui concerne le transfert de données personnelles à des États tiers non adéquats (New Relic donc Fastly et CloudFlare donc États-Unis ; Atlassian donc Amazon donc États-Unis).

De même, je constate aucun changement concernant la politique de confidentialité de Pôle emploi, à ceci près que celle de Sphère emploi n'est plus accessible (« Oups ! La page n'existe pas… (Erreur 404) »).

Bonne semaine.

Mon complément à ma réclamation CNIL du 16/04/2023 :

Bonjour,

Suite à ma réplique du 20/03/2023 qui faisait suite à la réponse du DPO de Pôle emploi du 17/03/2023, ce dernier m’a répondu à nouveau le 14/04/2023, cf. PJ 1.

Il s’agit d’une réponse type de politesse qui ne répond pas à mes demandes et qui vise à écourter notre échange.

Pourtant, les infractions au RGPD signalées perdurent :

• Transferts illégaux de données personnelles vers des États tiers non adéquats (New Relic donc Fastly et Cloudflare donc États-Unis ; Atlassian donc Amazon donc États-Unis) lors de la navigation web sur le réseau social Sphère emploi ;

  • Sphère emploi étant basé sur le logiciel de la société commerciale française Whaller, cela peut signifier une carence de Pôle emploi dans le choix, le pilotage et l’audit de ses sous-traitants. (Pour rappel, l’article 1 des mentions légales du service affirme que Whaller agit en tant que sous-traitant de Pôle emploi.)
• Dépôt d’un traceur non exempté de consentement (selon votre grille de lecture https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite), et ce même si l’usager de Sphère emploi ferme le bandeau cookies sans consentir. Le bandeau ne permet pas non plus d’en refuser le dépôt ;
  
  
• Dans sa politique de confidentialité, Pôle emploi déclare recourir à la base légale de la mission d‘intérêt public pour tous ses traitements, y compris, donc, pour l'injection automatique de l'adresse emails des usagers dans le réseau social Sphère emploi. Or, cette base légale est inapplicable par absence de spécificité de certains traitements, dont Sphère emploi, avec la mission confiée à Pôle emploi, au sens du CEPD (WP 260) et de votre grille d’analyse (https://www.cnil.fr/fr/les-bases-legales/mission-interet-public) ;
  
  
• La politique de confidentialité de Pôle emploi ne satisfait pas aux exigences d’exhaustivité et de clarté au sens du CEPD (WP 260) : la majorité des traitements mis en œuvre ne sont pas référencés, des informations requises par les articles 12 et 13 du RGPD sont absentes, notamment sur le quadruplet { jeu de données ; finalité ; base légale ; durée de conservation } propre à chaque traitement, etc.

Ce jour, j’ai signalé ces absences de changement au DPO de Pôle emploi et je lui ai demandé de m’expliciter les corrections qu’il dit avoir mis en œuvre. Cf. PJ 2.

Néanmoins, en étant au stade de la réponse type polie, je pense que mes demandes et mon signalement d’infractions au RGPD n’aboutiront pas, donc je sollicite à nouveau la CNIL pour intervenir dans ce dossier.

Bonne journée.

Mon complément du 26/05/2023 à ma réclamation CNIL :

Bonjour,

Un mois et une semaine plus tard, pas de réponse du DPO de Pôle emploi à mon email du 16/04/2023, donc aucune précision sur les mesures correctrices mises en œuvre. Je maintiens les griefs énoncés, aucune amélioration. Aucune volonté de dialoguer émane du DPO Pôle emploi (cf. PJ 1 du dernier complément) donc je ne le relancerai pas.

Bonne fin de semaine.

FIN DE L'ÉDIT DU 20/07/2023.