GuiGui's Show

J'avais compris que le moteur de recherche du site web officiel de la CADA (définition ici) affiche uniquement les avis les plus pertinents (ceux qui apportent des évolutions de doctrine et qui sont encore d'actualité et/ou qui sont bien rédigés, etc.).

J'ignorai que tous les avis de la CADA sont disponibles sur le mini-site cada.data.gouv.fr. Moteur de recherche qui fonctionne aussi bien que celui du site web de la CADA. Tags. API. Etc. Bon, en vrai, à date, ça couvre 1984 - mai 2021.

Très pratique pour trouver des avis de la CADA qui correspondent pile à la situation dans laquelle on se trouve et/ou qui sont plus compréhensibles (chacun son niveau de compréhension) et/ou qui sont plus récents (ça rassure toujours de vérifier que la doctrine n'a pas évolué).

PHP a beaucoup accéléré son cycle de développement et a raccourci la durée de prise en charge de chaque version. Forcément, nos devs ne suivent pas et se retrouvent à bosser sur X sites web avec Y versions de PHP, de la 5.6 à la 8.2 en passant par la 7.2.

Côté adminsys, on se retrouve à devoir gérer trouzemilles versions de PHP sur nos serveurs. Évidemment, toutes les versions désirées par nos devs ne sont pas empaquétées dans la version stable de Debian GNU/Linux. On répond au besoin avec du PHP compilé, du PHP-FPM, du reverse proxy, des scripts maison, et du Puppet. Merci Seb'.

Nos devs tiennent à développer en local, sur leur station de travail, pas sur une plateforme de dev ou de test… T'as beau leur expliquer que leur IDE peut pousser leur code, qu'il existe des hooks gitlab, que ça garantit qu'un code qui fonctionne en dev passe la test et donc la prod (notamment quand il utilise des extensions), que ça fait gagner du temps aux adminsys pour les assister (on n'a pas à connaître leur installation perso, leur système d'exploitation perso, leur façon de faire, leurs boulettes, etc.)… rien y fait… Nos devs ont leur tambouille locale (et un peu perso) pour installer et maintenir plusieurs versions de PHP sur leur poste de travail.

Dans ce contexte, le nouveau dev' souhaite pousser l'utilisation de phpenv dans son équipe. Je me suis penché dessus afin de l'assister sur l'interfaçage de phpenv avec PHP-FPM / Apache httpd.

Installer phpenv

• sudo apt install git ;
  
  
• git clone https://github.com/phpenv/phpenv ~/.phpenv ;
  
  
• echo 'export PATH="$HOME/.phpenv/bin:$PATH"' >> ~/.bashrc ;
  
  
• echo 'eval "$(phpenv init -)"' >> ~/.bashrc ;
  
  
• . .bashrc.

Installer une version de PHP avec phpenv

La compilation est effectuée par php-build. C'est donc de son côté qu'il faudra changer les options de compilation d'une version de PHP afin d'ajouter une extension PECL, par exemple.

Première fois :

• Il faut installer les dépendances nécessaires à la compilation de PHP. Elles sont énumérées chez php-build. Sinon, erreur « BUILD ERROR » / « configure: error: no acceptable C compiler found in $PATH » / « configure: error: The pkg-config script could not be found or is too old » / « Package requirements (XXXX >= X.Y.Z) were not met ». Pour une version ancienne de PHP, il faut identifier les dépendances à tâtons (essayer, installer une dépendance, essayer, installer, etc.) ;
  
  
• git clone https://github.com/php-build/php-build $(phpenv root)/plugins/php-build.

Ensuite et les fois suivantes (les fois suivantes, penser à git pull php-build pour le mettre à jour ;) ) :

• phpenv install 8.2.0 ;
  
  
• phpenv rehash ;
  
  
• phpenv versions permet de vérifier.

Évidemment, phpenv ne fait pas de magie : compiler une vieille version de PHP sur un système récent va être compliqué voire impossible (pas la bonne version d'une dépendance empaquetée dans les dépôts officiels, il faudra adapter les chemins vers les fichiers d'entêtes des lib, etc.).

Tester en CLI

• Définir la version de PHP à utiliser : phpenv shell 8.2.0 (sinon erreur « phpenv: php: command not found / The `php' command exists in these PHP versions ») ;
  
  
• php </chemin/vers/le/fichier.php>.

Pour tester un même fichier avec plusieurs versions de PHP, il suffit donc de changer la version de PHP, puis d'exécuter, puis de changer puis…

PHP-FPM + Apache httpd

• Dans ~/.phpenv/versions/<VERSION>/etc/php-fpm.d/www.conf, remplacer « group = nobody » par « group = nogroup », car le group nobody n'existe pas sur Debian GNU/Linux. Sans ça, systemctl status php-fpm crachera l'erreur « [pool www] cannot get gid for group 'nobody' ». Perso, j'ai mis « user » et « group » à « www-data », car c'est ainsi qu'est configuré php-fpm empaqueté dans Debian et qu'affiner les droits a du sens uniquement dans un contexte multi-instances (une instance de PHP pour un site web donné, nécessaire dans le cadre d'un hébergement web mutualisé) ;
  
  
• sudo cp ~/.phpenv/versions/<VERSION>/etc/systemd/system/php-fpm.service /etc/systemd/system/php-fpm.service ;
  
  
• sudo systemctl start php-fpm (on peut aussi enable pour que php-fpm soit lancé au démarrage de la machine) ;
  
  

• Créer un virtualhost Apache httpd basique et ajouter :

  <FilesMatch \.php$>
          SetHandler "proxy:fcgi://127.0.0.1:9000"
  </FilesMatch>

  
  

• sudo a2ensite <NOM_VIRTUALHOST> ;
  
  
• sudo a2enmod proxy_fcgi ;
  
  
• sudo systemctl restart apache2 ;
  
  
• Comme d'hab, ajouter une entrée dans /etc/hosts (exemple : « ::1 test-8.2.0.local »).

Une version de PHP par projet / site, avec FPM

L'ennui, c'est qu'une seule et même version de PHP va servir tous les sites web (tous les virtualhosts). Pour changer de version, il faut refaire le cp ci-dessus (en changeant la version) et restart php-fpm.

Je trouve dommage que phpenv n'ai pas poussé plus loin l'intégration alors que c'est facile (et que c'est un peu son objectif…)…

Instructions :

• Dans ~/.phpenv/versions/<VERSION>/etc/php-fpm.d/www.conf, remplacer « listen = 127.0.0.1:9000 » par « listen = 127.0.0.1:90XY » avec X = version majeure PHP, Y = version mineure. Exemples : « listen = 127.0.0.1:9074 » = PHP 7.4 ; « listen = 127.0.0.1:9082 » = PHP 8.2 ;
  
  
• Lors de la copie de l'unit systemd (deuxième point des instructions de la section précédente), lui donner un nom explicite comme /etc/systemd/system/php<X.Y>-fpm.service. C'est évidemment cette unit qu'il faut démarrer et plus la fade « php-fpm » ;
  
  
• Dans le virtualhost, il faut adapter la directive « SetHandler ». Pour un site web PHP 7.4 : SetHandler "proxy:fcgi://127.0.0.1:9074" ; pour un 8.2 : SetHandler "proxy:fcgi://127.0.0.1:9082". Il faut reload Apache httpd après ce changement.

Avec cette méthode, j'ai bien plusieurs versions de PHP utilisables avec PHP-FPM et un serveur web configuré en reverse proxy :

$ grep SetHandler /etc/apache2/sites-available/test-8.2.0.local.conf
SetHandler "proxy:fcgi://127.0.0.1:9082"
$ grep SetHandler /etc/apache2/sites-available/test-7.4.33.local.conf
SetHandler "proxy:fcgi://127.0.0.1:9074"

$ cat /var/www/test-8.2.0.local/index.php
<?php phpinfo(); ?>
$ cat /var/www/test-7.4.33.local/index.php
<?php phpinfo(); ?>

$ grep test /etc/hosts
::1 test-8.2.0.local
::1 test-7.4.33.local

$ curl -s http://test-7.4.33.local/ | grep -Po '(?<=PHP Version )[0-9\.]+'
7.4.33
$ curl -s http://test-8.2.0.local/ | grep -Po '(?<=PHP Version )[0-9\.]+'
8.2.0

Merci Raph' pour la découverte. :)

Rechercher du texte dans un ou plusieurs documents au format PDF. Récursivité, regex, affichage du numéro de page, etc.

Évidemment, il faut que les documents soient du texte, pas des numérisations au format image (si tel est le cas, tu peux tenter un traitement OCR).

:D

Dans un voyage en absurdie
Qu'est d'venu le monde d'aujourd'hui,
J'ai imaginé tout perplexe,
Que j'savais plus quel était mon sexe,
Déconstruis comme un transexuel,
Je suis iel.
Iel des années 2020,
avec une bite, avec des seins,
ayant réussi l'amalgame,
d'être monsieur, d'être madame.
[…]

Ton steak haché au soja, tu sais où tu peux te l'mettre.
En chantant.
Et ta tarte au quinoa, tu peux la ranger avec.
En chantant.
J'fais griller ma côte de bœuf, en pelotant le cul d'une meuf.
En chantant.
Et je chie sur cette époque, et je chie sur tous les wokes.
En chantant.
[…]

Michel Sardouille. \o/

Quand j'ai reçu un énième email semblant émaner de ma propre adresse emails et me réclamant du pognon pour ne pas dévoiler que je me pignole sur du porn, je me suis dit que, quand même, il doit exister un moyen de bloquer ça sans recourir à un antispam. Je m'en suis jamais préoccupé jusque-là car j'en reçois très peu, mais j'ai désormais du temps pour creuser la question, donc autant en profiter. \o/

Contexte : je n'ai pas d'antispam sur mon serveur emails personnel, pas besoin (il suffit de filer sa véritable adresse à des gens de confiance et de filer une adresse générique ‒ un alias ‒ ou la véritable en y ajoutant un délimiteur / tag aux autres, et surtout aux sociétés commerciales, aux windowsiens et aux listes de discussion archivées sur le web). J'ai un seul serveur emails pour mon domaine personnel. J’utilise le MTA Postfix.

Comme d'hab' avec l'email (et le courrier postal), il y a deux endroits où l'on peut mentir sur l'adresse de l'expéditeur : sur l'enveloppe (« MAIL FROM » dans un dialogue SMTP, ce que l'on peut lire dans le journal d'un serveur emails), et dans l'entête du courrier (ce qu'affiche un logiciel de messagerie ‒ MUA ‒).

Comme d'hab', il faut se souvenir que, peu importe l'expéditeur (toi ou un tiers qui veut t'écrire), c'est toujours le même démon qui répond du côté de ton serveur emails. Du coup, comment différencier les usages ? Si l'on ne différencie pas, on bloquera les emails que l'on émet…

Généralement, les emails transitent entre deux serveurs emails sur le port tcp/25 alors que les emails entre un humain est un serveur emails transitent sur le port tcp/587 que l'on nomme aussi submission (c'est ce qui permet de bloquer le port tcp/25 sur les accès à Internet dans l'espoir de juguler le spam).

Postfix permet d'associer un démon à un service (cela se passe dans son fichier de configuration master.cf) et de lui filer une conf' spécifique (sinon les X démons prendront les mêmes paramètres communs dans main.cf). Du coup, il suffit d'appliquer le filtrage sur le service smtp, mais pas sur le service submission.

J'ai déjà fait l'inverse, appliquer un filtrage particulier sur submission, afin de supprimer les entêtes ajoutés par mon logiciel de messagerie (sa marque, son modèle, sa version ‒ entête « User-Agent » ‒), par feu Enigmail (sa version), et celui ajouté par mon serveur emails pour consigner l'origine de l'email, c'est-à-dire l'adresse IP de ma station de travail.

Je sais donc déjà comment filtrer un entête dans un email. Je cherche une option de Postfix permettant de contrôler une adresse emails lors de la transaction SMTP (« MAIL FROM »). Le paramètre « smtpd_sender_restrictions » est là pour ça. Il a justement une valeur qui fait ce que je veux : « check_sender_access ».

Nous avons tout ce qu'il nous faut.

Contrôle de l'enveloppe

D'abord, je crée une table d'associations /etc/postfix/sender_access (le nom est libre) contenant « <MON_DOMAINE> REJECT ». Tu peux remplacer l'action « REJECT » par « DISCARD » qui permet de jeter l'email sans en informer l'expéditeur. La liste des actions possibles est dans la doc' officielle. Je génère ensuite le dictionnaire au format attendu : postmap /etc/postfix/sender_access.

Ensuite, dans /etc/postfix/main.cf, j'ajoute la valeur « check_sender_access hash:/etc/postfix/sender_access » au paramètre « smtpd_sender_restrictions ». Pour rappel, l'ordre des valeurs compte : un mauvais enchaînement peut autoriser des actions indésirées voire dangereuses (ouvrir un relai mondial de spam, par exemple).

Enfin, je débraye ce filtrage sur le service submission (sinon je ne pourrais plus envoyer d'emails). Je pourrais reprendre la liste des restrictions que j'applique déjà à l'adresse expéditrice d'un dialogue SMTP, mais pourquoi ne pas tout simplement interdire tout envoi d'email sans authentification préalable ? Simple et efficace. Pour ce faire, dans /etc/postfix/master.fr, je remplace la ligne :

submission inet  n       -       y       -       -       smtpd

Par les lignes :

submission inet  n       -       y       -       -       smtpd
    -o smtpd_sender_restrictions=permit_sasl_authenticated,reject

J'ordonne à Postfix de prendre en compte les modifications de sa configuration : systemctl reload postfix.

Je teste :

• que je peux toujours émettre des emails avec mon logiciel de messagerie ;
  
  
• que je reçois toujours des emails émis depuis un autre fournisseur d'emails ;
  
  
• qu'il n'est plus possible, pour un tiers, d'utiliser une adresse de mon domaine en « MAIl FROM ». Cela se fait avec telnet (pour rappel, un dialogue SMTP s'écrit en texte) ;
  
  
• que je n'ai pas ouvert mon serveur à tous les vents (« RCPT TO » hors domaine couplé à un « MAIL FROM » dans puis hors du domaine, « MAIL FROM » d'un domaine inexistant, etc., en fonction des vérifications que tu appliquais avant cette modif'). Vérif' à effectuer sur les ports tcp/25 et tcp/587.

Contrôle de l'entête

D'abord, je crée un fichier /etc/postfix/header_checks_smtpd (le nom est libre) contenant « /^From:.*@<MON_DOMAINE>/ REJECT » (même remarque que ci-dessus concernant les actions possibles). Oui, je pourrais ajouter un joker après l'arobase afin de bloquer tous les sous-domaines de mon domaine, mais c'est inutile : mon postfix vérifie l'existence d'un domaine émetteur (reject_unknown_sender_domain dans smtpd_sender_restrictions), donc il verra qu'un sous-domaine de mon domaine n'existe pas.

Ensuite, dans /etc/postfix/main.cf, j'ajoute le paramètre header_checks=regexp:/etc/postfix/header_checks_smtpd.

Attention : j'ai rien d'autre à faire, car j'ai déjà une vérification des entêtes spécifique au service submission. Sans cela, j'aurai appliqué le paramètre précédent au service « smtp » dans master.cf, pas en général dans main.cf. ;)

Enfin, j'ordonne à Postfix de prendre en compte les modifications de sa configuration : systemctl reload postfix.

Je teste :

• que je peux toujours émettre des emails avec mon logiciel de messagerie ;
  
  
• que je reçois toujours des emails émis depuis un autre fournisseur d'emails ;
  
  
• qu'il n'est plus possible, pour un tiers, d'utiliser une adresse de mon domaine dans un entête email « From » (avec telnet, toujours) ;
  
  
• que je n'ai pas ouvert mon serveur à tous les vents (« RCPT TO » hors domaine avec un « MAIL FROM » dans puis hors du domaine, « MAIL FROM » d'un domaine inexistant, etc.). Vérif' à effectuer sur les ports tcp/25 et tcp/587.

ÉDIT DU 09/07/2023 : quand tu envoies un email à une liste de discussion, tu reçois une copie de ta prose. Si la liste ne ré-écrit pas l'entête « From », alors cette copie sera bloquée. J'ai débrayé ce filtre depuis plusieurs mois, et il s'avère que le contrôle de l'enveloppe est amplement suffisant pour bloquer les spams évoqués au début de ce shaarli. FIN DE L'ÉDIT DU 09/07/2023.

ÉDIT DU 16/07/2023 : avec ma méthode, les emails locaux (émis par un site web, par exemple) destinés à un utilisateur local, pris en charge par les composants pickup ou local de Postfix, se feront rejeter. Ben, oui, je mets la restriction dans /etc/postfix/main.cf et j'ajoute une exception pour le seul service submission, donc, forcément, elle s'applique à tout sauf à submission. Dans mon cas d'usage, je m'en fiche, mais si t'as besoin de ce type d'emails, il te faudra appliquer la restriction uniquement au composant smtpd. Cela se fait dans master.cf, en calquant ce que j'ai fait pour submission. FIN DE L'ÉDIT DU 16/07/2023.

Conseil

Dans un premier temps, utilise une action « INFO "Blocage FROM" » (le message peut être personnalisé) pendant quelques jours. Ainsi, Postfix journalisera, en ces termes, les emails qui déclencheront ces nouveaux filtres sans les jeter. Une recherche dans le journal permettra de t'assurer que tout est OK avant la mise en prod' (action « DISCARD » ou « REJECT »).

Le rapport social unique (RSU) d'une administration contient plein de données chiffrées intéressantes : effectif + répartition par service / âge / sexe / type de contrat (CDD, CDI, fonctionnaires), moyenne des salaires, avancements sur l'année, nombre de titularisations sur l'année, etc. Évidemment, il y a un an de décalage (vers mi-fin 2022, les administrations publient le RSU de l'année 2021, par exemple).

Wikipédia en parle uniquement dans sa page dédiée aux collectivités territoriales, mais, a priori, cela concerne tout le public. En tout cas, des ministères et des universités publient leur RSU.

Dans le privé, on nomme cela le bilan social. Dans le public, il s'agit d'un document librement communicable. Dans le privé, il est communiqué au CSE (ex-CHSCT), aux actionnaires, et à un salarié qui en fait la demande.

Le RGPD prévoit un recours juridictionnel effectif (un recours en justice, quoi) contre une décision d'une Autorité de Protection des Données personnelles (APD) comme la CNIL.

Mais, en droit administratif (une personne physique ou morale contre une administration) français, on peut contester uniquement une décision déjà prise par une administration (ou une autorité administrative indépendante, comme la CNIL), pas un projet, pas une décision à venir. Autrement dit, tant que ta plainte CNIL n'est pas traitée, tu peux rien faire, car la CNIL n'a pas pris de décision. (Je passe sur les moyens de faire naître une décision implicite en droit administratif général, généralement avec un recours préalable).

Et si tu veux justement contester la lenteur de la CNIL à prendre une décision, comment faire ? Dans un précédent article, on a lu qu'en Suède, une APD doit répondre sous un mois si le requérant le lui enjoint après six mois de silence. Étant donné que le RGPD est un règlement européen, c'est-à-dire un texte législatif que l'on souhaite appliquer uniformément dans tous les États membres (contrairement à une directive, qui doit être transposée dans chaque droit national, ce qui permet des différences nationales dans les limites du cadre fixé par la directive), il doit exister un moyen similaire d'agir en France.

Le 2 de l'article 78 du RGPD dispose que toute personne a le droit de former un recours juridictionnel effectif quand une APD ne l'informe pas, sous trois mois, de l'avancement ou de l'issue de la réclamation qu'elle a déposé auprès de l'APD. Cela se fait auprès des juridictions et selon la procédure de l'État membre. On retrouve cela dans le considérant 141 du RGPD, mais l'on parle alors de « délai raisonnable » pour informer de l'avancement…

Le 21 octobre 2022, David Libeau a déposé un tel recours devant le Conseil d'État portant sur une plainte CNIL sans réponse depuis un an. Pour les juristes : il a bien ajouté ses prétentions après coup. Pour les non-juristes : un recours suit tout un formalisme, et, notamment, il faut demander explicitement ce que l'on veut (enjoindre la CNIL à traiter la plainte sous/sans astreinte, traiter la plainte, etc.).

Ça me pose questions : quel est le point de départ des trois mois (dépôt de la plainte au greffe de la CNIL ? Sa transmission au service des plaintes par le greffe de la CNIL ? Autre ?) ? Quelle décision est attaquée (cf. le rappel de droit administratif ci-dessus) ?

La trouvaille ultérieure de David relatée dans l'article pointé par ce shaarli est intéressante : « l’article 10 du Décret n° 2019-536 du 29 mai 2019 indique que « Le silence gardé pendant trois mois par la commission sur une réclamation vaut décision de rejet. » ».

J'obtiens une réponse à l'une de mes questions : après trois mois de silence, il est possible d'attaquer une décision implicite de rejet de la CNIL. Pour moi, l'article 10 du décret 2019-536 est le rouage réglementaire français qui rend possible l'actionnement de l'article 78.2 du RGPD.

Mais ça me pose de nouvelles questions :

• Point de départ du décompte (toujours) ?
  
  
• À ce stade, peut-on demander au Conseil d'État d'enjoindre à la CNIL de traiter la plainte ou est-ce au seul Conseil de trancher le litige ? Si c'est au Conseil de trancher le litige, ça peut être risqué, car, à mon avis, il pige moins la technique informaticienne que la CNIL. De même, il n'est pas possible de présupposer de la cause d'une décision implicite de rejet : est-ce parce que la CNIL n'a pas eu le temps de la traiter ou parce qu'elle est irrecevable ou qu'elle est tellement médiocre qu'il est moins chronophage de la rejeter sans y répondre ? Puisqu'a priori, il ne suffit pas de dire « la CNIL est hors délai » (car tout se passe comme si la plainte a été refusée sur le fond), ne faut-il pas toouut ré-expliquer au Conseil, et notamment le litige avec le responsable du traitement ?
  
  
• Quid des plaintes auxquelles la CNIL répond au-delà des trois mois (cf. la plainte contre l'IGPN de David, celle-ci d'Aeris, cette autre, et encore tant d'autres) et quid de la légalité des décisions de la CNIL dans ce cas-là (la décision implicite de rejet devrait faire barrage à une prise de décision ultérieure) ? N'est-ce pas ce qui empêche la CNIL de sanctionner (relayer une demande pose aucun préjudice à un responsable de traitement, donc il ne prend pas la peine de contester, mais une prune…) ?

On notera également que le d du 2) du I de l'article 8 de la loi Informatique et Libertés, qui est cité dans l'article 10 du décret 2019-536 pour énoncer de quelles réclamations on parle, dispose que la CNIL « informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable ». Délai raisonnable ou trois mois ? Un délai raisonnable est sujet à interprétation devant un tribunal, genre si la CNIL déclare recevoir XXX plaintes par jour, 8 mois de délai pour traiter une plainte peuvent être raisonnables. De ce que je crois savoir, pour arbitrer une telle contradiction, on utilise la hiérarchie des normes qui classe une loi au-dessus d'un décret, mais, dans le cas présent, si l'on fait ça, on perd le rouage qui permet un recours juridictionnel effectif en l'absence d'une décision de l'APD comme l'impose pourtant le 78.2 du RGPD…

Je constate qu'Aeris cherche aussi à saisir le Conseil d'État de l'inaction de la CNIL sur une base légale que j'ignore (source 1, source 2).

Aeris nous aura appris que :

• Le CEPD (organisme de coordination des APD au niveau européen) ne peut pas être saisi par un citoyen pour agir contre une APD, et il renvoit vers le médiateur national (source) ;
  
  
• Le Défenseur des Droits se déclare être incompétent au motif que la CNIL est une autorité administrative indépendante (source).

Bref, affaires à suivre.

Il y a "quelques" mois, Aeris lançait un appel à témoigner des actions de la CNIL. Vu que j'ai déjà publié la majorité de mes plaintes et leur suivi (liens dans l'inventaire ci-dessous), je me dis que ce n'est pas une mauvaise idée de publier cela. Alors voici.

Résumé

Total

• 61 réclamations visant 46 responsables de traitement dont :
  • 60 plaintes dont 4 mal rédigées ;
    
    
  • 1 signalement d'une fuite de données.

État

• 9 réclamations clôturées dont :

  • 4 plaintes irrecevables (à raison ou car plainte mal rédigée donc incompréhensible) ;
    
    
  • 1 clôture à ma demande (liquidation judiciaire du responsable du traitement sans lien avec le mésusage de données persos) ;
    
    
  • 3 clôtures dont je ne suis pas satisfait (dans la majorité des cas, la CNIL appuie une demande d'effacement sans sanctionner les infractions au RGPD, et, dans un cas, aucun retour du responsable du traitement malgré le soutien de la CNIL) ;
    
    
  • 1 clôture dont je suis vaguement satisfait.
• 51 réclamations dans l'état « transmise au service des plaintes » (ou au service des contrôles) + 1 qui n'a pas encore passée le greffe.

Répartition temporelle

• 2017 : 2 réclamations dont 1 plainte toujours ouverte ;
  
  
• 2019 : 3 plaintes dont 1 clôturée et 2 qui n'ont pas passé le greffe (sans qu'un quelconque retour me parvienne) ;
  
  
• 2020 : 1 plainte toujours en cours ;
  
  
• 2021 : 1 plainte clôturée (mais les infractions perdurent) ;
  
  
• 2022 : 41 plaintes dont 36 en septembre-octobre-novembre ; 5 clôturées (une le gros du boulot est fait ; une à ma demande ; pour deux autre l'infraction perdure ; la dernière a été jugée irrecevable après transmission au service des plaintes) ;
  
  
• 2023 : 13 plaintes ; toutes en cours de traitement (sauf une qui n'a pas encore passée le greffe).

Répartition par thématique

Une même plainte, un même fait, peut appartenir à plusieurs thématiques.

• Transfert illégal de données persos hors de l'UE (CDN, prestataire d'e-mailing, ressources web téléchargées depuis des entités états-uniennes, etc.) ; raisonnement juridique général : 40 ;
  
  
• Liens et/ou images de traçage dans un email ; raisonnement juridique général : 15 ;
  
  
• Emails non sollicités (commerciaux ou non) : 11 ;
  
  
• Base légale irrecevable (très souvent pour des emails non sollicités) : 10 ;
  
  
• Difficulté pour faire aboutir une demande d'opposition / d'effacement (très souvent suite à un email non sollicité) : 9 ;
  
  
• Durée de conservation excessive / bien supérieure à celle consignée dans la politique de confidentialité : 8 ;
  
  
• Absence de transparence / d'information dans la politique de confidentialité (et autres docs) et droit d'accès incomplet (pas toutes les infos) : 17 ;
  
  
• Absence de réponse à un exercice de droit dans le délai légal : 5 (dont une absence totale de réponse, même quasi un an après intervention de la CNIL) ;
  
  
• Divulgation de données persos / absence de sécurité effective : 1.

Attention : cette classification est approximative (dans mon référentiel de mes plaintes, je n'ai pas forcément fait remonter les griefs mineurs, qui, de fait, n'apparaissent pas dans ce shaarli et donc dans les comptes) et arbitraire (certains faits sont difficiles à classer, notamment si l'exercice de mon droit d'accès ne m'a pas permis de prendre connaissance de la finalité / base légale d'un traitement). Mais, ça correspond plutôt bien à mon ressenti.

Certains chiffres qui semblent être en décalage avec ceux d'autres militants (comme Aeris) s'expliquent :

• Si j'ai peu d'absence de réponse dans le délai légal, c'est que j'ai souvent signalé à la CNIL des infractions au RGPD (ce qui ne nécessite pas un exercice préalable des droits) ;
  
  
• Si le démarchage inopportun est aussi insignifiant, c'est que je suis un ermite numérique qui ne reçoit pas grand-chose et qui supprime ses alias emails rapido après usage (bloquant, de fait, tout contact futur et donc démarchage) ;
  
  
• Si j'ai aussi peu de droit d'accès incomplet, c'est que je l'ai peu exercé (là où Aeris est un champion hors pair, afin de remonter les revendeurs de données persos), car, encore une fois, le spam et la revente des données me concernent très très peu, car je ne le vois pas, cf. point précédent ;
  
  
• Si je ne mentionne pas de bandeau cookies défectueux ou trompeur, c'est que je m'y intéresse trop peu, donc il s'agit de points secondaires de mes plaintes, qui ne sont pas remontés dans ma synthèse et donc ici.

Détail

Tu y trouveras une synthèse des plaintes antérieures à 2022 que je n'ai pas publié, accompagnée d'un recul critique (certaines plaintes sont mal voire très mal rédigées, permettant à la CNIL de rester inactive).

Le tri est effectué par ordre croissant de la date de dépôt de plainte à la CNIL. J'ai décidé de regrouper par responsable du traitement (RT), car grouper par date n'a pas d'intérêt et grouper par thématique génère la duplication de certaines plaintes (car certaines concernent plusieurs thématiques).

La Poste

• Contexte & griefs : au guichet, je remplis et signe un formulaire de ré-expidition du courrier en cochant bien la case "ne pas recevoir de spam postal". Le guichetier l'utilise pour remplir un formulaire numérique, qu'il ne me demande pas de signer. Donc, sur le moment, je ne remarque pas qu'il n'a pas coché ladite case. En déménageant, je me fais spammer à mort. Plus d'infos ;

  • Droit d'accès incomplet : La Poste ne me file pas toutes les infos qu'elle a collectées sur moi (notamment le numéro de ma CNI, sa date de délivrance, etc. qui apparaissent sur le formulaire de ré-expédition) ni à qui elle a revendu mon adresse postale (c'est pourtant une obligation légale) ;
    
    
  • Le RT doit apporter la preuve du consentement. Le DPO LP me répond « vous ne vous êtes pas opposé à cette commercialisation en cochant la case dédiée ». Plusieurs juristes m'avaient informé que c'est un point indémerdable en droit, que la CNIL a jamais tranché (attention, ça date de 2017, depuis, le CEPD aurait posé des jalons, cf. point 5.1 de ces lignes directrices) ;
    
    
  • Droit d'opposition ineffectif : je continuais à recevoir du spam (au-delà de la latence raisonnable, c'est-à-dire le temps de me sortir de la base, de transmettre mon opposition aux prestataires, si le prospectus a été envoyé à l'imprimeur ou déjà imprimé, etc.), et le DPO LP m'a répondu de lui signaler les envois litigieux au cas par cas, ce qui, comme le droit d'accès incomplet, me laissait penser que la traçabilité était défectueuse… ;
    
    
  • Je ne l'ai pas souligné à la CNIL, mais, la prospection pour des produits / services pas similaires / d'une autre société commerciale auprès d'un particulier doit reposer sur le consentement explicite (opt-in), pas sur l'opposition (opt-out).
• Date de la plainte CNIL : avril 2017 ; Demande d'un suivi en mars 2018 (aucune réponse) et en novembre 2022 (demande de suivi transmise au service des plaintes) ;
  
  
• État de la plainte : transmise au service des plaintes depuis avril 2017. Fin 2022, La Poste enfreint toujours le RGPD sur ces points-là :( ;
  
  
• Commentaire : je reconnais que cette plainte est mal rédigée. J'explique le problème, et je demande à la CNIL son interprétation du droit. La bonne façon de faire : dire que ce sont des infractions selon toi et demander une sanction. La CNIL dira, par son action, si ton interprétation de la loi est correcte ou non. Mais douter et demander une interprétation, c'est mort, c'est le meilleur moyen que ta plainte n'avance pas.

• Contexte & griefs : son site web fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Notamment, le suivi d'un envoi est impossible sans accepter un outil de suivi du parcours client (qui, en sus, ne peut relever de l'intérêt légitime) téléchargé sur des serveurs ricains. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

• Contexte & griefs : liens et images traçants dans ses emails « Votre Colissimo arrive ! » + images et redirection des liens hébergées chez Microsoft. Plus d'infos ;
  
  
• Date de la plainte : début octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début octobre 2022.

Gaz Électricité de Grenoble

• Contexte & griefs : suite à un appel au service clients de GEG, je reçois, par email, une enquête de satisfaction de la part d'un prestataire de GEG (Market Audit). Je clique sur le lien : aucun questionnaire, mais des données personnelles d'un autre client (nom, prénom, adresse postale, numéro de téléphone, objet du dernier appel à GEG, d'autres infos que je ne savais pas interpréter). F5. Des données persos concernant quelqu'un d'autre. Le service clients GEG me confirme que deux des trois identités que j'ai vu sont bien clientes de GEG et qu'ils font remonter. Avec les numéros de téléphone dispos dans l'annuaire et sur le web, je contacte le presta, et je finis par tomber sur un dirlo de la communication. 30 minutes plus tard, une autre employée (que j'avais sollicité) m'informe que le problème est corrigé ;

  • J'informe la CNIL et l'invite à étudier les aspects inconnus : durée de la fuite de données ? Ampleur (tous les clients du prestataire ou juste ceux de GEG) ? Comment cela a-t-il pu se produire (absence d'isolation backend/frontend) ? Quelle correction définitive ? Etc.
• Date du signalement : mi-septembre 2017 ; Demande d'un suivi fin septembre 2017 (aucune réponse), en mars 2018 (transmise au service des contrôles, pas de réponse), et en novembre 2022 (« les signalements transmis au service des contrôles ne donnent pas lieu à un suivi de dossier », il était temps de me le dire !) ;
  
  
• État du signalement : transmis au service des contrôles depuis la mi-octobre 2017 (un mois après mon signalement).

Banque Populaire (l'une de ses instances régionales)

• Contexte & griefs : difficulté, pour obtenir la liste des données personnelles strictement nécessaires (loi, contrat, etc.) à notre relation commerciale. Tout est présenté comme étant obligatoire, mais quand j'insiste, ça l'est uniquement pour des services auxquels je n'ai pas souscrit, etc. ;
  
  
• Date de la plainte : novembre 2019 :
  
  
• État de la plainte : clôturée mi-décembre 2020 : « [ La CNIL n’a ] pas vocation à se prononcer, au cas par cas, sur le profil de la relation contractuelle établie avec votre banque, qui définie son degré d’exposition au risque et la nature des informations qu’elle est susceptible de recueillir auprès de vous pour se prémunir contre ce risque ». Prendre contact avec le médiateur de la banque. En revanche, une banque doit informer de la raison de la collecte d'une donnée perso, de ce qu'elle va en faire, et des conséquences d'un refus ;
  
  
• Commentaire : je reconnais que cette plainte est très mal rédigée. Je demande à la CNIL une liste de ce qu'une banque a l'obligation légale de collecter, l'interdiction légale de collecter, etc. et l'invite à en faire un guide sur son site web avant de lui relater mes échanges tortueux avec ma banque, sans lui demander quoi que ce soit (à part sous-entendre "regardez comment c'est compliqué de savoir"). Forcément… La bonne démarche aurait été d'être affirmatif : information incomplète = infraction, et, me renseigner sur les obligations légales d'une banque, puis demander à ma banque d'effacer telles infos précises, et en cas de refus, plainte CNIL pour droit d'effacement ineffectif.

• Contexte & griefs : je demande à ma banque de supprimer de mon dossier un numéro de téléphone fixe périmé. Il fut effacé. Puis, des mois après (au-delà d'un délai raisonnable, donc), il est ré-apparu dans mon espace client web. J'ai redemandé sa suppression. Il a été de nouveau effacé. Je n'ai plus confiance et demande à la CNIL de vérifier si la BP stocke des données personnelles périmées à mon sujet. Effacement difficile, en somme ;
  
  
• Date de la plainte : novembre 2019 ;
  
  
• État de la plainte : elle n'a pas franchi le greffe de la CNIL, mais aucune information (rejet, etc.) m'a été envoyée ;
  
  
• Commentaire : plainte très mal rédigée. Il fallait écrire "une donnée perso prétendument effacée réapparaît des mois après, infraction au RGPD, sanction". Pour l'absence de confiance, il fallait exercer mon droit d'accès, constater une absence de réponse ou une réponse incomplète (pas représentative de ce qu'une banque détient sur son client ‒ ne rigole pas, c'est comme ça qu'est arrivé l'arrêt CJUE Schrems I : absence de représentativité d'une réponse de Facebook à un droit d'accès ‒) ou contenant des infos périmées (et demander alors leur rectification / suppression), tout en déposant une plainte à la CNIL ("donnée périmée" ou "réponse incomplète" ou "absence de réponse").

• Contexte & griefs : un contrat « porteur CB » de la BP stipulait que le GIE CB élaborait des stats anonymes auxquelles on pouvait s'opposer, en ne disant pas que Visa faisait pareil (c'était Visa Advertising Solutions et un formulaire web d'opt-out était dispo). Si la notice RGPD de la BP mentionne bien des transferts vers GIE CB, Visa et Mastercard, elle ne dit pas quel jeu de données l'est, pour quelles finalités, et qu'il est possible d'opt-out un traitement de Visa. Une nouvelle version du contrat « porteur CB » ne mentionne plus les stats du GIE CB et renvoie vers la politique de confidentialité de ce dernier. Toujours aucun renvoi vers Visa (qui permettait un opt-out partiel, j'insiste). La Notice RGPD reste inchangée. Bref, j'y voyais un manque de transparence / d'information sur les transferts de données persos réalisés par la BP ;
  
  
• Date de la plainte : novembre 2019 ;
  
  
• État de la plainte : elle n'a pas franchi le greffe de la CNIL, mais aucune information (rejet, etc.) m'a été envoyée ;
  
  
• Commentaire : plainte mal rédigée. Je demande à la CNIL d'émettre un avis sur un contrat que je n'ai pas encore signé et d'intervenir pour faire stopper un manque de transparence… La bonne façon de faire : être affirmatif ("absence d'information sur les transferts et leur finalité = infraction RGPD"), et ne pas demander confusément un avis sur un contrat en cours de négociation (pas signé).

• Contexte & griefs : le nouvel espace client web fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plainte dispo ici ;
  
  
• Date de la plainte : début mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc ma demande de suivi a été transmise au service des plaintes ;
  
  
• État de ma plainte : transmise au service des plaintes début mai 2022 ;
  
  
• Commentaire : il s'agit de ma première plainte dans la thématique « Schrems II ».

• Contexte & griefs : le nouvel espace client web fait télécharger un outil de tests A/B et un autre de gestion de la performance, tous deux externalisés dans l'UE. Cela ne peut pas reposer sur l'intérêt légitime (le test de légitimité en trois étapes n'est pas passé), donc BP devrait recueillir un consentement au traitement. Plainte dispo ici ;
  
  
• Date de la plainte : début mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc ma demande de suivi a été transmise au service des plaintes ;
  
  
• État de ma plainte : transmise au service des plaintes début mai 2022.

• Contexte & griefs : refus de supprimer des données persos (situation familiale, statut d'occupation d'un logement et depuis quand, etc.) au motif qu'il s'agit d'infos nécessaires à l'évaluation du risque dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (cette évaluation est une obligation légale), ce dont je disconviens en m'appuyant sur les lignes directrices de l'ACPR. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes mi-novembre 2022. Réponse par email (pas par le téléservice) le 28/11/2022 sans clôture de la plainte (résumé : incompétence de la CNIL, renvoi vers l'ACPR), complément de réponse et clôture le 05/12/2022 suite à mon complément interrogatif du 02/12/2022.

ACESI

• Contexte & griefs : demande d'un devis pour une association que nous ne signons pas Je continuais de recevoir des emails de démarchage plus de cinq ans après. Un peu excessif. Demande d'effacement ;

  • La politique de confidentialité ne présentait pas le traitement ni la durée de conservation (y'en avait que pour les clients, les contacts via le formulaire web, etc.) ;
    
    
  • N'étant pas client, il était illégal de me démarcher sans consentement (voir) ;
    
    
  • Dès 2018, j'ai cliqué sur le lien « se désinscrire » d'un email. Aucun effet. En 2019, email au co-dirlo (qui me spammait à nouveau). Aucune réponse, aucun effet. En octobre 2020, j'utilise l'adresse emails générique consignée dans la politique de confidentialité. Le même co-dirlo qu'en 2019 me répond que ma demande d'effacement a été exécutée. Absence de réponse sur les autres points (durée de conservation excessive, absence de base légale, opposition automatique ineffective, délai légal largement dépassé).
• Date de la plainte : octobre 2020. Demande de suivi en novembre 2022 (demande de suivi transmise au service des plaintes) ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin octobre 2020 ;
  
  
• Commentaire : toujours utiliser l'adresse emails consignée dans la politique de confidentialité. Même si l'adresse d'émission du spam est une adresse lue par un humain, celle d'un co-dirlo, etc.

Silkhom

• Contexte & griefs : ce cabinet de recrutement me propose des offres d'emploi 4 ans après ma candidature sur l'une des offres dont il avait la charge. Quatre ans, c'est le double de la durée max de conservation annoncée dans la politique de confidentialité. Deux demandes d'effacement (car deux spams en un mois). Absence de réponse. Je raconte ça ici ;
  
  
• Date de la plainte : août 2021 ;
  
  
• État de la plainte : clôturée fin décembre 2021 : « La CNIL a appuyé votre demande […] » (message type). La CNIL ne se prononce donc pas sur la durée de conservation excessive. :(

Danitis

• Contexte & griefs : ce cabinet de recrutement me propose des offres d'emploi 7 ans après une candidature. Sept ans, c'est au-delà de la durée max de conservation annoncée dans la politique de confidentialité (5 ans), et c'est clairement excessif. Le lien « se désinscrire » d'un email précédent n'a pas produit l'effet escompté. Aucune réponse à ma demande d'effacement ;
  
  
• Date de la plainte : début janvier 2022 ;
  
  
• État de la plainte : clôturée début janvier 2022 : « La CNIL a appuyé votre demande […] » (message type). La CNIL ne se prononce donc pas sur la durée de conservation excessive. :(

ÉDIT DU 19/07/2023 :

Suite à une demande de communication de documents, la CNIL m'a transmis, le 30/01/2023, la prose qu'elle a envoyée à Danitis le 4 janvier 2022 (j'ai caviardé mon identité et mon adresse postale). Contrairement à son échange avec Shilkhom (voir point précédent), elle y évoque bien la durée de conservation, se garde bien de la qualifier d'excessive, invite Danitis à consulter sa fiche pratique, et, si Danitis constate qu'elle ne respecte pas les règles qui y sont rappelées, elle doit se mettre en conformité.

Contrairement à ma réclamation visant Silkhom, cette fois-ci la CNIL a clôturé ma réclamation après avoir envoyé son courrier à Danitis.

Malgré l'appui de la CNIL, Danitis ne m'a jamais informé de la suite qu'elle a donnée, ne serait-ce que m'informer de la bonne suppression de mes données persos…

FIN DE L'ÉDIT DU 19/07/2023.

Une administration française (mon employeur, au moment du dépôt)

• Contexte & griefs : plusieurs dizaines de ses sites web font télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plus d'infos ;
  
  
• Date de la plainte : fin mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc transmission de ma demande de suivi au service des plaintes ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin mai 2022.

Fisc

• Contexte & griefs : son espace personnel pour les particuliers fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes + recours à un CDN ricain sur certaines pages. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

Cogent Communications

• Contexte & griefs : j'étais le contact technique / administratif pour deux associations. Puis, j'ai pris le large. Je le signale à Cogent. Elle continue de m'envoyer des emails en rapport avec la relation commerciale qu'elle continue légitimement d'avoir avec les assos (hausse de prix, maintenance programmée, etc.). Je lui signale. On me répond que je suis déjà effacé de la base, qu'on ne comprend pas d'où ça sort, qu'on envoie au service technique (avec preuve de l'échange en PJ). Aucun retour, et je reçois toujours des emails deux ans et demi après. Nouveau signalement, absence de réponse. Droit à l'effacement incomplet, car traçabilité des données incomplète. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe ;
  
  
• État de la plainte : transmise au service des plaintes et clôturée mi-novembre 2022 (suite à ma relance) : « La CNIL est intervenue à l’appui de votre demande […] Elle lui a rappelé ses obligations et lui a demandé d’effacer les données vous concernant de ses fichiers de prospection ». Il ne s'agit pas de prospection. La CNIL ne se penchera pas sur l'effacement incomplet réitéré (je ne lui avait pas demandé, ceci dit, mais bon… relou).

Vitaline

• Contexte & griefs : mélange entre newsletter et démarchage pour des produits similaires à ceux achetés. Sauf que j'ai jamais été informé et que le premier envoi a eu lieu 11 mois après mon dernier achat… + liens et images traçants dans les emails + utilisation d'un CDN ricain pour diffuser les images de l'email, rediriger les liens, et héberger son site web officiel. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

Le Ravi

• Contexte & griefs : lors d'un appel au don, ré-utilisation d'une adresse emails utilisée deux ans plus tôt pour signer une pétition We Sign It lancée par le journal. Lors de la pétition, j'avais refusé la newsletter We Sign It, donc la seule finalité de collecte de mon adresse emails était la sécurité / fiabilité de la pétition. We Sign It est aussi responsable car elle permet l'exportation des adresses emails des signataires d'une pétition, y compris celles collectées uniquement pour la sécurité (et sans le mentionner dans sa politique de confidentialité). Absence d'info, détournement de finalité et durée de conservation excessive. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : clôturée à ma demande fin novembre 2022 suite à la liquidation judiciaire du Ravi.

OVH

• Contexte & griefs : liens et images traçants dans ses emails commerciaux + les images et la redirection des liens sont diffusées via un CDN ricain. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022 ;
  
  
• Commentaire : il s'agit de ma première plainte pour des liens et images traçants.

Caisse Nationale de l'Assurance Maladie

• Contexte & griefs : liens et images traçants dans ses emails. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Météo France

• Contexte & griefs : impossible de consulter les cartes de prévision (je ne parle pas de vigilance) sans télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Pôle emploi

• Contexte & griefs : impossible de s'inscrire au Pôpôle sans télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes + volonté contradictoire de présenter, dans le bandeau cookies, l'outil de mesure d'audience Xiti comme étant nécessaire (ce qui ne peut pas être le cas) et de le dissimuler (CNAME cloaking). Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

• Contexte & griefs : liens et images traçants dans ses emails (courrier disponible dans l'espace personnel web, échange avec un conseiller, etc.). Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-octobre 2022.

• Contexte & griefs : convocation à un atelier se déroulant en visio avec Microsoft Teams + communication, pour y accéder, d'un lien court de la société commerciale ricaine Bitly (aucun autre moyen). Deux transferts illégaux de données persos vers les États-Unis. Plus d'infos ;
  
  
• Date de la plainte : début novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début novembre 2022.

• Contexte & griefs : invitations récurrentes à rejoindre le réseau social de Pôpôle. Volumétrie excessive. Le seul moyen de s'opposer en autonomie nécessite de créer un compte sur le réseau social… duquel on refuse les invitations. Des informations légalement obligatoires manquantes. Le réseau social utilise des ressources web (scripts, images, police) téléchargées depuis des entités états-uniennes. Idem pour les images rédactionnelles des emails. Liens et image de traçage dans les emails. Plus d'infos ;
  
  
• Date de la plainte : fin décembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin décembre 2022.

Direction de l'Information Légale et Administrative (DILA)

• Contexte & griefs : recours à un CDN ricain pour plusieurs sites web officiels du gouvernement français (Légifrance, Journal-Officiel, Vie-Publique, etc.) et téléchargement de ressources web depuis des serveurs détenus par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Decitre

• Contexte & griefs : liens et images traçants dans ses emails de suivi d'une commande + images et redirection des liens via Amazon + prestataire d'e-mailing ricain. Donc transferts illégaux de données persos vers les États-Unis. Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-octobre 2022.

CNIL

• Contexte & griefs : pour proposer des vidéos sur son site web, la CNIL a recours à un prestataire français qui s'héberge chez des entités états-uniennes, y compris le suivi des interactions avec une vidéo (lecture, pause, reprise, déplacement, à tels moments de telle vidéo, etc.). Carences dans le pilotage de la sous-traitance. Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : réponse du DPO de la CNIL à la mi-octobre 2022 : "il m'incombe de traiter votre plainte, je reviens vers vous" ; plainte clôturée le 10/01/2023 : auto-hébergement des vidéos + dialogue avec le prestataire.

• Contexte & griefs : suite de la précédente puisque toutes les vidéos litigieuses n'avaient pas été préventivement internalisées alors qu'il apaprtient à une entité mise en cause (que ce soit la CNIL ou non) de corriger l'ensemble des composants d'un problème, pas uniquement ceux signalés. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Arrêt sur images, Basta, Disclose, Fakir, Les Jours, L'informé, Mediapart, Next Inpact, Numerama, Off Investigation, Siné mensuel, et StreetPress

• Contexte & griefs : recours à un CDN ricain et/ou téléchargement de ressources web depuis des serveurs informatiques détenus par des entités ricaines et, pour la plupart, dépôt de cookies de traçage sans consentement (induit par les tiers intégrés à leurs sites web). Recours à un prestataire d'e-mailing ricain pour les newsletters ou les emails transactionnels de certains, bandeau cookies trompeur et/ou pas exhaustif chez d'autres. Pour la moitié, aucune amélioration suite à un signalement vieux de deux ans. Plus d'infos ;
  
  
• Dates des plaintes : début novembre 2022 ;
  
  
• État des plaintes : transmises au service des plaintes depuis début novembre 2022 ;
  
  
• Commentaire : il s'agit de plusieurs plaintes puisqu'une plainte doit viser un seul RT.

Danitis, Expectra, ITalent, Silkhom et Squad

• Contexte & griefs : cabinets de recrutement qui me proposent des offres d'emploi des années après ma candidature sur l'une des offres dont ils avaient la charge. Détails ici ;

  • Base légale irrecevable : le test de légitimité en trois étapes de l'intérêt légitime qui permet légalement ces envois n'est pas passé (argumentaire), surtout quand les offres ne sont pas ciblées sur les compétences (le service proposé n'est pas similaire) ;
    
    
  • Durée de conservation excessive au regard de la finalité, et supérieure (du double dans 4/5 des cas) à celle annoncée dans la politique de confidentialité ;
    
    
  • Pour trois d'entre eux : absence de réponse à un exercice de droit dans le délai légal. Dans un cas, absence totale de réponse même après intervention de la CNIL (cf. plainte ci-dessus) ;
    
    
  • Pour deux d'entre eux, on ajoute liens et images traçants dans leur email. Pour deux d'entre eux, leur politique de confidentialité mentionne une obligation de fournir un justificatif d'identité lors d'une demande d'exercice des droits (cette obligation n'existe pas). Pour deux d'entre eux, transfert illégal de données persos en dehors de l'UE (prestataire d'e-mailing, hébergement des images de l'email, Google Fonts dans l'email, etc.). Pour deux d'entre eux, on ajoute difficulté à faire effacer mes données persos, cf. plaintes ci-dessus.
• Dates des plaintes : début novembre 2022 ;
  
  
• État des plaintes : transmises au service des plaintes depuis début novembre 2022 ;
  
  
• Commentaire : il s'agit de plusieurs plaintes puisqu'une plainte doit viser un seul RT. Première fois que je contestais la recevabilité d'un l'intérêt légitime.

Scaleway

• Contexte & griefs : quatre ans après une création de compte client / commande avortées (car je ne voulais pas valider mon compte avec mon téléphone, 2FA tout ça) et une impossibilité de me connecter à mon compte client afin de le clôturer (erreurs techniques signalées au service clients quasiment deux ans avant ma plainte), je continue de recevoir des emails typiques d'une relation commerciale (changez votre mdp, nouveaux tarifs, etc.). Plus d'infos ;

  • Base légale irrecevable : je ne suis pas devenu client (ce qu'énonçait le pied de page des premiers emails), donc absence de nécessité au contrat, et l'on repassera pour l'intérêt légitime à recevoir les nouveaux tarifs de service qu'on n'a pas souscrit et d'exigence de changement du mot de passe d'un compte client auquel on ne peut pas se connecter. Ça sent quand même plus le bug technique qui m'a fait entrer dans un cas imprévu qu'une volonté de nuire ;
    
    
  • Durée de conservation excessive : la politique de confidentialité énonce cinq ans après la fin de la relation commerciale / délai légal… mais j'ai jamais été client, et, dans ce cas-là, une durée de conservation de quatre ans est excessive ;
    
    
  • Transfert illégal de données personnelles hors de l'UE (prestataire e-mailing ricain) ;
    
    
  • Liens et images traçants dans les emails depuis au moins deux ans et demi.
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

Mediapart

• Contexte & griefs : liens et images traçants dans email + hébergement des images de l'email chez les ricains + prestataire d'e-mailing européen concerné par le CLOUD Act. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

OpenStreetMap Foundation

• Contexte & griefs : recours à un CDN ricain pour diffuser sa carte sur son site web officiel + recours à un autre CDN ricain pour télécharger des scripts nécessaires à son éditeur en ligne. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

Mutins de Pangée

• Contexte & griefs : recours à des CDN ricains pour diffuser ses ressources web statiques et les films + les seuls prestataires de paiement proposés sont des ricains alors que l'usage de l'un d'eux a été étriller par une APD. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Mairie de mon bled

• Contexte & griefs : recours à Microsoft pour ses emails + utilisation de Google Analytics, Google Fonts et Google DoubleClick (?!) sur son site web. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

CGT

• Contexte & griefs : divulgation de données persos de syndiqués à un tiers + le logiciel de gestion des adhésions, des cotisations, etc. semble octroyer trop de droits (lecture, etc.) à trop de monde, ce qui nuit à la sécurité des données persos (la divulgation en est l'illustration). Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Le Bon Coin

• Contexte & griefs : les emails transactionnels sont émis par des sociétés commerciales ricaines + ils contiennent des images et des liens de traçage + qui sont hébergés par des entités ricaines + même chose pour les images rédactionnelles + recours à un CDN ricain pour diffuser le site web + recours à des ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Darty

• Contexte & griefs : les emails transactionnels sont émis par une sociétés commerciale ricaine + ils contiennent des images et des liens de traçage + qui sont hébergés par une entités ricaine + même chose pour les images rédactionnelles + recours à un CDN ricain pour diffuser le site web + recours à une palanquée ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

FNAC

• Contexte & griefs : les emails transactionnels contiennent des images et des liens de traçage + qui sont diffusés par une entité ricaine + même chose pour les images rédactionnelles et des polices de caractères + recours à un CDN ricain pour diffuser le site web et à une palanquée de ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

SFR

• Contexte & griefs : reCAPTCHA est nécessaire pour se connecter à l'espace client de Red by SFR + le site web (y compris l'espace client) incorpore une palanquée de ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : fin avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes fin avril 2023.

Basta

• Contexte & griefs : conservation 5 ans d'une adresse emails utilisée lors d'un don (conservation excessive) pour l'inscrire à plusieurs newsletters dont 2 sans rapport avec le don (détournement de finalité, et absence de base légale), liens et images de traçage dans les emails des newsletters, et images (et police de caractères) des newsletter hébergées par les ricains. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

Conseil National des Barreaux

• Contexte & griefs : emails entrants sous-traités à Microsoft. Logiciel de gestion des demandes d'assistance de la société commerciale ricaine Zendesk. Les emails envoyés par celle-ci contiennent des images diffusées via un CDN ricain. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

GIE CB

• Contexte & griefs : emails sous-traités à une entité ricaine. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : reçue (elle n'a pas encore passée le greffe).

• Contexte & griefs : réponse incomplète à une demande d'information sur un traitement et sur les modalités d'exercice du droit d'opposition. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

Visa

• Contexte & griefs : réponse incomplète à une demande d'information sur un traitement et sur les modalités d'exercice du droit d'opposition. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

ÉDIT DU 29/12/2022 : ajout de la 4e plainte visant Pôle emploi et clôture de la plainte visant la Banque Populaire « refus de supprimer des données persos » de mi-novembre 2022. FIN DE L'ÉDIT.

ÉDIT DU 10/01/2023 : mise à jour de l'état de la plainte déposée à la mi-octobre 2022 portant sur le site web de la CNIL. FIN DE L'ÉDIT.

ÉDIT DU 21/07/2023 : ajout d'un lot de 8 réclamations. FIN DE L'ÉDIT.

ÉDIT DU 06/08/2023 : ajout d'un lot de 5 réclamations. FIN DE L'ÉDIT.

Rendue le même 18 novembre par Violette Baty, vice-présidente, agissant en tant que magistrate déléguée par le président du tribunal judiciaire de Paris, Stéphane Noël, cette ordonnance fait droit dans l’urgence à une requête déposée le même jour par l’avocat de Gaël Perdriau, Me Christophe Ingrain.
[…]
Elle nous enjoint « de ne pas publier sous astreinte de 10 000 euros par extrait publié » de nouvelles révélations sur les pratiques politiques du maire de Saint-Étienne, appuyées notamment sur les mêmes enregistrements qui nous ont permis de révéler le scandale du chantage à la sextape dont a été victime son premier adjoint centriste, Gilles Artigues.
[…]
Poursuivant son enquête, Antton Rouget a découvert des faits inédits qui, de nouveau, mettent en cause les pratiques du maire de Saint-Étienne, notamment dans le recours à la rumeur comme instrument politique. Mais, cette fois, leur victime est une personnalité notable de la droite, Laurent Wauquiez, président LR de la région Auvergne-Rhône-Alpes, dont l’ambition présidentielle est notoire.
[…]
Contacté en début de semaine par Antton Rouget pour répondre sur ces faits nouveaux, Gaël Perdriau avait pour sa part demandé un délai supplémentaire jusqu’au vendredi 18 novembre à 13 heures, qui lui fut volontiers accordé. […] Trois heures après que nous eûmes reçu, à 12 h 57 par courriel, ses réponses détaillées, un huissier venait nous délivrer l’ordre de ne rien publier, obtenu par le même Gaël Perdriau auprès du président du tribunal judiciaire de Paris. Le maire de Saint-Étienne sait donc pertinemment quelles informations il ne veut pas voir publiées.
[…]
Cette procédure expéditive s’appuie sur deux articles du Code de procédure civile : l’article 493, qui concerne toutes les juridictions, selon lequel « l’ordonnance sur requête est une décision provisoire rendue non contradictoirement dans les cas où le requérant est fondé à ne pas appeler de partie adverse » ; l’article 875, qui relève des « dispositions particulières au tribunal de commerce » : « Le président peut ordonner sur requête, dans les limites de la compétence du tribunal, toutes mesures urgentes lorsque les circonstances exigent qu’elles ne soient pas prises contradictoirement. » […] Totalement extérieure au droit de la presse, la procédure d’exception choisie est destinée, selon la jurisprudence, à créer « un effet de surprise » qui, en l’occurrence, consiste à tuer dans l’œuf la publication d’une information sans que le journal ne puisse défendre devant des juges indépendants l’intérêt général qui justifie sa publication.

Pour rappel : magistrat du parquet = pouvoir exécutif, pas judiciaire.

Me Christophe Ingrain est également l'avocat d'Altice dans son procès contre Reflets, de Dupond-Moretti devant la CJR, et du maire de Saint-Etienne dans l'affaire de chantage sur son adjoint (source).

Donc, en deux mois : Reflets est poursuivi sur la base du secret des affaires. Interdiction de publier de futurs articles basées sur des informations issues du piratage d'Altice (voir) ; Arrêt sur images, Mediapart, Reflets, Next Inpact et d'autres sont poursuivis pour diffamation par Avisa Partners (voir) ; Et maintenant, ça. Tout. Va. Bien.

ÉDIT DU 29/06/2023 : Ça a fait pschitt lors de la demande de rétractation de l'ordonnance sur requête examinée le 30/11/2022 par le tribunal. Il existe deux procédures d'urgence : le référé et l'ordonnance sur requête. Pas de contradictoire dans le deuxième cas afin d'aller vite pour parer un dommage imminent (ici, sur la vie privée). Le tribunal a estimé que cette urgence n'était pas remplie dès lors que M. Perdriau avait caché qu'il avait connaissance de la détention de l'enregistrement litigieux par Mediapart depuis plus de deux mois. Voir aussi cette intéressante analyse. FIN DE L'ÉDIT DU 29/06/2023.