GuiGui's Show

Quand le correcteur orthographique de LibreOffice Writer ne souligne plus les fautes (alors qu'il est activé dans les options), il faut supprimer le profil utilisateur car il doit être corrompu. Il se trouve dans ~/.config/libreoffice.

Un truc qui me fascine : le recours massif à un CDN… Sans trop savoir pourquoi ni vérifier son paramétrage ni évaluer le gain économique réel ? J'ai l'impression qu'il s'agit d'une frénésie, de mode, de suivisme, pas de décisions rationnelles. Je vais tenter de développer ce ressenti.

Même les dino s'y sont mis. Gandi (l'espace client). Un hébergeur qui ne sait pas héberger ses propres JavaScript et CSS ? Le noyau Linux (docs.kernel.org, bugzilla.kernel.org). L'IETF (site web vitrine et certains outils comme le suivi des documents ‒ datatracker ‒). La discussion des normes techniques d'Internet chez Cloudflare… Le RIPE (site web vitrine). Ces personnes sont capables de monter des architectures techniques aussi chiadées qu'Atlas, que RIPEstat / RIS, ou que des référentiels pour gérer les ressources Internet rares (adresses IP, numéros d'AS, racine RPKI), mais plus d'héberger un simple site web ? Qui va croire que ces sites web reçoivent une plus forte affluence qu'avant alors qu'ils sont très techniques et mêmes inconnus de nombre d'informaticiens ?

J'ai déjà râlé sur Debian et OpenStreetMap.

Il y a ceux qui recours à un CDN alors que leurs concurrents encaissent quasi deux fois plus de visiteurs qu'eux sans CDN. Exemple : Les Jours (12 000 abonnés en 2021) a recours à un CDN alors qu'Arrêt sur images (22 000 en 2021) n'en utilise pas. On peut mettre ça sur le compte aussi bien d'un site web mal conçu (gourmand en ressources) que d'une fréquentation tout au long d'une journée différente que d'un arbitrage délibéré ("on préfère dépenser la thune sur autre chose ‒ salaires, investissements, etc. ‒, ce CDN réduit notre facture d'hébergement conventionnel").

Il y a ceux qui ont la puissance de calcul pour génerer les pages web dynamiques de leur site web, mais pas pour diffuser quelques images, documents PDF, etc. alors que les ressources statiques se mettent très facilement en cache, aussi bien côté serveur (Varnish, HAProxy, etc.) que client (entêtes HTTP Cache-Control et Expires, désactiver ETAG, etc.). Exemple : Next Inpact.

Il y a les incohérents qui ne recourent pas à un CDN sur toutes leurs pages alors qu'on peut pourtant prédire qu’elles reçoivent la même quantité de trafic et que leur tenue de la charge est tout aussi nécessaire pour le fonctionnement global du service. Exemple : le fisc français. Le portail d’authentification de l'espace web pour les particuliers et le tableau de bord après authentification, sans lesquels l’accès au service (et donc les démarches administratives) est impossible, ne sont pas derrière un CDN…

Dans leurs réponses, les CDN incluent des entêtes HTTP additionnels (curl -D - -so <URL> ;) ). On peut y lire le nom du serveur qui a traité la requête web, qui, très souvent, indique sa localisation géographique. On peut aussi y lire si le CDN a servi une copie du contenu qu'il détenait ou s'il le récupére, en temps réel, à chaque demande, auprès de l'hébergeur final, auquel cas il a servit à rien (le serveur final a mouliné) et il a même fait perdre du temps (trajet client -> CDN -> hébergeur final + retour au lieu de client -> hébergeur + retour).

C'est ainsi que l'on constate que toutes les requêtes pour les pages web (le texte) de Mediapart, de L'informé ou de sites web officiels français gérés par la DILA (Légifrance, Journal-Officiel, Service Public, Vie-Publique, etc.) parviennent à leur hébergeur final (cf. entête HTTP « x-cache: MISS »). Cloudflare permet de configurer la mise en cache des pages dynamiques, mais Numerama ou Les Jours n'ont pas effectué cette configuration, donc toutes les requêtes pour leurs pages web doivent être traitées par leur hébergeur (cf. entête HTTP « cf-cache-status: DYNAMIC »). Intérêt du CDN ? À leur décharge, la mise en cache de pages dynamiques contenant des données personnelles (Mediapart : identifiant dans le menu horizontal supérieur) n'est pas triviale (ben oui, il ne faut pas servir une page contenant les données persos d'une autre personne… Et mettre en cache X versions d'une page pour X abonnés, ça revient au même que de se passer de cache).

Il y a les champions qui cumulent un hébergeur Google Cloud et un CDN Fastly. Comme si Google ne disposait pas de ressources suffisantes ni d'une excellente connectivité de son réseau à travers le monde ni d'une capacité à encaisser les attaques par déni de service… Exemple : L'informé. Faisons l'hypothèse que Fastly coûte moins cher que de la ressource supplémentaire Google Cloud et que l'utilisation de Fastly permet la montée en charge d'un nouveau journal, mais je prends les paris que le CDN demeurera après la montée en charge (qui est un prétexte parmi d'autres) parce que ça marche, parce qu'on a oublié, parce qu'on s'en fiche le public nous aime comme ça, parce qu'on a toujours fait comme ça, blablabla.

Alors, oui, un CDN ne sert pas qu'à mettre en cache. Il peut aussi filtrer des attaques informatiques (par déni de service, applicatives, etc.) plus efficacement que d'autres prestataires (typiquement les gros hébergeurs) car il a accès à la requête web, donc à plus d'infos pour arbitrer, et peut-être pour moins cher qu'une prestation spécialisée vu les parts de marché des CDN. On ne peut donc pas totalement préjuger de la volonté de ceux qui y ont recours. Même si on me fera difficilement croire que le petit journal ou l'IETF ou le RIPE croulent sous des attaques permanentes.

Ces choix concentrent le trafic web dans les mains de quelques acteurs (dépendance, fiabilité, concurrence ?) et appauvrissent les compétences (qui sait construire, configurer finement, et maintenir une plate-forme d'hébergement web digne de ce nom ? Qui sait construire et maintenir un CDN maison ? Qui peut concurrencer, techniquement, les gros CDN ricains ?). Évidemment, ces quelques acteurs consignent qui (adresse IP) a consulté telle page web précise (c'est l'URL demandée ou des entêtes HTTP supplémentaires) à telle date.

Le 1a de l'article 49 du RGPD permet d'autoriser des transferts de données personnelles vers un pays tiers non adéquat (n'offrant pas les mêmes garanties de respect de la vie privée) sur la base du consentement (spécifique au transfert, pas le consentement de l'article 6 du RGPD, et après information sur les risques encourus).

Mais uniquement pour des transferts occasionnels.

Via https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics (question « Est-il possible de continuer à transférer des données avec le consentement explicite des personnes ? »).

ÉDIT DU 26/06/2025 : C'est plus subtil que ce que la CNIL a écrit. Le CEPD rappelle que le considérant 111 du RGPD prévoit une dérogation pour, d'une part, les transferts auxquels une personne concernée a consenti explicitement ou intérêt vital ou intérêt publique ou, et, d'autre part, lorsque le transfert est occasionnel et nécessaire dans le cadre d'un contrat ou d'une action en justice. Donc le caractère occasionnel ne porte pas sur le consentement, qui peut donc être systématique. Néanmoins, après, le CEPD rappelle que le principe d'une dérogation est d'être exceptionnelle : « Il convient néanmoins de souligner que même les dérogations qui ne sont pas expressément limitées aux transferts «occasionnels» ou «non répétitifs» doivent être interprétées de manière à ne pas contredire la nature même des dérogations, qui sont des exceptions à la règle […] » FIN DE L'ÉDIT.

En juillet 2022, l'Autorité de Protection des Données personnelles (APD) danoise ordonnait à deux communes (en charge de l'éducation) de cesser leur utilisation des Chromebooks et de G Suite for Education / Google Workplace for Education.

Injonction levée en septembre 2022 alors que les problèmes ne sont pas corrigés, mais comme les communes reconnaissent leurs torts et ont identifié les problèmes, tout va bien. Dommage, car ça donne le sentiment que les infractions au RGPD ne sont pas si grave que ça, après tout.

Notes :

• Au final, ce qui est le plus reproché par l'APD, c'est de ne pas avoir suffisamment identifié et atténué les risques (passage en prod' trop rapide, avec désinvolture, quoi), de ne pas avoir documenté sa (non-)conformité. Les mésusages potentiels des données personnelles par Google (marketing, surveillance des États-Unis, etc.) sont secondaires dans sa décision ;
  
  
• Les données personnelles sont stockées dans l'UE mais sont accessibles à Google lors d'une prise en main à distance dans le cadre d'une demande d'assistance, d'après les communes… Tout le temps (FISA) d'après l'APD. Rien de neuf, mais rappel salutaire ;
  
  
• Là encore, les responsables du traitement (les communes) récitent les belles promesses de Google : d'après les statistiques publiées par Google (quid de ce qu'elle ne comptabilise pas ?), cette dernière reçoit très peu de demandes des autorités ricaines portant sur des Européens, Google préviendra de toute demande des autorités ricaines (et les gag orders, c'est-à-dire les interdictions de divulguer avoir reçu une demande, alors ?), Google restreindra chaque demande excessive (bien sûûûûr, elle a que ça à faire), c'est un citoyen des États-Unis qui assistera les Européens et lui n'est pas soumis à FISA (ses données à lui ne sont pas soumises à FISA, rien change pour les données des clients, et il peut "choisir", sous contrainte, de divulguer leurs données, cf. le mémorandum d'un cabinet d'avocats ricain commandité par le ministère de la justice des Pays-Bas, et l'APD rétorque que, de toute façon, FISA s'applique en dehors des créneaux d'assistance, cf. point 2 ci-dessus), etc.

Bref, ça gamberge bien pour sauver la mise aux GAFAM.

Via https://twitter.com/bayartb/status/1568286800296173568.

Ooook :

• EDPS (European Data Protection Supervisor) : l'Autorité de Protection des Données personnelles (APD) des institutions de l'UE (CNIL européenne, quoi) ;
  
  
• EDPB (European Data Protection Board) : coordinateur européen des APD afin de garantir une application homogène du RGPD au sein de l'UE ;
  
  
• CEPD : il faut développer cet acronyme français pour savoir de quoi on parle :
  • Comité Européen de la Protection des Données = EDPB ;
    
    
  • Contrôleur Européen de la Protection des Données = EDPS.

Lignes directrices de l'Autorité de Contrôle Prudentiel et de résolution (ACPR) portant sur le fameux Know your customer (KYC) applicable aux organismes financiers (dont les banques de détail). Rédigées à la demande des organismes financiers (cf. point 1 du doc'). Se faire une idée des données personnelles qu'une banque peut collecter à ce titre (je ne parlerai pas de ce qu'elle voit passer sur le compte), même si le principe général est qu'elle peut demander ce qu'elle veut, si t'es pas content, tu vas voir ailleurs, et comme elles demandent toutes la même chose, ben t'as perdu.

J'insiste : les lignes directrices (de l'ACPR ou autre) sont un instrument de droit souple (voir). Elles ne peuvent pas prescrire une interdiction générale. Elles guident, définissent un socle minimal / raisonnable, rien interdit à une banque d'aller au-delà sans que ça soit illégal. Néanmoins, l’énumération et l’analyse de la réglementation par l’ACPR est factuelle. De plus, ces lignes cadrent, définissent les objectifs à atteindre, les moyens minimaux à mettre en œuvre, les critères d’évaluation, l’état d’esprit, la logique, et la réflexion à mener, etc. Ça permet d'avoir le sentiment d'y comprendre un peu quelque chose…

Mon résumé ci-dessous concerne uniquement le cas simple : personne de nationalité française lambda (pas publiquement exposée) salariée (pas artisan, auto-entrepreneur, etc.), compte courant unipersonnel (pas joint), pas d'autres services (crédit, épargne, etc.).

• Noms, prénoms, date et lieu de naissance (article R561-5 du Code monétaire et financier ‒ CMF ‒). La banque réalise une copie d'un document d'identité (officiel, original, comportant une photo, en cours de validité) ou procède à une identification électronique certifiée lors d'une relation à distance (article R561-5-1 CMF). La réglementation n'impose pas la collecte d'un nouveau justificatif d'identité quand le précédent expire (lignes ACPR), mais si la banque a « de bonnes raisons de penser » que les infos ne sont plus exactes, elle procède à une nouvelle vérif' (article R561-11 CMF), ce qui a sûrement servi de base légale aux banques qui ont vérifié l'identité de leurs clients ayant un nom slave au début de la guerre d'Ukraine… ;
  
  
• Adresse postale. L'article R312-2 a été abrogé en 2020. L'article 1 de l’arrêté du 2 septembre 2009 pris en application de l'article R561-12 du CMF dispose que l'adresse fait partie des informations susceptibles d'être recueillies dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT). Il faudra m'expliquer en quoi une adresse postale permet d'évaluer un risque de blanchiment / financement du terrorisme (en dehors d'un jugement au faciès, j'veux dire). En pratique, la banque la recueillera… d'autant que l'article 1649 AC du Code général des impôts lui impose d'identifier la résidence fiscale (les lignes de l'ACPR référencent cet article) ;
  
  
• Profession. Article 1 de l'arrêté du 2 septembre 2009 (oui, l'article dit susceptible d'être collectée, mais en pratique, elle le sera). Ça permet, entre autres, de définir si t'es une personne publiquement exposée, qui présente donc un niveau de risque plus élevé dans le cadre de la LCB-FT ;
  
  
• La situation financière / le niveau de revenus (même article). Rien impose la communication des trois derniers bulletins de salaire lorsque le risque est faible, une déclaration d'une tranche de revenus suffit. Mais un compte courant est un produit financier à risque standard, donc sans aller jusqu'au contrôle poussé prévu pour un risque élevé (auquel cas une grille salariale n'est pas suffisante, dixit les lignes de l'ACPR), la banque peut pécho des documents… Peut-être qu'une grille salariale passe pour un risque standard ? On notera l'hypocrisie de la question genre qui que ce soit va déclarer ses revenus illégaux (les autres arriveront sur le compte, le temps des employeurs qui payent en cash étant révolu depuis longtemps) ;
  
  
• Patrimoine (même article). D'après les lignes de l'ACPR, uniquement si ça permet de comprendre les opérations qui seront réalisées (cas d'une location immobilière, par exemple, mais j'imagine que c'est pareil avec des placements financiers) ;
  
  
• Tout le reste (numéro de téléphone, adresse emails, etc.) n'est pas une obligation légale. Leur collecte peut reposer sur d'autres bases légales (nécessité pour l'exécution du contrat, intérêt légitime de la banque, consentement, etc.). Exemple : un numéro de téléphone mobile pour valider, en autonomie (sans se déplacer à l'agence), un bénéficiaire de virements bancaires (alors que tu disposes déjà un boîtier physique de validation). Pas d'obligation, mais intérêt légitime (lutte contre la fraude) et l'accepter te simplifie la vie (sinon c'est déplacement à l'agence, gnagnagna).

Note : l’arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme apporte aucun changement.

Pour la profession, la situation financière, le patrimoine, et tout le reste, l'idée générale est que la banque doit évaluer le risque qu'elle prend avec toi au sens de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT). Elle doit te coller un profil de risque et se prémunir, via une collecte de papelards, de ce risque.

Les critères pertinents qui se dégagent en lisant les lignes de l'ACPR sont : nature de la clientèle (personne publiquement exposée ?), nature du service (un compte courant est un produit financier à « risque standard » donc ni faible ‒ la vérification est légère, sur simple déclaration orale ‒, ni élevé ‒ il faut tout justifier avec une masse de documents probants ‒), compréhension de l'activité financière du client (absence d'opérations exotiques, salaire d'un côté, dépenses courantes de l'autre, etc.).

Je ne comprends pas la collecte de la situation familiale (célibataire, marié, pacsé, etc.), du statut d'occupation d'un logement (locataire, propriétaire, etc.), et de la date de début de l'activité pro / du dernier changement du statut d'occupation d'un logement. Quelle pertinence pour évaluer un profil de risque ? Finance-t-on plus le terrorisme quand on est célibataire ? Ces informations ne sont pas significatives et ne se suffisent pas à elles-mêmes pour conclure quoi que ce soit… Pour l'ACPR, elles ne font pas partie du socle minimal, de la réflexion à avoir. Pourtant, c'est bien à ce titre qu'elles sont collectées et conservées, d'après le délégué à la protection des données personnelles de ma banque (Populaire).

Ces informations peuvent être collectées sur la base légale de l'intérêt légitime afin de prospecter / communiquer. Ça a du sens : il est plus pertinent de proposer un crédit immobilier à un locataire qu'à un proprio (et encore…). On peut s'opposer à un tel démarchage, et, si c'est la seule finalité, les données doivent être effacées puisqu'elles sont deviennent inutiles.

La banque peut aussi faire valoir son intérêt légitime à lutter contre la fraude (non, cela ne relève pas d'une obligation légale), mais on retombe alors sur l'absence de pertinence des informations (fraude-t-on plus quand on est locataire ?) et de leur nécessité (les données collectées dans le cadre des obligations légales suffisent à établir un profil de risque concernant le blanchiment et le financement du terro, mais pour la fraude, moins grave, il faudrait des infos supplémentaires ?!), ce qui invalide le test en trois parties de l'intérêt légitime.

Il est difficile de savoir pourquoi une information est demandée par une banque. Ses petits soldats te font croire qu'elle est obligatoire, que c'est comme ça, ne cherche pas à comprendre, c'est pour ton bien et pour lutter contre les mézants terros pas gentils pas beaux. En décembre 2019, par téléphone, la conseillère bancaire qui m'est affectée à la Banque Populaire m'a ainsi informé :

• qu'il est strictement obligatoire de lui communiquer mon niveau de revenus. Devant mon insistance, elle m’a avoué que la convention de compte incluait une autorisation de découvert, et que celle-ci impose la déclaration d’un niveau de revenus. Cela fait sens (évaluation de la solvabilité, etc.), mais je ne voulais pas de ladite convention de compte (et je l’ai signifié à la conseillère qui tentait de me la vendre). On notera qu'elle n'a pas invoqué la réglementation LCB-FT… ;
  
  
• qu'il est obligatoire de lui communiquer le nom et l’adresse postale de mon employeur… avant de reconnaître, devant mon insistance, que c’est nécessaire uniquement pour obtenir une ristourne sur la cotisation liée à la convention de comptes… à laquelle je n’envisageais pas de souscrire. (Pour ceux qui ça intéresse : les fonctionnaires et les CDD / CDI de la fonction publique peuvent adhérer à la CASDEN et obtenir ladite ristourne ainsi que des plans d'épargne et des crédits avantageux.)

En février 2020, la même conseillère a refusé d'effacer ma situation familiale, mon statut d'occupation d'un logement (et depuis quand), etc. de mon dossier au motif qu'un verrou informatique passerait mon dossier en défaut. Oui, enfin, ce n'est pas l'ordinateur qui décide, qui définit le réel. Exemple : si ton système ne sait pas stocker un nom / prénom accentué, change-en, il n'est pas conforme au RGPD.

Le délégué à la protection des données personnelles de la Populaire m'a répondu que leur collecte relève de la réglementation LCB-FT… Pas de réponse à mon objection que le traitement n'est pas adéquat ni nécessaire à la finalité (cf. le raisonnement au paragraphe précédent)… De plus, la banque ne vérifie pas si ces informations sont à jour / exactes, ce qui donne un indice sur leur caractère facultatif (on a vu plus haut qu'au moindre doute raisonnable, la banque doit procéder au contrôle de l'identité)…

La CNIL a clôturé ma demande (j'insiste, ce n'était pas une plainte, elle n'était pas liée à ma demande à ma banque sus-relatée) en décembre 2020 : « la CNIL n’a pas vocation à se prononcer, au cas par cas, sur le profil de la relation contractuelle établie avec votre banque, qui définie son degré d’exposition au risque et la nature des informations qu’elle est susceptible de recueillir auprès de vous pour se prémunir contre ce risque ». Elle me renvoie vers le médiateur de la consommation auprès de ma banque.

C'est là où ça me dépasse… L'ACPR défini un socle minimal que les banques peuvent dépasser par extrême prudence. La CNIL dit que la réglementation LCB-FT permet à une banque de demander ce qu'elle veut. Le jour où un banquier expliquera qu'il croit voir une corrélation entre la taille du zboub et le blanchiment de fric, il pourra collecter ladite taille chez ses clients afin d'évaluer le risque dans le cadre de la LCB-FT ?! Sérieux…

À la décharge de la CNIL, ma question était générale ("d'une manière générale, quelles informations une banque peut collecter sur son client doté d'un seul compte courant, ceci, cela ?"). Or, la CNIL ne peut légalement pas définir ce qui doit être fait (ou interdit) en général, mais elle peut apprécier des situations individuelles (dans tel cas précis, la collecte n'est pas adaptée et/ou n'est pas nécessaire et/ou est disproportionnée par rapport à la finalité présentée). J'ai déposé une plainte à la CNIL (en bonne forme, c'te fois-ci). ÉDIT DU 29/12/2022 : plainte clôturée, la CNIL peut rien faire. FIN DE L'ÉDIT. Affaire à suivre.

P. S. : la version 2018 des mêmes lignes directrices.

Une carte géographique OpenStreetMap proposée par l'association française OpenStreetMap France et hébergée en France sans recourir à un CDN états-unien (contrairement à la carte "officielle" proposée par la fondation OpenStreetMap).

Toutefois, plusieurs fonctionnalités manquent à l'appel comme la recherche d'un objet ou le calcul d'un itinéraire.

Suite à ma plainte CNIL portant sur l'utilisation du CDN de la société commerciale états-unienne Fastly et d'un paquet de ressources web hébergées sur des serveurs de sociétés commerciales ricaine, j'ai résilié mon abonnement à Mediapart. Je reconnais la qualité journalistique, mais je déplore l'irrespect de la vie privée des lecteurs et l'absence de progrès en quatre ans (c'est même l'inverse avec le recours à Fastly depuis 2021). Je ne veux plus financer cela.

Lors de la confirmation de la résiliation, Mediapart propose de remplir une enquête client (pourquoi tu pars, etc.). Elle est hébergée derrière le CDN états-unien de Cloudflare par le prestataire belge Selligent spécialisé dans le marketing ciblé et personnalisé. Je n'en parle pas dans ma plainte CNIL ci-dessous, car je n'ai pas conservé une quelconque trace, et que, venant d'envoyer la première plainte, j'avais pas envie de recommencer tout de suite.

L'email de confirmation est émis par Selligent. Celle-ci a une présence aux États-Unis (Selligent Inc.). Elle est une marque du CM Group (rachat intervenu en 2020), société commerciale ricaine qui dispose de plusieurs bureaux aux États-Unis, et, vu sa stature, de nombreux clients ricains. Vu la quantité et la nature des emplois pourvus aux États-Unis, des décisions stratégiques pour CM Group et Selligent sont prises aux États-Unis. On retrouve ici de nombreux critères permettant d'apprécier la soumission d'une entité européenne au CLOUD Act. Dans sa politique de confidentialité, Selligent reconnaît transférer des données personnelles à des filiales états-uniennes du CM Group. Transfert illégal de données personnelles hors de l'UE.

L'email contient des images et des liens traçants (contenant un identifiant unique permettant de détecter l'ouverture de l'email et un clic sur un lien). Aucune nécessité ni recueil du consentement. Infraction au RGPD.

L'image traçante est téléchargée depuis les serveurs de Microsoft. Les images rédactionnelles sont téléchargées via le CDN de Fastly. Nouveaux transferts illégaux de données personnelles hors de l'UE (adresse IP, langue, modèle et caractéristiques du logiciel de messagerie, etc.).

Du coup, hop, nouvelle plainte à la CNIL.

Introduction

Bonjour,

L'email de résiliation d'un abonnement envoyé le 03/11/2022 par le journal Mediapart contient plusieurs infractions au RGPD :

• Utilisation de liens et d'images de traçage sans nécessité ni recueil du consentement ;
  
  
• Hébergement d'images sur les serveurs informatiques de sociétés états-uniennes, donc transfert illégal de données personnelles vers les États-Unis (articles 44 et suivants du RGPD) ;
  
  
• Recours au prestataire d'e-mailing Selligent donc transfert de données personnelles (adresse emails, etc.) à une entité soumise au Cloud Act états-unien.

Je vais signaler ses manquements à Mediapart en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte pour sanction auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Bonne journée.

Plainte détaillée

Bonjour,

Le 03/11/2022, j’ai résilié mon abonnement au journal Mediapart (« MP » ci-après). J’ai reçu un email de confirmation. Cf. PJ 1 (son affichage est rustique, car je désactive l’affichage HTML dans mon logiciel de messagerie).

D’abord, la version HTML de cet email contient une image de traçage (à son début), d’après votre terminologie (cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). De même, tous les liens qu’il contient sont des liens de traçage, y compris ceux renvoyant vers le site web officiel de MP, son application mobile, et les réseaux sociaux. Cf. PJ 2.

    L’image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du lecteur MP. Il s’agit d’une image transparente (gif) de dimensions 1 pixel sur 1 pixel, dit autrement, d’une image invisible. Elle a donc pour seul objectif de détecter et de consigner l’ouverture de l’email.

    Elle est téléchargée via un nom de domaine Internet dédié (« traitement.mediapart.fr ») que MP délégue à son prestataire d’e-mailing, Selligent (cf. entêtes de l’email, dont « Received », dans PJ 2) :

    $ dig +short traitement.mediapart.fr | xargs whois | grep netname
    netname: SELLIGENT

    Par contraste, les images qui participent au contenu (logo de l’entête, logos des réseaux sociaux dans le pied de page) sont téléchargées directement depuis le site web officiel de MP (« marketing.mediapart.fr »).

    Quant à eux, les liens pointent d’abord sur des serveurs web du prestataire Selligent (nom de domaine « traitement.mediapart.fr ») qui redirigent vers les destinations finales.

    Dans l’URL de chaque lien, constatons un identifiant unique commun à tous les liens qui doit servir à identifier de manière unique l’email parmi tous ceux émis, et un identifiant unique à chaque lien qui sert à identifier un lien précis dans l’email et à coder la véritable destination du lien (vers laquelle il convient de rediriger après traçage).

MP ne peut se prévaloir d’une quelconque obligation légale à traquer ses ex-lecteurs. La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final).

Le lecteur MP, destinataire de cet email, n'est pas informé de l’aspect traçant des liens et de l’image qu’il contient et son consentement n'est pas récolté.

Il découle des deux derniers points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). Première infraction au RGPD.

Ensuite, d’une part, la même version HTML du même email contient une image qui est automatiquement téléchargée, à l’ouverture de l’email, depuis les serveurs informatiques de la société commerciale états-unienne Microsoft :

    $ dig +short gridinbound.blob.core.windows.net | xargs -L1 whois | grep OrgName
    OrgName: Microsoft Corporation

    Il s’agit d’une image transparente (png) de dimensions 1 pixel sur 1 pixel, dit autrement, d’une image invisible. Elle a donc pour seul objectif de détecter et de consigner l’ouverture de l’email. Elle est insérée dans l’email par le prestataire d’e-mailing Selligent (spécialisé, pour rappel, dans le marketing ciblé et personnalisé).

D’autre part, les images qui participent au contenu (logo de l’entête, logos des réseaux sociaux dans le pied de page) sont téléchargées directement depuis le site web officiel de MP (« marketing.mediapart.fr »). Pour sa diffusion, MP a recours au CDN de la société commerciale états-unienne Fastly :

    $ dig +short marketing.mediapart.fr | xargs -L1 whois | grep OrgName
    OrgName: Fastly, Inc.

    Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être MP dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

    Dans le cas présent, Fastly est un CDN du deuxième type. Pour s’en assurer, il suffit de constater la présence des entêtes HTTP ajoutés par Fastly dans sa réponse à une requête web (cf. sa documentation officielle https://developer.fastly.com/reference/http/http-headers/X-Served-By/) :

    $ curl -s -o /dev/null -D - 'https ://marketing.mediapart.fr/mailing_nv_gabarit_sept2015/Logos/twitter.jpg' | grep -E '^x-(served|cache)'
    x-served-by: cache-cdg20764-CDG, cache-hhn4063-HHN
    x-cache: HIT, HIT
    x-cache-hits: 3059, 1

Dans les deux cas (Microsoft et Fastly), il y a donc un contact direct entre, d’un côté, le terminal du lecteur MP, et, de l’autre, les serveurs de Fastly ou de Microsoft.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, les téléchargements d’images sus-référencés depuis les serveurs informatiques des sociétés commerciales états-uniennes Microsoft et Fastly génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur MP : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de son ouverture de l’email envoyé par MP, la marque, le modèle et des caractéristiques techniques de son logiciel de messagerie (et de son navigateur web s’il clique sur un des liens contenus dans l’email) et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique, comme Fastly et Microsoft, qui, par sa présence dans les coulisses de nombreux sites web, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.mediapart.fr/confidentialite), MP ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat. De plus, on peut avoir la certitude que MP met en œuvre aucune mesure technique complémentaire, car son email inclut des instructions techniques ordonnant au logiciel de messagerie du lecteur MP le téléchargement automatique et en arrière-plan d’images directement auprès des serveurs informatiques de Fastly et de Microsoft. Dès lors, une requête de téléchargement émise par le logiciel de messagerie du lecteur MP ne chemine pas par l’infrastructure technique de MP (dit autrement, il y a un contact direct entre le terminal du lecteur MP d’une part et les serveurs informatiques de Fastly et de Microsoft d’autre part), donc elle échappe totalement à MP, qui peut, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

MP ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable.

    D’une part, comme nous l’avons vu au premier point, l’utilisation de l’image de traçage du prestataire Selligent est illégale (absence d’obligation légale, de nécessité et de recueil du consentement), donc un transfert de données personnelles permettant de récupérer l’objet / l’outil d’un traitement illégal ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.

    D’autre part, le recours au CDN de Fastly constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir MP et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue :

• Le nombre d’emails émis par MP et leur répartition dans le temps (un abonnement par-ci, une résiliation par là, un renouvellement par là-bas, etc.) ne sont pas tels qu’un hébergement web conventionnel ne puisse encaisser la charge générée par leur ouverture ;
  
  
• Les images peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN ;
  
  
• MP ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de MP). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
  
  
• En tout état de cause, MP peut recourir à un CDN (ou à tout autre type d’hébergement informatique) européen disposant de ses propres serveurs.

En conclusion, lors de l’ouverture de l’email envoyé par MP, les téléchargements automatiques d’images hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien (Fastly et Microsoft), et les transferts de données personnelles vers les États-Unis qui en découlent, sont donc illégaux. Deuxième infraction au RGPD.

Enfin, le prestataire d’e-mailing Selligent a une présence (filiale ou maison mère ?) aux États-Unis (Selligent Inc., cf. https://www.selligent.com/fr/privacy-policy/). Elle est une « marque » (je cite) de CM Group (rachat en 2020, cf. https://www.selligent.com/fr/resources/blog/selligent-rejoint-cm-group-et-son-portefeuille-de-marques-specialisees-dans-les-technologies-marketing/), une société commerciale états-unienne qui dispose de plusieurs bureaux aux États-Unis (cf. https://www.campaignmonitor.com/company/careers/ et https://cmgroup.com/cm-group-acquires-selligent-marketing-cloud/). De fait, et vu sa stature, Selligent / CM Group doit vraisemblable compter de nombreux clients aux États-Unis.

    Dans sa politique de protection de la vie privée (https://www.selligent.com/fr/privacy-policy/), Selligent reconnaît le transfert de données personnelles à des filiales de CM Group établies aux États-Unis et partout dans le monde, ainsi qu’à des fournisseurs de services établis aux États-Unis et partout dans le monde. Elle stipule également qu’elle peut divulguer les données personnelles lors d’une assignation ou d’une requête des forces de l’ordre (et des tribunaux) états-uniens.

    De plus, à ce jour, CM Group propose 30 offres d’emploi aux États-Unis pour 15 dans l’UE (cf. https://campaignmonitor.wd5.myworkdayjobs.com/fr-FR/CM_Group). Vu la nature des emplois à pourvoir aux États-Unis (directeur de la conception des produits, directeur des opérations commerciales, chargé des comptes stratégiques, ingénieur logiciel, architecte informaticien, etc.), des décisions stratégiques pour le groupe, et donc pour Selligent, sont vraisemblablement prises aux États-Unis.

    Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, de ces faits, Selligent Belgique et CM Group Limited (Angleterre) sont soumises au Cloud Act.

    Avec une telle analyse, on en déduit, de la part de MP, un transfert de données personnelles (adresse emails du lecteur MP, etc.) à une entité soumise au Cloud Act, ce qui n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de Selligent (sur le secteur de l’e-mailing). Troisième infraction.

Je vais signaler, au DPO de Mediapart, ces manquements au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi plusieurs violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Quelques mois après m'être intégré dans un emploi convenable, j'ai envisagé d'envoyer une demande d'effacement de mes données personnelles aux cabinets de recrutement et autres sociétés de conseil missionnés pour les offres auxquelles j'avais postulé. J'ai renoncé : la flemme. Bien mal m'en a pris. :(

En 2021, plusieurs cabinets de recrutement auprès de qui j'avais postulé en 2017 (voire en 2014 pour l'un d'eux !) m'ont contacté, par email ou téléphone, pour me proposer des offres d'emplois. Certains m'ont relancé. C'était inopportun, désagréable, lourd, vraiment.

Le hic, c'est qu'ils ont conservé mes données personnelles au-delà du délai raisonnable (en informatique, on retrouve un emploi en quelques semaines / mois, les compétences et les spécialisations évoluent rapidement, et les aspirations avec), mais surtout au-delà de ce qu'ils annoncent dans leur politique de confidentialité. Deux ans annoncés. Ils m'ont recontacté quatre ans après le dernier échange consenti. Sept ans, même, pour l'un d'eux ! À ce stade, on n'est plus sur une législation trop compliquée à comprendre gnagnagna mais sur le fait ne pas faire ce qu'on a convenu.

Lesdits cabinets jouent sur une confusion. Un candidat postule à l'une des offres d'emploi dont ils ont la charge pour le compte d'un client final. Tout se passe comme s'il candidatait auprès du service RH du client final. En l'espèce, le service RH est externalisé. Le candidat ne s'inscrit pas dans une quelconque démarche avec le cabinet, il l'ignore, ce qui l'intéresse, c'est l'emploi proposé par le client final. Il ne souscrit pas non plus à une prestation d'accompagnement à l'emploi, de placement, de gestion de carrière (mention aux cabinets qui proposent des « opportunités de carrière »). À l'inverse, le cabinet a besoin de placer rapidement des pions pour le compte de ses clients, donc il souhaite se garder un vivier de profils sous la main.

C'est à ce titre que la base légale de ce traitement de données personnelles est l'intérêt légitime. Or, il m'apparaît que le test de validité en trois parties pour se prévaloir de cette base légale n'est pas passé (lire mes plaintes pour avoir tous les arguments) :

• Réel intérêt légitime ? Confusion sus-décrite et profils obsolètes rapidement ;
  
  
• Nécessité ? Pour s'éviter la course à l'échalote avec ses concurrents (et ainsi mieux se comporter avec ses candidats), un cabinet peut proposer à ses clients un contrat d'exclusivité (comme dans l'immobilier). Il peut se construire une base de profils sur la base du consentement ou, même, chercher le candidat adéquat au fil de l'eau. Les profils seront d'autant plus pertinents, et la démarche beaucoup moins intrusive pour les candidats ;
  
  
• Proportionnalité de l'atteinte aux droits des candidats ? Les offres sont souvent en inadéquation avec le profil (par obsolescence du profil ou par choix du cabinet de refourguer tout à tout le monde, ou par incompréhension des spécialisations et des aspirations), et les sollicitations inopportunes (rarement quand le candidat est en recherche, beaucoup plus quand le marché est en tension et que l'intérêt du cabinet entre en jeu) et fatigantes quand elles s'enchaînent. L'intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, une simple durée maximale de conservation annoncée n'est pas tenue… précisément pour satisfaire la finalité… On peut également que cette pratique prédatrice, qui tente de rendre captif un candidat peut s'analyser comme une atteinte à la concurrence via un mésusage des données personnelles (la cabinet qui engrange le plus de profils alors qu'il n'aurait pas eu le consentement s'il le recueillait, qui ne supprime pas les profils après la durée de conservation, qui démarche agressivement, etc.) remporte la partie.

ÉDIT DU 17/09/2023 : depuis janvier 2023, le guide du recrutement rédigé par la CNIL confirme mon analyse : base légale d'un vivier de candidats = consentement ; durée de conservation adaptée au poste / contrat <= 2 ans. FIN DE L'ÉDIT DU 17/09/2023.

Certains cabinets de recrutement qui m'ont contacté cumulent d'autres infractions au RGPD : email émis par un prestataire d'e-mailing états-unien (cf. la décision de l’APD bavaroise portant sur l’utilisation de MailChimp), moyens ineffectifs pour s'opposer à la réception de nouvelles offres), liens et image traçants dans l'email (cf. l'explication technique et le raisonnement juridique), politique de confidentialité présentant une obligation systématique de présenter un justificatif d'identité pour exercer ses droits (voir ici), absence de réponse dans le délai légal, etc.

Pour deux cabinets, j'avais déjà saisi la CNIL il y a environ 1 an. Dans un cas, absence de retour sur ma demande d'effacement. Dans l'autre, demande d'effacement exécutée, mais aucun retour sur les autres griefs (quelles mesures correctrices vas-tu mettre en œuvre ?) et désinvolture dans la réponse ("ho bah oui, ça arrive"). Dans les deux cas, la CNIL s'est contentée d'appuyer ma demande d'effacement, sans recadrer ni sanctionner, semble-t-il, les autres infractions… Dans mes nouvelles plaintes, je suis plus explicite sur ce que j'attends de la CNIL, on verra bien. Je regrette l'absence d'un suivi / retour de la CNIL, le fait que le plaignant soit écarté de la procédure, tout est opaque, tout se passe entre la CNIL et les responsables de traitement…

Du coup, hop, de nouvelles plaintes à la CNIL. Encore trois jours d'efforts dans le vent…

Nouveauté : c'est la première fois que je conteste la validité d'une base légale avec un argumentaire étayé dans les règles, avec la bonne grille d'analyse.

Accès direct

• Danitis
  
  
• Expectra
  
  
• ITalent
  
  
• Silkhom
  
  
• Squad

Danitis

Introduction

Bonjour,

Suite à une candidature, en novembre 2014, à l’une des offres d’emploi dont avait la charge le cabinet de recrutement Danitis (https://danitis.com/), celui-ci m'a proposé, le 30/11/2021, par email, des offres d'emploi. Le 10/01/2020, il m'avait déjà envoyé un email pour, entre autres, consulter ses offres, et j'avais utilisé (en vain) le lien de désinscription.

DPO contacté par email. Absence de réponse.

J'ai saisi la CNIL le 02/01/2022. Plainte en ligne numéro <CENSURE>.
Intervention de la CNIL le 12/01/2022 et clôture de ma plainte.

Absence de réponse de Danitis.

Infractions :

• Traitement de données personnelles justifié par une base légale irrecevable (intérêt légitime) ;
  
  
• Durée de conservation des données personnelles excessive (au regard de la finalité) et supérieure à celle, maximale, énoncée dans la politique de confidentialité ;
  
  
• Inefficacité du lien « se désinscrire » présents dans les e-mailings de Danitis pour exercer son droit d'opposition ;
  
  
• Utilisation, dans ses emails, de liens et d'images de traçage sans nécessité ni recueil du consentement ;
  
  
• Transfert de données personnelles vers les États-Unis : prestataire d'e-mailing Mailgun et stockage du logo inclus dans les emails chez Amazon ;
  
  
• Absence de réponse après 10 mois malgré l'intervention de la CNIL, donc impossibilité d’exercer concrètement mon droit d’effacement.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les cabinets de recrutement en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

En octobre-novembre 2014, j’ai candidaté à l’une des offres d’emplois dont avait la charge le cabinet de recrutement Danitis. C’est le dernier échange consenti.

Le 10/01/2020, j’ai reçu un email de Danitis pour booster ma carrière, rejoindre Danitis ou ses clients, et suivre l’actualité de Danitis. Cf. PJ 1 (l’affichage est rustique, car je désactive l’interprétation du HTML dans mon logiciel de messagerie). J’ai cliqué sur le lien « Se désinscrire » de cet email (cf. sa couleur dans la PJ).

Le 30/11/2021, j’ai reçu un email de Danitis me proposant trois offres d’emplois… qui, de sus, ne correspondent pas à mes compétences. Cf. PJ 2.

Le 02/01/2022, j’ai déposé une demande d’opposition et une demande d’effacement auprès du DPO de Danitis. J’ai lui ai également signalé les manquements au RGPD que je vais rappeler ci-dessous. Cf. PJ 2.

Le même jour, j’ai sollicité la CNIL sur l’ensemble de ces mêmes points. Il s’agit de la plainte numéro <CENSURE>.

Le 12/01/2022, la CNIL a clôturé ma plainte <CENSURE> : « La CNIL est intervenue à l'appui de votre demande auprès de l'organisme mis en cause, pour lui rappeler ses obligations et l'alerter sur la nécessité de respecter les règles en vigueur, notamment en vous répondant. ».

À ce jour, j’ai n’ai pas reçu de réponse de Danitis. Nouvelle infraction au RGPD : absence de réponse et impossibilité d’exercer concrètement mon droit d’effacement.

De même, la CNIL m’a présenté aucun suivi / retour détaillé, ce qui est contraire à l’article 77.2 du RGPD.

Pouvez-vous m’informer des actions engagées par la CNIL dans le cadre de ma plainte numéro <CENSURE> ? Pouvez-vous m’informer de l’état actuel et d’avancement de ma plainte <CENSURE> ainsi que de son issue ?

Je vous demande de me transmettre une copie de tous vos échanges (email, courrier) avec Danitis dans le cadre de ma plainte <CENSURE>. Il s’agit de documents librement communicables au sens du Code des Relations entre le Public et l’Administration.

À ce jour, j’ignore si mes données personnelles ont bien été effacées par Danitis conformément à ma demande adressée le 02/01/2022 à son DPO et à la CNIL. De même, j’ignore quelles actions correctrices ont été mises en œuvres par Danitis suite à mon signalement, dans la même demande, de ses manquements au RGPD (que je vais rappeler ci-après). C’est sur ces points que, par la présente plainte, je sollicite une action de la CNIL, y compris pour sanctionner les nombreuses infractions de Danitis. Sans quoi les atteintes aux droits des personnes sont et seront réitérées.

Rappel et actualisation des infractions au RGPD commises par Danitis.

D’abord, dans sa politique de confidentialité (https://danitis.com/politique-de-confidentialite/), Danitis basait et base toujours son traitement de « proposition d’opportunités de carrière » sur l’intérêt légitime. Or, ledit traitement ne valide pas le test en trois parties de l’intérêt légitime :

• Objectif : « proposition d’opportunités de carrière ».

  • D’une part, les cabinets de recrutement jouent sur la confusion entre candidater à l’une des offres d’emploi dont ils ont la charge et souscrire à une prestation d’accompagnement, de placement, d’aide au retour à l’emploi, de gestion de la carrière, ou assimilée. Si, dans le deuxième cas, proposer / transmettre des offres d’emploi est légitime (ça fait même partie du contrat), dans le premier, cela ne correspond pas et n’est pas compatible avec la démarche du candidat qui postule à une offre d’emploi bien précise en ignorant le cabinet de recrutement qui en a la charge et sans s’inscrire dans une quelconque démarche avec celui-ci. Tout se passe comme s’il candidatait auprès du service RH du client final, sauf que ledit service est externalisé ;
    
    
  • D’autre part, sur le marché de l’emploi en informatique, où un emploi se trouve en quelques semaines / mois, les profils (CVs, résultats d’évaluation et d’entretiens, etc.) conservés deviennent très vite obsolètes (pas actualisés, relatifs à des personnes qui ne sont très rapidement plus en recherche d’emploi, etc.).
• Nécessité : il est possible, pour un cabinet de recrutement de pourvoir des emplois en flux tendu c’est-à-dire de publier une offre pour un ou plusieurs postes au moment où un client exprime son besoin. La réactivité face aux concurrents, prétendument induite par la détention d’une base de profils, n’est pas un argument recevable : il est possible de proposer, aux clients, des contrats d’exclusivité, telle une agence immobilière. De plus, il est possible de se constituer un réseau et/ou une base de CVs / profils sur la base légale du consentement. Dans les deux cas, cela est moins intrusif pour les candidats pour un résultat identique (deuxième procédé) voire supérieur (le premier procédé conduit à l’obtention de profils actualisés de personnes intéressées / en recherche d’emploi) ;
  
  
• Balance des droits :
  • Alors qu’il n’est plus en recherche d’emploi, l’ex-candidat qui fait l’objet du traitement « proposition d’opportunités de carrière » se fait solliciter à flot continu par toutes les sociétés qui, comme Danitis, se prévalent de leur intérêt légitime pour les démarcher (ce qui est fatiguant et oppressant). Les offres proposées sont inintéressantes (la personne peut avoir de nouvelles aspirations et elle a acquis de l’expérience, de nouvelles compétences, etc. qui ne sont pas mentionnées sur son CV antérieur). Le contact intervient à des moments inopportuns : très rarement quand l’ex-candidat en a besoin, beaucoup plus quand le marché de l’emploi informatique est en tension et que l’intérêt concurrentiel du cabinet de recrutement entre en jeu ;
    
    
  • Cette pratique a pour seul but d’espérer rendre captif l’ex-candidat qui fait l’objet du traitement afin d’espérer prendre de vitesse les cabinets de recrutement concurrents. Elle peut s’analyser comme une atteinte à la libre concurrence via un contournement du consentement des candidats, c’est-à-dire d’un mésusage de ses données personnelles ;
    
    
  • Sur le marché de l’emploi en informatique, un candidat ne saurait s’attendre raisonnablement à une conservation de son CV ni à des sollicitations ultérieures de piètre qualité (cf. ci-dessus) : il postule à une offre bien précise, il trouve très rapidement un emploi, etc. ;
    
    
  • L’intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, nous avons vu et nous verrons que Danitis est incapable de répondre aux obligations légales élémentaires du RGPD et qu’elle ne tient pas les engagements qu’elle prend dans sa politique de confidentialité.

Ainsi, ce traitement n’a pas de réel intérêt, sa nécessité n’est pas établie, et, parce qu’il leur porte une atteinte disproportionnée, les droits des personnes prévalent sur l’intérêt du cabinet de recrutement.

Donc il doit reposer sur la seule base légale possible restante, le consentement. Or, je n’ai pas consenti à recevoir des offres d’emplois (j’ai candidaté à une offre bien précise, point barre). Ce traitement dénué de base légale est donc illégal.

De sus, plus de sept ans (!) se sont écoulés entre le dernier échange consenti (24/10/2014) et l’email non sollicité de Danitis du 30/11/2021.

Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et elle est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.

En tout état de cause, dans sa politique de confidentialité (https://danitis.com/politique-de-confidentialite/), Danitis énonçait et énonce toujours une durée de conservation maximale de cinq ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.

Ensuite, le lien « Se désinscrire » présent dans le pied de page de l’email du 10/01/2020 était fonctionnel techniquement parlant (il m’a très probablement retiré de la liste des destinataires constituée à l’occasion de cet e-mailing précis), mais il ne m’a pas permis d’exercer mon droit d’opposition.

Je pouvais pourtant légitimement m’attendre à un tel effet puisque l’email visait à me proposer des offres d’emplois, donc le lien « se désinscrire » devrait consigner mon opposition à de futures propositions d’offres par e-mailing.

Je constate que l’email du 10/01/2020 a été envoyé via le prestataire d’e-mailing Sendinblue (cf. entêtes dans PJ 3), et que celui du 30/11/2021 l’a été par le prestataire Mailgun (cf. entêtes dans PJ 4). Mon opposition a donc été collectée par Sendinblue sans remonter jusqu’à Danitis puis cette dernière a re-exportée sa base de données interne vers Mailgun, perdant ainsi la trace de mon opposition.

Nouvelle infraction au RGPD.

De plus, les emails de Danitis du 10/01/2020 et du 30/11/2021 contiennent des liens de traçage selon votre terminologie (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). De plus, leur version HTML contient au moins une image de traçage (à la toute fin de l’email). Cf. PJ 3 et PJ 4.

L’image de traçage est téléchargée auprès de la société commerciale Sendinblue (email du 10/01/2020) ou Mailgun Technologies (email du 30/11/2021), qui agissent ici en tant que prestataire d’e-mailing de Danitis. Il s’agit d’une image transparente de dimensions 1 pixel sur 1 pixel. Méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du destinataire et sert, précisément, à détecter et à consigner ladite ouverture.

Les liens pointent d’abord sur les serveurs web du prestataire d’e-mailing (Sendinblue ou Mailgun) qui redirigent, après consignation / journalisation, vers leurs destinations finales.

Dans l’email du 30/11/2021, le nom de domaine des liens et de l’image, « email.danitis.com » est délégué, par Danitis, à son prestataire d’e-mailing Mailgun :

    $ dig +short email.danitis.coms
    email.catsoneemail.com.
    mailgun.org.
    34.86.85.56

La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final). Il ne repose pas plus sur une quelconque obligation légale ou contractuelle.

Le destinataire des emails de Danitis, n'est pas informé de l’aspect traçant des liens et de l’image qu’ils contiennent et son consentement n'est pas récolté.

Il découle des deux derniers points qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

Enfin, Mailgun est une société commerciale états-unienne. Il y a donc eu transfert de données personnelles (adresse emails de l’ex-candidat Danitis, etc.), par Danitis, à une entité de droit états-unien.

Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de Mailgun.

On notera que la politique de confidentialité de Danitis (https://danitis.com/politique-de-confidentialite/) n’énonce pas l’existence de ce transfert de données personnelles aux États-Unis et, donc, ne l’encadre pas.

De même, l’email du 30/11/2021 fait télécharger le logo de Danitis (dans l’entête de sa version HTML) auprès de la société commerciale états-unienne Amazon.

À l’ouverture de l’email, un contact direct est établi automatiquement entre le terminal du candidat Danitis et les serveurs informatiques d’Amazon. Cela génère de facto un transfert de plusieurs données personnelles de l’ex-candidat Danitis à destination d’Amazon : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc. Cf. la décision 3_O_17493/20 de la Cour régionale de Munich portant sur l’utilisation de Google Fonts ou la décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics.

Ce transfert de données personnelles est illégal, cf. les décisions sus-citées ainsi que votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics. Absence de décision d’adéquation, de garanties appropriées, et de mesures supplémentaires. Pas de recueil du consentement après information sur les risques induits par le transfert (49.1a). Pas de nécessité à l’exécution d’un contrat au sens du 49.1b (un traitement basé sur l’intérêt légitime ne peut pas générer un transfert nécessaire à l’exécution d’un contrat, et il est techniquement possible et à moindre coût d’héberger cette image sur les serveurs informatiques de Danitis ou d’un prestataire européen hébergé informatique dans l’UE).

Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des cabinets de recrutement et des entreprises de services / de conseils en informatique enfreignent le RGPD à dessein afin de favoriser leurs affaires.

Quand elles sont mandatées (directement ou indirectement) par un client pour recruter, ces sociétés commerciales jouent sur le glissement « les candidats postulent sur telle offre d’emploi bien précise dont j’ai la charge, donc je vais les accompagner dans leur recherche sans les en informer ni recueillir leur consentement », alors qu’elles agissent alors comme un service RH externalisé pour le compte d’un de leurs clients (tout se passe comme si les candidats postulaient auprès dudit client final). Dans ce contexte, proposer des offres d’emploi supplémentaires sans recueillir le consentement des candidats constitue un mésusage des données personnelles confiées par lesdits candidats.

En effet, proposer des opportunités de carrière fussent-elles ciblées (« adaptées aux compétences ») est une finalité nouvelle et différente de celle visant à récolter, traiter, évaluer, etc. les candidatures pour un poste précis en tant que service RH externalisé. Comme nous l’avons vu au début de la présente, en l’absence de base légale plus adaptée (l’intérêt légitime est irrecevable par déséquilibre entre l’intérêt du responsable du traitement et l’atteinte aux droits des personnes), cette nouvelle finalité devrait reposer uniquement sur le consentement qui, in fine, n’est jamais recueilli.

De même, la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de confidentialité n’est jamais tenu.

La sollicitation non désirée des ex-candidats des mois voire des années après leur candidature constitue un dérangement inutile et génère fatigue et oppression quand elles proviennent de plusieurs sociétés commerciales en simultané au motif du seul intérêt commercial desdites sociétés. Là encore, il y a une disproportion entre l’intérêt du traitement et l’atteinte aux droits des personnes qu’il constitue.

Ce n’est pas un hasard si les sociétés commerciales qui font l’objet de mes plaintes du jour m’ont toutes contacté en 2021. Le marché de l’emploi en informatique était alors tendu (cela est documenté dans la presse spécialisée), il fallait se tirer la bourre, quitte à utiliser le trésor de guerre (base de CVs) constitué illégalement afin de rebondir après la crise du Covid.

Ces infractions au RGPD doivent être regardées comme une atteinte à la libre concurrence en cela qu’elles ralentissent fortement l’émergence et le développement d’une multitude de cabinets de recrutement et d’entreprises de services / de conseils en informatique sains (qui respectent le RGPD).

Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.

Bonne journée.

Expectra

Introduction

Bonjour,

Suite à une candidature, en juin 2017, à l’une des offres d’emploi dont avait la charge le cabinet de recrutement Expectra / SELECT T.T. (https://www.expectra.fr/), celui-ci m'a proposé, le 01/04/2021, par email, une offre d’emploi.

DPO contactée. Réponse insuffisante et absence d'actions correctrices.

Infractions :

• Traitement de données personnelles justifié par une base légale irrecevable (intérêt légitime) ;
  
  
• Durée de conservation des données personnelles excessive (au regard de la finalité) et supérieure (du double) à celle, maximale, énoncée dans la politique de confidentialité ;
  
  
• Absence de réponse de la DPO dans le délai légal ;
  
  
• Réponse insuffisante de la DPO et absence d'actions correctrices (après 1 an et demi).

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les cabinets de recrutement en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Suite à une candidature à l’une des offres d’emplois dont avait la charge le cabinet de recrutement Expectra en juin 2017, l’un de ses employés m’a contacté par email le 01/04/2021 pour me proposer une offre d’emploi ciblée par rapport à mes compétences consignées dans leur base de données. Cf. PJ 1.

D’abord, dans sa politique de confidentialité (https://www.grouperandstad.fr/informations-legales/#candidats ‒ oui, il s’agit de la cible du lien « données personnelles » présent sur le site web officiel), Expectra basait et base toujours son traitement sur l’intérêt légitime (à « envoyer des offres aux candidats » et à « présenter de nouveaux candidats au placement »). Or, ledit traitement ne valide pas le test en trois parties de l’intérêt légitime :

• Objectif : « recommander des emplois » / « proposer des opportunités d’emploi ».

  • D’une part, les cabinets de recrutement jouent sur la confusion entre candidater à l’une des offres d’emploi dont ils ont la charge et souscrire à une prestation d’accompagnement, de placement, d’aide au retour à l’emploi, de gestion de la carrière, ou assimilée. Si, dans le deuxième cas, proposer / transmettre des offres d’emploi est légitime (ça fait même partie du contrat), dans le premier, cela ne correspond pas et n’est pas compatible avec la démarche du candidat qui postule à une offre d’emploi bien précise en ignorant le cabinet de recrutement qui en a la charge et sans s’inscrire dans une quelconque démarche avec celui-ci. Tout se passe comme s’il candidatait auprès du service RH du client final, sauf que ledit service est externalisé ;
    
    
  • D’autre part, sur le marché de l’emploi en informatique, où un emploi se trouve en quelques semaines / mois, les profils (CVs, résultats d’évaluation et d’entretiens, etc.) conservés deviennent très vite obsolètes (pas actualisés, relatifs à des personnes qui ne sont très rapidement plus en recherche d’emploi, etc.).
• Nécessité : il est possible, pour un cabinet de recrutement de pourvoir des emplois en flux tendu c’est-à-dire de publier une offre pour un ou plusieurs postes au moment où un client exprime son besoin. La réactivité face aux concurrents, prétendument induite par la détention d’une base de profils, n’est pas un argument recevable : il est possible de proposer, aux clients, des contrats d’exclusivité, telle une agence immobilière. De plus, il est possible de se constituer un réseau et/ou une base de CVs / profils sur la base légale du consentement. Dans les deux cas, cela est moins intrusif pour les candidats pour un résultat identique (deuxième procédé) voire supérieur (le premier procédé conduit à l’obtention de profils actualisés de personnes intéressées / en recherche d’emploi) ;
  
  
• Balance des droits :
  • Alors qu’il n’est plus en recherche d’emploi, l’ex-candidat qui fait l’objet du traitement « proposer des opportunités d’emploi » se fait solliciter à flot continu par toutes les sociétés qui, comme Expectra, se prévalent de leur intérêt légitime pour les démarcher (ce qui est fatiguant et oppressant). Les offres proposées sont inintéressantes (la personne peut avoir de nouvelles aspirations et elle a acquis de l’expérience, de nouvelles compétences, etc. qui ne sont pas mentionnées sur son CV antérieur). Le contact intervient à des moments inopportuns : très rarement quand l’ex-candidat en a besoin, beaucoup plus quand le marché de l’emploi informatique est en tension et que l’intérêt concurrentiel du cabinet de recrutement entre en jeu ;
    
    
  • Cette pratique a pour seul but d’espérer rendre captif l’ex-candidat qui fait l’objet du traitement afin d’espérer prendre de vitesse les cabinets de recrutement concurrents. Elle peut s’analyser comme une atteinte à la libre concurrence via un contournement du consentement des candidats, c’est-à-dire d’un mésusage de ses données personnelles ;
    
    
  • Sur le marché de l’emploi en informatique, un candidat ne saurait s’attendre raisonnablement à une conservation de son CV ni à des sollicitations ultérieures de piètre qualité (cf. ci-dessus) : il postule à une offre bien précise, il trouve rapidement un emploi, etc. ;
    
    
  • L’intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, nous verrons qu’Expectra peine à répondre à ses obligations légales RGPD et qu’elle ne tient pas les engagements qu’elle prend dans sa politique de confidentialité.

Ainsi, ce traitement n’a pas de réel intérêt, sa nécessité n’est pas établie, et, parce qu’il leur porte une atteinte disproportionnée, les droits des personnes prévalent sur l’intérêt du cabinet de recrutement.

Donc, il doit reposer sur la seule base légale possible restante, le consentement. Or, je n’ai pas consenti à recevoir des offres d’emplois (j’ai candidaté à une offre bien précise, point barre). Ce traitement dénué de base légale est donc illégal.

Ensuite, plus de quatre ans se sont écoulés entre le dernier échange consenti (13/06/2017) et l’email non sollicité d’Expectra du 01/04/2021.

Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et elle est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.

En tout état de cause, dans sa politique de confidentialité (https://www.grouperandstad.fr/informations-legales/#candidats), Expectra énonçait et énonce toujours une durée de conservation maximale de deux ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.

J’ai contacté la DPO d’Expectra le 01/04/2021 (cf. PJ 1). Relance le 03/05/2021 (cf. PJ 2). Réponse le 19/05/2021 (cf. PJ 3).

Nouvelle infraction au RGPD : absence de réponse du DPO dans le délai légal d’un mois.

La présente plainte a pour objectif de signaler les manquements au RGPD sus-référencés d’Expectra à l’autorité de contrôle que vous êtes dans un objectif de sanction à l’encontre d’Expectra et de documentation des nombreuses infractions au RGPD qui ont cours afin de guider votre action.

Si mes données personnelles ont été effacées par Expectra, la réponse n’est pas satisfaisante sur les autres points : à ce jour, sa politique de confidentialité énonce toujours un traitement basé sur l’intérêt légitime, et J’ai reçu aucune information sur la mise en place d’un processus automatisé de purge des données personnelles obsolètes (> 2 ans, cf. la politique de confidentialité). De ces faits, les atteintes aux droits des personnes sont et seront réitérées. Si vous contrôlez le système d’informations d’Expectra, vous y trouverez une masse de données périmées et/ou qui excédent la durée de conservation annoncée par la société commerciale.

Ma demande d’effacement a été traitée, mais les traitements illégaux de données personnelles (base légale irrecevable) et le système d’information (qui contient des données périmées) demeurent intacts… dans un objectif de business.

Or, le respect des droits des personnes ne saurait reposer sur l’exercice, par quelques individus isolés, de leur droit d’effacement. Base légale, respect des engagements annoncés, protection des données personnelles dès la conception, etc. Expectra péche sur tout cela. C’est sur ces points (que le quidam ne peut ni contrôler ni imposer) que je sollicite, par la présente plainte, une action de la CNIL.

Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des cabinets de recrutement et des entreprises de services / de conseils en informatique enfreignent le RGPD à dessein afin de favoriser leurs affaires.

Quand elles sont mandatées (directement ou indirectement) par un client pour recruter, ces sociétés commerciales jouent sur le glissement « les candidats postulent sur telle offre d’emploi bien précise dont j’ai la charge, donc je vais les accompagner dans leur recherche sans les en informer ni recueillir leur consentement », alors qu’elles agissent alors comme un service RH externalisé pour le compte d’un de leurs clients (tout se passe comme si les candidats postulaient auprès dudit client final). Dans ce contexte, proposer des offres d’emploi supplémentaires sans recueillir le consentement des candidats constitue un mésusage des données personnelles confiées par lesdits candidats.

En effet, proposer des opportunités de carrière fussent-elles ciblées (« adaptées aux compétences ») est une finalité nouvelle et différente de celle visant à récolter, traiter, évaluer, etc. les candidatures pour un poste précis en tant que service RH externalisé. Comme nous l’avons vu au début de la présente, en l’absence de base légale plus adaptée (l’intérêt légitime est irrecevable par déséquilibre entre l’intérêt du responsable du traitement et l’atteinte aux droits des personnes), cette nouvelle finalité devrait reposer uniquement sur le consentement qui, in fine, n’est jamais recueilli.

De même, la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de confidentialité n’est jamais tenu.

La sollicitation non désirée des ex-candidats des mois voire des années après leur candidature constitue un dérangement inutile et génère fatigue et oppression quand elles proviennent de plusieurs sociétés commerciales en simultané au motif du seul intérêt commercial desdites sociétés. Là encore, il y a une disproportion entre l’intérêt du traitement et l’atteinte aux droits des personnes qu’il constitue.

Ce n’est pas un hasard si les sociétés commerciales qui font l’objet de mes plaintes du jour m’ont toutes contacté en 2021. Le marché de l’emploi en informatique était alors tendu (cela est documenté dans la presse spécialisée), il fallait se tirer la bourre, quitte à utiliser le trésor de guerre (base de CVs) constitué illégalement afin de rebondir après la crise du Covid.

Ces infractions au RGPD doivent être regardées comme une atteinte à la libre concurrence en cela qu’elles ralentissent fortement l’émergence et le développement d’une multitude de cabinets de recrutement et d’entreprises de services / de conseils en informatique sains (qui respectent le RGPD).
a
Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.

Bonne journée.

ÉDIT DU 20/07/2023 :

Information de la CNIL reçue le 17/02/2023 :

Monsieur,

Vous avez saisi la CNIL d’une plainte à l’encontre de la société SELECT T.T. / EXPECTRA relative à la collecte et à la conservation des données à caractère personnel vous concernant dans le cadre d’une opération de recrutement.

Je vous informe que nous sommes intervenus auprès du délégué à la protection des données de cet organisme afin de l’interroger sur les faits que vous dénoncez.

Nous ne manquerons pas de vous informer des suites apportées à votre plainte.

Nous vous prions d’agréer, Monsieur, nos salutations distinguées.

Le service de l'exercice des droits et des plaintes

Le 27/06/2023, dans une réponse à une demande de communication de documents, la CNIL m'informe que ma « plainte [est] toujours en cours d'instruction ».

FIN DE L'ÉDIT DU 20/07/2023.

ITalent

Introduction

Bonjour,

Suite à une candidature, en septembre 2017, à l’une des offres d’emploi dont avait la charge le cabinet de recrutement ITalent, celui-ci m'a contacté, le 09/09/2021, par email, pour m'informer d’une erreur lors de l’envoi d’un précédent email de test (que je n’ai pas reçu).

DPO contactée. Réponse insuffisante et absence d'actions correctrices.

Infractions :

• Absence d'information et de transparence sur les traitements de données personnelles (au sens des articles 12 et 13 du RGPD) ;
  
  
• Durée de conservation des données personnelles excessive (au regard de la finalité présumée) et supérieure (du double) à celle, maximale, énoncée dans la politique de protection des données personnelles ;
  
  
• Utilisation, dans les emails, de liens et d'images de traçage sans nécessité ni recueil du consentement ;
  
  
• Utilisation de Google Fonts dans les emails, donc transfert automatique de données personnelles vers les États-Unis ;
  
  
• Politique de confidentialité énonçant une obligation de joindre un justificatif d'identité à une demande d'exercice des droits ;
  
  
• Réponse insuffisante de la DPO et absence d'actions correctrices (après 1 an).

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les cabinets de recrutement en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Suite à une candidature à l’une des offres d’emplois dont avait la charge le cabinet de recrutement ITalent en septembre 2017, j’ai reçu, le 09/09/2021, un email m’informant d’une erreur lors de l’envoi d’un précédent email (que je n’ai pas reçu) et me demandant de donner mon consentement pour la conservation de mes données personnelles ou de demander leur suppression. Cf. PJ 1 (l’affichage est rustique, car je désactive l’interprétation du HTML dans mon logiciel de messagerie).

ITalent a été rachetée, en 2020, par Cooptalis (992B avenue de la République, 59 700 Marcq-en-Baroeul ; SIRET : 75367030600053) et est devenu Cooptalis Recrutement. Cooptalis a été renommée Anywr en 2022. Dans la présente, j’utiliserai son nom initial, ITalent.

D’abord, dans sa politique de protection des données personnelles (https://www.anywr-group.com/politique-generale-de-protection-des-donnees-a-caractere-personnel/), ITalent présentait et présente toujours les bases légales sur lesquelles elle s’appuie (« le consentement, l’intérêt légitime de l’entreprise et l’exécution d’un contrat ») sans préciser laquelle elle associe à telle finalité. Même si je peux le deviner, je ne sais pas à quel titre ITalent a traité mes données personnelles pour me contacter. Premier manquement au RGPD : manque d’information, de clarté et de transparence (articles 12 et 13 du RGPD).

Ensuite, quatre ans se sont écoulés entre le dernier échange consenti (29/09/2017) et l’email non sollicité d’ITalent du 11/09/2021.

Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.

En tout état de cause, dans sa politique de protection des données personnelles (https://www.anywr-group.com/politique-generale-de-protection-des-donnees-a-caractere-personnel/), ITalent énonçait et énonce toujours une durée de conservation maximale de deux ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.

De plus, les liens contenus dans l’email d’ITalent du 09/09/2021 sont des liens de traçage selon votre terminologie (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), y compris celui permettant de demander l’effacement de ses données personnelles. Cf. PJ 3.

De plus, la version HTML de cet email contient au moins une image de traçage (à la toute fin). Cf. PJ 3.

L’image de traçage est téléchargée auprès de la société commerciale Sendinblue, qui agit ici en tant que prestataire d’emailing d’ITalent. Il s’agit d’une image transparente de dimensions 1 pixel sur 1 pixel. Méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du destinataire et sert, précisément, à détecter et à consigner ladite ouverture.

Les liens pointent d’abord sur les serveurs web du prestataire Sendinblue qui redirigent, après consignation / journalisation, vers leurs destinations finales.

La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final). Il ne repose pas plus sur une quelconque obligation légale ou contractuelle.

De plus, je n’ai pas cliqué sur les liens (sauf pour rédiger la présente) et mon logiciel de messagerie n’a pas téléchargé l’image traçante puisque je désactive l’affichage HTML de tous mes emails. ITalent a donc collecté aucune donnée de traçage me concernant, et cela a eu aucune incidence sur mes échanges avec son DPO. Ces liens traçants et cette image traçante constituent donc des traitements de données personnelles superflus en infraction avec le principe de minimisation du RGPD.

Le destinataire de ces emails d’ITalent, n'est pas informé de l’aspect traçant des liens et de l’image qu’ils contiennent et son consentement n'est pas récolté.

Il découle des trois derniers points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

En sus, à l’ouverture de sa version HTML, l’email d’ITalent fait automatiquement télécharger des polices de caractères auprès du service Fonts de la société commerciale états-unienne Google.

Un contact direct est donc établi automatiquement entre le terminal de l’ex-candidat d’ITalent et les serveurs informatiques de Google. Cela génère de facto un transfert de plusieurs données personnelles de l’ex-candidat d’ITalent à destination de Google : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc. Cf. la décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics.

Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, de ces données personnelles (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20) : absence de décision d’adéquation, de garanties appropriées, et de mesures supplémentaires. Pas de recueil du consentement après information sur les risques induits par le transfert (49.1a). Pas de nécessité à l’exécution d’un contrat (49.1b).

Ensuite, on constate que la cible du lien pour « supprimer l’ensemble de mes données personnelles détenues par Cooptalis, Izyfreelance ou ITalent » est identique à celui pour « Se désinscrire ». Les deux liens doivent avoir pour unique effet de désinscrire le demandeur de la liste de diffusion constituée par ITalent auprès de Sendinblue. On peut facilement présumer une tromperie : le lien « supprimer l’ensemble de mes données personnelles » n’a très probablement pas l’effet escompté par le demandeur.

De sus, il est inquiétant de constater qu’ITalent semble nettoyer ses bases de données à l’occasion d’une boulette technique ayant entraîné l'envoi involontaire d'emails. Cela révèle clairement qu’ITalent n’a pas automatisé ce processus (alors que sa politique de protection des données personnelles énonce qu’au-delà de la durée maximale de conservation, un recueil du consentement aura lieu) et que des données personnelles périmées (conservées au-delà de la durée consignée dans sa politique de protection des données personnelles) traînent en permanence dans ses bases.

Enfin, dans sa politique de protection des données personnelles (https://www.anywr-group.com/politique-generale-de-protection-des-donnees-a-caractere-personnel/), ITalent exigeait et exige toujours « une photocopie d’un titre d’identité en cours de validité signé » en accompagnement d’une demande d’exercice des droits.

Or, d’après votre doctrine (https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces), le principe est de ne pas exiger de justificatif, sauf en cas de doute raisonnable.

J’ai contacté la DPO d’ITalent le 11/09/2021 (cf. PJ 1). Réponse reçue le 20/09/2021 (cf. PJ 2).

La présente plainte a pour objectif de signaler les nombreux manquements au RGPD sus-référencés d’ITalent à l’autorité de contrôle que vous êtes dans un objectif de sanction à l’encontre d’ITalent et de documentation des nombreuses infractions au RGPD qui ont cours afin de guider votre action.

Si mes données personnelles ont été effacées, la réponse de la DPO n’est pas satisfaisante sur les autres points. À ce jour :

• La politique de confidentialité d’ITalent n’associe toujours pas une base légale à chaque finalité ;
  
  
• La DPO n’a pas commenté l’utilisation de liens (et d’image) de traçage ni n’y a mis un terme. Le pied de page de l’email de la DPO du 20/09/2021 contient lui-même des liens de traçage… (cf. PJ 2, les liens, composés d’un identifiant unique commun et d’un motif « /collect/ », pointent vers un intermédiaire qui effectuera une redirection vers la destination finale) ;
  
  
• La politique de protection des données personnelle d’ITalent énonce toujours une obligation de fournir un justificatif d’identité pour exercer ses droits ;
  
  
• J’ai reçu aucune information sur la mise en place d’un processus automatisé de purge des données personnelles obsolètes (> 2 ans, cf. la politique de protection des données personnelles). Si vous contrôlez le système d’informations d’ITalent, vous y trouverez une masse de données périmées et/ou qui excédent la durée de conservation annoncée par ITalent ;
  
  
• Des faits qui précèdent, les atteintes aux droits des personnes sont et seront réitérées.

En résumé : ma demande d’effacement a été traitée, mais l’absence d’information (telle base légale pour telle finalité), les traitements illégaux de données personnelles (image et liens traçants), les processus (affichage d’une prétendue obligation de présenter un justificatif d’identité pour exercer ses droits), et le système d’information (qui contient des données périmées portant sur des milliers de personnes) demeurent intacts… dans un objectif de business.

Or, le respect des droits des personnes ne saurait reposer sur l’exercice, par quelques individus isolés, de leur droit d’effacement. Communication des informations légales, respect des engagements annoncés et des obligations légales, protection des données personnelles dès la conception, etc. ITalent péche sur tout cela. C’est sur ces points (que le quidam ne peut ni contrôler ni imposer) que je sollicite, par la présente plainte, une action de la CNIL.

Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des cabinets de recrutement et des entreprises de services / de conseils en informatique enfreignent le RGPD à dessein afin de favoriser leurs affaires.

La collecte dans le plus grand flou (voire opacité) et la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de confidentialité n’est jamais tenu.

Cette infraction au RGPD doit être regardée comme une atteinte à la libre concurrence en cela qu’elle ralentit fortement l’émergence et le développement d’une multitude de cabinets de recrutement et/ou d’entreprises de services / de conseils en informatique sains (qui respectent le RGPD).

Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.

Bonne journée.

Silkhom

Voir ma premère démarche.

Introduction

Bonjour,

Suite à une candidature, en juin 2017, à l’une des offres d’emploi dont avait la charge le cabinet de recrutement Silkhom (https://www.silkhom.com/), celui-ci m'a proposé, le 04/06/2021, par email, des offres d'emploi. Ré-itération avec de nouvelles offres le 08/07/2021.

Société commerciale contactée via l'adresse email générique énoncée dans sa politique de protection des données personnelles.
Absence de réponse sous deux mois.

J'ai saisi la CNIL le 14/08/2021. Plainte en ligne numéro <CENSURE>.
Intervention de la CNIL le 20/12/2021.

J'ai reçu une réponse du directeur de Silkhom le 17/03/2022. Réponse insuffisante et absence d'actions correctrices.

Infractions :

• Traitement de données personnelles justifié par une base légale irrecevable (intérêt légitime) ;
  
  
• Durée de conservation des données personnelles excessive (au regard de la finalité) et supérieure (du double) à celle, maximale, énoncée dans la politique de protection des données personnelles ;
  
  
• Absence de réponse dans le délai légal et impossibilité d’exercer concrètement mon droit d’effacement sans passer par la CNIL.
  
  
• Réponse insuffisante du directeur et absence d'actions correctrices (après 7 mois).

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les cabinets de recrutement en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

En juin 2017, j’ai candidaté à l’une des offres d’emploi dont avait la charge le cabinet de recrutement Silkhom. C’est le dernier échange consenti.

Le 04/06/2021, j’ai reçu un email de Silkhom me proposant des offres d’emploi. Cf. PJ1.

Le 06/06/2021, j’ai déposé une demande d’opposition et une demande d’effacement auprès de Silhkom. J’ai lui ai également signalé, à l’adresse email énoncée dans sa politique de protection des données personnelles, les manquements au RGPD que je vais rappeler ci-dessous. Cf. PJ 1.

Le 08/07/2021, j’ai reçu un autre email de Silkhom me proposant, à nouveau, des offres d’emploi. Cf. PJ 2.

Le jour même, j’ai réitéré mes demandes ci-dessus auprès de Silkhom. Cf. PJ 2.

Absence de réponse dans le délai légal.

Le 14/08/2021, j’ai sollicité la CNIL sur l’ensemble des points énumérés ci-dessus. Il s’agit de la plainte en ligne numéro <CENSURE>.

Le 20/12/2021, la CNIL a clôturé ma plainte <CENSURE> : « La CNIL est intervenue à l'appui de votre demande auprès de l'organisme mis en cause, pour lui rappeler ses obligations et l'alerter sur la nécessité de respecter les règles en vigueur, notamment en vous répondant. ».

Le 17/03/2022, le directeur de Silkhom m’a envoyé un email. Cf. PJ 3.

Pouvez-vous m’expliquer le décalage entre votre réponse du 20/12/2021 à ma plainte numéro <CENSURE>, qui énonce que vous étiez déjà intervenu à date, et les propos du directeur de Silkhom qui déclare avoir reçu votre courrier seulement le 03/03/2022 ?

    M’avez-vous déclaré être intervenu avant d’intervenir effectivement ?

    Avez-vous dû contacter Silhkom à plusieurs reprises et/ou via différents canaux avant d’avoir une réponse ? Dans ce cas, pourquoi ne pas m’avoir tenu informé de vos différentes actions ?

    Cette opacité est contraire à l’article 77.2 du RGPD.

Pouvez-vous m’informer des actions engagées par la CNIL dans le cadre de ma plainte numéro <CENSURE> ? Pouvez-vous m’informer de l’état actuel et d’avancement de ma plainte <CENSURE> ainsi que de son issue ?

Je vous demande de me transmettre une copie de tous vos échanges (email, courrier) avec Silkhom dans le cadre de ma plainte <CENSURE>. Il s’agit de documents librement communicables au sens du Code des Relations entre le Public et l’Administration.

La réponse du directeur de Silkhom fait uniquement référence à l’exercice de mon droit d’effacement. Pouvez-vous m’informer de votre décision (rappel pédagogique des dispositions du RGPD, sanction, etc.) concernant les autres infractions soulignées dans ma plainte <CENSURE> ? Pour rappel (vois plus loin pour la version détaillée) : durée de conservation excessive et supérieure (doublée) à celle annoncée dans la politique protection des données personnelles ; absence d’information sur le traitement (finalité, base légale, etc.) ; absence de réponse dans le délai légal d’un mois et impossibilité d’exercer concrètement mon droit d’effacement sans passer par la CNIL.

De même, la réponse du directeur de Silkhom est inquiétante par sa désinvolture : « […] il y a du effectivement y avoir un souci de notre côté ». Ho bah oui il y a eu un problème, c’est pas de chance, ça arrive, les problèmes. Quelles conclusions ont été tirées de ma plainte ? Quelles procédures ont été mises en œuvre depuis ? Quelles actions correctives ont été menées ? Un mécanisme d’effacement (d’archivage) automatique des données personnelles périmées (> 2 ans d’après la politique de protection des données personnelles) ? En leur absence, les atteintes aux droits des personnes sont et seront réitérées.

C’est sur les points énoncés dans les deux derniers paragraphes (que le quidam ne peut ni contrôler ni imposer) que je sollicite une action de la CNIL, y compris pour sanctionner les infractions et l’inaction de Silkhom.

Rappel et actualisation des infractions au RGPD commises par Silkhom.

D’abord, dans sa politique de protection des données personnelles (https://www.silkhom.com/vie-privee/), Silkhom n’énonce pas pour quelle finalité et selon quelle base légale elle m’a envoyé des offres d’emploi. Cette action est uniquement évoquée au détour d’une phrase : « Afin d’optimiser les chances que nous vous proposons des opportunités susceptibles de vous intéresser, nous vous remercions de nous informer, par mail à contact@silkhom.com, de toute modification […] ».

La base légale du traitement ne peut pas être l’exécution d’un contrat, car l’unique contrat entre Silkhom et moi a consisté à étudier ma candidature à une offre d’emploi précise pour le compte d’un de ses clients. J’ai candidaté à une unique offre d’emploi, pas à un service de placement ou d’accompagnement ou d’aide au retour à l’emploi.

La base légale ne peut pas être l’intérêt légitime, car son test en trois parties n’est pas validé :

• Objectif : proposer « des opportunités susceptibles de vous intéresser ».

  • D’une part, les cabinets de recrutement jouent sur la confusion entre candidater à l’une des offres d’emploi dont ils ont la charge et souscrire à une prestation d’accompagnement, de placement, d’aide au retour à l’emploi, de gestion de la carrière, ou assimilée. Si, dans le deuxième cas, proposer / transmettre des offres d’emploi est légitime (ça fait même partie du contrat), dans le premier, cela ne correspond pas et n’est pas compatible avec la démarche du candidat qui postule à une offre d’emploi bien précise en ignorant le cabinet de recrutement qui en a la charge et sans s’inscrire dans une quelconque démarche avec celui-ci. Tout se passe comme s’il candidatait auprès du service RH du client final, sauf que ledit service est externalisé ;
    
    
  • D’autre part, sur le marché de l’emploi en informatique, où un emploi se trouve en quelques semaines / mois, les profils (CVs, résultats d’évaluation et d’entretiens, etc.) conservés deviennent très vite obsolètes (pas actualisés, relatifs à des personnes qui ne sont très rapidement plus en recherche d’emploi, etc.).
• Nécessité : il est possible, pour un cabinet de recrutement de pourvoir des emplois en flux tendu c’est-à-dire de publier une offre pour un ou plusieurs postes au moment où un client exprime son besoin. La réactivité face aux concurrents, prétendument induite, par la détention d’une base de profils, n’est pas un argument recevable : il est possible de proposer, aux clients, des contrats d’exclusivité, telle une agence immobilière. De plus, il est possible de se constituer un réseau et/ou une base de CVs / profils sur la base légale du consentement. Dans les deux cas, cela est moins intrusif pour les candidats pour un résultat identique (deuxième procédé) voire supérieur (le premier procédé conduit à l’obtention de profils actualisés de personnes intéressées / en recherche d’emploi) ;
  
  
• Balance des droits :
  • Alors qu’il n’est plus en recherche d’emploi, l’ex-candidat qui fait l’objet du traitement « proposer « des opportunités susceptibles de vous intéresser » » se fait solliciter à flot continu par toutes les sociétés qui, comme Silkhom, se prévalent de leur intérêt légitime pour les démarcher (ce qui est fatiguant et oppressant). Les offres proposées sont inintéressantes (la personne peut avoir de nouvelles aspirations et elle a acquis de l’expérience, de nouvelles compétences, etc. qui ne sont pas mentionnées sur son CV antérieur). Le contact intervient à des moments inopportuns : très rarement quand l’ex-candidat en a besoin, beaucoup plus quand le marché de l’emploi informatique est en tension et que l’intérêt concurrentiel du cabinet de recrutement entre en jeu ;
    
    
  • Cette pratique a pour seul but d’espérer rendre captif l’ex-candidat qui fait l’objet du traitement afin d’espérer prendre de vitesse les cabinets de recrutement concurrents. Elle peut s’analyser comme une atteinte à la libre concurrence via un contournement du consentement des candidats, c’est-à-dire d’un mésusage de ses données personnelles ;
    
    
  • Sur le marché de l’emploi en informatique, un candidat ne saurait s’attendre raisonnablement à une conservation de son CV ni à des sollicitations ultérieures de piètre qualité (cf. ci-dessus) : il postule à une offre bien précise, il trouve rapidement un emploi, etc. ;
    
    
  • L’intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, nous avons vu et nous verrons que Silkhom est incapable de répondre aux obligations légales élémentaires du RGPD et qu’elle ne tient pas les engagements qu’elle prend dans sa politique de protection des données personnelles.

Ainsi, ce traitement n’a pas de réel intérêt, sa nécessité n’est pas établie, et, parce qu’il leur porte une atteinte disproportionnée, les droits des personnes prévalent sur l’intérêt du cabinet de recrutement.

Donc il doit reposer sur la seule base légale possible restante, le consentement. Or, je n’ai pas consenti à recevoir des offres d’emplois (j’ai candidaté à une offre bien précise, point barre). Ce traitement dénué de base légale est donc illégal.

Ensuite, quatre ans se sont écoulés entre le dernier échange consenti (15/06/2017) et l’email non sollicité de Silkhom du 04/06/2021.

Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et elle est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.

En tout état de cause, dans sa politique de confidentialité (https://www.silkhom.com/vie-privee/), Silkhom énonçait et énonce toujours une durée de conservation maximale de deux ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.

Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des cabinets de recrutement et des entreprises de services / de conseils en informatique enfreignent le RGPD à dessein afin de favoriser leurs affaires.

Quand elles sont mandatées (directement ou indirectement) par un client pour recruter, ces sociétés commerciales jouent sur le glissement « les candidats postulent sur telle offre d’emploi bien précise dont j’ai la charge, donc je vais les accompagner dans leur recherche sans les en informer ni recueillir leur consentement », alors qu’elles agissent alors comme un service RH externalisé pour le compte d’un de leurs clients (tout se passe comme si les candidats postulaient auprès dudit client final). Dans ce contexte, proposer des offres d’emploi supplémentaires sans recueillir le consentement des candidats constitue un mésusage des données personnelles confiées par lesdits candidats.

En effet, proposer des opportunités de carrière fussent-elles ciblées (« adaptées aux compétences ») est une finalité nouvelle et différente de celle visant à récolter, traiter, évaluer, etc. les candidatures pour un poste précis en tant que service RH externalisé. Comme nous l’avons analysé dans la présente, en l’absence de base légale plus adaptée (l’intérêt légitime est irrecevable par déséquilibre entre l’intérêt du responsable du traitement et l’atteinte aux droits des personnes), cette nouvelle finalité devrait reposer uniquement sur le consentement qui, in fine, n’est jamais recueilli.

De même, la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de protection des données personnelles n’est jamais tenu.

La sollicitation non désirée des ex-candidats des mois voire des années après leur candidature constitue un dérangement inutile et génère fatigue et oppression quand elles proviennent de plusieurs sociétés commerciales en simultané au motif du seul intérêt commercial desdites sociétés. Là encore, il y a une disproportion entre l’intérêt du traitement et l’atteinte aux droits des personnes qu’il constitue.

Ce n’est pas un hasard si les sociétés commerciales qui font l’objet de mes plaintes du jour m’ont toutes contacté en 2021. Le marché de l’emploi en informatique était alors tendu (cela est documenté dans la presse spécialisée), il fallait se tirer la bourre, quitte à utiliser le trésor de guerre (base de CVs) constitué illégalement afin de rebondir après la crise du Covid.

Ces infractions au RGPD doivent être regardées comme une atteinte à la libre concurrence en cela qu’elles ralentissent fortement l’émergence et le développement d’une multitude de cabinets de recrutement et d’entreprises de services / de conseils en informatique sains (qui respectent le RGPD).

Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.

Bonne journée.

ÉDIT DU 20/07/2023 :

Information de la CNIL reçue le 17/02/2023 :

Monsieur,

Vous avez saisi la CNIL d’une plainte à l’encontre de la société SILKHOM relative au traitement des données à caractère personnel vous concernant.

Je vous informe que nous sommes intervenus auprès de cet organisme afin de l’interroger sur les faits que vous dénoncez.

Nous ne manquerons pas de vous informer des suites apportées à votre plainte.

Nous vous prions d’agréer, Monsieur, nos salutations distinguées.

Le service de l'exercice des droits et des plaintes

Le 27/06/2023, dans une réponse à une demande de communication de documents, la CNIL m'informe que ma « plainte [est] toujours en cours d'instruction ».

FIN DE L'ÉDIT DU 20/07/2023.

Squad

Introduction

Bonjour,

Suite à une candidature, en mai 2017, à l’une des offres d’emploi de la société de conseils en informatique Squad (https://www.squad.fr/fr/), celle-ci m'a contacté, le 08/09/2021, par téléphone afin de me proposer des offres d'emploi.

DPO contactée. Réponse insuffisante et absence d'actions correctrices.

Infractions :

• Traitement de données personnelles justifié par une base légale irrecevable (intérêt légitime) ;
  
  
• Durée de conservation des données personnelles excessive (au regard de la finalité) et supérieure (du double) à celle, maximale, énoncée dans la politique de confidentialité ;
  
  
• Politique de confidentialité énonçant une obligation de joindre un justificatif d'identité à une demande d'exercice des droits ;
  
  
• Réponse insuffisante de la DPO et absence d'actions correctrices (après 1 an).

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (toutes les sociétés de conseils en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Le 13/05/2017, j’ai candidaté sur l’une des offres d’emploi de la société de conseils en informatique Squad. Nos échanges prennent fin le 09/06/2017.

Le 08/09/2021, une employée de Squad me téléphone afin de savoir si, suite à ma candidature (sic !), je suis toujours à l’écoute du marché et pour me proposer des offres d’emploi.

D’abord, dans sa politique de confidentialité (https://www.squad.fr/fr/annexes/politique-de-confidentialite/), Squad basait et base toujours son traitement sur l’intérêt légitime (à nous « proposer des offres d’emplois »). Or, ledit traitement ne valide pas le test en trois parties de l’intérêt légitime :

• Objectif : « pourvoir des emplois ».

  • D’une part, les sociétés commerciales comme Squad jouent sur la confusion entre candidater à l’une de leurs offres d’emploi pour un client / une mission bien défini et souscrire à une prestation d’accompagnement, de placement, d’aide au retour à l’emploi, ou assimilée. Si, dans le deuxième cas, proposer / transmettre des offres d’emploi est légitime (ça fait même partie du contrat), dans le premier, cela ne correspond pas et n’est pas compatible avec la démarche du candidat qui postule à une offre d’emploi bien précise sans s’inscrire forcément dans une quelconque démarche de fond avec la société de conseils ;
    
    
  • D’autre part, sur le marché de l’emploi en informatique, où un emploi se trouve en quelques semaines / mois, les profils (CVs, résultats d’évaluation et d’entretiens, etc.) conservés deviennent très vite obsolètes (pas actualisés, relatifs à des personnes qui ne sont très rapidement plus en recherche d’emploi, etc.).
• Nécessité : il est possible, pour une société de conseils de pourvoir des emplois en flux tendu c’est-à-dire de publier une offre pour un ou plusieurs postes au moment où un client exprime son besoin. La réactivité face aux concurrents, prétendument induite par la détention d’une base de profils, n’est pas un argument recevable : il est possible de proposer, aux clients, des contrats d’exclusivité, telle une agence immobilière. De plus, il est possible de se constituer un réseau et/ou une base de CVs / profils sur la base légale du consentement. Dans les deux cas, cela est moins intrusif pour les candidats pour un résultat identique (deuxième procédé) voire supérieur (le premier procédé conduit à l’obtention de profils actualisés de personnes intéressées / en recherche d’emploi) ;
  
  
• Balance des droits :
  • Alors qu’il n’est plus en recherche d’emploi, l’ex-candidat qui fait l’objet du traitement « pourvoir des emplois » se fait solliciter à flot continu par toutes les sociétés qui, comme Squad, se prévalent de leur intérêt légitime pour les démarcher (ce qui est fatiguant et oppressant). Les offres proposées sont inintéressantes (la personne peut avoir de nouvelles aspirations et elle a acquis de l’expérience, de nouvelles compétences, etc. qui ne sont pas mentionnées sur son CV antérieur). Le contact intervient à des moments inopportuns : très rarement quand l’ex-candidat en a besoin, beaucoup plus quand le marché de l’emploi informatique est en tension et que l’intérêt concurrentiel de la société de conseils entre en jeu ;
    
    
  • Cette pratique a pour seul but d’espérer rendre captif l’ex-candidat qui fait l’objet du traitement afin d’espérer prendre de vitesse les concurrents. Elle peut s’analyser comme une atteinte à la libre concurrence via un contournement du consentement des candidats, c’est-à-dire d’un mésusage de ses données personnelles ;
    
    
  • Sur le marché de l’emploi en informatique, un candidat ne saurait s’attendre raisonnablement à une conservation de son CV ni à des sollicitations ultérieures de piètre qualité (cf. ci-dessus) : il postule à une offre bien précise, il trouve rapidement un emploi, etc. ;
    
    
  • L’intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, nous verrons que Squad peine à répondre à ses obligations légales RGPD et qu’elle ne tient pas les engagements qu’elle prend dans sa politique de confidentialité ;
    
    
  • Dans sa politique de confidentialité, Squad n’informe pas sur les intérêts qu’elle poursuit. Difficile, dès lors, d’invoquer l’intérêt légitime.

Ainsi, ce traitement n’a pas de réel intérêt, sa nécessité n’est pas établie, et, parce qu’il leur porte une atteinte disproportionnée, les droits des personnes prévalent sur l’intérêt de la société de conseils.

Donc il doit reposer sur la seule base légale possible restante, le consentement. Or, je n’ai pas consenti à recevoir des offres d’emplois (j’ai candidaté à une offre bien précise, point barre). Ce traitement dénué de base légale est donc illégal.

Ensuite, plus de quatre ans se sont écoulés entre le dernier échange consenti (09/06/2017) et l’appel téléphonique non sollicité de Squad du 08/09/2021.

Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et elle est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.

En tout état de cause, dans sa politique de confidentialité (https://www.squad.fr/fr/annexes/politique-de-confidentialite/), Squad énonçait et énonce toujours une durée de conservation maximale de deux ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.

Enfin, dans sa politique de confidentialité (https://www.squad.fr/fr/annexes/politique-de-confidentialite/), Squad exigeait et exige toujours la « copie d’un justificatif d’identité » comme « condition indispensable pour le traitement » d’une demande d’exercice des droits.

Or, d’après votre doctrine (https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces), le principe est de ne pas exiger de justificatif, sauf en cas de doute raisonnable.

J’ai contacté la DPO de Squad le 11/09/2021 (cf. PJ 1). Elle m’a répondu le 13/09/2021 (cf. PJ 2).

La présente plainte a pour objectif de signaler les manquements au RGPD sus-référencés de Squad à l’autorité de contrôle que vous êtes dans un objectif de sanction à l’encontre de Squad et de documentation des nombreuses infractions au RGPD qui ont cours afin de guider votre action.

Si mes données personnelles ont été effacées, la réponse n’est pas satisfaisante sur les autres points : à ce jour, la politique de confidentialité de Squad énonce toujours une obligation de fournir un justificatif d’identité pour exercer ses droits et un traitement « pourvoir des emplois » basé sur l’intérêt légitime. De sus, j’ai reçu aucune information sur la mise en place d’un processus automatisé de purge des données personnelles obsolètes (> 2 ans, cf. la politique de confidentialité). De ces faits, les atteintes aux droits des personnes sont et seront réitérées.

La rhétorique habituelle, employée par la DPO de Squad, de l’incident isolé qui expliquerait une durée de conservation de mes données personnelles au-delà des deux ans annoncés ne me convainc pas : il s’agit d’une excuse courante qui reflète à chaque fois un choix délibéré de ne pas mettre en œuvre un nettoyage automatique des bases de données. Si vous contrôlez le système d’informations de Squad, vous y trouverez une masse de données périmées et/ou qui excédent la durée de conservation annoncée par la société.

En résumé : ma demande d’effacement a été traitée, mais les traitements illégaux de données personnelles (base légale irrecevable), les processus (affichage d’une prétendue obligation de présenter un justificatif d’identité pour exercer ses droits) et le système d’information (qui contient des données périmées) demeurent intacts… dans un objectif de business.

Or, le respect des droits des personnes ne saurait reposer sur l’exercice, par quelques individus isolés, de leur droit d’effacement. Base légale, respect des engagements annoncés, protection des données personnelles dès la conception, etc. Squad péche sur tout cela. C’est sur ces points (que le quidam ne peut ni contrôler ni imposer) que je sollicite, par la présente plainte, une action de la CNIL.

Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des entreprises de services / de conseils en informatique et des cabinets de recrutement enfreignent le RGPD à dessein afin de favoriser leurs affaires.

Quand elles recrutent pour répondre au besoin d’un client, ces sociétés commerciales jouent sur le glissement « les candidats postulent sur telle offre d’emploi bien précise, donc je vais les rediriger vers d’autres clients et missions sans les en informer ni recueillir leur consentement » alors que ceux-ci postulent sur une offre bien précise (voire pour un client et une mission précis). Dans ce contexte, proposer des offres d’emploi supplémentaires sans recueillir le consentement des candidats constitue un mésusage des données personnelles confiées par lesdits candidats.

En effet, proposer des opportunités de carrière fussent-elles ciblées (« adaptées aux compétences ») est une finalité nouvelle et différente de celle visant à récolter, traiter, évaluer, etc. les candidatures pour une offre d’emploi précise. Comme nous l’avons vu au début de la présente, en l’absence de base légale plus adaptée (l’intérêt légitime est irrecevable par déséquilibre entre l’intérêt du responsable du traitement et l’atteinte aux droits des personnes), cette nouvelle finalité devrait reposer uniquement sur le consentement qui, in fine, n’est jamais recueilli.

De même, la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de confidentialité n’est jamais tenu.

La sollicitation non désirée des ex-candidats des mois voire des années après leur candidature constitue un dérangement inutile et génère fatigue et oppression quand elles proviennent de plusieurs sociétés commerciales en simultané au motif du seul intérêt commercial desdites sociétés. Là encore, il y a une disproportion entre l’intérêt du traitement et l’atteinte aux droits des personnes qu’il constitue.

Ce n’est pas un hasard si les sociétés commerciales qui font l’objet de mes plaintes du jour m’ont toutes contacté en 2021. Le marché de l’emploi en informatique était alors tendu (cela est documenté dans la presse spécialisée), il fallait se tirer la bourre, quitte à utiliser le trésor de guerre (base de CVs) constitué illégalement afin de rebondir après la crise du Covid.

Ces infractions au RGPD doivent être regardées comme une atteinte à la libre concurrence en cela qu’elles ralentissent fortement l’émergence et le développement d’une multitude d’entreprises de services / de conseils en informatique et de cabinets de recrutement sains (qui respectent le RGPD).

Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.

Bonne journée.

En France, le droit d'accès à ses données personnelles médicales / de santé doit recevoir une réponse sous huit jours sauf pour les données vieilles de plus de cinq ans (auquel cas le délai est de deux mois). Article L. 1111-7 du Code de la santé publique.

Pour rappel, le délai de réponse nominal à un droit d'accès est d'un mois.

#8 jours #dossier médical