GuiGui's Show

(Serpent Google) ‒ C'est juste un coud de confiaaance

Via https://www.nextinpact.com/article/70415/flock-prend-hauteur-et-nous-dessine-triste-monde-tragique.

Les sites web de presse contiennent des images, des vidéos, des infographies, des podcasts, des feuilles de style, des polices de caractères, des scripts, et d'autres ressources web hébergées sur des serveurs informatiques de sociétés commerciales états-uniennes, ce qui est, à date, incompatible avec le RGPD. Le raisonnement juridique est le même que dans mes précédentes plaintes.

La presse a également recours au CDN de sociétés commerciales états-uniennes pour diffuser leurs pages web (le texte, quoi), ce qui, là encore, n'est pas conforme au RGPD (même raisonnement juridique qu'au point précédent). En tant qu'intermédiaire entre le lecteur et l'hébergeur final du journal, le CDN voit et consigne que tel terminal (adresse IP + langue + modèle + caractéristiques techniques) consulte tels articles (URL complète) à telles dates + heures.

La diffusion de l'information en France dépend d'acteurs ricains. Souveraineté, où es-tu ?

Chez quasiment tous, on constatera également le dépôt en douce de cookies de traçage tiers (induit par l'intégration des ressources web sus-énumérées). Certains journaux (ASI, Les Jours, Mediapart, Next Inpact) ont également recours à un prestataire états-unien d'e-mailing (pour une newsletter ou pour les emails d'abonnement / renouvellement / résiliation). Là encore, c'est illégal, cf. la décision de l'Autorité de Protection des Données personnelles bavaroise portant sur l'utilisation de MailChimp. Chez un autre (Numerama), on constatera un bandeau cookies trompeur et imbitable.

Je suis le sujet depuis 2018 (en ce qui concerne Mediapart). En 2020, j'ai informé tous les journaux de leur irrespect de la vie privée de leurs lecteurs. Sauf Disclose, L'informé, Off Investigation, et StreetPress que j'ai découvert (et envisagé de lire) après. De même, j'ai découvert que Next Inpact a recours à Cloudflare pour l'hébergement de ses images en 2021 ou 2022.

Aucune amélioration entre 2020 et aujourd'hui, sauf chez Basta. Mediapart dispose de la rentabilité et du poids pour se mettre en conformité (adapter ses pratiques, former ses journalistes, développer les éventuels outils manquants, etc.), mais en fait rien (y compris lors de sa « nouvelle formule » de 2021).

Je ne m'intéresse pas aux médias dominants (Le Monde, Le Figaro, Les Echos, Libération, etc.), car, d'une part, je ne les lis pas car ils ne correspondent pas à mes attentes. D'autre part, ils recourent à la publicité, donc leur consultation génère des centaines de requêtes web vers plusieurs dizaines d'acteurs qui changent tous les quatre matins. C'est ingérable.

Je n'ai pas déposé de plainte à la CNIL concernant Le Ravi puisqu'il est mourru en septembre 2022. :(

J'avais un peu laissé tomber, mais les 42 plaintes de David Libeau portant sur l'utilisation de Google Analytics par les sites de presse, m'ont redonné espoir. Surtout que ça semble produire un début de commencement de semblant de bout d'effet.

Surtout, on ne va pas se mentir, j'ai eu récemment tout le temps pour rédiger mes douze plaintes. Cela m'a coûté quasiment un mois ETP.

Nouveautés :

• Première fois que je dépose des plaintes contre plusieurs acteurs d'un même secteur d'activité, et que j'invite la CNIL à les étudier en lot (mêmes infractions, même secteur d'activité, infractions très courante dans ledit secteur), et à porter ses efforts à cette granularité-là (en 2015, la CNIL avait mis en demeure une palanquée de sites web de rencontres amoureuses) ;
  
  
• Première fois que je souligne une entrave à la concurrence que constituent les infractions au RGPD. Les journaux qui se rapprochent de la conformité au RGPD ont dû investir (argent, temps) et/ou renoncer à des sources de revenus (et de visibilité), et peine à assurer leur équilibre économique, là où les médias dominants, qui bafouent le RGPD, s'en sortent plutôt bien. Cela ralentit fortement l'émergence et le développement de journaux, respectueux, à la fois de l'éthique journalistique et de la vie privée de leur lectorat ;
  
  
• Première fois que j'argue de l'illégalité de l'utilisation de Google reCAPTCHA ;
  
  
• Première fois que je fournis des preuve au format archive HTTP (HTTP Archive, HAR) ;
  
  
• L'une des premières fois que je développe la possible soumission de prestataires européens au CLOUD Act.

Bref, place à mes douze plaintes contre des journaux.

Accès direct

• Arrêt sur images
  
  
• Basta
  
  
• Disclose
  
  
• Fakir
  
  
• Les Jours
  
  
• L'informé
  
  
• Mediapart
  
  
• Next Inpact
  
  
• Numerama
  
  
• Off Investigation
  
  
• Siné mensuel
  
  
• StreetPress

Arrêt sur images

Introduction

Bonjour,

Le site web du journal Arrêt sur images transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Analytics, Google Fonts, Google Optimize, Vimeo, Twitter, Embedly, MailChimp.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements existants perdurent à ce jour et de nouveaux ont été mis en œuvre.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Arrêt sur images (« ASI » ci-après), https://www.arretsurimages.net/, fait automatiquement télécharger, au navigateur web de ses lecteurs, une multitude de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Arrêt sur images : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par ASI (exemple : une vidéo YouTube volontairement intégrée par ASI à l’un de ses articles fait télécharger, à son tour, Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être ASI dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur d’ASI et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web d’ASI, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur d’ASI : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures d’ASI (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.arretsurimages.net/confidentialite), ASI ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude qu’ASI met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur d’ASI le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par ASI. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur d’ASI ne chemine pas par l’infrastructure technique d’ASI ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur d’ASI et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à ASI et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

ASI ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Script de mesure d’audience Google Analytics (via le script Google Tag Manager) hébergé sur les serveurs informatiques de la société commerciale états-unienne du même nom. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • ASI ne recourt pas à la publicité et l’écrasante majorité de ses articles est réservée à ses abonnés. Dans ce contexte, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés est un indicateur pertinent et suffisant. À quoi bon savoir quels articles sont lus et ont eu le plus de succès ? À rien, le journal est déjà financé. Danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent lire ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et ASI ne recueille pas le consentement de son lecteur), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Scripts de test A/B, d’analyse et d’optimisation du parcours client Google Optimize hébergés sur les serveurs informatiques de Google ;

  • Le Comité européen de la protection des données (CEPD) ne considère pas qu’un traitement destiné à améliorer un service est nécessaire à l’exécution d’un contrat (cf. Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées). Donc, le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat. (Notons qu’ASI ne recueille pas non plus le consentement de son lecteur.)

• Polices de caractères téléchargées auprès du service Fonts de la société commerciale états-unienne Google hébergé sur les serveurs informatiques de cette dernière ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20).

• Scripts de la société commerciale états-unienne Google YouTube hébergés sur les serveurs informatiques de Google ;

  • Ils sont présents sur toutes les pages, mêmes celles qui contiennent aucune vidéo, ce qui constitue des transferts de données personnelles inutiles et contraires au principe de minimisation du RGPD ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, ASI ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Scripts de la société commerciale états-unienne Vimeo hébergés sur les serveurs informatiques de Vimeo ;

  • Ils sont présents sur toutes les pages, mêmes celles sans vidéo, ce qui constitue des transferts de données personnelles inutiles et contraires au principe de minimisation du RGPD ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Vimeo dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant un identifiant unique) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, ASI ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Scripts de la société commerciale française Dailymotion. Certains d’entre eux (api.dmcdn.net, s1.dmcdn.net, etc.) sont diffusés via des CDNs états-uniens (comme Limelight Networks / Edgio) ;

  • Certains de ses scripts hébergés par des prestataires états-uniens (ex. : api.dmcdn.net) sont présents sur toutes les pages d’ASI, mêmes celles sans vidéo, ce qui constitue des transferts de données personnelles inutiles et contraires au principe de minimisation du RGPD ;
    
    
  • Lorsque la page (un article, par exemple) contient une vidéo Dailymotion, le téléchargement automatique du lecteur de vidéos de Dailymotion entraîne, par rebond, en cascade, le téléchargement de scripts techniques auprès de Google (s0.2mdn.net, imasdk.googleapis.com, etc.) ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Dailymotion dépose et lit des cookies. Lorsque l’on déclenche la lecture d’une vidéo Dailymotion intégrée au site web d’ASI, un encart nous demande d’accepter les cookies de Dailymotion. Cet encart propose un bouton « personnaliser ou refuser » qui pointe vers https://www.dailymotion.com/legal/consent#purposes). Cette page nous apprend qu’il s’agit de cookies tierce-partie utilisés pour la publicité standard et ciblée, la mesure d’audience, la mesure de la réceptivité d’une pub, etc. Ils contiennent des identifiants uniques. Ils ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Pourtant, il y a une acceptation tacite desdits cookies après 10 secondes d’inaction. Idem si l’on clique sur « personnaliser ou refuser » : les cookies sont déposés et la lecture de la vidéo commence après dix secondes… c’est-à-dire pendant la lecture de la politique cookies de Dailymotion et l’octroie (ou non) du consentement. Cela n’est pas conforme au RGPD. Notons bien que, l’on accepte les cookies ou non, les téléchargements sus-présentés (et donc les transferts de données personnelles qui en découlent) sus-énumérés ont déjà eu lieu avant l’apparition de cet encart.

• Intégration de tweets via le widget Twitter qui fait télécharger automatiquement des ressources web auprès des serveurs informatiques de la société commerciale états-unienne du même nom ;

  • Seuls quelques articles (exemple : https://www.arretsurimages.net/chroniques/initiales-ds/aurelie-et-trouve-font-la-velorution-dans-le-93) et la page d’accueil d’ASI (tweets du directeur du journal) contiennent au moins un tweet, donc, en arrivant sur un article, le lecteur de d’ASI ne saurait s’attendre au chargement du widget de Twitter (absence d’une pratique généralisée et facilement identifiable).
• Certains tweets et vidéos (entre autres contenus multimédias) repris par ASI sont intégrés à son site web à l’aide du service Embedly de la société commerciale états-unienne A Medium Company, qui, elle-même, a recours au CDN de la société états-unienne Cloudflare. Exemple : https://www.arretsurimages.net/chroniques/le-matinaute/total-chiffres-et-chantages.
  • Aucune valeur ajoutée, le service pourrait être fourni sans (Twitter, YouTube, Vimeo, etc. disposent d’infrastructures techniques leur permettant d’encaisser un nombre conséquent d’utilisateurs), donc disproportion entre l’intérêt d’ASI et l’atteinte aux droits de ses lecteurs.

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible de réduire le nombre de prestataires. Pourquoi recourir à plusieurs prestataires pour un même type de contenus (pour diffuser des vidéos, par exemple) ? ASI en choisi un, forme ses équipes sur cette solution, etc., et cesse de charger les scripts de plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.

De plus, il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web externalisées comme les polices de caractères Google Fonts, un outil de mesure d’audience, etc.

Ensuite, il est possible d'héberger ces ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à la société commerciale française Octopuce (cas de YouTube, Vimeo et Dailymotion). De même, il existe des prestataires européens de mesure d’audience.

De sus, certaines pratiques rédactionnelles peuvent être adaptées. Plutôt que d'intégrer un tweet dans un article en utilisant le widget Twitter, les journalistes d’ASI peuvent citer le propos qu’il contient comme ils le font de propos oraux ou lors de reprise de propos écrits, et laisser à leur lecteur la possibilité de cliquer sur un lien pour aller lire ledit tweet. S'il s'agit de conserver une trace, une capture d'écran convient. De même, un lien vers une vidéo YouTube ou Vimeo ou Dailymotion est préférable à une intégration de ladite vidéo. Laisser le choix au lecteur.

En tout état de cause, il est possible de conditionner certains téléchargements (tweets via le widget Twitter, vidéos YouTube ou Vimeo ou Dailymotion, etc.), à un clic du lecteur d’ASI sur un encart l’informant que l’affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

De plus, à l’exception des tweets et des vidéos, le site web d’ASI fonctionne parfaitement et à contenu équivalent si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre ASI et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par ASI découle une disproportion entre l’intérêt, pour ASI, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web d’Arrêt sur images, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 et le 31 octobre 2022 (pour l’un d’eux) avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Dans sa politique de confidentialité (https://www.arretsurimages.net/confidentialite), ASI déclare avoir recours à MailChimp pour envoyer ses « gazettes, mails de relance, et mails transactionnels ». MailChimp est un service de The Rocket Science Group, société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne.

Il y a donc transfert de données personnelles (adresse emails de l’abonné ASI, etc.) à une entité de droit états-unien.

Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Ces multiples transferts auprès de (trop) nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. ASI est tout l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, les manquements au RGPD sus-référencés au président d’Arrêt sur images (pas de DPO identifiable), cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des solutions techniques (internalisation, minimisation, politique du référent, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté d’Arrêt sur images de se conformer au RGPD. Aucun changement en deux ans, à l’exception de l’ajout de Google Optimize sur toutes les pages…

J’estime avoir tenté d’exercer mes droits auprès d’ASI. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs qu’Arrêt sur images et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre d’Arrêt sur images.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ accès libre aux articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Basta

Introduction

Bonjour,

Le site web du journal Basta transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google YouTube, Twitter, Vimeo, CDN Cloudflare.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 10/03/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Basta, https://basta.media, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Basta : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Basta (exemple : une vidéo YouTube volontairement intégrée par Basta à l’un de ses articles fait télécharger, à son tour, la régie publicitaire Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Basta dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Basta et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Basta, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur Basta : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Basta (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Je n’ai pas trouvé de politique de confidentialité (ou assimilé) sur le site web de Basta. De plus, on peut avoir la certitude que Basta met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de Basta le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Basta. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur de Basta ne chemine pas par l’infrastructure technique de Basta ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur Basta et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à Basta et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Basta ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes présentes dans au moins l’un des cinquante derniers articles publiés en date du 23/10/2022 ou sur l’une des pages du site web de Basta :

• Podcast via les services de la société commerciale allemande hearthis.at qui a recours au CDN de la société commerciale états-unienne Cloudflare pour diffuser son lecteur de podcasts. Exemple : https://basta.media/Vous-avez-Tchernobyl-dans-le-bide-des-femmes-se-battent-face-a-Bayer-pour-la-reconnaissance-de-leur-calvaire-implant-contraception-Essure ;

  • Seuls quelques rares articles de Basta contiennent un podcast, donc, en accédant à un tel article, le lecteur de Basta ne saurait s’attendre au chargement d’un podcast (absence d’une pratique généralisée et facilement identifiable).

• Intégration de tweets avec le widget Twitter qui fait télécharger automatiquement des ressources web auprès des serveurs informatiques de la société commerciale états-unienne du même nom. Exemples : https://basta.media/Climat-face-a-l-inaction-des-gouvernements-des-scientifiques-entrent-en-rebellion ; https://basta.media/Secheresse-La-cle-pour-economiser-l-eau-c-est-le-sol-vivant-jardinage-compost-alternatives ;

  • Seuls quelques articles de Basta contiennent un tweet, donc, en accédant à un tel article, le lecteur de Basta ne saurait s’attendre au chargement du widget de Twitter (absence d’une pratique généralisée et facilement identifiable).

• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemple : https://basta.media/AgroParisTech-nous-refusons-de-servir-ce-systeme-ingenieurs-diplomes-declaration ;

  • Seuls quelques articles de Basta contiennent une vidéo YouTube, donc, en accédant à un tel article, le lecteur de Basta ne saurait s’attendre au chargement du lecteur de vidéos de YouTube (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de Basta ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Basta ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Vidéos hébergées par la société commerciale états-unienne Vimeo sur ses propres serveurs informatiques. Ressources web (lecteur de vidéos, télémétrie, etc.) téléchargées depuis les sociétés commerciales états-uniennes Akamai Technologies, Fastly et Google Cloud. Exemples : https://basta.media/Therapie-resistance-et-humanite-au-festival-de-cinema-d-Attac-Images-mouvementees ; https://basta.media/mort-de-Blessing-Matthew-a-la-frontiere-franco-italienne-un-temoignage-pointe-la-responsabilite-des-gendarmes ;

  • Seuls quelques articles de Basta contiennent une vidéo Vimeo, donc, en accédant à un tel article, le lecteur de Basta ne saurait s’attendre au chargement du lecteur de vidéos de Vimeo (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de Vimeo entraîne, par rebond, par cascade, le téléchargement de scripts de mesure de la performance des applications web de la société commerciale états-unienne New Relic (js-agent.newrelic.com) diffusés via le CDN de la société commerciale états-unienne Fastly. Ces scripts envoient, toutes les minutes, un rapport technique à New Relic via le CDN de la société commerciale états-unienne Cloudflare (bam.nr-data.net) ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Vimeo dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant un identifiant unique) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Basta ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).
• Cartes géographiques présentées par la société commerciale états-unienne CartoDB (basemaps.cartocdn.com) qui a recours au CDN de la société commerciale états-unienne Fastly. Exemple : https://basta.media/des-methaniseurs-menacent-l-environnement-la-carte-inedite-des-accidents-en-Bretagne-Splann ;
  
  
• Intermédiaire de paiement DonorBox intégré uniquement sur la page de dons (https://basta.media/don). DonorBox est un service de la société commerciale états-unienne Rebel Idealist. Cette dernière a recours au CDN de Cloudflare.
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, DonorBox dépose et lit des cookies. Il s’agit de cookies tierce-partie dont, en l’absence d’information de la part de Basta (absence de bandeau cookies, d’une politique de confidentialité ou assimilé), il n’est pas aisé de savoir s’ils sont exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite).

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible d’internaliser certaines ressources, c’est-à-dire de les héberger sur le même serveur informatique que les pages web ou les images. Basta internalise déjà ses infographies (exemples : https://basta.media/superprofits-du-cac40-TotalEnergie-STMicro-pourquoi-le-debat-sur-leur-taxation-est-legitime ; https://basta.media/webdocs/police/). Exemple du reste à faire ? Les podcasts : le journal Les Jours internalise les siens, cf. https://lesjours.fr/podcasts/refuseurs/ep1-contexte-agro-refuseurs/.

Il est également possible de réduire le nombre de prestataires. Pourquoi recourir à plusieurs prestataires pour un même type de contenus (pour diffuser des vidéos, par exemple) ? Basta en choisi un, forme ses équipes sur cette solution, etc., et cesse d'en utiliser plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.

Ensuite, il est possible d'héberger certaines ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à une société commerciale française (Octopuce). De même, il existe des prestataires pour les podcasts, les cartes géographiques, les dons, etc.

En sus, certaines pratiques rédactionnelles peuvent être adaptées. Plutôt que d'intégrer un tweet dans un article en utilisant le widget Twitter, les journalistes de Basta peuvent citer le propos qu’il contient comme ils le font de propos oraux ou lors de reprise de propos écrits, et laisser à leur lecteur la possibilité de cliquer sur un lien pour aller lire ledit tweet. S'il s'agit de conserver une trace, une capture d'écran convient. Même chose pour une vidéo (YouTube ou Vimeo) ou une carte géographique.

    On notera que, parfois, les journalistes de Basta publient une capture d’écran d’un tweet ou un lien vers une vidéo au lieu de l’intégrer dans leur article (exemple : https://basta.media/un-diplome-d-excellence-pour-un-monde-durable-finance-principalement-par-la-bnp). Ce qui est frappe est donc l’inconsistance dans le temps et entre les journalistes. Or, une telle consistance permettrait de réduire le nombre de transferts de données personnelles vers les États-Unis, et serait ainsi en accord avec le principe de minimisation du RGPD. Il manque seulement un peu de concertation, de prise de décision et d’harmonisation des pratiques au sein de la rédaction.

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos, tweets, cartes géographiques, etc.), à un clic du lecteur de Basta sur un encart l’informant que l’affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Basta découle une disproportion entre l’intérêt, pour Basta, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de Basta, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 et le 31 octobre 2022 (pour l’un d’eux) avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces transferts de données personnelles à des organisations états-uniennes sont commis par un journal qui se revendique alternatif, indépendant, et attentif au respect de la vie privée ainsi qu’au logiciel libre (exemple : https://basta.media/inscription-newsletter). La divergence entre l’image dont se prévaut Basta et ses actes sus-énumérés constitue un abus de confiance.

    D’autant que le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Basta est parfois l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, ces manquements au RGPD au président de Basta (pas de DPO identifiable). Ma LRAR n’a pas été reçue. Je l’ai ré-émise le 10/03/2020, cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des contournements techniques (internalisation, politique du référent, etc.) et des solutions organisationnelles (recourir à des prestataires européens, adapter les pratiques, etc.).

La nouvelle formule du site web de Basta en 2021 a fait disparaître l’utilisation antérieure de Google Analytics, de Google Fonts, et d’un logo Creative Commons téléchargé depuis l’organisation du même nom. Il est difficile de déterminer s’il s’agit d’une réelle compréhension des enjeux ou d’un choix technique et silencieux d’un programmeur web (ou d’une agence web) consciencieux lors de la refonte dudit site web. En effet, il y a toujours le bouton traçant Creative Commons sur le portail de la presse libre édité par Basta (et pointé par l’entête du site web Basta), cf. https://portail.basta.media/, par exemple.

On notera une absence de progrès sur le contenu rédactionnel : Basta a toujours recours à Google YouTube, à Vimeo, au widget de Twitter, etc. C’est sur ce point qu’il convient désormais d’appuyer, et c’est l’objet de la présente plainte.

J’estime avoir tenté d’exercer mes droits auprès de Basta. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que Basta, comme les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), et Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), demeure éminemment plus respectueux de la vie privée de ses lecteurs que la presse traditionnelle sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens. Dans le cas présent, Basta doit terminer son travail de mise en conformité.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Disclose

Introduction

Bonjour,

Le site web du journal Disclose transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Fonts, Google reCAPTCHA, Stripe, Google Maps, DocumentCloud.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à Disclose en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Disclose (« Di » ci-après), https://disclose.ngo/fr, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Disclose : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Di (exemple : un système de dons volontairement intégré par Di fait télécharger un outil de mesure d’audience, Google reCAPTCHA, Google Maps, et d’autres).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Di dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Di et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Di, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur Di : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Di (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Je n’ai pas trouvé de politique de confidentialité (ou assimilé) sur le site web de Disclose. De plus, on peut avoir la certitude que Di met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web de son lecteur le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Di. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur Di ne chemine pas par l’infrastructure technique de Di ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur Di et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à Di et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Di ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, chaque enquête, chaque actualité, etc.) :

• Scripts de la société commerciale états-unienne de paiement en ligne Stripe (js.stripe.com, m.stripe.com, m.stripe.network). Cette dernière a recours aux CDNs des sociétés commerciales états-unienne Fastly et Amazon ;

  • Ces scripts ne semblent pas être utilisés : sur sa page de dons, Di a recours à un autre prestataire de paiement. En tout état de cause, ces scripts pourraient être inclus et téléchargés uniquement sur la page qui en a besoin, pas sur toutes les pages du site web de Di. Principe de minimisation du RGPD ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Stripe dépose et lit un cookie. Il s’agit d’un cookie tierce-partie de traçage (il contient un identifiant unique) qui n’est donc pas exempté de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Di ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Scripts de pistage de la société commerciale états-unienne Twitter (syndication.twitter.com, plateform.twitter.com) hébergés sur les serveurs informatiques de cette dernière ;

  • Ils sont nativement étiquetés « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut. Ils servent à identifier l'audience venant de Twitter et à promouvoir Di. De fait, ils ne sauraient être nécessaires à l’exécution d’un contrat entre un journal et son lecteur. De plus, il y a disproportion entre l’intérêt qu’en retire Di et l’atteinte aux droits de son lecteur (surtout de celui qui n’utilise pas Twitter) ;
• Le site web de Di fonctionne parfaitement si l'on bloque les téléchargements des deux précédents points (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre que les ressources web qu’ils énumèrent ne sont pas nécessaires à l'exécution du contrat entre Di et son lecteur.

Ressources web externes téléchargées dans certains articles / enquêtes et dans certaines pages (en sus des précédentes) :

• Documents PDF intégrés via la visionneuse de l’organisation sans but lucratif états-unienne DocumentCloud, qui, elle-même, a recours au CDN de Cloudflare pour la diffuser. Exemples : https://disclose.ngo/fr/article/la-france-a-autorise-des-livraisons-armements-a-la-russie-en-2021 ; charte du journal et récépissé de déclaration en préfecture dans https://disclose.ngo/fr/page/a-propos ;

  • Il y a une intégration de documents PDF dans certains articles uniquement, ce qui entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de DocumentCloud et de ses prestataires auxquels le lecteur de Di ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • La visionneuse de documents de DocumentCloud fait télécharger des ressources web supplémentaires auprès du service Fonts de Google ;
    
    
  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20).

• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemples : https://disclose.ngo/fr/article/operation-sirli-etat-francais-vise-par-une-plainte-pour-complicite-de-crime-contre-humanite ; https://disclose.ngo/fr/page/a-propos ;

  • Il y a une intégration de vidéos YouTube dans certains articles uniquement, ce qui entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de Google auxquels le lecteur de Di ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de Di ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (ils contiennent deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Di ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

• Sur la page de dons (https://disclose.ngo/fr/page/faites-un-don), intégration des intermédiaires de paiement Donorbox et Okpal ;

  • L’intégration d’Okpal génère le téléchargement de polices de caractères auprès de Google Fonts. Cf. le point ci-dessus concernant DocumentCloud ;
    
    

  • Donorbox fait télécharger ses ressources web (images, feuilles de style, scripts, etc.) auprès du CDN de la société commerciale états-unienne Cloudflare ;

  • L’intégration de Donorbox entraîne les téléchargements suivants :

    • Script de mesure d’audience de la société commerciale états-unienne Cloudflare (static.cloudflareinsights.com) que cette dernière héberge sur ses propres serveurs ;

      • Notons que la présentation de son outil par Cloudflare (https://www.cloudflare.com/fr-fr/web-analytics/) est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Comme rappelé ci-dessus, selon la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le téléchargement du script (https ://static.cloudflareinsights.com/beacon.min.js/vaafb692b2aea4879b33c060e79fe94621666317369993) à partir de l’encart Donorbox sur la page web dons de Di génère un transfert, vers le service Web Analytics de Cloudflare, des données personnelles énumérées au début de la présente plainte ;
        
        
      • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat. Surtout que cet outil est utilisé par un prestataire de Di pour son propre compte, pour ses besoins, pas pour ceux de Di, ce qui signifie que Di a aucun droit de regard.
    • Feuille de style du service Material Design de la société commercial états-unienne Google hébergée sur les serveurs informatiques de cette dernière ;
      
      

    • Scripts de l’intermédiaire de paiement Paypal, société commerciale états-unienne, diffusés via les CDNs des sociétés commerciales états-uniennes Fastly et EdgeCast Networks ;

    • Le script reCAPTCHA de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière ;

      • Comme vous l’avez analysé dans votre mise en demeure du 15 juillet 2020 portant sur l’utilisation de reCAPTCHA dans la première version de StopCovid, dans votre décision du 11 avril 2022 portant sur l’utilisation de reCAPTCHA dans le formulaire de signalement de l’IGPN, et dans votre décision du 13 juillet 2022 portant sur l’utilisation de reCAPTCHA par la CNAM, l’utilisation de reCAPTCHA est soumise au consentement. Or, Di et Donorbox ne le recueillent pas ;
        
        
      • Le traitement n’a donc pas de base légale. Un transfert de données personnelles vers les États-Unis pour télécharger un outil qui effectuera un traitement dénué de base légale (ou qui est basé sur le consentement) ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
    • Scripts de l’outil de cartographie Maps de la société commerciale états-unienne Google, hébergés sur les serveurs informatiques de cette dernière ;
      
      
    • On notera qu’il est possible d’intégrer Donorbox à un site web sans télécharger, au chargement de la page web contenant l’encart de dons, ces nombreuses dépendances auprès d’entités états-uniennes. Le journal Basta y parvient. Principe de minimisation.

• Certaines enquêtes sont publiées sous la forme d’un sous-site web dédié. Exemple : https://lactalistoxique.disclose.ngo/fr/. On y trouve alors :

  • Polices de caractères de la société commerciale états-unienne Fonticons (use.fontawesome.com) diffusées via le CDN de Cloudflare ;

  • Polices de caractères Google Fonts. Cf. les points concernant DocumentCloud et Okpal ;

    • En vertu du principe de minimisation, un seul prestataire devrait être utilisé pour un même type de ressources web (ici, une police de caractères), au lieu de deux actuellement (Fonticons et Google Fonts).
  • Scripts et feuille de style de la société commerciale états-unienne Mapbox hébergés chez Amazon.

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web aujourd’hui externalisées comme une visionneuse de documents PDF (il existe trouzemilles visionneuses de PDF développées en JavaScript et librement réutilisables) ou des vidéos (avec les logiciels ESUP Pod, PeerTube, etc.).

De même, il est possible de contracter avec des prestataires européens qui hébergent leurs serveurs informatiques au sein de l’UE, comme un prestataire de collecte de dons ou un hébergeur de vidéos.

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, Tweets, etc.), à un clic du lecteur de Di sur un encart l’informant que l’affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Disclose découle une disproportion entre l’intérêt, pour Di, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de Disclose, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Di est tout l’inverse.

Je vais signaler, à Disclose, ces manquements au RGPD. Notons qu’aucun DPO est désigné et qu’en l’absence de politique de confidentialité, aucune procédure de contact spécifique est communiquée. Mon signalement va donc atterrir sur le bureau de personnes qui ne sont pas outillées pour y répondre.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Disclose et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Disclose.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Fakir

Introduction

Bonjour,

Le site web du journal Fakir transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Fonts, MailerLite, Google YouTube, Facebook, Twitter, Google reCAPTCHA.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Fakir, https://fakirpresse.info/, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Fakir : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Fakir (exemple : une vidéo Google YouTube volontairement intégrée par Fakir à son article fait télécharger, à son tour, la régie publicitaire Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Fakir dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Fakir et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Fakir, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur Fakir : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Fakir (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Je n’ai pas trouvé de politique de confidentialité (ou assimilé) sur le site web de Fakir. De plus, on peut avoir la certitude que Fakir met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de Fakir le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Fakir. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur Fakir ne chemine pas par l’infrastructure technique de Fakir ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur de Fakir et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à Fakir et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Fakir ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre le site web d’un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Polices de caractères téléchargées auprès du service Fonts de la société commerciale états-unienne Google ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20) ;
    
    
  • Notons que ces téléchargements sont également déclenchés par chaque page de la boutique (https://www.fakirpresse.info/boutique/).

• Scripts et feuilles de style jquery slick de la fondation états-unienne OpenJS hébergés auprès du projet JsDelivr, qui a recours aux CDNs des sociétés commerciales états-uniennes Cloudflare et Fastly ;

• Image de la société commerciale états-unienne MailerLite diffusée via le CDN de Cloudflare ;

  • Il s’agit d’une image « chargement en cours » / « roue qui tourne ». Elle est utilisée lors de l’inscription à la newsletter de Fakir. Elle n’est donc pas d’usage courant, mais le formulaire d’inscription à la newsletter qui la fait télécharger est intégré au menu de droite du site web de Fakir, donc elle est quand même téléchargée en permanence sur toutes les pages du site web ;
    
    
  • MailerLite est un prestataire d’e-mailing. Il y a donc transfert de données personnelles (adresse emails de l’abonné, etc.) à une entité de droit états-unien afin que celle-ci effectue l’envoi de la newsletter. Ce transfert de données personnelles aux États-Unis, distinct de celui constitué par le téléchargement de l’image sus-présenté, n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de MailerLite ;
    
    
  • En application du principe de minimisation prévu par le RGPD, Fakir pourrait proposer le formulaire d’inscription à sa newsletter dans une page web dédié, et le menu pourrait pointer sur cette page interne. Ainsi, le téléchargement de l’image (et le transfert de données personnelles qu’il constitue) aurait lieu uniquement sur cette page, et non pas sur l’ensemble des pages (car le menu est commun), ce qui constitue une surprise pour le lecteur de Fakir. On notera qu’une page dédiée existe déjà (https://fakirpresse.info/spip.php?page=newsletter), donc qu’il reste à effectuer uniquement la modification du menu. On a connu plus contraignant.
• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière ;
  • Du fait de l’intégration des vidéos en bas de la page d’accueil et dans le menu de droite, des téléchargements (et donc des transferts de données personnelles) à destination de Google ont lieu sur chaque page. Puisqu’il existe une rubrique dédiée nommée « vidéos », ces transferts sont inutiles et contraires au principe de minimisation du RGPD ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de Fakir ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Fakir ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

Ressources web externes communes à tous les articles (en sus des précédentes) :

• Scripts de la société commerciale états-unienne Facebook (connect.facebook.net, etc.) hébergés sur les serveurs informatiques de cette dernière ;

  • Ces scripts (et d’autres en provenance de Facebook) sont également téléchargés par l’encart « Suivez-nous sur Facebook » du pied de page de la page d’accueil de la boutique (https://www.fakirpresse.info/boutique/) ;
    
    
  • En quoi un suivi des lecteurs de Fakir, qui sont déjà ciblés, afin de faire connaître Fakir et ses articles (utilisation habituelle de ces scripts de Facebook) est-il nécessaire à l'exécution d'un contrat ? En rien.
• Scripts de la société commerciale états-unienne Twitter (bouton de partage) hébergés sur les serveurs informatiques de cette dernière ;
  • En quoi un suivi des lecteurs de Fakir, qui sont déjà ciblés, afin de faire connaître Fakir et ses articles (utilisation habituelle de ces scripts de Twitter) est-il nécessaire à l'exécution d'un contrat ? En rien.

Ressources web externes présentes sur certaines pages (en sus de celles présentes sur toutes les pages listées ci-dessus) :

• Le script reCAPTCHA de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière, est téléchargé sur la fiche descriptive de chaque produit de la boutique (exemple : https://www.fakirpresse.info/boutique/les-livres/99-je-vous-ecris-du-front-de-la-somme.html).

  • Comme vous l’avez analysé dans votre mise en demeure du 15 juillet 2020 portant sur l’utilisation de reCAPTCHA dans la première version de StopCovid, dans votre décision du 11 avril 2022 portant sur l’utilisation de reCAPTCHA dans le formulaire de signalement de l’IGPN, et dans votre décision du 13 juillet 2022 portant sur l’utilisation de reCAPTCHA par la CNAM, l’utilisation de reCAPTCHA est soumise au consentement. Or, Fakir ne le recueille pas ;
    
    
  • Le traitement n’a donc pas de base légale. Un transfert de données personnelles vers les États-Unis pour télécharger un outil qui effectuera un traitement dénué de base légale (ou qui est basé sur le consentement) ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
• L’outil de cartographie Maps de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière, est intégré sur au moins une page du site web de Fakir (https://www.fakirpresse.info/spip.php?page=agiravecfakir) ;
  
  
• Script du projet BootstrapCDN hébergé par le projet JsDelivr, donc par les CDNs de Cloudflare et de Fastly ;
  • On retrouve ce script presque partout (page d’accueil, rubriques « archives », « éditions », « vidéos », « agir avec Fakir », etc.).

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible de leur nombre en arrêtant de faire télécharger des ressources qui ne sont pas effectivement utilisées (cela semble être le cas de reCAPTCHA et des feuilles de style BootstrapCDN / jsdelivr).

De plus, il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web externalisées comme les polices de caractères Google Fonts, les feuilles de style BootstrapCDN / jsdelivr, etc.

Ensuite, il est possible d'héberger ces ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à la société commerciale française Octopuce (cas de YouTube). De même, il existe des prestataires européens d’e-mailing et de cartographie dont les serveurs sont situés dans l’UE (cas de MailerLite et de Google Maps).

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, carte Google Maps, etc.), à un clic du lecteur de Fakir sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

En sus, à l’exception des vidéos YouTube, le site web de Fakir fonctionne parfaitement à contenu équivalent si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre Fakir et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Fakir découle une disproportion entre l’intérêt, pour Fakir, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de Fakir, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de (trop) nombreuses organisations états-uniennes sont commis par un journal qui se revendique indépendant, alternatif, et dont la ligne éditoriale promeut un contrôle démocratique sur les multinationales (que sont les sociétés destinatrices des transferts sus-référencés) et une sobriété technologique (exemple : https://www.fakirpresse.info/la-guerre-de-la-5-g-aura-t-elle-lieu) qui ne saurait passer par trouzemilles requêtes web inutiles auprès d’une dizaine d’acteurs états-uniens. La divergence entre l’image dont se prévaut Fakir et ses actes sus-énumérés constitue un abus de confiance caractérisé.

    D’autant que le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Le site web de Fakir est tout l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, les manquements au RGPD sus-référencés au journal Fakir (pas de DPO identifiable), cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (je fais référence à l’arrêt C‑40/17 de la CJUE, et celle-ci avait déjà, à date, rendu son arrêt dit « Schrems I »), mais je préconisais déjà des contournements techniques (internalisation, politique du référent, etc.) et des solutions organisationnelles (recourir à des prestataires européens, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté de Fakir de se conformer au RGPD. En deux ans, aucun changement, aucune amélioration.

J’estime avoir tenté d’exercer mes droits auprès de Fakir. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Fakir et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Fakir.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Les Jours

Introduction

Bonjour,

Le site web du journal Les Jours transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Cloudflare, Google Analytics, Cloudflare Web Analytics, Twitter, Facebook, MailChimp.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Les Jours (« LJ » ci-après), https://lesjours.fr, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Les Jours : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par LJ (exemple : Google Analytics volontairement intégré par LJ à son site web fait télécharger, à son tour, un des scripts de collecte de la régie publicitaire Google DoubleClick puisque ces deux services de Google sont intriqués).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être LJ dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur des Jours et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de LJ, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur de LJ : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de LJ (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://lesjours.fr/les-jours-c-quoi/cookies-donnees-personnelles), LJ ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que LJ met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web de son lecteur le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par LJ et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par LJ. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur LJ ne chemine pas par l’infrastructure technique de LJ ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur LJ d’une part et les serveurs informatiques du CDN choisi par LJ et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre), donc elle échappe totalement à LJ et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

LJ ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

    Notons que certains transferts de données personnelles, comme l’intégration de vidéos depuis la plateforme YouTube de la société commerciale états-unienne Google, sont conditionnés à l’acceptation des cookies dans le bandeau cookies ou à un clic sur le bouton « Autoriser » d’un encart permettant le chargement de la vidéo dans un article. Mais cet encart (et le bandeau cookies) n’informe pas le lecteur des risques que les transferts de données personnels sus-jacents peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement est confus (on accepte les cookies, pas vraiment le transfert) et vicié (pas d’information au sens de l’article 49.1a du RGPD).

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Recours au CDN de la société commerciale états-unienne Cloudflare pour servir toutes les pages (texte), toutes les images, et tous les podcasts, y compris l’espace pour s’abonner et l’espace client qui manipulent des données personnelles supplémentaires (cookies, mot de passe, identité civile, adresse emails, adresse postale, historique des abonnements, etc.). Ces données personnelles transitent par Cloudflare (j’ignore si elle les consigne ou leur applique un traitement additionnel, mais elle en a la possibilité technique).

  • Notons qu’en tant qu’intermédiaire incontournable entre LJ et son lecteur, Cloudflare reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Cloudflare reçoit et consigne donc l’historique des lectures des lecteurs de LJ ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale de LJ et en fonction de l’abonné, donc elles ne peuvent pas être mises en cache (ou de manière limitée, et au risque de faire fuiter la vie privée). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Cloudflare (exemple : « cf-cache-status: DYNAMIC », cf. https://developers.cloudflare.com/cache/about/default-cache-behavior/), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final de Les Jours (Claranet, d’après ses mentions légales). Du coup, Cloudflare est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais des prestataires basés et hébergés informatiquement dans l’UE proposent des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
    
    
  • Quant aux ressources web statiques (images, feuilles de style, polices de caractères, certains scripts) qui sont effectivement servies par Cloudflare (ce qui soulage effectivement l’hébergeur final de LJ), on rappelle qu’elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on encaisse le même trafic pour ses pages web dynamiques : qui peut le plus peut le moins ;
    
    
  • À la vue de son nombre d’abonnés (12 000 en 2021, cf. https://lesjours.fr/obsessions/vie-jours/ep117-comptes-2021/), il n’apparaît pas que LJ ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). D’ailleurs, le journal Arrêt sur images, qui compte presque le double d’abonnés (source : https://www.arretsurimages.net/chroniques/la-vie-du-site/nos-comptes-vos-abonnements-des-nouvelles-darret-sur-images), n’a pas recours a un CDN. Tout au plus s’agit-il d’un arbitrage financier inexplicable : Les Jours est rentable et l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • LJ ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de LJ). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir LJ et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• Script de mesure d’audience de la société commerciale états-unienne Cloudflare (static.cloudflareinsights.com) que cette dernière héberge sur ses propres serveurs ;

  • Notons que la présentation de son outil par Cloudflare (https://www.cloudflare.com/fr-fr/web-analytics/) est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Comme rappelé ci-dessus, selon la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le téléchargement du script (https ://static.cloudflareinsights.com/beacon.min.js/v652eace1692a40cfa3763df669d7439c1639079717194) à partir du site web LJ génère un transfert, vers le service Web Analytics de Cloudflare, des données personnelles énumérées au début de la présente plainte. Il s’agit d’un deuxième transfert, destiné à un deuxième traitement, distinct de celui relaté au point précédent (CDN) ;
    
    
  • Alors que la lecture de l’écrasante majorité des articles de LJ est réservée à ses abonnés et que LJ ne recourt pas à la publicité, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés est un indicateur pertinent et suffisant, comme les ventes le sont pour un journal papier. À quoi bon savoir quels articles sont lus et ont eu le plus de succès ? À rien, le journal est tout de même financé. Danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent lire ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Polices de caractères de la société commerciale états-unienne Hoefler&Co (cloud.typography.com) qui, elle-même, pour les diffuser, a recours au CDN de la société commerciale états-unienne Akamai Technologies. La décision 3_O_17493/20 de la Cour régionale de Munich concernant Google Fonts est de pleine application ;

  • L’URL « https ://cloud.typography.com/6234674/791928/css/fonts.css » est redirigée vers « https ://lesjours.fr/css/fonts/653770/F6D57B3C2EC8F0BB7.css ». Cela peut signifier que LJ a commencé à ré-internaliser la police de caractères sans aller au terme, et que l’effort restant à fournir est insignifiant. En attendant, Akamai reçoit et consigne toujours les données personnelles sus-énumérées…

• Si l’on accepte les cookies facultatifs dans le bandeau dédié (sans jamais être informé des transferts de données personnelles vers les États-Unis que cela va engendrer), des scripts et des images supplémentaires sont automatiquement téléchargés depuis les serveurs informatiques de :

  • La société commerciale états-unienne Google, pour son service Analytics (cf. votre mise en demeure du 10 février 2022 à ce sujet), qui, lui-même, télécharge le service Google Tag Manager (avant même le consentement explicite du lecteur LJ sur la ligne dédiée du bandeau cookies) et un script de collecte de la régie publicitaire Google DoubleClick (ce couplage représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs des Jours) ;

    • Mêmes arguments que pour l’outil de mesure d’audience de Cloudflare ;

  • La société commerciale états-unienne Facebook. « Régie publicitaire » Facebook Pixel, nous dit le bandeau cookies de LJ ;

    • En quoi un suivi des lecteurs de LJ, qui sont déjà ciblés, afin de « faire connaître » LJ (je cite son bandeau cookies) est-il nécessaire à l’exécution d’un contrat entre un journal et son lecteur ? En rien.

  • La société commerciale états-unienne Twitter. Publicité et ciblage sur le réseau social tel un apporteur d’affaires (Twitter Cards, syndication).

    • En quoi un suivi des lecteurs de LJ, qui sont déjà ciblés, afin de « faire connaître » LJ (je cite son bandeau cookies) est-il nécessaire à l’exécution d’un contrat entre un journal et son lecteur ? En rien.
  • Notons que les ressources des trois derniers points sont nativement étiquetées « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut… ;
    
    
  • Puisque le téléchargement des ressources énumérées aux points précédents est conditionné au consentement du lecteur LJ (au sens de l’article 6.1a du RGPD, pas au sens du 49.1a), le transfert de données personnelles qu’il constitue ne saurait relever de la nécessité à l’exécution d’un contrat.

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible de réduire le nombre de prestataires. Pourquoi recourir à trois produits de mesure d’audience (Google Analytics, Cloudflare Web Analytics et Matomo ‒ m.lesjours.fr ‒) ? LJ en choisi un, forme ses équipes sur cette solution, etc., et cesse d'en utiliser plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.

De plus, il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web aujourd’hui externalisées comme les polices de caractères.

De même, il est possible de contracter avec des prestataires européens qui hébergent leurs serveurs informatiques au sein de l’UE (cas du CDN).

Ensuite, à l'exception du CDN de Cloudflare, le site web de LJ fonctionne parfaitement à contenu équivalent si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre LJ et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par LJ découle une disproportion entre l’intérêt, pour LJ, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web des Jours, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Dans sa politique de confidentialité (https://lesjours.fr/les-jours-c-quoi/cookies-donnees-personnelles), LJ déclare avoir recours à MailChimp pour envoyer ses newsletters d’information. MailChimp est un service de The Rocket Science Group, société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne.

Il y a donc transfert de données personnelles (adresse emails de l’abonné à la newsletter LJ, etc.) à une entité de droit états-unien.

Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Ces multiples transferts auprès d’organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Les Jours est tout l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, les manquements au RGPD sus-référencés au journal Les Jours, cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des solutions techniques (internalisation, politique du référent) et des débuts de solutions organisationnelles et sectorielles (adapter les pratiques journalistiques, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté des Jours de se conformer au RGPD. En deux ans, la situation s’est aggravée : ajout d’un CDN états-unien, ajout d’un troisième outil de mesure d’audience états-unien (Cloudflare Web Analytics), maintien des transferts vers les États-Unis existants (police de caractères, Facebook, Twitter, Google Analytics, etc.), etc.

J’estime avoir tenté d’exercer mes droits auprès des Jours. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.
Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont plus respectueux de la vie privée de leurs lecteurs que Les Jours et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre des Jours.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

L'informé

Introduction

Bonjour,

Le site web du journal L'informé transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Fastly, Google Cloud, Piano Xiti (ex-AT Internet), Google Fonts, Facebook, DocumentCloud.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à L'informé en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal L'informé (« LI » ci-après), www.linforme.com, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être LI dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de LI et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de LI, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur LI : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de LI (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.linforme.com/static/politique-de-confidentialite), LI déclare l’existence de transferts de données personnelles à des pays tiers non adéquats. LI ne déclare pas avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que LI met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de LI le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par LI et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par LI. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur LI ne chemine pas par l’infrastructure technique de LI ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur LI d’une part et les serveurs informatiques du CDN choisi par LI et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre part), donc elle échappe totalement à LI et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

LI ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, tous les articles, etc.) :

• Recours au CDN de la société commerciale états-unienne Fastly pour servir toutes les pages (texte) et toutes les images (linforme-focus.sirius.press), y compris l’espace pour s’abonner (https://www.linforme.com/abonnements) et l’espace client qui manipule des données personnelles supplémentaires (cookie, mot de passe, identité civile, adresse emails, historique des abonnements, etc.). Ces données personnelles transitent par Fastly (j’ignore si elle les consigne ou leur applique un traitement additionnel, mais elle en a la possibilité technique).

  • Notons qu’en tant qu’intermédiaire incontournable entre LI et son lecteur, Fastly reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Fastly reçoit et consigne donc l’historique des lectures des lecteurs de LI ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale de LI et en fonction de l’abonné, donc elles ne peuvent pas être mises en cache (ou de manière limitée, et au risque de faire fuiter la vie privée). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Fastly (exemple : « x-cache: MISS », cf. https://docs.fastly.com/en/guides/checking-cache#using-the-simple-curl-command), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final de L'informé. Du coup, Fastly est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service ;
    
    
  • Quant aux ressources web statiques (images, feuilles de style, certains scripts) qui sont effectivement servies par Fastly (ce qui soulage effectivement l’hébergeur final de LI), on rappelle qu’elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on encaisse le même trafic pour ses pages web dynamiques : qui peut le plus peut le moins ;
    
    
  • Compte-tenu de sa jeunesse (quelques semaines) et donc de son très probable faible nombre d’abonnés (en comparaison, le journal Arrêt sur images encaisse 21 000 abonnés sans CDN, cf. https://www.arretsurimages.net/chroniques/la-vie-du-site/nos-comptes-vos-abonnements-des-nouvelles-darret-sur-images), il n’apparaît pas que LI ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). Tout au plus s’agit-il d’un arbitrage financier inexplicable : un éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • LI ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de LI). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • D’après ses mentions légales (https://www.linforme.com/static/mentions-legales), l’hébergeur final de LI est le service Cloud de la société commerciale états-unienne Google. Celle-ci dispose de ressources informatiques conséquentes, d’une excellente connectivité réseau à travers le monde et d’une capacité à encaisser les attaques par déni de service à même de satisfaire les besoins d’un jeune journal comme LI. Le recours à Fastly est donc inutile, sauf à considérer un arbitrage financier (dépense chez Fastly pour éviter un surcoût de ressources côté Google Cloud, en supposant que Fastly coûte moins cher que Google Cloud ce qui reste à vérifier) qui ne saurait être un critère suffisant pour enfreindre le RGPD d’après le CEPD
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir LI et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• D’après ses mentions légales (https://www.linforme.com/static/mentions-legales), l’hébergeur informatique final de LI est la société commerciale états-unienne Google. Comme nous l’avons mis en évidence au point précédent, les pages web de LI ne sont pas mises en cache par Fastly. Donc, chaque requête web pour les consulter est transmise à Google par Fastly. Ainsi, bien qu’il n’y ait pas de contact direct entre le terminal du lecteur LI et les serveurs informatiques de Google, les données personnelles du lecteur LI sus-énumérées sont donc transmises, par rebond, par Fastly, à Google (l’adresse IP l’est via l’entête HTTP « Fastly-Client-IP » ajouté par Fastly, cf. https://developer.fastly.com/reference/http/http-headers/Fastly-Client-IP/) ;

  • Cumuler Google et Fastly, et donc doubler le nombre de transferts de données personnelles vers les États-Unis alors que Google saurait encaisser à lui seul le trafic généré par LI et fournir la qualité de service attendue (cf. point précédent) est contraire au principe de minimisation du RGPD.

• Scripts de mesure d’audience Xiti (logs1412.xitim.com, tag.aticdn.net) de la société commerciale française AT Internet ;

  • Depuis mars 2021, l’unique actionnaire en est la société commerciale états-unienne Piano Software Inc. (cf. https://www.atinternet.com/presses/at-internet-sassocie-a-piano-pour-creer-la-premiere-plateforme-dexperience-client-basee-sur-lanalyse-contextuelle/). Cette dernière est immatriculée dans le Delaware (cf. https://icis.corp.delaware.gov/Ecorp/EntitySearch/NameSearch.aspx) et elle dispose de plusieurs bureaux aux États-Unis (New York, Philadelphie, cf. https://resources.piano.io/about/) ;
    
    
  • Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, des faits énoncés au point précédent, AT Internet est soumise au Cloud Act, qui est incompatible avec le RGPD. Votre analyse appuyant votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics est donc de pleine application ici ;
    
    
  • AT Internet a recours au CDN de la société commerciale états-unienne Amazon (cf. https://www.atinternet.com/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/#traitees-et-stockees). Il y a donc un contact direct entre le terminal du lecteur de LI et les serveurs d’Amazon ;
    
    
  • Alors que la lecture des articles de LI est réservée à ses abonnés et que LI ne recourt pas à la publicité, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés est un indicateur pertinent et suffisant. À quoi bon savoir quels articles sont lus et ont eu le plus de succès ? Danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent entendre ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Scripts et images de la plateforme de gestion du consentement (CMP) Axeptio de la société commerciale française Agilitation ;

  • Cette dernière héberge les scripts de sa CMP (api.axept.io, client.axept.io, et static.axept.io) auprès du CDN de la société commerciale états-unienne Amazon et ses images (axeptio.imgix.net) auprès de la société commerciale états-unienne Zebrafish Labs, qui elle-même, a recours au CDN de Fastly ;
    
    
  • L’encart « Je choisis » de la CMP fait télécharger automatiquement les icônes correspondantes aux services qui déposeront des cookies (Facebook Pixel et Google Ads dans le cas présent) depuis les serveurs informatiques de la société commerciale états-unienne Google (gstatic.com).

• Police de caractères téléchargée auprès du service Fonts de la société commerciale états-unienne Google (a priori, elle a été supprimée le 27 ou le 28 octobre 2022) ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20).
• Si l’on accepte les cookies facultatifs dans le bandeau dédié (sans jamais être informé des transferts de données personnelles vers les États-Unis que cela va engendrer), des scripts et des images supplémentaires sont automatiquement téléchargés depuis :
  • Les serveurs informatiques de la société commerciale états-unienne Facebook. Service Facebook Pixel permettant d’« identifier les lecteurs venus de Facebook » (je cite le bandeau cookies de LI) ;
    
    
  • Les serveurs informatiques de la société commerciale états-unienne Google. Service Ads permettant de « mesurer l'efficacité des campagnes sponsorisées » (je cite le bandeau cookies de LI). Google couple ses services (YouTube est couplé à DoubleClick, Analytics à DoubleClick et Ads, etc.), donc risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de LI ;
    
    
  • En quoi les traitements des deux points précédents sont-ils nécessaires à l’exécution d’un contrat entre un lecteur et un journal ? En rien. Puisque le téléchargement des ressources énumérées aux points précédents est conditionné au consentement du lecteur de LI (au sens de l’article 6.1a du RGPD, pas au sens du 49.1a), le transfert de données qu’il constitue ne saurait relever de la nécessité à l’exécution d’un contrat.

Ressources web externes présentes sur certaines pages et articles :

• Pour protéger son formulaire de contact (https://www.linforme.com/contactez-nous), LI a recours au service de CAPTCHA de la société commerciale allemande Friendly Captcha. Cette dernière a recours au CDN de Cloudflare pour diffuser les ressources web (scripts) de son service ;
  
  
• Documents PDF intégrés à certains articles via la visionneuse de l’organisation sans but lucratif états-unienne DocumentCloud, qui, elle-même, a recours au CDN de Cloudflare pour la diffuser (exemple : https://www.documentcloud.org/documents/23204203-conclusions-c_470_21fr) ;
  • La visionneuse de documents de DocumentCloud fait télécharger de ressources web supplémentaires auprès du service Fonts de Google (cf. le point dédié ci-dessus).

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web comme un outil de mesure d’audience, une police de caractères, une CMP, une protection pour formulaires web, etc.

Ensuite, il est possible d'héberger ces ressources web (CMP, outil de mesure d’audience, CAPTCHA, etc.) auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. De même, il existe de tels prestataires d’hébergement informatique et de CDN.

En tout état de cause, à l’exception du CDN et de l’hébergeur, le site web de LI fonctionne parfaitement si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre LI et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par LI découle une disproportion entre l’intérêt, pour LI, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de L'informé, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. LI est tout l’inverse.

Ces manquements au RGPD sont aggravés par la jeunesse de LI. Ce journal a ouvert ses portes le 21 octobre 2022. Cela signifie qu’il a été conçu et développé (programmé, codé) dans les années 2021 et 2022. Il ne saurait donc ignorer les décisions de justice et d’APD sus-énumérées. Sa jeunesse ne lui permet pas de se prévaloir d’une quelconque inertie pour s’adapter : les règles du jeu existaient avant sa conception. L’existence de transferts illégaux de données personnelles vers un pays tiers non adéquat doit donc être regardé comme un manquement au principe de protection des données personnelles dès la conception prévu par le RGPD.

Je vais signaler, à L’informé, ces manquements au RGPD. Notons qu’aucun DPO est désigné et qu’aucune procédure de contact est communiquée par LI dans sa politique de confidentialité. Mon signalement va donc atterrir sur le bureau de personnes qui ne sont pas outillées pour y répondre.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que L'informé et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de L'informé.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ accès libre aux articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Mediapart

Introduction

Bonjour,

Le site web du journal Mediapart transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Fastly, Piano Xiti (ex-AT Internet), AppNexus, Facebook, Twitter, Google YouTube, DocumentCloud, Google Fonts, CDN Cloudflare.
Manquements répétés aux articles 44 et suivants du RGPD.

Email envoyé au journal le 15/05/2018 puis LRAR envoyée le 13/02/2020. Pas de réponse. Les manquements existants perdurent à ce jour et de nouveaux ont été mis en œuvre.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Mediapart (« MP » ci-après), https://www.mediapart.fr, fait automatiquement télécharger, au navigateur web de ses lecteurs, une multitude de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Mediapart : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par MP (exemple : une infographie volontairement intégrée par MP à son article fait télécharger, à son tour, Google Analytics).

N’en étant pas utilisateur, je ne traiterai pas l’application mobile de Mediapart dont la politique de confidentialité de MP nous dit qu’elle contient des ressources web externes états-uniennes distinctes ou supplémentaires de celles du site web MP qui est l’objet de la présente.

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être MP dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de MP et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de MP, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur MP : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de MP (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Notons que le site web de MP positionne un entête HTTP « Referrer-Policy » avec la valeur « strict-origin-when-cross-origin », qui est la politique de référent par défaut des navigateurs web modernes, et qui consiste à transmettre aux tiers (les hébergeurs informatiques des ressources web tierces intégrées au site web MP) uniquement l’adresse du site web (« https://www.mediapart.fr ») au lieu de l’URL complète (ce qui révélerait auxdits tiers l’article précis lu par le lecteur de MP).

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.mediapart.fr/confidentialite), MP ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que MP met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de MP le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par MP et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par MP. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur MP ne chemine pas par l’infrastructure technique de MP ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur MP d’une part et les serveurs informatiques du CDN choisi par MP et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre part), donc elle échappe totalement à MP et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

MP ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Recours au CDN de la société commerciale états-unienne Fastly pour servir toutes les pages (texte) et toutes les images, y compris l’espace pour s’abonner (https://abo.mediapart.fr/) et l’espace client (https://moncompte.mediapart.fr) qui manipule des données personnelles supplémentaires (cookies, mot de passe, pseudonyme, identité civile, adresse postale, coordonnées bancaires, adresse emails, profession, année de naissance, historique des abonnements, etc.). Ces données personnelles transitent par Fastly (j’ignore si elle les consigne ou leur applique un traitement additionnel, mais elle en a la possibilité technique).

  • Notons qu’en tant qu’intermédiaire incontournable entre MP et son lecteur, et malgré la politique du référent décrite ci-dessus, Fastly reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Fastly reçoit et consigne donc l’historique des lectures des lecteurs de MP ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale de MP et en fonction de l’abonné (son pseudo est mentionné dans le menu horizontal, par exemple), donc elles ne peuvent pas être mises en cache (ou de manière limitée, et au risque de faire fuiter la vie privée). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Fastly (exemple : « x-cache: MISS, MISS », cf. https://docs.fastly.com/en/guides/checking-cache#using-the-simple-curl-command), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final de Mediapart (OVH, d’après ses mentions légales). Du coup, Fastly est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais OVH propose des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
    
    
  • Quant aux ressources web statiques (images, feuilles de style, polices de caractères, certains scripts) qui sont effectivement servies par Fastly (ce qui soulage effectivement l’hébergeur final de MP), on rappelle qu’elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on encaisse le même trafic pour ses pages web dynamiques : qui peut le plus peut le moins ;
    
    
  • À la vue de son nombre d’abonnés (https://blogs.mediapart.fr/edwy-plenel/blog/150322/mediapart-quatorze-ans-tous-ses-chiffres-comptes-et-resultats), il n’apparaît pas que MP ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). Tout au plus s’agit-il d’une erreur lors de la conception de la nouvelle formule du site web en 2021 (MP ne recourait pas à un CDN avant cela) ou d’un arbitrage financier inexplicable : Mediapart est rentable (au point d’affecter environ 100 000 € au fonds pour une presse libre, cf. https://fondspresselibre.org/wp/assets/uploads/2022/10/Rapport-Impact-FPL-2022-VOK-LOW.pdf) et l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • MP ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de MP). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir MP et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• Scripts de la société commerciale anglaise Polyfill hébergés par le CDN de Fastly. Scripts permettant d’implémenter de nouvelles fonctionnalités web sur de vieux navigateurs web qui ne les prennent pas en charge nativement ;

  • Il est possible de développer en interne ses propres polyfill (qui est un terme générique) ou d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) les polyfill librement distribués par d’autres développeurs.

• Scripts de la société commerciale belge Selligent, filiale du groupe états-unien CM Group (https://cmgroup.com/), hébergés sur le CDN de la société commerciale états-unienne Cloudflare ;

  • Notons que deux cookies sont déposés par ce prestataire, et qu’ils sont classés comme étant nécessaires dans le bandeau cookie de MP. Ces cookies sont donc transmis à Cloudflare (entête HTTP comme un autre) ;
    
    
  • Quel est l’intérêt réel de la « mise en avant des services, offres, et avantages » auprès des abonnés de MP (je cite la politique de confidentialité de MP) ? En quoi est-ce nécessaire à l’exécution du contrat (l’abonné a déjà souscrit, il connaît donc les services et les avantages de son abonnement) ? En rien ;
    
    
  • Ce prestataire fait automatiquement télécharger des scripts auprès du service Azure de la société commerciale états-unienne Microsoft. MP ne peut ignorer ce fait, car elle a positionné, sur son site web, une instruction ordonnant au navigateur web de son lecteur de précharger lesdits scripts (« <link rel="preload" href="https ://targetemsecure.blob.core.windows.net/84e5c880-8719-4773-8dad-7c722eb16350/84e5c880871947738dad7c722eb16350_1.js" as="script"> ». Notons que Microsoft n’est pas mentionnée dans la politique de confidentialité de MP alors qu’elle est destinatrice de ce transfert de données.

• Scripts de mesure d’audience Xiti de la société commerciale française AT Internet ;

  • Depuis mars 2021, l’unique actionnaire en est la société commerciale états-unienne Piano Software Inc. (cf. https://www.atinternet.com/presses/at-internet-sassocie-a-piano-pour-creer-la-premiere-plateforme-dexperience-client-basee-sur-lanalyse-contextuelle/). Votre analyse appuyant votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics est de pleine application ici ;
    
    
  • AT Internet a recours au CDN de la société commerciale états-unienne Amazon (cf. https://www.atinternet.com/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/#traitees-et-stockees). Il y a donc un contact direct entre le terminal du lecteur de MP et les serveurs d’Amazon ;
    
    
  • Alors que la lecture des articles de MP est réservée à ses abonnés et que MP ne recourt pas à la publicité, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés est un indicateur pertinent et suffisant. À quoi bon savoir quels articles sont lus et ont eu le plus de succès alors que MP dénonce le grand danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent entendre (cf. https://www.mediapart.fr/journal/economie/130218/les-milliardaires-de-la-presse-gaves-d-aides-publiques-et-privees?page_article=3, dernier paragraphe avant le point 4) ?
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme nécessaire à l’exécution d’un contrat.

• Si l’on accepte les cookies facultatifs dans le bandeau dédié (sans jamais être informé des transferts de données personnelles vers les États-Unis que cela va engendrer), des scripts et des images supplémentaires sont automatiquement téléchargés depuis :

  • La société commerciale états-unienne CrazyEgg, pour du suivi de parcours client. Cette société a recours au CDN de Cloudflare pour diffuser ses ressources ;
    
    
  • La société commerciale états-unienne Facebook. Il s’agit d’images transparentes de dimensions un pixel sur un pixel au format gif, autrement dit d’images invisibles. Il s’agit d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. En quoi un suivi des lecteurs de MP, qui sont déjà ciblés, afin de « faire la promotion de Mediapart » (je cite sa politique de confidentialité), est-il nécessaire à l’exécution d’un contrat entre le journal et son lecteur ? En rien ;
    
    

  • La société commerciale états-unienne AppNexus (adnxs.com). Il s’agit, entre autres, d’une régie publicitaire qui détient 8 % du marché publicitaire mondial selon le numéro 163 des Dossiers du Canard enchaîné, d’où un risque accru de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de MP. Notons qu’AppNexus n’est pas référencée dans la politique de confidentialité de MP alors qu’elle est destinatrice de ce transfert de données personnelles ;

  • La société commerciale française Gammed (adbutter.net). Ciblage d’audience sur des sites web pour promouvoir Mediapart. Les scripts sont hébergés dans le service Cloud de la société commerciale états-unienne Google. Ils font émettre, au navigateur web du lecteur MP, des requêtes web destinées à la société AppNexus sus-décrite.

    • Notons qu’un dépôt de cookie a lieu et qu’il est donc transmis à Google (entête HTTP comme un autre) ;
      
      
    • En quoi un « ciblage d'audience sur des sites tiers » nécessite-t-il de suivre les lecteurs MP, déjà ciblés ? En quoi ce suivi afin de « faire la promotion de Mediapart » (je cite sa politique de confidentialité) est-il nécessaire à l’exécution d’un contrat entre un journal et son lecteur ? En rien ;
      
      
    • Notons que la politique de confidentialité de MP est trompeuse puisqu’elle indique que les données de navigation sont « hébergées à Amsterdam (Pays-Bas) et à Dublin (Irlande). ». Elles sont hébergées par Google, société commerciale états-unienne, donc le Cloud Act est de pleine application quel que soit le lieu effectif de stockage.
  • Notons que toutes ces ressources sont nativement étiquetées « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut… ;
    
    
  • Puisque le téléchargement des ressources énumérées aux points précédents est conditionné au consentement du lecteur MP (au sens de l’article 6.1a du RGPD, pas au sens du 49.1a), le transfert de données personnelles qu’il constitue ne saurait relever de la nécessité à l’exécution d’un contrat.

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis appartenant à cette première catégorie de « ressources web externes sans apport rédactionnel » n'est pas établie, car il est techniquement et juridiquement possible de développer en interne des ressources web équivalentes (cas de Polyfill, Selligent, etc.) et/ou d'opter pour une solution logicielle acquise auprès d’un tiers mais hébergée en interne (sur les mêmes serveurs informatiques que les pages web) ou chez un prestataire européen (cas de Xiti, Polyfill, Polyfill, etc.), ou de contracter avec des prestataires équivalents mais basés et hébergés informatiquement dans l'UE (cas du CDN Fastly, de Xiti, Selligent, CrazyEgg, Gammed, etc.).

De plus, à l'exception du CDN de Fastly, le site web de MP fonctionne parfaitement si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre MP et son lecteur.

Ressources web externes présentes dans au moins un article récent :

• Infographies et cartographies proposées via Datawrapper, société commerciale allemande dont les ressources web (et donc, in fine, les infographies) sont diffusées via le CDN de la société Cloudflare. Exemple : https://www.mediapart.fr/journal/international/081022/l-exode-des-russes-un-mouvement-inedit-impressionnant-et-inattendu ;

• Infographies hébergées par Flourish, service de la société anglaise Canva UK Operations, qui, elle-même, utilise le CDN de la société commerciale états-unienne Amazon, et fait télécharger automatiquement l’outil Google Analytics (cf. votre mise en demeure du 10/02/2022 à ce sujet), des ressources additionnelles auprès de Google Fonts ainsi que des polices de caractères servies par Cloudflare (via le domaine xyzbmojn.net, propriété de la société Canva sus-nommée). Exemple : https://www.mediapart.fr/journal/economie/101022/autour-de-chailley-dans-l-yonne-les-megapoulaillers-continuent-de-pousser ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20).

• Vidéos YouTube via la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemple : https://www.mediapart.fr/journal/economie/101022/penurie-de-main-d-oeuvre-dans-les-transports-publics-la-ratp-et-la-sncf-aux-abois ;

  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de MP.

• Vidéos hébergées par la société commerciale états-unienne Vimeo sur ses propres serveurs informatiques. Exemple : https://www.mediapart.fr/journal/international/071022/elle-braque-sa-banque-au-liban-crie-depuis-trois-ans-le-pouvoir-ne-nous-entend-pas ;

  • Le téléchargement automatique du lecteur de vidéos de Dailymotion au chargement d’un article entraîne, par rebond, en cascade, le téléchargement de ressources web (lecteur de vidéos, télémétrie) depuis les sociétés commerciales états-uniennes Akamai Technologies, Fastly et Google Cloud.

• Vidéos hébergées par la société commerciale française Dailymotion. Exemple : https://www.mediapart.fr/journal/france/280922/quand-michel-pincon-nous-faisait-visiter-chantilly-kolkhoze-de-riches ;

  • Le téléchargement automatique du lecteur de vidéos de Dailymotion au chargement d’un article entraîne, par rebond, en cascade, le téléchargement de scripts techniques auprès de Google (s0.2mdn.net, imasdk.googleapis.com, etc.). D’autres ressources (api.dmcdn.net, s1.dmcdn.net, etc.) sont diffusées par des CDNs états-uniens (comme Limelight Networks / Edgio).

• Vidéos hébergées par l’Institut National de l’Audiovisuel (INA). Son visionneur de vidéos fait télécharger automatiquement des ressources auprès :

  • du projet jsDelivr, c’est-à-dire des sociétés états-uniennes Cloudflare et Fastly ;
    
    
  • de LinkedIn, filiale de Microsoft ;
    
    
  • de jwpcdn.com c’est-à-dire de Fastly et de la société états-unienne EdgeCast Network.

• Les vidéos (entre autres contenus multimédias) reprises par Mediapart sont intégrées à son site web à l’aide du service Embedly de la société commerciale états-unienne A Medium Company, qui, elle-même, a recours au CDN de la société Cloudflare ;

  • Aucune valeur ajoutée (YouTube, Vimeo, etc. disposent d’infrastructures techniques leur permettant d’encaisser un nombre conséquent d’utilisateurs), donc disproportion entre l’intérêt de Mediapart et l’atteinte aux droits de ses lecteurs. Exemples : voir points YouTube / Vimeo ci-dessus.

• Documents PDF hébergés par l’organisation sans but lucratif états-unienne DocumentCloud, qui, elle-même, a recours au CDN de Cloudflare. Exemple : https://www.mediapart.fr/journal/france/220822/l-embarras-des-autorites-sanitaires-face-aux-pesticides-dans-l-eau-potable ;

  • La visionneuse de documents de DocumentCloud fait télécharger des ressources web supplémentaires auprès du service Fonts de Google (cf. le point sur Flourish ci-dessus).
• Intégration de tweets via le widget Twitter qui fait télécharger automatiquement, au lecteur MP, des ressources web auprès de la société commerciale états-unienne Twitter. Exemple : https://www.mediapart.fr/journal/international/091022/vladimir-poutine-la-semaine-de-toutes-les-desillusions ;
  
  
• Podcasts fournis par la société commerciale française Audiomeans qui en délègue l’hébergement à Amazon et qui fait télécharger des ressources web auprès du projet JsDelivr, donc des sociétés états-uniennes Cloudflare et Fastly. Exemple : https://www.mediapart.fr/journal/politique/091022/finances-locales-se-prend-un-mur ;
  
  
• Podcasts fournis par la société commerciale suédoise Acast qui a recours au CDN d’Amazon et qui fait télécharger automatiquement l’outil Google Analytics (cf. votre mise en demeure du 10/02/2022 à ce sujet). Exemple : https://www.mediapart.fr/journal/culture-et-idees/091022/l-esprit-critique-theatre-paroles-brutales-art-brut-et-vie-brutalisee ;
  
  
• Ressources web de l’AFPForum, éditées par l’Agence France Presse, mais hébergées par le CDN de la société commerciale états-unienne Akamai Technologies ;
  
  
• Seuls quelques articles de MP contiennent une vidéo ou un document PDF ou une infographie ou un podcast ou l’un des autres éléments sus-énuméré, donc, en accédant à un tel article, le lecteur de MP ne saurait s’attendre au chargement des ressources web externes sus-référencées ni aux transferts de données personnelles vers un pays tiers non adéquat qui en découle (absence d’une pratique généralisée et facilement identifiable).

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis appartenant à cette deuxième catégorie de « ressources web externes qui participent au contenu » n'est pas établie, car il est possible de réduire le nombre de prestataires. Pourquoi recourir à plusieurs prestataires pour un même type de contenus (infographies, podcasts, vidéos, etc.) ? MP en choisi un, forme ses équipes sur cette solution, etc., et cesse d'en utiliser plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.

De plus, il est possible d'internaliser certaines de ces ressources web et outils. Exemples : cette infographie dynamique du Monde diplomatique est hébergée en interne, https://www.monde-diplomatique.fr/cartes/fichage ; un podcast des Jours est hébergé en interne, https://lesjours.fr/podcasts/refuseurs/ep1-contexte-agro-refuseurs/. De même, il existe trouzemilles visionneuses de documents PDF développées en JavaScript et librement réutilisables.

    De plus, vu son ancrage et sa bonne santé financière, MP pourrait prendre la tête d'un consortium, fût-il informel, qui développerait les outils manquants (si tel est le cas) et qui les mettrait à disposition, fût-elle de manière payante, de l'ensemble de la profession. Mutualisation par la demande. Exemple : le journal Next Inpact, bien plus sectoriel et petit que MP, a développé un guichet unique pour l'achat à l'article de titres de presse numérique et indépendante nommée La Presse Libre.

Ensuite, il est possible d'héberger certaines de ces ressources web et outils auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à une société commerciale française (Octopuce).

De même, certaines pratiques rédactionnelles peuvent être adaptées. Plutôt que d'intégrer un tweet dans un article en utilisant le widget Twitter, les journalistes de MP peuvent citer le propos qu’il contient comme ils le font de propos oraux ou lors de reprise de propos écrits, et laisser à leur lecteur la possibilité de cliquer sur un lien pour aller lire ledit tweet. S'il s'agit de conserver une trace, une capture d'écran convient. De même, une infographie dynamique peut être résumée par une capture d'écran statique associée à un lien permettant d’accéder à la version dynamique qui nécessite un transfert de données personnelles vers les États-Unis. Proposer un lien vers une vidéo plutôt que de l’intégrer. Bref, laisser le choix au lecteur.

En tout état de cause, il est possible de conditionner le téléchargement de certaines de ces ressources (vidéos, tweets, infographies, etc.), à un clic du lecteur MP sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par MP découle une disproportion entre l’intérêt, pour MP, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

Sans compter que, parmi les 37 (!) sociétés commerciales référencées dans la politique de confidentialité de MP (https://www.mediapart.fr/confidentialite) et dans son bandeau cookies, seules trois (SoundCloud, Spotify et CartoDB), soit moins de 10 %, ne sont pas états-uniennes.

Toutes les autres sont soit de droit états-unien, soit ont des actionnaires majoritaires états-uniens (Xiti, Selligent), soit ont des bureaux aux États-Unis (Xiti), soit… Dans les deux derniers cas, la législation états-unienne (FISA, Cloud Act, etc.) leur est donc opposable, comme l’analyse le memorandum d’un cabinet d’avocats états-unien remis au ministère de la Justice et de la sécurité des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo). L’arrêt « Schrems II » et toutes les décisions citées le long de cette plainte sont, par conséquence, de pleine application à leur égard.

De plus, il faudrait vérifier que les trois sociétés européennes sus-mentionnées (SoundCloud, Spotify et CartoDB) n’ont pas, comme toutes les autres sociétés sus-citées, recours à un hébergeur ou à un CDN états-unien, auquel cas, l’analyse déroulée tout au long de cette plainte leur serait également applicable. Je n’ai pas trouvé de pages sur le site web de MP intégrant le service de ces trois sociétés, donc je n’ai pas pu procéder à cette vérification.

En conclusion, lors de la navigation sur le site web de Mediapart, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 (pour l’un d’eux) et le 30 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts illégaux auprès de (trop) nombreuses organisations états-uniennes sont commis par un journal qui se revendique indépendant, différent, alternatif, libre, d’« innovation continue en matière de Web » (je cite les ambitions du projet : https://presite.mediapart.fr/contenu/le-projet.html). La divergence entre l’image dont se prévaut Mediapart et ses actes sus-énumérés constitue un abus de confiance caractérisé.

    D’autant que le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Mediapart est tout l’inverse.

Le 15/05/2018, j’ai signalé, par email, ces manquements au RGPD au DPO, au président et à la rédaction de Mediapart, cf. PJ 1. Je n’ai pas reçu de réponse. En revanche, les emails m’informant de la reconduction tacite de mon abonnement me parviennent bien, donc l’hypothèse d’un dysfonctionnement technique est peu probable.

Le 08/06/2019, j’ai signalé, par email, à une journaliste (copie toute la rédaction), l’absence de pertinence à pointer un document, en l’occurrence un communiqué de presse, sur Facebook quand il est disponible sur un site web officiel, en l’occurrence celui de l’homme politique dont il était question, cf PJ 2. Je n’ai pas reçu de réponse.

Le 13/02/2020, j’ai signalé, par LRAR, les mêmes manquements au RGPD qu’en 2018 au président de Mediapart, cf PJ 3 et PJ 4. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des contournements techniques (internalisation, politique du référent) et des débuts de solutions organisationnelles et sectorielles (concevoir des outils, formation, adaptation des pratiques journalistiques, etc.).

Notons que la « nouvelle formule » du site web de Mediapart de 2021 a rien apporté du côté de la mise en conformité avec le RGPD. Le maintien de ces transferts illégaux de données personnelles vers un pays tiers non adéquat doit donc être regardé comme un manquement au principe de protection des données personnelles dès la conception prévu par le RGPD.

Cet historique illustre l’indifférence au long cours et l’absence de volonté de Mediapart de se conformer au RGPD. En quatre ans, la situation s’est aggravée : ajout d’un CDN états-unien, recours à des prestataires supplémentaires hébergés sur des serveurs informatiques détenues par des entités états-uniennes, absence de suivi des prestataires existants (Xiti est soumis au Cloud Act depuis son rachat en 2021), etc.

J’estime avoir tenté d’exercer mes droits auprès de MP. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Mediapart et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Mediapart.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Next Inpact

Introduction

Bonjour,

Le site web du journal Next Inpact transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Cloudflare, MailChimp, hCaptcha.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à Next Inpact en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Next Inpact (« NI » ci-après), https://www.nextinpact.com, fait automatiquement télécharger, au navigateur web de ses lecteurs, plusieurs ressources web (images, scripts JavaScript, documents PDF, etc.) qui sont diffusés via le CDN de la société commerciale états-unienne Cloudflare. Il y a un contact direct entre le terminal du lecteur de NI et les serveurs informatiques de Cloudflare :

    $ dig +short cdnx.nextinpact.com cdn2.nextinpact.com cdn3.nextinpact.com api.bonsplans.tech | xargs -L1 whois | grep OrgName | uniq
    OrgName: Cloudflare, Inc.

    Les images téléchargées auprès de ce CDN sont celles qui participent au contenu (entête de chaque article, illustrations d’articles comme https://www.nextinpact.com/article/70223/comment-installer-dernier-kde-sur-kubuntu-ou-autre-distribution, preuves des propos tenus ou rapportés dans un article comme https://www.nextinpact.com/article/70198/comment-meilleur-stalkerware-grand-public-sadresse-aux-hommes-en-mal-controle, etc.), les icônes de boutons dans l’espace abonné et les avatars des commentateurs sous les articles.
    Les documents PDF en question participent également au contenu (exemple : récupération d’une décision de justice évoqué dans un article comme https://www.nextinpact.com/article/69908/la-ligne-editoriale-france-soir-a-epreuve-cgu-google).
    Les scripts sont ceux qui permettent de récupérer les « bons plans » c’est-à-dire les bonnes affaires commerciales du moment depuis un autre site web du journal.

Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être NI dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans le cas d’espèce, Cloudflare est un CDN du deuxième type. Pour s’en assurer, on peut consulter les entêtes HTTP qu’il insère dans ses réponses aux requêtes web (cf. la documentation officielle de Cloudflare : https://developers.cloudflare.com/cache/about/default-cache-behavior/ ; https://developers.cloudflare.com/fundamentals/get-started/reference/http-request-headers) :

    $ curl -s -o /dev/null -D - ‘https ://cdnx.nextinpact.com/compress/850-412/data-next/images/bd/wide-linked-media/4034.jpg’ | grep -E '^(server|cf-)'
    cf-cache-status: HIT
    server: cloudflare
    cf-ray: 75fb2c36ae97cdd7-CDG

    $ curl -s -o /dev/null -D - 'https ://api.bonsplans.tech/api/public/BonPlan/list?Tri=0&Page=1&OnlyPartnered=true&Nb=5' | grep -E '^(server|cf-)'
    cf-cache-status: DYNAMIC
    server: cloudflare
    cf-ray: 75fb2f35dc63d564-CDG

Il y a donc un contact direct entre le terminal du lecteur de NI et les serveurs informatiques de Cloudflare, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) par Cloudflare.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de NI, les téléchargements de ressources web hébergées auprès du CDN de la société commerciale états-unienne Cloudflare génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur de NI : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de NI (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.nextinpact.com/p/charte-deontologique), NI ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que NI met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de NI le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques de la société commerciale états-unienne Cloudflare. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur NI ne chemine pas par l’infrastructure technique de NI (dit autrement, il y a un contact direct entre le terminal du lecteur NI et les serveurs informatiques de Cloudflare), donc elle échappe totalement à NI, qui peut, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

NI ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable :

• Les ressources web statiques (images, documents PDF, etc.) qui sont effectivement servies par Cloudflare (ce qui soulage effectivement l’hébergeur final de NI) peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on n’en utilise pas pour ses pages web dynamiques : qui peut le plus peut le moins ;
  
  
• Certaines ressources web statiques (comme le script api.bonsplans.tech) ne sont pas mises en cache par le CDN (cf. ci-dessus la présentation des entêtes HTTP ajoutés par Cloudflare). Les requêtes web sont donc toutes transmises à l’hébergeur final de NI qui n’est donc pas soulagé. Du coup, Cloudflare est un intermédiaire inutile pour ces ressources-là, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais l’hébergeur final de NI, Scaleway, propose des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
  
  
• À la vue de son nombre d’abonnés (8 000 en 2022, cf. https://www.nextinpact.com/blog/69977/recalibre-next-inpact-se-reorganise-et-va-lavant), il n’apparaît pas que NI ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). D’ailleurs, le journal Arrêt sur images, qui compte environ le triple d’abonnés (source : https://www.arretsurimages.net/chroniques/la-vie-du-site/nos-comptes-vos-abonnements-des-nouvelles-darret-sur-images), n’a pas recours a un CDN. Tout au plus s’agit-il d’un arbitrage financier inexplicable : l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
  
  
• En tout état de cause, des sociétés commerciales françaises et européennes proposent des réseaux de distribution de contenus. NI ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de NI). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
  
  
• Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir NI et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

En conclusion : lors de la consultation du site web de Next Inpact, les téléchargements automatiques de ressources web (images, documents PDF, scripts JavaScripts, etc.) qui sont diffusés via le CDN d’une société commerciale états-unienne, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

Je pensais qu’un lecteur avancé de NI pouvait s’opposer à certains transferts vers ce CDN à l’aide d’une extension pour navigateur web comme uMatrix ou uBlock Origin. En effet, il me semblait que le contenu rédactionnel est hébergé sur cdnx.nextinpact.com et que les avatars des commentateurs sont hébergés sur cdn2.nextinpact.com. Il suffisait donc de bloquer cdn2.
    Or, du contenu rédactionnel est parfois stocké sur cdn2 (exemples : extrait d’un courrier dans https://www.nextinpact.com/article/69013/hadopi-1-il-y-a-treize-ans-conseil-constitutionnel-censurait-machine-a-bannir-dinternet ; schéma explicatif dans https://www.nextinpact.com/article/69015/article-17-justice-europeenne-valide-filtrage-sil-respecte-exceptions-au-droit-dauteur et dans https://www.nextinpact.com/article/68894/les-objectifs-mission-europeenne-juice-etudier-pres-jupiter-et-trois-ses-lunes, etc.).
    Le lecteur de NI a donc aucun moyen technique de limiter le nombre de transferts de ses données personnelles vers le CDN de Cloudflare lors de sa lecture de NI.

Pour proposer ses newsletters (https://www.nextinpact.com/newsletter), Next Inpact a recours à MailChimp, service de The Rocket Science Group, société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne.

Il y a donc transfert de données personnelles (adresse emails de l’abonné aux newsletters de Next Inpact, etc.) à une société commerciale de droit états-unien.

Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Pour protéger son formulaire de contact (https://www.nextinpact.com/contact), NI a recours au service hCaptcha de la société commerciale états-unienne Intuition Machines. Celle-ci héberge ses traitements derrière le CDN de Cloudflare :

    $ dig +short hcaptcha.com newassets.hcaptcha.com | xargs -L1 whois | grep OrgName | uniq
    OrgName: Cloudflare, Inc.

Dans sa politique de confidentialité (https://www.hcaptcha.com/privacy), Intuition Machines reconnaît le transfert aux États-Unis : « Comme décrit dans notre section "Note à l'attention des clients situés en dehors des États-Unis", sachez que vos données personnelles seront transférées, traitées et stockées aux États-Unis. ».

La même politique n’énonce pas l’utilisation d’outils juridiques supplémentaire ni de mesures complémentaires pour encadrer les transferts des données européennes des Européens.

L’utilisation de hCaptcha par Next Inpact constitue une infraction aux articles 44 et suivants du RGPD. Pas de décision d’adéquation, pas d’outils juridiques, pas de mesures complémentaires, pas d’information sur le transfert ni de recueil du consentement, et aucune nécessité pour l’exécution d’un contrat (la possibilité de contacter NI est un « service » supplémentaire et distinct de sa lecture qui, elle, fait l’objet du contrat ; NI pourrait recourir à d’autres outils de protection de formulaire y compris à un prestataire européen hébergé informatiquement dans l’UE, etc.).

J'ai enregistré tous ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces transferts de données personnelles aux États-Unis (CDN, MailChimp, hCaptcha) constituent un abus de confiance, car Next Inpact a beaucoup œuvré pour l’éthique de la presse en ligne et pour préserver la vie privée de ses abonnés (création d’une régie publicitaire sans pub ciblée, ne plus recourir à Microsoft Azure pour l’hébergement informatique frontal, œuvrer pour faire vivre un modèle économique par abonnement, etc.). La divergence entre l’image dont se prévaut NI et ses actes sus-énumérés caractérise cet abus de confiance. Je reconnais m’être senti trahit quand j’ai constaté, par hasard, le recours à Cloudflare.

    Quant à lui, le citoyen lambda n’a pas de repère : il ne dépend pas d’un acteur états-unien pour obtenir les images de son journal papier, et, ce faisant, il est seul durant sa lecture de son journal papier. Ce n’est pas le cas avec un journal en ligne comme NI.

Je vais signaler, au DPO de Next Inpact, ces manquements au RGPD.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que Next Inpact, comme les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos qui peine à trouver son équilibre financier) et Basta (généraliste), entre autres, demeure éminemment plus respectueux de la vie privée de ses lecteurs que la presse traditionnelle sus-citée. Il démontre ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens. Dans le cas présent, Next Inpact doit terminer son long travail de mise en conformité avec le RGPD.

Pour être en conformité avec le RGPD, Next Inpact, tout comme les journaux cités dans le paragraphe précédent, est entravé par l’organisation actuelle du secteur (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas son activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, NI est faiblement référencé et sacrifie sa visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort) et par les investissements nécessaires (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Numerama

Introduction

Bonjour,

Le site web du journal Numerama transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Cloudflare, Google Analytics, Cloudflare Web Analytics, AppNexus, Google DoubleClick, Amazon Ad System, Twitter, CDN Fastly, Google YouTube.
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Numerama (« Nume » ci-après), https://www.numerama.com, fait automatiquement télécharger, au navigateur web de ses lecteurs, une multitude de ressources web externes (scripts JavaScript, images, feuilles de style, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Numerama : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Nume (exemple : une régie publicitaire volontairement intégrée par Nume à son article fait télécharger, à son tour, des ressources web depuis l’un de ses partenaires publicitaires / de reciblage).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Nume dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Nume et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Nume, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur de Nume : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Nume (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Notons que le site web de Nume positionne un entête HTTP « Referrer-Policy » avec la valeur « no-referrer-when-downgrade », ce qui a pour effet d’amoindrir la politique du référent par défaut des navigateurs web modernes et de transmettre aux tiers (prestataire de mesure d’audience, régie publicitaire, etc.), l’URL complète des pages web du site web de Nume consultées par son lecteur (au lieu de l’URL de base du site web avec la politique par défaut), ce qui permet à ces tiers de suivre la navigation du lecteur Nume à travers les différents articles et pages web du site web de Nume. Tous les tiers intégrés sur le site web de Nume (et nous verrons qu’il y en a plusieurs centaines) reçoivent donc l’historique des lectures d’un terminal (adresse IP, caractéristiques techniques du navigateur web et du terminal) et donc des lecteurs de Nume. En résumé, Numerama amoindrit sciemment la protection de la vie privée de ses lecteurs.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.numerama.com/politique-donnees-personnelles/), Nume déclare l’existence de transferts de données personnelles à un pays tiers non adéquat, les États-Unis. Nume ne déclare pas avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énumérés. Des « mesures supplémentaires » sont mentionnées, sans plus de précisions. De plus, on peut avoir la certitude que Nume met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de Nume le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par Nume et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Nume. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur Nume ne chemine pas par l’infrastructure technique de Nume ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur Nume d’un part et les serveurs informatiques du CDN choisi par Nume et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre part), donc elle échappe totalement à Nume et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Nume ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

    Notons que certains transferts de données personnelles, comme l’intégration de vidéos YouTube ou l’affichage de tweets via le widget Twitter, sont conditionnés à l’acceptation des cookies (de YouTube, Twitter, etc.) dans le bandeau cookies de Nume.

        Mais, d’une part, ce dernier n’informe pas le lecteur des risques que les transferts de données personnels sus-jacents peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement est confus (on accepte les cookies, pas vraiment le transfert) et vicié (absence des informations requises par l’article 49.1a du RGPD).

        D’autre part, le bandeau cookies énumère environ 205 prestataires, avec, pour chaque, plusieurs sous-paramètres (acceptation des cookies, acceptation des traitements, acceptation de l’intérêt légitime à afficher de la pub, etc.). Cela complique la recherche du « bon » prestataire pour débloquer le chargement du contenu. De sus, le nom dudit prestataire n’est pas communiqué dans l’encart totalement noir qui empêche le chargement du contenu. Tout cela incite le lecteur de Nume à accepter tous les cookies et traitements du bandeau cookies (et, in fine, tous les transferts de données personnelles). Le consentement ainsi obtenu doit être regardé comme étant vicié.

    Le consentement prévu par l’article 49.1a du RGPD n’est, de ces faits, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, etc.) :

• Recours au CDN de la société commerciale états-unienne Cloudflare pour servir toutes les pages web (le texte).

  • Notons qu’en tant qu’intermédiaire incontournable entre Nume et son lecteur, Cloudflare reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Cloudflare reçoit et consigne donc l’historique des lectures des lecteurs de Nume ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale de Nume, donc elles ne peuvent pas être mises en cache (ou difficilement). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Cloudflare (exemple : « cf-cache-status: DYNAMIC », cf. https://developers.cloudflare.com/cache/about/default-cache-behavior/), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final de Nume (OVH, d’après ses mentions légales). Du coup, Cloudflare est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais OVH propose des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
    
    
  • On constate que Nume s’occupe lui-même de la mise en cache, côté serveur, de ses ressources statiques (images et scripts) ;
    
    
  • À la vue de son nombre de visiteurs uniques par mois, 10 millions par mois (cf. https://www.numerama.com/a-propos/), il n’apparaît pas que Nume ait atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). Tout au plus s’agit-il d’un arbitrage financier inexplicable : l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • Nume ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de Nume). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir Nume et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• Script de mesure d’audience de la société commerciale états-unienne Cloudflare (static.cloudflareinsights.com) que cette dernière héberge sur ses propres serveurs ;

  • Notons que la présentation de son outil par Cloudflare (https://www.cloudflare.com/fr-fr/web-analytics/) est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Comme rappelé ci-dessus, selon la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le téléchargement du script (https ://static.cloudflareinsights.com/beacon.min.js/vaafb692b2aea4879b33c060e79fe94621666317369993) à partir du site web de Nume génère un transfert, vers le service Web Analytics de Cloudflare, des données personnelles énumérées au début de la présente plainte. Il s’agit d’un deuxième transfert, destiné à un deuxième traitement, distinct de celui relaté au point précédent (CDN) ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et Nume ne recueille pas le consentement de son lecteur pour charger cet outil), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Script de mesure d’audience Google Analytics (via le script Google Tag Manager) hébergé sur les serveurs informatiques de la société commerciale états-unienne du même nom. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et Nume ne recueille pas le consentement de son lecteur pour charger cet outil), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Script de mesure d’audience, de performances et de visibilité des contenus de la société commerciale états-unienne Parsely diffusé via le CDN de la société commerciale états-unienne Cloudflare ;

  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et Nume ne recueille pas le consentement de son lecteur pour charger cet outil), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Le site web de Nume fonctionne parfaitement à fonctionnalités et contenu équivalent si l'on bloque tous les téléchargements référencés aux trois précédents points (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre Nume et son lecteur ;

• Scripts et autres ressources web d’une palanquée de régies publicitaires et assimilées (pour rappel, le bandeau cookies référence environ 205 entités…) dont beaucoup sont des sociétés commerciales états-uniennes ou font télécharger les réclames et les traceurs depuis des serveurs informatiques détenus par de telles sociétés. Je ne vais pas toutes les analyser, pas folle la guêpe, mais voici quelques exemples :

  • Société commerciale états-unienne Amazon (amazon-adsystem.com) qui héberge sa régie sur ses serveurs informatiques ;
    
    
  • Google DoubleClick qui héberge sa régie sur ses serveurs informatiques ;
    
    
  • Société commerciale états-unienne Twitter qui héberge son mécanisme sur ses serveurs informatiques ;
    
    
  • Société commerciale états-unienne AppNexus (adnxs) qui héberge sa régie sur ses serveurs informatiques ;
    
    
  • Société commerciale états-unienne Magnite (rubiconproject.com) qui héberge sa régie sur ses serveurs informatiques (via un routage DNS opéré par la société commerciale états-unienne Akamai Technologies, toutefois) ;
    
    
  • Société commerciale états-unienne Integral Ad Science (adsafeprotected.com), qui s’héberge chez Amazon ;
    
    
  • Société commerciale états-unienne Pubmatic, qui s’héberge auprès de la société commerciale états-unienne Akamai Technologies ;
    
    
  • Société commerciale états-unienne TripleLift (3lift.com) qui s’héberge auprès d’Amazon ;
    
    
  • Société commerciale française Opti Digital, qui s’héberge chez Cloudflare ;
    
    
  • Dans le bandeau cookies détaillé, ces traitements sont présentés comme étant basés sur l’intérêt légitime concernant la publicité standard et sur le consentement concernant la publicité ciblée. Donc, les transferts de données personnelles induits par les téléchargements qui permettent la récupération desdites publicités ne peuvent pas être considérés comme étant nécessaires à l’exécution d’un contrat (puisque le traitement en lui-même, la pub, est justifiée par l’intérêt légitime et le consentement). Le 49.1c du RGPD n’est pas applicable puisque celui-ci porte sur la conclusion, en coulisse, d’un contrat bénéfique à la personne physique (par opposition à l’intérêt légitime du responsable d’un traitement prévu par le 6.1f), auquel la publicité ne saurait être rattachée.

Ressources web externes présentes dans tous les articles (en sus des précédentes) :

• Lecture audio des articles (donc scripts, images, son, etc.) via la société commerciale états-unienne Remixd Media qui héberge ses ressources web auprès du service Cloud de la société commerciale états-unienne Google et auprès de la société commerciale états-unienne JW Player qui, elle-même, a recours au CDN de la société commerciale états-unienne Fastly ;
  
  
• Vidéos de la société commerciale états-unienne Google YouTube hébergées sur les serveurs informatiques de Google.
  • Elles sont présentes dans l’écrasante majorité des articles (section « La suite en vidéo » en bas de page).

Ressources web externes présentes dans certains articles (en sus des précédentes) :

• Intégration de tweets via le widget Twitter qui fait télécharger automatiquement des ressources web auprès des serveurs informatiques de la société commerciale états-unienne Twitter.
  • Seuls quelques articles de Nume contiennent un tweet, donc, en arrivant sur un article, le lecteur ne saurait s’attendre au chargement du widget de Twitter (absence d’une pratique généralisée et facilement identifiable).

En sus des motifs énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est possible de réduire le nombre de prestataires.
Pourquoi recourir à trois prestataires de mesure d’audience ? Nume en choisi un, forme ses équipes sur cette solution, etc., et cesse d'en utiliser plusieurs. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD.
De même, pourquoi recourir à environ 200 régies publicitaires / reciblage / traçage / marketing ? La lecture d’un article de Numerama génère environ 250 requêtes web avec un cache de navigateur web vide (première consultation) et environ 200 requêtes les fois suivantes. Il y a des transferts de données à plusieurs dizaines d’entités (françaises, européennes ou autres). Il y a une disproportion forte entre les intérêts (économiques) de Nume et la très forte atteinte aux droits de ses lecteurs.

De plus, il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web comme un outil de mesure d’audience, une plateforme de vidéos, un lecteur audio des articles (le journal Les Jours y parvient, exemple : https://lesjours.fr/podcasts/refuseurs/ep1-contexte-agro-refuseurs/), etc.

Ensuite, il est possible d'héberger ces ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à la société commerciale française Octopuce (cas de YouTube). De même, il existe des prestataires européens de mesure d’audience, de CDN, de lecture audio d’articles, etc. Idem pour les régies publicitaires et assimilées, Numerama en utilise d’ailleurs plusieurs (Criteo, Sirdata, Smartadserver, etc.).

De sus, certaines pratiques rédactionnelles peuvent être adaptées. Plutôt que d'intégrer un tweet dans un article en utilisant le widget Twitter, les journalistes de Nume peuvent citer le propos qu’il contient comme ils le font de propos oraux ou lors de reprise de propos écrits, et laisser à leur lecteur la possibilité de cliquer sur un lien pour aller lire ledit tweet. S'il s'agit de conserver une trace, une capture d'écran convient. De même, un lien vers une vidéo (YouTube ou autre, peu importe) est préférable à une intégration de ladite vidéo. Laisser le choix au lecteur.

En tout état de cause, il est possible de conditionner certains téléchargements (tweets via le widget Twitter, vidéos YouTube ou autres, etc.), à un clic du lecteur de Nume sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Nume découle une disproportion entre l’intérêt, pour Nume, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion : lors de la navigation sur le site web de Numerama, les très nombreux téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Dans sa politique de confidentialité (https://www.numerama.com/politique-donnees-personnelles/), Numerama déclare avoir recours à MailChimp et à Amazon pour « vous envoyer des e-mails ». MailChimp est un service de The Rocket Science Group, société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne. Amazon a déjà été traitée ci-dessus, donc je n’y reviens pas.

Il y a donc transfert de données personnelles (adresse emails de l’abonné aux newsletters de Numerama, etc.) à deux entités de droit états-unien.

Ces transferts de données personnelles aux États-Unis ne sont pas conformes au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Ces multiples transferts auprès de (trop) nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Numerama est le paroxysme de l’inverse.

Revenons sur le bandeau cookies de Numerama :

• Il manque cruellement de clarté et de concision, ce qui est contraire à l’article 12.1 du RGPD et aux lignes directrices sur la transparence du CEPD. Environ 205 entités y sont référencées. Pour chaque, plusieurs sous-paramètres peuvent être activés ou désactivés (acceptation des cookies, acceptation des traitements, acceptation de l’intérêt légitime à afficher de la pub, etc.). Surcharge d’informations qui vicie le consentement ;
  
  
• Il permet de s’opposer à des traitements (et donc à des transferts de données personnelles vers les États-Unis) annoncés, par ledit bandeau, comme relevant de l’intérêt légitime. Confusion de base légale : un même traitement ne peut pas relever en même temps de l’intérêt légitime et du consentement ;
  
  
• L’action « continuer sans accepter » du bandeau basique n’a pas le même effet que le bouton « tout refuser » de l’interface « avancée » (celle qui liste l’ensemble des traitements et des entités impliquées) accessible par le bouton « paramétrer vos choix ». En effet, le bouton « continuer sans accepter » désactive la publicité ciblée, mais laisse active la publicité standard. Le bouton « tout refuser », quant à lui, désactive totalement l’essentiel des régies publicitaires et assimilées (et donc les transferts de données personnelles associés) ainsi que l’essentiel des traitements annexes sus-énumérés (lecteur audio des articles, etc.). Cela n’est pas conforme au RGPD : le choix par défaut (« continuer sans accepter ») devrait avoir l’effet de « tout refuser »… sauf à jouer sur la confusion entre l’intérêt légitime et le consentement (cf. point précédent) afin de laisser activé, par défaut, des cookies, des traitements (et des transferts) qui relèvent in fine du consentement (puisqu’ils peuvent être refusés avec le bouton « tout refuser »). Confusion entretenue et manipulations techniques ayant pour but de vicier le consentement du lecteur de Nume ;
  
  
• Le bandeau cookies qui s’affiche à la première consultation de Nume n’est pas le même que celui auquel on peut accéder depuis la page « Politique Cookies » (https://www.numerama.com/politique-cookies/). En effet, le premier propose les actions « continuer sans accepter » + « tout accepter et continuer » + « paramétrer vos choix ». Le deuxième propose les actions « tout accepter et continuer » + « paramétrer vos choix » + « tout refuser et continuer ». Le choix « tout refuser et continuer » est donc absent du bandeau principal, celui qui a le plus d’audience. Pour le trouver, il faut aller dans « paramétrer vos choix ». Cela est de nature à vicier le consentement du lecteur de Numerama.

Le 13/02/2020, j’ai signalé, par LRAR, au directeur de la publication de Numerama, les transferts illégaux de données personnelles aux États-Unis sus-référencés et l’un des dysfonctionnements du bandeau cookies, cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des solutions techniques (internalisation, politique du référent, etc.) et organisationnelles (modèle économique basé sur un abonnement ou sur un mix publicité / abonnement sans pub, adaptation des pratiques journalistiques, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté de Numerama de se conformer au RGPD. En deux ans, la situation n’a pas évolué d’un iota.

J’estime avoir tenté d’exercer mes droits auprès de Numerama. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Numerama est précisément dans ce cas-là. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Numerama et que le reste de la presse traditionnelle sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Numerama.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Off Investigation

Introduction

Bonjour,

Le site web du journal Off Investigation transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : CDN Cloudflare, Google Analytics, Stripe, Google Fonts, Google reCAPTCHA, Google Translate.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à Off Investigation en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Off Investigation (« OI » ci-après), https://www.off-investigation.fr/, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Off Investigation : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par OI (exemple : une vidéo YouTube volontairement intégrée par OI à l’un de ses articles fait télécharger, à son tour, la régie publicitaire Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être OI dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur d’OI et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web d’OI, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur d’OI : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures d’OI (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans sa politique de confidentialité (https://www.off-investigation.fr/politique-de-confidentialite/), OI ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude qu’OI met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur d’OI le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques du CDN états-unien choisi par OI et des CDNs et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par OI. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur d’OI ne chemine pas par l’infrastructure technique d’OI ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur d’OI d’une part et les serveurs informatiques du CDN choisi par OI et ceux des prestataires d’hébergement états-uniens choisis par les sociétés éditrices d’autre part), donc elle échappe totalement à OI et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

OI ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, articles, rubriques du menu, etc.) :

• Recours au CDN de la société commerciale états-unienne Cloudflare pour servir toutes les pages (texte) et toutes les images, y compris l’espace pour s’abonner (https://www.off-investigation.fr/abonnement/) qui manipule des données personnelles supplémentaires (cookie, mot de passe, pseudonyme, identité civile, adresse postale, adresse emails, historique des abonnements, etc.). Ces données personnelles transitent par Cloudflare (j’ignore si elle les consigne ou leur applique un traitement additionnel, mais elle en a la possibilité technique).

  • Notons qu’en tant qu’intermédiaire incontournable entre OI et son lecteur, Cloudflare reçoit et consigne l’URL complète consultée par un terminal (adresse IP, modèle, caractéristiques techniques, etc.). Cloudflare reçoit et consigne donc l’historique des lectures des lecteurs d’OI ;
    
    
  • D’un point de vue technique, cette solution apporte aucun gain en ce qui concerne la tenue de la charge. En effet, les pages web elles-mêmes, le texte, sont générées dynamiquement à la volée en fonction du contenu ajouté par l’équipe éditoriale d’OI et en fonction de l’abonné, donc elles ne peuvent pas être mises en cache (ou de manière limitée, et au risque de faire fuiter la vie privée). En pratique, grâce aux entêtes HTTP ajoutés dans sa réponse par Cloudflare (exemple : « cf-cache-status: DYNAMIC », cf. https://developers.cloudflare.com/cache/about/default-cache-behavior/), on constate que les requêtes portant sur des pages web sont toutes transmises à l’hébergeur final d’Off Investigation (Themecloud, d’après ses mentions légales). Du coup, Cloudflare est un intermédiaire inutile, sauf pour absorber les requêtes pourries et les attaques par déni de service, mais des sociétés commerciales européennes proposent des prestations équivalentes, donc il n’y a pas lieu de recourir à un acteur états-unien pour ce faire ;
    
    
  • Quant aux ressources web statiques (images, feuilles de style, polices de caractères, certains scripts) qui sont effectivement servies par Cloudflare (ce qui soulage effectivement l’hébergeur final d’OI), on rappelle qu’elles peuvent être mises en cache nativement du côté des serveurs informatiques et du côté des navigateurs web et ainsi soulager une infrastructure d’hébergement web sans recours à un CDN. De plus, la génération dynamique de pages web requiert une puissance de calcul supérieure à celle nécessaire pour servir des ressources statiques. Il y a donc une incohérence à utiliser un CDN pour les ressources statiques quand on encaisse le même trafic pour ses pages web dynamiques : qui peut le plus peut le moins ;
    
    
  • OI n’a pas atteint une taille critique l’obligeant à recourir à un CDN par inefficacité des autres solutions techniques (dont celles sus-énoncées). Tout au plus s’agit-il d’un arbitrage financier inexplicable : l’éventuel surcoût induit par un hébergement sans CDN n’est pas un critère suffisant pour enfreindre le RGPD d’après le CEPD ;
    
    
  • OI ne saurait justifier son recours à un CDN offrant une couverture internationale pour offrir une qualité de service satisfaisante à un lectorat francophone (seule langue de OI). Dit autrement : le prestataire retenu n’est pas en adéquation avec le besoin réel (sur-dimensionnement) ;
    
    
  • Il découle des points précédents que le recours à un CDN états-unien constitue un déséquilibre fort entre le faible intérêt technique dont peut se prévaloir OI et l’atteinte disproportionnée aux droits de ses lecteurs que ce choix de prestataire constitue.

• Script de mesure d’audience Google Analytics et Google Tag Manager. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et OI ne recueille pas le consentement de son lecteur), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Scripts de la société commerciale états-unienne de paiement en ligne Stripe (js.stripe.com, m.stripe.com, m.stripe.network). Cette dernière a recours aux CDNs des sociétés commerciales états-uniennes Fastly et Amazon ;

  • Ces scripts ne semblent pas être utilisés (sur sa page de dons, OI a recours à un autre prestataire de paiement). Peut-être un plugin WordPress défectueux ? En tout état de cause, ces scripts pourraient être retirés ou inclus et téléchargés uniquement sur la page qui en a besoin, pas sur toutes les pages du site web d’OI. Principe de minimisation du RGPD ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, Stripe dépose et lit un cookie. Il s’agit d’un cookie tierce-partie de traçage qui n’est donc pas exempté de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). D’après sa politique de confidentialité (https://www.off-investigation.fr/politique-de-confidentialite/), OI classe ce cookie dans la catégorie des cookies « fonctionnels » et ainsi force son acceptation au motif « Nous utilisons Stripe pour le traitement de paiement. ». Or, ce cookie contient un identifiant unique (qui permet donc de tracer le lecteur d’OI) et il ne devrait pas être déposé lors de la consultation de chaque page web d’OI, encore moins quand ledit lecteur effectue aucun acte de paiement auprès d’OI.

• Polices de caractères Google Fonts hébergées sur les serveurs informatiques de la société commerciale états-unienne du même nom ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20) ;
    
    
  • A priori, le plugin WordPress « ays-popup-box » utilisé par OI sur son site web est responsable du déclenchement de ces téléchargements.

• Pour protéger le formulaire d’inscription à sa newsletter intégré à chaque page de son site web et l’encart permettant de se connecter à son compte présent dans tous ses articles, OI intégre le script reCAPTCHA de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière ;

  • Comme vous l’avez analysé dans votre mise en demeure du 15 juillet 2020 portant sur l’utilisation de reCAPTCHA dans la première version de StopCovid, dans votre décision du 11 avril 2022 portant sur l’utilisation de reCAPTCHA dans le formulaire de signalement de l’IGPN, et dans votre décision du 13 juillet 2022 portant sur l’utilisation de reCAPTCHA par la CNAM, l’utilisation de reCAPTCHA est soumise au consentement. Or, OI ne le recueille pas ;
    
    
  • Le traitement n’a donc pas de base légale. Un transfert de données personnelles vers les États-Unis pour télécharger un outil qui effectuera un traitement dénué de base légale (ou qui est basé sur le consentement) ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
• Scripts, feuilles de style, et images du service Translate de la société commerciale états-unienne Google hébergés sur les serveurs informatiques de cette dernière ;
  • On notera qu’une requête web de type POST est émise vers l’URL « https://translate.googleapis.com/element/log?format=json&hasfast=true&authuser=0 » (relevons le mot-clé « log » dans celle-ci). Les données émises ne sont pas formatées ni présentées d’une manière humainement lisible ou facilement décodable, mais la réponse JSON contient des éléments (« ANDROID_BACKUP », « BATTERY_STATS », etc.) qui laissent à penser que des informations techniques concernant le terminal du lecteur d’OI ont été transmises à Google ;
    
    
  • OI revendique être un « média d’enquête vidéo » (cf. https://www.off-investigation.fr/soutenir/). Or, lesdites vidéos ne sont pas traduites (ni à l’oral, ni via des sous-titres). OI s’adresse donc à un public francophone. De ce fait, la possibilité de traduire les articles écrits d’OI doit être regardé comme un service supplémentaire, annexe, pas comme étant nécessaire à l’exécution du contrat entre OI et son lecteur ;
    
    
  • En tout état de cause, il est possible d’utiliser Google Translate en mode API. Ce serait alors les serveurs informatiques d’OI qui seraient en contact direct avec ceux de Google, et plus le terminal du lecteur d’OI (Twitter propose cela pour traduire des tweets depuis son interface web, par exemple).

Ressources web externes téléchargées dans certains articles (en sus de toutes les précédentes) :

• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemple : https://www.off-investigation.fr/lvmh-ruffin-saisit-la-cour-europeenne-des-droits-de-lhomme/ ;
  • Il y a une intégration de vidéos YouTube sur certains articles uniquement, ce qui entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de Google auxquels le lecteur d’OI ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs d’OI ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Dans sa politique de confidentialité (https://www.off-investigation.fr/politique-de-confidentialite/), OI en informe son lecteur, mais ne lui permet pas de donner (ou non) son consentement ;
    
    
  • Cette utilisation de YouTube est incompréhensible puisqu’OI dispose de sa propre plateforme de vidéos hébergée dans l’UE et l’utilise dans certains de ses articles (exemple récent : https://www.off-investigation.fr/la-redac-la-bande-annonce/). Pourquoi cumuler avec YouTube ? OI choisi l’une des plateformes, forme ses équipes sur cette solution, etc., et cesse d'utiliser YouTube. Pratique courante en entreprise et conforme, elle, au principe de minimisation du RGPD. Le cumul permet à OI d’espérer se faire connaître (malgré les algorithmes de YouTube qui ne lui sont pas favorables), mais la disproportion entre le faible intérêt dont peut se prévaloir OI et l’atteinte conséquente (on parle de l’ogre Google…) aux droits de ses lecteurs le rend inacceptable.

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web aujourd’hui externalisées comme un outil de mesure d’audience, un outil de protection de formulaire web, une police de caractères, etc.

De même, il est possible de contracter avec des prestataires européens qui hébergent leurs serveurs informatiques au sein de l’UE, comme un CDN, un traducteur automatique, etc.

En sus, à l’exception des vidéos YouTube, de reCAPTCHA, et du CDN, le site web d’OI fonctionne parfaitement à fonctionnalités et contenu équivalents si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre OI et son lecteur.

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, par exemple), à un clic du lecteur d’OI sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par OI découle une disproportion entre l’intérêt, pour OI, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web d’Off Investigation, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. OI est tout l’inverse.

Je vais signaler, à Off Investigation, ces manquements au RGPD. Notons que, dans sa politique de confidentialité, seul un contact générique est prévu (pas celui d’un DPO), donc, comme bien souvent, mon signalement va atterrir sur le bureau de personnes qui ne sont pas outillées pour y répondre.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs qu’Off Investigation et que le reste de la presse « traditionnelle » sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre d’Off Investigation.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Siné mensuel

Introduction

Bonjour,

Le site web du journal Siné mensuel transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Analytics, Google Fonts, Google YouTube, BootstrapCDN (CDN Fastly).
Manquements répétés aux articles 44 et suivants du RGPD.

LRAR envoyée au journal le 13/02/2020. Pas de réponse. Les manquements perdurent à ce jour.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal Siné (« Siné » ci-après), https://www.sinemensuel.com/, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par Siné : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par Siné (exemple : une vidéo Google YouTube volontairement intégrée par Siné à l’un de ses articles fait télécharger, à son tour, la régie publicitaire Google DoubleClick).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être Siné dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de Siné et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de Siné, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur de Siné : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de Siné (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Je n’ai pas trouvé de politique de confidentialité (ou assimilé) sur le site web de Siné. De plus, on peut avoir la certitude que Siné met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de Siné le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par Siné. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur de Siné ne chemine pas par l’infrastructure technique de Siné ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur Siné et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à Siné et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

Siné ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, les différentes rubriques du menu, tous les articles, la boutique, etc.) :

• Script de mesure d’audience Google Analytics. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • Siné ne recourt pas à la publicité et il est essentiellement un journal papier. Son site web rediffuse les éditos, chroniques et articles déjà publiés dans la version papier. Dans ce contexte, à quoi sert un outil de mesure de l’audience ? Le nombre d’abonnés et de ventes sont un indicateur pertinent et suffisant. À quoi bon savoir quels articles de l’édition web sont lus et ont eu le plus de succès ? À rien, le journal est tout de même financé, et la version web n’est pas représentative du lectorat. Danger d'une presse qui se contenterait de servir à ses lecteurs seulement ce qu'ils veulent lire ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et Siné ne recueille pas le consentement de son lecteur), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.
• Scripts et feuilles de style jquery de la fondation états-unienne OpenJS hébergés sur les serveurs informatiques de la société commerciale états-unienne Google (ajax.googleapi.com) ;
  
  
• Script et feuille de style du projet BootstrapCDN hébergés par le projet JsDelivr, qui a recours aux CDNs des sociétés commerciales états-uniennes Cloudflare et Fastly.

Ressources web externes intégrées à certaines pages et articles :

• Polices de caractères téléchargées auprès du service Fonts de la société commerciale états-unienne Google ;

  • Pour rappel, Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au début de la présente plainte (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20) ;
    
    
  • Ces polices sont téléchargées uniquement depuis certaines pages (accueil, abonnements, etc.).
• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière.
  • Il y a une intégration d’une vidéo YouTube dans plusieurs articles (exemples : https://www.sinemensuel.com/playlist/la-playlist-de-septembre-de-djubaka/, https://www.sinemensuel.com/videos/doully-jai-rate-saint-pierre-parce-que-jetais-trop-defoncee-cest-con-2/) et sur la page d’accueil (quand des articles qui en contiennent sont en une). Ce n’est pas prévisible, et cela entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de Google auxquels le lecteur de Siné ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, par cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de Siné ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, Siné ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web externalisées comme les polices de caractères Google Fonts, les scripts et les feuilles de style BootstrapCDN / jquery, un outil de mesure d’audience, etc.

Ensuite, il est possible d'héberger ces ressources web auprès de prestataires européens dont les serveurs informatiques sont situés dans l'UE. Exemple : les journaux Blast et Off Investigation délèguent leur plateforme de vidéos PeerTube à la société commerciale française Octopuce (en remplacement de YouTube). De même, il existe des prestataires européens spécialisés dans la mesure d’audience dont les serveurs sont situés dans l’UE (en remplacement de Google Analytics).

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, par exemple), à un clic du lecteur de Siné sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

De plus, à l’exception des vidéos YouTube et d’une déformation visuelle, le site web de Siné fonctionne parfaitement à contenu équivalent si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre Siné et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par Siné découle une disproportion entre l’intérêt, pour Siné, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors d’une navigation sur le site web de Siné, les téléchargements automatiques de ressources web externes (scripts JavaScript, feuilles de style, polices de caractères, vidéos, etc.), propriétés de sociétés états-uniennes qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de plusieurs organisations états-uniennes sont commis par un journal qui se revendique indépendant, alternatif, et dont la ligne éditoriale prône l’anticapitalisme (dans lequel baignent pourtant les multinationales destinatrices des transferts sus-référencés). La divergence entre l’image dont se prévaut Siné et ses actes sus-énumérés constitue un abus de confiance caractérisé.

    D’autant que le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. Le site web de Siné est tout l’inverse.

Le 13/02/2020, j’ai signalé, par LRAR, les manquements au RGPD sus-référencés à la directrice de Siné (pas de DPO identifiable), cf PJ 1 et PJ 2. Je n’ai pas reçu de réponse.

Évidemment, l’argumentaire juridique était moins étayé (la CJUE avait déjà rendu son arrêt dit « Schrems I », cependant), mais je préconisais déjà des contournements techniques (internalisation, politique du référent, etc.) et des solutions organisationnelles (recourir à des prestataires européens, etc.).

Cet historique illustre l’indifférence au long cours et l’absence de volonté de Siné de se conformer au RGPD. En deux ans, aucun changement, aucune amélioration excepté, semble-t-il, le retrait de Google reCAPTCHA (qui n’était déjà plus utilisé en pratique).

J’estime avoir tenté d’exercer mes droits auprès de Siné. En tout état de cause, je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que Siné et que le reste de la presse sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de Siné.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

StreetPress

Introduction

Bonjour,

Le site web du journal StreetPress transfère des données personnelles de ses lecteurs vers les États-Unis. Exemples : Google Analytics, Facebook, Twitter, Adobe, CDN Cloudflare, Google YouTube, CDN Akamai, Google reCAPTCHA.
Manquements répétés aux articles 44 et suivants du RGPD.

Je vais signaler ses manquements à StreetPress en parallèle. Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD.

Vous trouverez, en pièce jointe, la version détaillée de ma plainte.

Le problème est sectoriel (tous les journaux), donc je vous encourage à grouper l'instruction de mes plaintes du jour.

Bonne journée.

Plainte détaillée

Bonjour,

Lors de sa consultation, le site web du journal StreetPress (« SP » ci-après), https://www.streetpress.com/, fait automatiquement télécharger, au navigateur web de ses lecteurs, des ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.) qui sont les propriétés de sociétés commerciales de droit états-unien (parfois européen) et qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien.

Notons que toutes les ressources web que j’évoquerai ne sont pas intégrées directement et volontairement à son site web par StreetPress : certaines sont téléchargées automatiquement, en cascade, par rebond, par des ressources web qui, elles, sont intégrées directement et volontairement par SP (exemple : un formulaire d’inscription à une newsletter volontairement intégré par SP fait télécharger, à son tour, Cloudflare Web Analytics).

Avant de poursuivre, je dois poser une définition. Un réseau de distribution de contenus (CDN) est un hébergeur informatique qui dispose de serveurs informatiques répartis dans une zone géographique donnée (pays, continent, monde) et qui s’intercale entre l’hébergeur informatique final d’un service en ligne et les utilisateurs dudit service. Il existe plusieurs modes de fonctionnement d’un CDN :

• Dans le premier, le CDN est uniquement un intermédiaire de transport, c’est-à-dire qu’il n’est pas destinataire des communications, donc il les répartit et/ou les transmet, sans les déchiffrer ni accéder à la requête web, à un ensemble de serveurs appartenant au client final (ce pourrait être SP dans le cas présent). Il reçoit alors uniquement l’adresse IP du visiteur et celle du site web de destination, mais pas les entêtes HTTP. Il ne consigne (journalise) pas les communications. Exemples de prestations de ce type : atténuateurs d’attaques par déni de service distribué (DDoS), optimisateur BGP, IP flottante / répartition passive de la charge ;
  
  
• Dans l’autre mode de fonctionnement, bien plus courant, le CDN possède plusieurs copies du contenu à servir (mise en cache), il est le destinataire des communications, donc il les déchiffre, il accède à la requête web, il la traite, il reçoit et consigne (journalise) l’adresse IP du visiteur, l’URL complète, et les entêtes HTTP (qui contiennent des données personnelles), et il sert le contenu web au visiteur.

Dans la suite de la présente, « CDN » signifiera toujours CDN du deuxième type. Il y a un contact direct entre le terminal du lecteur de SP et les serveurs informatiques des CDNs qui seront énumérés, donc il y a transfert, traitement et conservation de données personnelles (adresse IP, URL, entêtes HTTP) vers et par les sociétés commerciales états-uniennes propriétaires de CDNs qui seront énumérées, autant qu’avec un hébergeur informatique final.

Comme l’a jugé la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, lors de la consultation du site web de SP, les téléchargements de ressources web hébergées sur des serveurs informatiques détenus par des organisations états-uniennes génèrent en eux-mêmes et de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du lecteur SP : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses lectures de SP (les entêtes HTTP Referer et CORS Origin consignent pour le compte de quel site une ressource web externalisée est téléchargée), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web et/ou dans leurs coulisses, peut suivre une personne au sein d’un site web et entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser des transferts des données personnelles sus-présentées en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’Union européenne (UE) et les États-Unis, l’arrêt « Schrems II » (C-311/18) de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt « Schrems II » de la CJUE au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Dans son semblant de politique de confidentialité (https://www.streetpress.com/mentions), SP ne mentionne pas l’existence de transferts de données personnelles à un pays tiers non adéquat ni avoir recours à d’autres instruments juridiques que ceux, invalidés, qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que SP met en œuvre aucune mesure technique complémentaire, car son site web inclut des instructions techniques ordonnant au navigateur web du lecteur de SP le téléchargement automatique et en arrière-plan de ressources web directement auprès des serveurs informatiques des CDNs états-uniens et/ou des hébergeurs informatiques états-uniens choisis par les sociétés commerciales éditrices des ressources web intégrées à son site web par SP. Dès lors, une requête de téléchargement émise par le navigateur web du lecteur SP ne chemine pas par l’infrastructure technique de SP ni par celle des sociétés éditrices (dit autrement, il y a un contact direct entre le terminal du lecteur SP et les serveurs informatiques des prestataires d’hébergement états-uniens choisis par les sociétés éditrices), donc elle échappe totalement à SP et aux sociétés éditrices, qui peuvent, de ce seul fait, prendre aucune mesure technique.

    Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

SP ne recueille pas explicitement le consentement de son lecteur pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD. Le consentement prévu par cet article n’est, de fait, pas applicable ici.

La nécessité des transferts des données personnelles sus-énumérées aux États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un journal et son lecteur est irrecevable. Le motif de cette irrecevabilité varie en fonction de la ressource web et du transfert associé. C’est ce que je vais analyser maintenant.

Ressources web externes communes à toutes les pages (accueil, articles, pages référencées dans le menu, etc.) :

• Scripts et images de la plateforme de gestion du consentement (CMP) Axeptio de la société commerciale française Agilitation ;

  • Cette dernière héberge les scripts de sa CMP (api.axept.io, client.axept.io, et static.axept.io) auprès de la société commerciale états-unienne Amazon et ses images (axeptio.imgix.net) auprès de la société commerciale états-unienne Zebrafish Labs, qui elle-même, a recours au CDN de la société commerciale états-unienne Fastly ;
    
    
  • L’encart « Je choisis » de la CMP fait télécharger automatiquement les icônes correspondantes aux services qui déposeront des cookies (Facebook Pixel, Google Analytics, Google ReCAPTCHA, et Teads, Twitter dans le cas présent) depuis les serveurs informatiques de la société commerciale états-unienne Google (gstatic.com).

• Police de caractères et feuilles de style de la société commerciale états-unienne Adobe (use.typekit.net) diffusée via le CDN de la société commerciale états-unienne Akamai Technologies ;

• Scripts de traçage de la société commerciale états-unienne Twitter (analytics.twitter.com, static-ads.twitter.com) hébergés sur les serveurs informatiques de cette dernière ;

  • Ces scripts sont nativement étiquetés « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut. Le bandeau cookies nous informe qu’ils « identifie les visiteurs en provenance de Twitter ». Cela n’est pas nécessaire à l’exécution du contrat entre un journal et son lecteur.

• Scripts de traçage de la société commerciale états-unienne Facebook (connect.facebook.com) hébergés sur les serveurs informatiques de cette dernière ;

  • Ces scripts sont nativement étiquetés « traqueurs » par le navigateur web Mozilla Firefox dans sa configuration par défaut. Le bandeau cookies nous informe qu’ils « identifie les visiteurs en provenance de Facebook ». Cela n’est pas nécessaire à l’exécution du contrat entre un journal et son lecteur.

• Script de mesure d’audience Google Analytics via Google Tag Manager. Cf. votre mise en demeure du 10 février 2022 portant sur l’utilisation de cet outil ;

  • Le téléchargement de Google Tag Manager entraîne celui d’un script de collecte de la régie publicitaire de Google, DoubleClick. Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de SP ;
    
    
  • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat (et SP ne recueille pas le consentement de son lecteur), donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat.

• Formulaire d’inscription à une newsletter et scripts associés de la société commerciale française Sendinblue (in-automate.sendinblue.com ; sibautomation.com) diffusés via le CDN de la société commerciale états-unienne Cloudflare ;

  • L’intégration de ce formulaire de newsletter dans le pied de toutes les pages du site web SP entraîne le téléchargement du script de mesure d’audience de la société commerciale états-unienne Cloudflare (static.cloudflareinsights.com) que cette dernière héberge sur ses propres serveurs ;

    • Notons que la présentation de son outil par Cloudflare (https://www.cloudflare.com/fr-fr/web-analytics/) est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Comme rappelé ci-dessus, selon la Cour régionale de Munich (décision 3_O_17493/20 portant sur l’utilisation de Google Fonts) et l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics), le téléchargement du script (https ://static.cloudflareinsights.com/beacon.min.js/vaafb692b2aea4879b33c060e79fe94621666317369993) à partir de l’encart newsletter sur les pages web de SP génère un transfert, vers le service Web Analytics de Cloudflare, des données personnelles énumérées au début de la présente plainte ;
      
      
    • D’une manière générale, un outil d’analyse des audiences ne saurait être nécessaire à l’exécution d’un contrat, donc le transfert de données personnelles qui permet la récupération de l’outil permettant un tel traitement ne peut pas être considéré comme étant nécessaire à l’exécution d’un contrat. Surtout que cet outil est utilisé par un prestataire de SP pour son propre compte, pour ses besoins, pas pour ceux de SP, ce qui signifie que SP a aucun droit de regard.
  • En application du principe de minimisation prévu par le RGPD, SP pourrait proposer le formulaire d’inscription à sa newsletter dans une unique page web dédiée, et le pied de page pourrait pointer sur cette page interne. Ainsi, le téléchargement dudit formulaire (et les transferts de données personnelles qu’il constitue et entraîne) aurait lieu uniquement sur cette page, et non pas sur l’ensemble des pages, ce qui, de surcroît, constitue une surprise pour le lecteur de SP.

• Pour protéger le formulaire d’inscription à sa newsletter intégré à chaque page de son site web, SP intégre également le script reCAPTCHA de la société commerciale états-unienne Google, hébergé sur les serveurs informatiques de cette dernière ;

  • Comme vous l’avez analysé dans votre mise en demeure du 15 juillet 2020 portant sur l’utilisation de reCAPTCHA dans la première version de StopCovid, dans votre décision du 11 avril 2022 portant sur l’utilisation de reCAPTCHA dans le formulaire de signalement de l’IGPN, et dans votre décision du 13 juillet 2022 portant sur l’utilisation de reCAPTCHA par la CNAM, l’utilisation de reCAPTCHA est soumise au consentement. Or, SP ne le recueille pas ;
    
    
  • Le traitement n’a donc pas de base légale. Un transfert de données personnelles vers les États-Unis pour télécharger un outil qui effectuera un traitement dénué de base légale (ou qui est basé sur le consentement) ne saurait être regardé comme étant nécessaire à l’exécution d’un contrat.
• Dans tous ses articles, SP fait automatiquement télécharger les images, vidéos et scripts de la plateforme publicitaire de la société commerciale luxembourgeoise Teads qui les héberge auprès de la société Akamai Technologies.

Ressources web externes téléchargées dans certains articles (en sus des précédentes) :

• Vidéos YouTube de la société commerciale états-unienne Google hébergées sur les serveurs informatiques de cette dernière. Exemples : https://www.streetpress.com/sujet/1666791582-mort-suspecte-prison-maison-arret-nanterre-hauts-seine-troubles-psychiatriques-detenu-depute-sabrina-sebaihi-enquete-surveillants ;
  • Il y a une intégration de vidéos YouTube sur certains articles uniquement, ce qui entraîne plusieurs téléchargements (et donc plusieurs transferts de données personnelles) à destination de Google auxquels le lecteur de SP ne s’attend pas (absence d’une pratique généralisée et facilement identifiable) ;
    
    
  • Le téléchargement automatique du lecteur de vidéos de YouTube entraîne, par rebond, en cascade, le téléchargement de la régie publicitaire DoubleClick de Google puisque les deux services sont étroitement liés (YouTube est financé par la publicité ciblée de sa régie). Ce couplage de services représente un risque accru de collecte excessive et de réutilisation néfaste des données personnelles collectées sur le compte des lecteurs de SP ;
    
    
  • D’après les outils de développement du navigateur web Firefox et l’extension uMatrix, YouTube dépose et lit des cookies. Il s’agit de cookies tierce-partie de traçage (contenant deux identifiants uniques) qui ne sont donc pas exemptés de consentement selon votre typologie (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite). Or, SP ne recueille pas le consentement de son lecteur (absence de bandeau cookies ou assimilé).

En sus des motifs spécifiques énoncés au cas par cas ci-dessus, la nécessité des transferts de données personnelles vers les États-Unis sus-référencés n'est pas établie, car il est techniquement et juridiquement possible, et à coût nul, d’héberger en interne (sur les mêmes serveurs informatiques que les pages web) certaines ressources web externalisées comme une police de caractère, des vidéos (avec les logiciels ESUP Pod, PeerTube, etc.), un outil de mesure d’audience, une CMP, etc.

De même, il est possible de contracter avec des prestataires européens qui hébergent leurs serveurs informatiques au sein de l’UE, comme une CMP, un hébergeur de vidéos, un gestionnaire de newsletters, ou une régie publicitaire.

En tout état de cause, il est possible de conditionner certains téléchargements (vidéos YouTube, par exemple), à un clic du lecteur de SP sur un encart l’informant que l'affichage dudit contenu générera un ou plusieurs transferts de données personnelles vers un pays tiers non adéquat et récoltant son consentement (au sens de l’article 49.1a du RGPD).

De plus, à l’exception des vidéos YouTube et du formulaire de newsletter (et donc de reCAPTCHA), le site web de SP fonctionne parfaitement à fonctionnalités et contenu équivalents si l'on bloque tous les téléchargements sus-référencés (et donc les transferts de données personnelles vers les États-Unis qui en découlent) avec une extension pour navigateur web comme uMatrix, ce qui démontre qu'ils ne sont pas nécessaires à l'exécution du contrat entre SP et son lecteur.

Enfin, de l’existence des moyens alternatifs et crédibles sus-énumérés pour parvenir aux finalités recherchées par SP découle une disproportion entre l’intérêt, pour SP, de procéder aux transferts de données personnelles hors de l’UE sus-référencés et la forte atteinte aux droits de son lecteur que ces transferts constituent.

En conclusion, lors de la navigation sur le site web de StreetPress, les téléchargements automatiques de ressources web externes (scripts JavaScript, images, feuilles de style, polices de caractères, etc.), propriétés de sociétés états-uniennes (parfois européennes) qui sont hébergées sur des serveurs informatiques détenus par des organisations de droit états-unien, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

J'ai enregistré ces transferts illégaux de données personnelles hors de l’UE dans un journal des transactions HTTP au format HTTP ARchive (fichier HAR). J'ai constaté que l'APD autrichienne a déjà examiné de telles archives (cf. sa décision du 22 avril 2022 portant sur l’utilisation de Google Analytics).
    Ces enregistrements ont été réalisés le 29 octobre 2022 avec l’outil « Réseau » des « Outils de développement web » d’un navigateur web Mozilla Firefox version 102.4 ESR exécuté sur un système GNU/Linux Debian amd64. Profil vierge dédié. Paramètres par défaut. Désactivation de la protection renforcée contre le pistage. Une seule extension installée : uMatrix. Configurée pour tout autoriser et rien modifier (ni le référent, ni les balises noscript ni les liens d’audit ni…).
    Votre formulaire de dépôt d’une plainte n’autorise pas les fichiers HAR, et, en moyenne, mes fichiers dépassent la taille autorisée par votre formulaire. Je mets donc ces preuves à votre disposition via mon serveur web personnel : <CENSURE>. Le domaine (<CENSURE>) est le même que celui de l’adresse emails à laquelle vous m’envoyez les emails de suivi de mes plaintes (<CENSURE>).
    Je reste à votre disposition pour vous communiquer ces fichiers par tout autre moyen à votre convenance.

Ces multiples transferts auprès de nombreuses organisations états-uniennes constituent un abus de confiance, car le citoyen lambda n’a pas de repère : il ne dépend pas d’une palanquée d’acteurs états-uniens pour lire son journal papier (qui, certes, peut, lui, dépendre de tels acteurs pour sa production, comme de logiciels éditeurs de textes ou de mise en page), et, ce faisant, il est seul durant sa lecture de son journal, elle n’est pas espionnée, que ce soit par des traqueurs ou par de la publicité ciblée ou par des téléchargements de ressources web externes, personne sait quel article il a lu ou non. SP est tout l’inverse.

Je vais signaler, à StreetPress, ces manquements au RGPD. Notons qu’aucun DPO est désigné et qu’aucune procédure de contact spécifique est communiquée dans la pseudo politique de confidentialité. Mon signalement va donc atterrir sur le bureau de personnes qui ne sont pas outillées pour y répondre.

Les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.

L’écrasante majorité des journaux en ligne est gorgée de publicité ciblée, de traqueurs, de reciblage publicitaire (auprès des réseaux sociaux mais pas que), d’analyse d’audience / du parcours client, d’optimisateurs en tout genre, et d’appels à des ressources web de sociétés commerciales états-uniennes et/ou hébergées par de telles sociétés. Tout cela est téléchargé automatiquement et trop souvent avant même l’expression d’un consentement dans le bandeau cookies, et perdure après l’expression d’un refus. Les acteurs de la publicité vers lesquels un journal renvoie son lecteur changent en permanence, et ceux-ci se renvoient le lecteur entre eux via des noms de domaine Internet qui eux-mêmes changent en permanence. Vérifier la conformité RGPD d’un tel capharnaüm est extrêmement chronophage. C’est pour tout cela, en sus du fait que je n’en suis pas lecteur, que je n’analyserai pas la conformité RGPD des journaux « traditionnels » (Le Monde, Le Figaro, Les Echos, La Provence, Ouest France, etc.). Mais je vous invite vivement à le faire.

Cela illustre la nature sectorielle du problème. C’est à ce niveau-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes ont pour but de vous y inciter fortement. Ainsi, je vous encourage à traiter en lot mes plaintes déposées ce jour.

Notons que les journaux Reflets.info (généraliste), Blast (généraliste, qui a même sa propre plateforme de vidéos mais qui peine à trouver son équilibre financier), Next Inpact (qui, certes, est sectoriel et peine à trouver son équilibre financier), et Basta (généraliste), entre autres, sont éminemment plus respectueux de la vie privée de leurs lecteurs que StreetPress et que le reste de la presse « traditionnelle » sus-citée. Ils démontrent ainsi la faisabilité d’une presse en ligne respectueuse du RGPD et de la vie privée de ses abonnés. Il vous appartient d’encourager la profession à œuvrer en ce sens via des sanctions, y compris à l’encontre de StreetPress.

Pour être en conformité avec le RGPD, les journaux cités dans le paragraphe précédent ont dû investir (Next Inpact a créé de toutes pièces sa régie publicitaire dénuée de publicité ciblée ainsi qu’un guichet unique pour l’achat à l’article de titres de presse numérique et indépendante) et/ou renoncer à des revenus, c’est-à-dire accuser des manques à gagner (en ne respectant pas les codes rédactionnels tacites requis par la publicité ciblée ‒ gratuité des articles, instantanéité, sensationnalisme, exagération à outrance, absence d’approfondissement des sujets traités, etc. ‒, et en ne liant pas leur activité à ladite publicité ni au « ciblage d’audience » ni aux réseaux sociaux, les journaux sus-cités sont faiblement référencés et sacrifient leur visibilité, et donc des abonnements potentiels, sur l’autel du respect du RGPD, cf. https://www.nextinpact.com/blog/49408/next-inpact-est-en-reel-danger-mort). Cela peut s’analyser comme une distorsion illégale de la concurrence, d’une violation des règles de la concurrence entre les journaux, ultra minoritaires et pauvres, qui tendent à respecter le RGPD et ceux, majoritaires et très souvent bien portants, qui ne le respectent pas. Ce déséquilibre fort du marché ralentit fortement l’émergence d’une presse numérique respectueuse du RGPD.

À titre d’exemple, l’autorité fédérale de la concurrence allemande a estimé que certains traitements de données personnels mis en œuvre par la société commerciale Meta ne sont pas conformes au RGPD et constituent un abus de sa position dominante par ladite société (affaire CJUE C-252/21 pour questions préjudicielles).

Peut-être devriez-vous collaborer avec l’autorité de la concurrence française afin d’analyser la non-conformité au RGPD du secteur de la presse également sous l’angle de la concurrence faussée ?

Bonne journée.

Clap de fin pour Le Ravi, journal satirique indépendant en région PACA. :(

Soudaine absence de soutien des collectivités locales (Conseil régional, Conseil départemental), coûteuse présence en kiosque et transition numérique insuffisante, équipe sous dimensionnée, surchargée (journal, actions éducatives, etc.) et lessivée, enchaînement de procès-bâillon, etc.

Le format HAR permet de conserver une trace de toutes les requêtes web nécessaires pour afficher une page web. Date+heure, URL, adresse IP du serveur, entêtes de la question et de la réponse, contenu (au format texte quand c'est possible, au format base64 sinon), chronométrage, etc.

Concrètement, il s'agit d'un fichier JSON.

L'onglet « réseau » des outils de développement web de Firefox permet de créer une telle archive. Clic droit sur une requête ou roue crantée à droite du panneau, puis « Tout enregistrer en tant que HAR ». Cet outil sait également ouvrir une archive HAR.

La première fois que j'en ai entendu parler, c'est dans une analyse de l'Autorité de Protection des Données personnelles autrichienne (la CNIL autrichienne, quoi). Ce format a donc déjà servi dans des procédures administratives officielles. Cela permet de consigner les ressources externes d'une page web (Google Analytics, Google Fonts, etc.) pour en informer un responsable de traitement de données personnelles ou une APD ou qui tu veux.

Le libraire Decitre utilise le prestataire d'e-mailing états-unien MailChimp pour émettre ses emails de suivi d'une commande. Ce n'est pas conforme au RGPD (transfert illégal de données personnelles en dehors de l'UE, dont l'adresse emails du client Decitre), cf. la décision LDA-1085.1-12159/20-IDV de l'autorité de protection des données personnelles (APD) bavaroise portant sur MailChimp.

L'email contient des liens traçants et une image traçante. Liens traçants = identifiant unique + rebond via un intermédiaire avant d'atteindre la destination, afin d'enregistrer le clic sur tel lien. Image traçante = 1 x 1 pixel, transparente, avec un identifiant unique dans son nom, afin de détecter l'ouverture de l'email. Absence de nécessité et de collecte du consentement, donc infraction au RGPD. Le raisonnement juridique reste identique à mes autres plaintes sur le même sujet.

L'image traçante est téléchargée depuis la société commerciale états-unienne Amazon. La première destination est liens est aussi hébergée chez Amazon. Transfert illégal de données personnelles en dehors de l'UE dont l'adresse IP, la marque, le modèle et des caractéristiques techniques du terminal et du logiciel de messagerie, la date et l'heure de l'ouverture de l'email, etc. Le raisonnement juridique reste identique aux précédentes fois.

Du coup, hop, plainte à la CNIL.

Bonjour,

Après une commande sur le site web du libraire Decitre, ce dernier envoie légitimement des emails (confirmation de la commande, expédition, etc.). Voir PJ 1 (j’ai tronqué du code source les 50 pages de PJ encodées en base64) et PJ 2 (le rendu des emails est rustique, car je désactive l’affichage HTML de tous mes emails).

Tous les liens de la version HTML de chacun de ces emails sont des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). La version HTML de chaque email contient également une image de traçage.

L’image traçante contenue dans les emails et mise en évidence dans PJ 3 et PJ 4 est téléchargée auprès des serveurs web du prestataire d’hébergement informatique de la société commerciale The Rocket Science Group, détentrice des marques Mailchimp et Mandrill, qui agit ici en tant que prestataire de Decitre pour l’envoi desdits emails (cf. les entêtes « Received » des emails).

    Ce téléchargement se fait via un nom de domaine Internet dédié (cf. la section concernant les liens traçants ci-dessous), pas depuis celui de Decitre. Par contraste, les images qui participent au contenu (bandeau dans l’entête, logos, etc.) sont téléchargées depuis le site web de Decitre.

    De plus, il s’agit d’une image transparente de dimensions 1 pixel sur 1 pixel, autrement dit d’une image sans valeur éditoriale / rédactionnelle.

    Dans son URL, on constate l’expressif libellé « track ». On note qu’un des paramètres de l’URL est le numéro de client de Decitre auprès de The Rocket Science Group (cf. entête « X-Mandrill-User »), alors que l’autre est l’identifiant unique de l’email.

Ces différents critères sont ceux d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du client Decitre.

Les liens traçants (accès au suivi de la commande, à la facture, au suivi du colis, au site web de Decitre, etc.) mis en évidence dans PJ 3 et PJ 4 pointent d’abord sur les serveurs web du prestataire de The Rocket Science Group qui redirigent, dans un deuxième temps, vers les destinations finales (site web de Decitre, suivi du colis, etc.).

Rien empêche techniquement Decitre (et son prestataire) d’utiliser des liens directs (qui pointent vers la destination sans rebond préalable via les serveurs de The Rocket Science Group). D’ailleurs, dans la version texte de l’emails, par contrainte technique, les liens sont directs (cf. les premières pages de PJ 1 et PJ 2).

Constats supplémentaires concernant ces liens traçants :

• Présence, dans l’URL, d’un libellé très expressif : « track » ;
  
  
• Présence, dans l’URL, du numéro de client de Decitre auprès de The Rocket Science Group (cf. entête « X-Mandrill-User ») ;
  
  
• Présence, dans l’URL de deux identifiants uniques, l’un de 10 caractères, l’autre de 105 caractères. Ces caractères sont identiques entre tous les liens d’un même email et doivent, à ce titre, servir à identifier de manière unique ledit email parmi tous les emails envoyés. Le reste des caractères sert à identifier un lien précis dans l’email (afin de détecter ceux actionnés par le destinataire) et à coder la véritable destination du lien (vers laquelle il convient de rediriger après traçage) ;
  
  
• Le nom de domaine Internet dédié (« mandrillapp.com »), commun avec l’image traçante, est loué par The Rocket Science Group, et les serveurs web vers lesquels il pointe, et qui effectuent le traçage et la redirection, sont ceux de la société états-unienne Amazon, qui intervient comme hébergeur informatique de The Rocket Science Group.

    $ whois mandrillapp.com | grep 'Registrant Organization'
    Registrant Organization: THE ROCKET SCIENCE GROUP LLC

    $ dig +short mandrillapp.com | xargs -L1 whois | grep Organization | sort -u
    Organization: Amazon Data Services Ireland Limited (ADSIL-1)
    Organization: Amazon Technologies Inc. (AT-88-Z)

La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final). Decitre y a d’ailleurs recours, par contrainte technique, dans la version texte de son email.

    De plus, je n’ai pas cliqué sur les liens (sauf a posteriori pour rédiger la présente) et mon logiciel de messagerie n’a pas téléchargé l’image traçante puisque je désactive l’affichage HTML de tous mes emails. Decitre (et son prestataire) a donc collecté aucune donnée de traçage me concernant, et cela a eu aucune incidence sur le traitement de ma commande et sa bonne réception. Ces liens traçants et cette image traçante ne sont donc pas nécessaires à l’exécution de mon contrat avec Decitre, mais, en sus, ils constituent des traitements de données personnelles superflus en infraction avec le principe de minimisation du RGPD.

Le client Decitre, destinataire de ces emails, n'est pas informé de l’aspect traçant des liens et de l’image qu’ils contiennent et son consentement n'est pas récolté.

Il découle des deux points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

L’envoi des emails est effectué par Mandrill / MailChimp / The Rocket Science Group (cf. entêtes « Received » des emails dans PJ 1 et PJ 2), société commerciale états-unienne, filiale de Intuit, une autre société commerciale états-unienne.

Il y a donc transfert de données personnelles (adresse emails du client Decitre associée à un numéro de transaction bancaire, à une commande et à des produits, à une date de commande, à une date d’envoi, etc.) à une entité de droit états-unien.

Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp.

Comme constaté ci-dessus, le téléchargement (automatique) de l’image traçante et des redirections (en cas de clic sur un lien) se fait auprès des serveurs de la société commerciale états-unienne Amazon. Il y a un contact direct entre le terminal du client Decitre et les serveurs informatiques du prestataire d’hébergement états-unien (Amazon) choisi par le prestataire d’e-mailing états-unien (MailChimp) retenu par Decitre.

Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20 portant sur Google Fonts) et comme l’APD autrichienne (décision du 22 avril 2022 portant sur l’utilisation de Google Analytics) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’avez analysé, ces téléchargements en eux-mêmes génèrent de facto des transferts hors de l’Union européenne (UE) de plusieurs données personnelles du client Decitre : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de l’ouverture de l’email Decitre et de ses éventuels clics sur les liens qu’il contient, la marque et le modèle de son logiciel de messagerie, et, en cas de clic sur un lien, de son navigateur web (entête HTTP User-Agent dans les deux cas), etc.

    Ces transferts de données personnelles sont distincts de celui que Decitre réalise avec son prestataire d’e-mailing décrit dans le grief précédent afin d’émettre ses emails. Il s’agit de transferts supplémentaires.

    Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes HTTP sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique comme Amazon qui, par sa présence dans les coulisses de nombreux sites web, peut suivre une personne entre les sites web (et ses emails, dans le cas présent) et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

    D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser les transferts de données personnelles sus-présentés en dehors de l’UE.

    Il n’existe, à l’heure actuelle, aucune décision d’adéquation entre l’UE et les États-Unis (arrêt Schrems II de la CJUE).

    Les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE, par l’EDPS (décision numéro 2020-1013) et par différentes APD (dont vous dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics), au motif de la hiérarchie des normes et de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

    Le contact direct entre le terminal du client Decitre et les serveurs informatiques du prestataire d’hébergement états-unien (Amazon) démontre que Decitre (et son prestataire MailChimp) met en œuvre aucune mesure technique complémentaire (le contact direct les en empêche).

    Le RGPD ne prévoit pas d’approche basée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat (décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics).

    Decitre ne recueille pas explicitement le consentement de son client pour les transferts de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ces transferts peuvent comporter pour lui, comme l’impose l’article 49.1a du RGPD.

    La nécessité des transferts des données personnelles sus-énumérées vers les États-Unis au motif de l’exécution d’un contrat (article 49.1b du RGPD) entre un libraire et son client est irrecevable. Le traitement de données personnelles (traque de l’ouverture de l’email et des clics) étant illégal, des transferts de données personnelles vers les États-Unis pour le réaliser aggrave l’infraction au RGPD. Sans compter qu’il existe des prestataires d’e-mailing européens disposant de serveurs informatiques dans l’UE.

    Quand bien même Mandrill / MailChimp / The Rocket Science Group serait hébergée sur des serveurs d’Amazon situés dans l’UE (cf. ci-dessus, les adresses IP depuis lesquelles sont téléchargées l’image traçante et les pages de redirection sont déclarées comme étant louées par la société irlandaise Amazon Data Services Ireland Limited), Amazon est une société de droit états-unien, donc le Cloud Act est de pleine application, et le lieu d’hébergement effectif n’a pas d’importance.

Ainsi, le téléchargement automatique de l’image traçante à l’ouverture des emails envoyés par Decitre, ainsi que ceux des pages de redirection (en cas de clic sur l’un des liens contenus dans l’email), auprès de serveurs informatiques détenus par une société commerciale états-unienne, et les transferts de données personnelles vers les États-Unis qui en découlent sont donc illégaux.

Je vais signaler, au DPO de Decitre (celui de Nosoli, la maison-mère, en réalité), ces manquements au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi plusieurs violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Après une première plainte concernant l'impossibilité de s'inscrire à Pôle emploi sans accepter le téléchargement de scripts hébergés sur les serveurs informatiques d'une société commerciale états-unienne (ce qui contrevient au RGPD), une deuxième concernant les liens et image traçants contenus dans les emails envoyés par Pôle emploi (nouveau courrier, présentation d'une formation, échange avec un conseiller, etc.).

Liens traçants = identifiant unique + rebond via un intermédiaire avant d'atteindre la destination, afin d'enregistrer le clic sur tel lien. Image traçante = 1 x 1 pixel, transparente (ou blanche dans le cas présent), avec un identifiant unique dans son nom, afin de détecter l'ouverture de l'email.

Aucune nécessité. Aucune collecte du consentement. Infraction RGPD.

Du coup, hop, plainte à la CNIL.

Le raisonnement juridique reste identique à mes autres plaintes sur le même sujet.

Ma plainte CNIL :

Bonjour,

Lors d’un échange par emails entre un demandeur d’emploi et un conseiller Pôle emploi selon le seul procédé mis en place par Pôle emploi, les réponses dudit conseiller contiennent des « liens de traçage » (d'après votre terminologie, cf. https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger) ainsi que des images de traçage. Cf. PJ 1 (le rendu de l’email est rustique, car je désactive l’affichage HTML de tous mes emails).

L’image traçante est téléchargée auprès de la société commerciale SFR, qui agit ici en tant que prestataire de Pôle emploi pour l’envoi desdits emails (cf. les entêtes « Received » de l’email dans la PJ 1).

    Ce téléchargement se fait via un nom de domaine Internet dédié (cf. ci-dessous), pas depuis ceux bien connus loués par Pôle emploi. Par contraste, les images qui participent au contenu (logo de l’entête, image dans le pied de page) sont téléchargées depuis le site web de Pôle emploi.

    De plus, il s’agit d’une image blanche de dimensions 1 pixel sur 1 pixel, dit autrement, d’un point blanc sans valeur éditoriale / rédactionnelle. Voir PJ 2.

Ces différents critères sont ceux d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du demandeur d’emploi.

La destination des liens traçants contenus dans l’email est l’accueil du site web de Pôle emploi d’une part, et un lien « mailto : » permettant de répondre à son conseiller d’autre part.

    Ces liens pointent d’abord sur les serveurs web du prestataire SFR qui redirigent vers les destinations finales. Voir PJ 3. Rien empêche techniquement Pôle emploi (et son prestataire) d’utiliser des liens directs (qui pointent vers la destination sans rebond préalable via les serveurs de SFR). D’ailleurs, un lien « mailto : » direct est inséré à la fin de l’email (mais il n’apporte pas les mêmes fonctionnalités que le lien traçant, car il n’auto-complète pas le sujet de l’email avec le numéro de l’échange).

Constats supplémentaires concernant ces liens traçants :

• Présence d’un identifiant unique dans l’URL : les 44 premiers caractères sont identiques entre tous les liens de l’email et doivent, à ce titre, servir à identifier de manière unique ledit email parmi tous les emails envoyés. Le reste des caractères sert à identifier un lien précis dans l’email et à coder la véritable destination du lien (vers laquelle il convient de rediriger après traçage) ;
  
  
• Le nom de domaine Internet dédié (« dmcv2.poleemploi.sfr-sh.fr »), commun avec l’image traçante, est loué par SFR, et les serveurs web vers lesquels il pointe, et qui effectuent le traçage et la redirection, sont ceux de SFR.

    $ whois sfr-sh.fr | grep -i -A1 organization
    type: ORGANIZATION
    contact: SOCIETE FRANCAISE DU RADIOTELEPHONE – SFR

    $ dig +short dmcv2.poleemploi.sfr-sh.fr
    87.255.147.20

    $ whois 87.255.147.20 | grep -i netname
    netname: SFR-HOSTING

La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final).

    De plus, je n’ai pas cliqué sur les liens (sauf pour rédiger la présente) et mon logiciel de messagerie n’a pas téléchargé l’image traçante puisque je désactive l’affichage HTML de tous mes emails. Pôle emploi a donc collecté aucune donnée de traçage me concernant, et cela a eu aucune incidence sur mes échanges avec les conseillers de Pôle emploi ni sur le traitement de mes demandes que ces échanges véhiculaient. Ces liens traçants et cette image traçante constituent donc des traitements de données personnelles superflus en infraction avec le principe de minimisation du RGPD.

    Enfin, les échanges par email avec un conseiller étant un service facultatif, complémentaire et incident à une inscription à Pôle emploi, celui-ci ne peut se prévaloir d’une quelconque obligation légale pour procéder à ce traçage.

Le demandeur d’emploi, destinataire de ces emails, n'est pas informé de l’aspect traçant des liens et de l’image qu’ils contiennent et son consentement n'est pas récolté.

Il découle des deux points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).

Je vais signaler, au DPO de Pôle emploi, ces manquements au RGPD afin qu’il s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’il entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis à une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.

Bonne journée.

Complément de plainte déposé le même jour :

Re bonjour,

Les emails dont le sujet est « Vous avez reçu un courrier […] » envoyés régulièrement par Pôle emploi contiennent eux aussi des liens de traçage et une image de traçage. Voir PJ 1.

Il en va de même pour les emails de présentation d'une formation. Voir PJ 2 pour les liens. Le code source HTML de l'email étant encodé en base 64, il faut le décoder pour constater la présence de l'image de traçage. C'est l'objet de la PJ 3.

Bonne journée.

ÉDIT DU 20/07/2023 :

Complément de réclamation envoyé le 16/04/2023 :

Bonjour,

Durant mon échange avec le DPO de Pôle emploi concernant la non-conformité du service Sphère emploi (cf. ma réclamation CNIL numéro <CENSURE>), celui-ci m'a informé que, suite à mon signalement, les emails émis par Sphère emploi ne contiennent plus ni images de traçage ni lien de traçage : « Enfin, les différents systèmes de traçages que vous avait relevé sont désactivés : les e-mails ne contiennent plus d’images tracées ni d’URL tracées. Ils ne contiennent plus de pixel de traçage de l’ouverture […] ». Cf. PJ 1.

Ce faisant, le DPO de Pôle emploi reconnaît que les différents dispositifs de traçage des emails de Sphère emploi n'étaient pas conformes au RGPD.

Pourtant, à date, les emails envoyés régulièrement aux demandeurs d'emploi hors Sphère emploi (« Vous avez reçu un courrier […] dans votre espace pole-emploi.fr », présentation d'une formation, lettre d'information, réponse d'un conseiller, etc.), qui sont l'objet de la présente réclamation CNIL, contiennent toujours les dispositifs de traçage énumérés dans ma demande initiale et dans mon complément.

Je l’ai signalé au DPO de Pôle emploi le 20/03/2023. Cf. haut de la page 2 de PJ 2. Sa réponse type polie du 14/04/2023 reste muette sur ce point. Cf. PJ 3.

En conséquence, je sollicite toujours l’intervention de la CNIL dans ce dossier.

Bonne journée.

FIN DE L'ÉDIT DU 20/07/2023.

Sur ma station de travail Debian GNU/Linux, je reçois l'erreur suivante en redémarrant mon client OpenVPN :

sudo systemctl restart openvpn-client@<fournisseur_censuré>.service
Failed to restart openvpn-client@<fournisseur_censuré>.service: Unit var.mount is masked.

Je valide la solution énoncée dans la causerie pointée par ce shaarli : sudo systemctl --runtime unmask --quiet var.mount.

Je confirme l'origine du problème : j'ai fermé gparted avec un ctrl + c (oui, je lance gparted depuis le terminal, par habitude, et pour éviter la saisie de mon mdp dans une interface graphique).

Bref, soyez gentil avec votre gparted, fermez-le avec la petite croix de windowsien. :)

J'achète un nouveau disque dur externe USB, et je copie mes données depuis mon "ancien" disque dur externe USB. Le débit plafonne à 35 mo/s sur des fichiers de plusieurs dizaines de gigaoctets.

htop montre que le CPU se touche, ce qui innocente la couche de chiffrement. dstat et usbtop mettent en évidence que le disque source lit quelques ko/s en permanence, et que le disque de destination est au taquet à 35 mo/s en permanence. Donc, a priori, le problème provient bien du disque de destination ?

lsusb -t (découverte ici) affiche les bus et les ports USB sous forme hiérarchique (un arbre). Ainsi que leur vitesse. Tiens, j'ai un bus à 5 Gbps (USB 3.2 Gen 1x1) et les trois autres en 480 Mbps (USB 2). Tiens, le disque source est sur un port USB 2 alors que le disque destination est sur un port USB 3.2.

Je branche le disque source sur un port USB 3 et je relance la copie. > 90 mo/s. \o/ La solution n'est pas raccord avec ce que montraient dstat et usbtop, mais bon…

Chercher des morceaux de texte en fonction de leur formatage (italique, gras, etc.) avec Writer ? Outil « Rechercher et remplacer » (ctrl + h), bouton « Format… ».

Attention, ce critère de recherche sera appliqué aux futures recherches, même celles effectuées avec l'outil « Recherche » simple (ctrl + f), même après la fermeture de Writer. Pour le supprimer, utiliser le bouton « Aucun format » de l'outil Rechercher et remplacer.

Chercher en ligne de commande dans l'historique et dans les téléchargements Firefox : echo 'SELECT url FROM moz_places ORDER BY last_visit_date ASC;' | sqlite3 places.sqlite | grep […].

Chercher en ligne de commande dans les favoris Firefox : echo 'SELECT url FROM moz_bookmarks INNER JOIN moz_places ON moz_bookmarks.fk = moz_places.id ORDER BY lastModified ASC;' | sqlite3 places.sqlite | grep […].

Le fichier « places.sqlite » se trouve à la racine du profil Firefox (généralement : .mozilla/firefox/*.default/places.sqlite).

Le schéma de cette base de données est disponible ici.