GuiGui's Show

Fil rouge : trouver un coiffeur à Amiens avec OpenStreetMap, l'outil de cartographie libre de droit, communautaire, collaboratif et gratuit.

Avec une application mobile GPS qui utilise les données d'OpenStreetMap, comme OSMAnd~, c'est facile : on utilise son moteur de recherche et c'est plié.

On peut chercher « coiffure Amiens » dans le moteur de recherche d'OpenStreetMap. On trouvera toutes les boutiques dont le nom contient « coiffure », mais ce n'est pas satisfaisant : les salons de coiffure dépourvus du mot « coiffure » dans leur nom nous échapperont et l'on obtiendra une liste de résultats au format texte (on ne les verra pas sur la carte, on ne pourra pas en déduire la proximité ‒ sauf à cliquer sur chaque ‒, et il faudra cliquer sur le bouton « Plus de résultats » un bon moment).

On peut utiliser Overpass API turbo pour chercher dans les données du projet OpenStreetMap.

Sur la carte, il y a un bouton « sélection manuelle des limites bbox ». On clique dessus puis on trace la zone de recherche désirée sur la carte.

Un salon de coiffure, c'est un item qui a un attribut « shop » dont la valeur est « hairdresser ». Pour le savoir, depuis le site web OpenStreetMap, on utilise l'outil requêteur (menu de droite sur la carte, item tout en bas dont l'icône est un pointeur de souris et un point d'interrogation). On clique sur un salon de coiffure, et on regarde ses attributs.

On utilise donc le code suivant :

node[shop=hairdresser]({{bbox}});
out;

On exécute la requête et… la liste des résultats apparaît sur la carte. \o/

On peut également préciser la zone de recherche de manière textuelle :

area[name="Amiens"];
node[shop=hairdresser](area);
out;

Ici, j'ai donné le nom (son attribut « name ») de la relation qui matérialise la frontière / limite administrative d'Amiens. Attention : ce n'est pas toujours le nom de la ville.

Comment fait-on pour trouver la frontière / limite administrative, alors ? Sur OpenStreetMap, on utilise le requêteur (menu de droite sur la carte, item tout en bas dont l'icône est un pointeur de souris et un point d'interrogation). On clique sur Amiens. Dans la liste des résultats située à gauche, on cherche la section « Objets englobants ». On identifie « Limite communale Amiens » et on clique dessus. On trouve l'attribut « name » et sa valeur, « Amiens ».

On peut également cumuler plusieurs critères de recherche. Trouver tous les salons de coiffure accessibles en fauteuil roulant situés à Amiens (la base de données OpenStreetMap n'en contient pas, mais cette requête fonctionne dans d'autres villes) :

area[name="Amiens"];
node[shop=hairdresser][wheelchair=yes](area);
out;

Tous les salons de coiffure d'Amiens ouverts le lundi ?

area[name="Amiens"];
node[shop=hairdresser][opening_hours~'Mo'](area);
out;

Pour en apprendre plus sur la syntaxe du langage d'Overpass API turbo, voir cet excellent tutoriel.

Fil rouge : sur le journal Basta!, je veux virer le pop-up « Bien s'informer, c'est déjà s'engager » qui propose de s'inscrire à une newsletter ou de soutenir.

Le sélecteur d'uBlock Origin permet de générer, en mode clic-clic, les règles qui font disparaître le pop-up et le fond noir :

basta.media##.lity-wrap
basta.media##.lity-ready.lity-inline.lity-opened.c-popin.lity.box_modalbox.box_mediabox

Mais on ne peut pas scroller sur la page.

En regardant le DOM avec l'outil « inspecteur » des outils de développement web (ça n'apparaît pas dans le code source, car c'est du JavaScript qui produit ça), on voit ceci : <html class="page_article ltr fr js lity-active rvgyiqzhhi idc0_341" […] >.
Hum… On retrouve le nom du pop-up, « lity ». Si l'on supprime la valeur « lity-active » de l'attribut « class » de l'élément « html », on peut à nouveau scroller.

Pour supprimer une classe avec uBlock Origin, il suffit de lire la doc' : basta.media##+js(rc, lity-active, html).

Hum… Ça ne fonctionne pas. J'ai essayé au pif les paramètres de la fonction, basta.media##+js(rc, lity-active, html, stay) : cela fonctionne. Le JavaScript qui ajoute cette classe doit s'exécuter plusieurs fois, pas uniquement quand la page devient interactive (alors qu'uBlock Origin s'exécute à ce moment-là uniquement).

Ainsi, pour surfer en paix sur Basta!, les règles pour uBlock Origin sont :

basta.media##.lity-wrap
basta.media##.lity-ready.lity-inline.lity-opened.c-popin.lity.box_modalbox.box_mediabox
basta.media##+js(rc, lity-active, html, stay)

Plus simple et rapide, désactiver le JavaScript sur Basta! (avec uMatrix, par exemple) fonctionne également très bien sans effet secondaire. :D

Le 29/04/2022, j'ai signalé au délégué à la protection des données personnelles (DPO) de la section régionale de la Banque Populaire dont je dépends deux types d'infractions au RGPD commises sur le nouvel espace client de la Banque Populaire (voir) :

• Téléchargement automatique de ressources (feuille de style, police de caractères, scripts JavaScript) depuis des serveurs informatiques tiers situés aux États-Unis et/ou détenus par des sociétés commerciales états-uniennes hors des dispositions prévues par le RGPD. Exemple : Google Fonts ;
  
  
• Téléchargement automatique de ressources depuis des serveurs informatiques tiers situés dans l'Union européenne et/ou détenus par des sociétés commerciales européennes sans base légale. Exemple : KeyCDN.

Le 4 juillet 2022, le DPO de la Banque Populaire régionale m'a répondu (exemplaire PDF) :

Monsieur,

Nous vous remercions de votre courrier qui a retenu toute notre attention.

La Banque Populaire XXXXXXXXXX demeure très attentive à la protection des données personnelles en sa qualité d'acteur bancaire et déploie tous les efforts nécessaires afin de préserver les informations de ses clients.

Vous nous avez alertez sur le recours à des scripts téléchargés depuis des ressources externes pouvant entraîner un transfert en dehors de l’Union Européenne de l'adresse IP.

A titre liminaire, nous nous permettons de vous rappeler que l'intervention de sociétés américaines ou affiliées à des sociétés américaines, en qualité de destinataire de ces informations, n'implique pas de facto l'existence d’un transfert de données personnelles en direction des Etats-Unis. Quand tel est le cas, ou lorsque des flux de données personnelles sont transférées vers tout autre pays non adéquat, nous mettons en place des mesures techniques, organisationnelles et contractuelles appropriées après diagnostic de la sensibilité de ces données transférées et dans le respect des conditions de l'article 46 du RGPD et en conformité avec notre notice d’information.

Au service de nos clients, nous demeurons soucieux de la protection de leurs données personnelles et espérons vous avoir apporté les éclaircissements attendus.

Je vous souhaite bonne réception de la présente et vous prie d’agréer, Monsieur, l'assurance de mes salutations distinguées.

Qu'en penser ? Absence de réponse sur le deuxième type d'infractions, forte suspicion d'ignorance des aspects techniques, réponse d'ordre général / pas un mot sur les infractions relevées, probable ignorance des récentes décisions en la matière pourtant référencées dans mon courrier initial, et de ce fait, négation de la réalité et énonciation d'inexactitudes. Après deux mois de cogitation. Chapeau, l'artiste !

J'ai du mal à interpréter cette réponse autrement que comme une volonté flagrante de ne pas comprendre, de ne pas traiter ma demande ou d'y faire obstruction afin de faire perdurer les pratiques de la banque. Mais peut-être est-ce de l'incompétence ?

Énième exemple de l'inefficacité des recours internes (comme les dispositifs pour les lanceurs d'alerte) et des autorités de contrôle sectorielles (CNIL, ARCEP, IGPN, etc).

Que faire ? Répondre dans le vent ? N'est-ce pas cramer inutilement de l'énergie ? Signaler la réponse à la CNIL qui va rien faire ?

Malgré l'absence d'espoir, j'ai décidé de répondre. De tenter la pédagogie une fois de plus. Et de secouer la CNIL. Motivations : consigner le foutage de gueule, mettre en lumière les carences des uns et des autres, et documenter le naufrage, l'écart entre la théorie (la jolie réglementation) et la réalité.

Résumé de mon argumentaire :

• Concernant le téléchargement automatique de ressources depuis des serveurs informatiques tiers situés aux États-Unis et/ou détenus par des sociétés commerciales états-uniennes :

  • L'inclusion de feuilles de style, de polices de caractère, de scripts, etc. hébergés par un tiers génère un transfert de données personnelles chez ce tiers (adresses IP, entêtes techniques HTTP). Ces données personnelles, qui se renforcent entre elles, sont discriminantes / individualisantes, surtout pour un acteur hégémonique présent sur un grand nombre de sites web qui peut alors identifier des personnes physiques et/ou suivre leur navigation sur le web ;
    
    

  • Un transfert de données personnelles en dehors de l'Union européenne peut avoir lieu uniquement si une décision d'adéquation existe (article 45 du RGPD), ou si des garanties appropriées sont mises en œuvre (article 46 du RGPD), ou si ça fait partie des exceptions prévues par l'article 49 du RGPD (consentement ou traitement nécessaire à l'exécution d'un contrat) ;

  • Or, concernant Google Fonts utilisé en mode API (on laisse le navigateur web du visiteur télécharger directement la police de caractères sur les serveurs informatiques de Google) :

    • Google reconnaît recevoir et stocker des données personnelles ;
      
      
    • De toute façon, le transfert de l'adresse IP aux États-Unis a été entériné par plusieurs juridictions et autorités de contrôle ;
      
      
    • Il n'existe plus de décision d'adéquation entre les États-Unis et le droit européen (RGPD). La dernière, le Privacy Shield, a été invalidée par la Cour de Justice de l'Union européenne en 2020 (arrêt dit « Schrems II ») ;
      
      
    • Comme l'indique Google elle-même, sa mise en œuvre des clauses contractuelles types, l'un des mécanismes prévus à l'article 46 du RGPD, ne couvre pas son service Google Fonts. De toute façon, ces clauses et les autres garanties présentées par Google sont irrecevables ;
      
      
    • La Banque Populaire n'évoque pas l'existence d'autres dispositions contractuelles au sens de l'article 46 du RGPD et l'on peut constater qu'aucune garantie technique est mise en œuvre ;
      
      
    • La Banque Populaire ne saurait bénéficier des exceptions de l'article 49 du RGPD : le consentement n'est pas recueilli et il serait de toute façon vicié car Google Fonts est nécessaire à l'utilisation de l'espace client ; la nécessité du transfert pour l'exécution du contrat est inexistante ;
  • Conclusion : le transfert de données personnelles à Google lors de l'utilisation de Google Fonts sur l'espace client de la Banque Populaire est dénué de base légale ;
    
    
  • Ce raisonnement s'applique aux autres ressources que l'espace client web de la Banque Populaire fait télécharger automatiquement aux navigateurs web de ses clients auprès des entités ricaines AppDynamics, Tealium et Ibenta.

• Concernant le téléchargement automatique de ressources depuis des serveurs informatiques tiers situés dans l'Union européenne et/ou détenus par des sociétés commerciales européennes :

  • Comme au premier point, l'inclusion de feuilles de style, de polices de caractère, de scripts, etc. hébergés par un tiers génère un transfert de données personnelles chez ce tiers (adresses IP, entêtes techniques HTTP) ;
    
    
  • Le transfert à un tiers est libre, mais il faut une finalité et une base légale à ce traitement de données personnelles (même s'il est internalisé). Le RGPD prévoit six bases légales, mais deux sont susceptibles de s'appliquer dans le cas d'espèce : l'intérêt légitime et le consentement ;
    
    
  • Pour décrocher l'intérêt légitime, il faut que le traitement ait un réel intérêt, qu'il soit nécessaire et que l'atteinte aux droits des personnes soit proportionnée. Un outil de gestion de la performance (KeyCDN) un mécanisme de tests A/B ne remplissent pas ces conditions. À titre d'analogie, la Cour régionale de Munich fait le même constat pour l'utilisation de Google Fonts ;
    
    
  • Le consentement explicite et spécifique du client Banque Populaire n'est pas recueilli et le refus des cookies dans le pop-up dédié ne désactive pas le téléchargement des ressources éditées par KeyCDN et Kameleoon ;
    
    
  • Conclusion : le système de gestion de la performance KeyCDN et le mécanisme de tests A/B Kameleoon sont utilisés en dehors de toute base légale par la Banque Populaire.

Ma réponse au DPO de ma Banque Populaire régionale :

Objet : suite non-conformité RGPD nouvel espace client BP

Bonjour,

Je fais suite à votre réponse du 4 juillet 2022 à mon courrier du 29 avril 2022.

Vous m’adressez une réponse d’ordre général alors que mon relevé d’infractions au RGPD appelle une réponse contextualisée et circonstanciée aux cas d’espèce.

D’abord, vous écrivez « Vous nous avez alertez sur le recours à des scripts téléchargés depuis des ressources externes pouvant entraîner un transfert en dehors de l’Union Européenne de l’adresse IP ».

Je vous ai signalé que l’espace client web de la Banque Populaire (BP) fait télécharger automatiquement au navigateur web du client BP des ressources numériques de plusieurs types (feuilles de style, polices de caractères, scripts, etc.) ‒ il n’y a donc pas que des scripts ‒ depuis des infrastructures numériques situées aux États-Unis et/ou détenues par des organisations qui dépendent du droit états-unien.

Je vous ai également signalé que ces téléchargements génèrent un transfert de plusieurs données personnelles du client BP en dehors de l’Union européenne. L’adresse IP, mais également la langue du client BP (entête HTTP Accept-Language), la date et l’heure des consultations de l’espace client BP, l’adresse ‒ URL ‒ des rubriques (« Comptes », « Opérations », etc.) consultées sur l’espace client BP (entêtes HTTP Referer et CORS Origin), la marque et le modèle du navigateur web du client BP (entête HTTP User-Agent), etc.

Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique comme la société commerciale Google qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans la mise en demeure de la CNIL concernant l’utilisation de Google Analytics du 10 février 2022 (https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure ; lien court : https://s.42l.fr/cnil-go).

La transmission des données personnelles sus-référencées lors de l’utilisation du service Google Fonts en mode API (celui utilisé sur le nouvel espace client BP) est reconnue par la société commerciale états-unienne Google, voir : https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users (lien court : https://s.42l.fr/go-fo).

Ensuite, vous écrivez que « l’intervention de sociétés américaines […] n’implique pas de facto l’existence d’un transfert de données personnelles en direction des États-Unis ».

Dans le cas d’espèce Google Fonts, qui est l’une des infractions de BP au RGPD que je vous ai signalé, si. Dans sa décision 3_O_17493/20, la Cour régionale de Munich (https://gdprhub.eu/index.php?title=LG_M%C3%BCnchen_-_3_O_17493/20 ; lien court : https://s.42l.fr/munich), rappelant les conclusions identiques de l’arrêt C-311/18 de la Cour de Justice de l’Union européenne (CJUE), a jugé que l’utilisation des polices de caractères Google Fonts en mode API (comme le fait BP) entraîne forcément un transfert de l’adresse IP aux États-Unis. Dans sa mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics sus-référencée, la CNIL confirme cette analyse. Les autres données personnelles sus-référencées sont également transférées.

Enfin, vous écrivez que, lors de transferts de données personnelles vers les États-Unis ou de tout autre pays non adéquat, vous mettez « en place des mesures […] dans le respect des conditions de l’article 46 du RGPD ».

Les conditions d’utilisation de Google Fonts (https://policies.google.com/terms/service-specific?hl=fr-CA ; lien court : https://s.42l.fr/gopo) ne prévoient pas de telles dispositions.

Comme indiqué par la société Google elle-même (https://policies.google.com/privacy/ frameworks ; lien court : https://s.42l.fr/go46), sa mise en œuvre des clauses contractuelles types ne couvre pas son service Google Fonts.

En tout état de cause, comme l’analysent la CNIL dans sa mise en demeure de février 2022 concernant Google Analytics sus-référencée et l’EDPS dans sa décision numéro 2020-1013 (https://gdprhub.eu/index.php?title=EDPS_-_2020-1013 ; lien court : https://s.42l.fr/edps), les clauses contractuelles types de Google ont été indirectement invalidées par l’arrêt C-311/18 de la CJUE au motif de la surveillance d’État, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toutes les mesures contractuelles, organisationnelles et techniques prises et/ou présentées par Google.

La « notice d’information sur le traitement des données à caractère personnel » de la BP (Notice BP) n’énonce pas d’autres instruments juridiques (autre que les décisions d’adéquation et les clauses contractuelles types, s’entend).

On peut avoir la certitude que la BP dispose d’aucun instrument juridique (au sens de l’article 46 du RGPD) avec Google, car il n’est pas possible de contractualiser bilatéralement avec cette société commerciale pour utiliser son service Google Fonts.

On peut avoir la certitude que la BP met en place aucune mesure technique. Le nouvel espace client BP inclut une instruction technique ordonnant au navigateur web du client BP le téléchargement d’une police de caractère directement auprès des serveurs informatiques de Google. Dès lors, la requête de téléchargement émise par le navigateur web du client BP ne chemine pas par l’infrastructure technique de la BP (pour paraphraser la CNIL : il y a un contact direct entre le terminal du client BP et les serveurs informatiques de Google), donc elle échappe totalement à la BP, qui peut, de ce fait, prendre aucune mesure technique.

En l’absence d’une décision d’adéquation (article 45 du RGPD), de garanties appropriées (article 46 du RGPD), seul l’article 49 du RGPD est applicable aux transferts de données personnelles hors de l’UE.

Or, comme consigné dans mon courrier initial, BP ne recueille pas explicitement le consentement du client BP pour le transfert de certaines de ses données personnelles vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui (y compris dans la Notice BP), comme l’impose l’article 49.1a du RGPD. Quand bien même la BP le recueillerait, il serait vicié car, en l’absence de Google Fonts, l’espace client BP est inutilisable (j’expose en détails ses dysfonctionnements dans mon courrier initial), ce qui contraint le client BP à accepter de force le traitement de données personnelles réalisé par Google.

De même, la nécessité du transfert pour l’exécution d’un contrat (article 49.1b du RGPD) est irrecevable puisque un hébergement internalisé de la police de caractères est techniquement et juridiquement possible à un coût nul.

Tout le raisonnement concernant Google Fonts déroulé depuis le début de ce courrier et ses conclusions s’appliquent également aux ressources des sociétés commerciales états-uniennes AppDynamics (appdynamics.com), Tealium (tiqcdn.com) et Ibenta (ibenta.io) qui sont également chargées en direct par l’espace client BP.

Votre réponse reste muette sur la deuxième partie de mon courrier dans laquelle je vous signale l’infraction au RGPD que constitue le téléchargement auto, par l’espace client web BP, et sans base légale, de ressources hébergées sur les infrastructures techniques des sociétés commerciales européennes KeyCDN et Kameleoon.

L’intérêt légitime (qui semble être la base légale prévue par la Notice BP pour la finalité mise en œuvre par les outils de ces sociétés commerciales) n’est pas recevable. Dans mon courrier initial, j’ai argumenté mal à propos, donc je vous présente ci-dessous mon argumentaire rectifié.

Le traitement de données personnelles avec intérêt légitime doit être en adéquation avec l’objectif affiché, être nécessaire et être proportionné avec les droits et les libertés des personnes dont les données personnelles sont exploitées.

Or, un système de gestion de la performance (KeyCDN) et un mécanisme de tests A/B (Kameleoon) ne présentent pas de réel intérêt dans le contexte d’un espace client. On peut leur substituer des enquêtes d’opinion auprès des clients ou le traitement des mécontentements émis par les clients auprès des conseillers clientèle ou un test comparatif réalisé sur un panel de volontaires représentatif des clients BP avant la mise en service d’une nouvelle version de l’espace client BP.

De même, il n’est pas nécessaire d’externaliser ce type d’outils numériques : ils peuvent être internalisés (l’éventuel coût induit n’est pas un critère suffisant pour botter en touche d’après le CEPD), ou, a minima, être hébergés sur les infrastructures techniques de la BP (à coût quasi-nul).

Enfin, dans le cas d’espèce, le transfert de données personnelles (adresse IP, date+heure, la rubrique consultée sur l’espace client BP, la marque et le modèle du navigateur web du client BP, la langue du client BP, etc.) à des sociétés tierces porte une atteinte inutile et disproportionnée aux droits des clients BP.

Vous noterez que l’intérêt légitime a été invalidé par la Cour régionale de Munich dans le dossier Google Fonts sus-référencé précisément sur cet ensemble d’arguments.

Le consentement n’est pas recevable. Il n’est pas recueilli explicitement à ce jour et le refus de tous les cookies (sauf ceux obligatoires) dans le pop-up dédié n’empêche pas le téléchargement desdites ressources et donc un transfert de données personnelles non-consenti à des sociétés tierces.

Aucune autre base légale est applicable au cas d’espèce. Le transfert des données personnelles des clients BP sus-référencées aux sociétés commerciales européennes KeyCDN et Kameleoon est donc illégal.

Je reformule les demandes de mon premier courrier (synthèse : mise en conformité RGPD de l’espace client web BP) :

• Faire stopper les transferts illégaux de données personnelles à destination des sociétés commerciales états-uniennes Google, AppDynamics, Tealium (tiqcdn.com) et Ibenta.

  • Pour Google Fonts, la manière la plus rapide, simple et efficace est d’héberger la police de caractères utilisée par l’espace client BP sur les serveurs informatiques de BP, à côté des autres composants de cet espace client (pages de texte, images, etc.). Google le permet juridiquement sans procédure bureaucratique. Aucune difficulté technique. Cela accroîtra la robustesse de l’espace client BP (il deviendra insensible aux pannes de Google et/ou des intermédiaires techniques entre les clients BP et Google). À défaut, BP peut cesser d’utiliser une telle police au profit d’une de base.
    
    
  • Pour AppDynamics, Tealium et Ibenta, le plus rapide, simple et efficace est de cesser de recourir à ces outils dont l’intérêt réel est inexistant et dont l’externalisation engendre une atteinte disproportionnée aux droits des clients BP. Voir, par analogie, le raisonnement sur KeyCDN et Kameleoon présenté ci-dessus.
    • À défaut, il reste possible d’héberger ces outils sur les serveurs informatiques de BP (si leurs éditeurs le permettent), de recourir à des éditeurs européens, de développer en interne des outils équivalents, ou de recueillir le consentement explicite du client BP pour que certaines de ses données personnelles soient transférées aux États-Unis en tenant compte de l’analyse de la CNIL dans sa mise en demeure du 10 février 2022 concernant Google Analytics : « le consentement par un utilisateur au dépôt de traceurs lors de sa visite sur le site web ne saurait être considéré comme équivalent au « consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées » au sens de l’article 49.1.a du Règlement. ». Dans tous les cas, le consentement (au traitement) est la seule base légale applicable, cf le raisonnement pour KeyCDN et Kameleoon.
• Faire stopper les traitements de données personnelles dénués de base légale opérés par les sociétés commerciales européennes KeyCDN et Kameleoon. Pour ce faire, la BP devrait cesser de recourir à ces outils dont l’intérêt réel est inexistant (voir le raisonnement présenté avant les présentes demandes).
  • À défaut, la BP devra recourir à la base légale du consentement (et non pas à celle de l’intérêt légitime), à l’opt-in, et, en cas de refus du client BP, la BP devra s’interdire techniquement de faire télécharger les outils de ces sociétés par son navigateur web (notez bien qu’un refus devra empêcher le téléchargement, un cookie inerte / inactif n’est pas suffisant pour faire stopper le transfert / trt de données personnelles). Idem en cas de choix d’hébergement interne ou d’internalisation (base légale = consentement).

Cordialement.

J'ai également complété mes plaintes auprès de la CNIL (Comment faire ? https://services.cnil.fr/ > Connexion > Mes demandes > cliquer sur une plainte > bouton « Compléter ma demande »).

Concernant les ressources téléchargées depuis des acteurs ricains :

Bonjour,

Le DPO de la Banque Populaire XXXXXXXXXX m'a répondu le 4 juillet 2022. Vous trouverez une copie de ce courrier en pièce jointe.

Cette réponse n'est pas satisfaisante : elle est d'ordre général, elle ne dit pas un mot sur les infractions relevées, elle fait fi de la bibliographie proposée dans mon courrier initial, et de ce fait, elle nie la réalité et énonce des inexactitudes.

De ces faits, cette réponse consigne une ignorance des mécanismes techniques en jeu et des décisions récentes (LG München 3 O 17493/20, EDPS 2020-1013, mise en demeure CNIL du 10 février 2022 concernant Google Analytics) pourtant référencées dans mon courrier initial, et/ou une volonté flagrante de ne pas comprendre, de ne pas traiter ma demande ou d'y faire obstruction afin de faire perdurer les pratiques de la banque.

Le 9 juillet 2022, j'ai répondu à ce courrier par une nouvelle lettre recommandée avec accusé de réception. Vous la trouverez en pièce jointe accompagnée de la preuve de dépôt La Poste.

Une nouvelle fois, j'en appelle à une intervention de la CNIL.

Cordialement.

Concernant les ressources téléchargées depuis des acteurs européens :

Bonjour,

Le DPO de la Banque Populaire XXXXXXXXXX (BP XXXX) m'a répondu le 4 juillet 2022. Vous trouverez une copie de ce courrier en pièce jointe.

Les éléments de réponse concernent les faits signalés à la CNIL dans ma plainte numéro 28-7788, pas les infractions signalées dans la présente plainte.

Le 9 juillet 2022, j'ai répondu à ce courrier par une nouvelle lettre recommandée avec accusé de réception. Vous la trouverez en pièce jointe accompagnée de la preuve de dépôt La Poste.
Contrairement à mon courrier initial, j'y présente un argumentaire recevable invalidant la base légale de l'intérêt légitime.

Face au silence du DPO BP XXXX, j'en appelle une nouvelle fois à une intervention de la CNIL.

Cordialement.

Ce que cet article ne précise pas, c'est que la FNSEA a pesé de tout son poids pour obtenir cette décision, ce qui est intéressant à plus d'un titre, comme le rapporte un récent Canard Enchainé (GuiGui pourra confirmer).

Je confirme, c'est dans le CoinCoin du 15 juin 2022 (avant-dernier point). :)

• Ça trolle encore le seuil de richesse (3 600 €/mois de revenus pour une personne seule). Quid du patrimoine ? Propriétaire ou locataire ? Quid de la disparité du coût de la vie entre villes et villages ? Quid du jeune ménage qui doit équiper sa piaule et celui qui a déjà tout ? Etc. Pour moi, la prise en compte du seul revenu était un moyen simple d'avoir une vision macroscopique. Va calculer le patrimoine ou les choix des uns et des autres (habiter ici ou là, loyer ou frais de voiture, choix d'être proprio ou non, choix de tel aménagement de sa piaule, etc.)… ;
  
  
• Syndicat. FO vire réformiste, ça tangue à la CGT, donc ça va être difficile de résister aux politiciens. :( Frédéric Souillot prend la tête de FO. Originaire de la fédération de la métallurgie, qui est la porte-drapeau du courant réformiste. Poin poin poiiiin. Mailly, ex-ex-chef de FO aurait soufflé à Macron l'idée d'un conseil national de la reconstruction / refondation (qui semble être passée à la trappe depuis les législatives).
  • Côté CGT, plusieurs gros bataillons (fédération de la chimie, agroalimentaire, du commerce, Bouches-du-Rhône, Val-de-Marne, etc.) reproche à Martinez son autoritarisme et ses prises de décision sans concertation (accord avec Greenpeace, par exemple). La dissolution de la section de l'usine Peugeot de Poissy, associée au retrait de son leader médiatique Mercier, a jeté un froid. La puissance fédération des cheminots a rejoint la sédition après la désignation, par Martinez, de sa future remplaçante, Marie Buisson. Laurent Brun, patron des cheminots s'y voyait + Buisson entend mêler écologie et social, ce à quoi tout le monde à la CGT n'est pas prêt ;
• La CIA aurait toujours son antenne parisienne au 14 boulevard Haussmann, le même immeuble que le Figaro. Lire aussi. En sus de celle sous les toits de l'ambassade ricaine à Paris ? ;
  
  
• Abus d'un maton sur un détenu. Prison du Pontet, près d'Avignon. Un maton entre dans la cellule d'un détenu avec une barre de métal planquée sous sa manche. Le détenu l'expulse et lui assène deux coups de pied dans la tête alors qu'il est à terre. La collègue matonne, témoin de la scène, couvre son collègue. Au départ, le détenu était accusé d'avoir insulté le maton et de l'avoir attiré de force dans sa cellule pour le passer à tabac. La vidéosurveillance a permis de savoir la vérité (dommage d'en arriver là). Six mois ferme pour le détenu. Peine avec sursis + procédure disciplinaire en cours + suspension temporaire pour le maton. La matonne est montée en grade et sa peine n'est pas consignée dans son casier judiciaire… ;
  
  
• Violence de l'État. Hôtel Martinez de Cannes. 77 ans de procédures. En 49, Martinez est lavé de complicité avec les boches mais est jugé financièrement solidaire des agissements de Szkolnikoff (collabo, marché noir). En 44, l'hôtel avait été mis son séquestre par l'administration des Domaines. En 79, l'hôtel tombe dans l'escarcelle de l'État au titre de recouvrement de la condamnation de 49. En 81, l'État le revend au groupe Taittinger pour 65 millions de francs alors qu'il est estimé à 140 millions par le juge de l'expropriation. Prix d'ami autorisé par Giscard. L'État demande à la fille Martinez de prouver qu'elle a apuré les dettes de son père tout en refusant de lui communiquer un état des remboursements effectués par ponction sur les bénéfices. En 2017, le juge de Monaco (les holdings immobilières de Szkolnikoff y étaient enregistrées) sonne la fin du séquestre. Monaco communique la comptabilité, et l'héritière découvre le trop-perçu (174 millions d'euros). De sus, la dette était éteinte depuis 66… ;
  
  
• Dans les instances internationales (comme l'ONU), la Turquie se nomme désormais Türkiye, et ce dans toutes les langues. Pourquoi ? Ne plus se nommer Turkey (dinde) en anglais ? Flatter le nationalisme truc, aussi ;
  
  
• La suppression, dans les années 90, des inspecteurs de l'éducation finlandaise a permis des économies sans rien perdre. Un haut responsable explique aujourd'hui que les jours d'inspection étaient nommés « jour de théâtre » donc qu'ils ne servaient à rien. En France, d'après Fakir (numéro 100), ces inspecteurs couvrent le harcèlement moral et la maltraitance d'écoliers par des profs et/ou des directeurs d'école ;
  
  
• Énième article pour rappeler que les plateformes numériques ne sont pas nos potes. Ces temps-ci, Vinted bloque en masse le compte de ses meilleurs vendeurs. Aucune explication. Règles floues (nombre d'articles neufs à la vente acceptables ? Somme ?). Les entrepreneurs (le Canard évoque 3 k€ de chiffre d'affaires par mois par ci, 7 k€ par mois par là) se retrouvent piégés… par un intermédiaire qui fait bien ce qu'il veut, comme toute dépendance. Ce type de plateforme est bien pour débuter, mais quand on fait 7 k€ de CA mensuel, on devrait réfléchir à s'émanciper, à se construire sa propre boutique, etc. ;
  
  
• Solutionnisme technologique. Le Haut Conseil pour la santé publique reprend une préconisation de l'association Halte aux marées vertes, l'installation de capteurs sur les côtes bretonnes envahies par les algues afin de mesurer la quantité de gaz toxique dégagé lors de leur décomposition. Agir à la source sur les élevages intensifs ? Noooon, on a encore besoin de chiffres. Et puis ça permettra de lever des alertes pour prévenir le badaud. Sans badaud, plus de problème.

Bug toujours présent dans la version 91 de Thunderbird packagée dans Debian 11. Pour SMTP, mais aussi pour IMAP.

Dans l'interface web Aruba Mobility Master, je tente d'ajouter une banale règle de contrôle d'accès (ACL) dans une policy associée à un rôle. Je souhaite autoriser tous les ports TCP entre 80 et 10 000.

Dans l'interface de création de la règle, je choisis donc « Service/app » : TCP et « Min/max port » : 80 ; 10000. Aruba rejette la saisie : « End Port number should be larger or equal to the Starting Port Number ».

Hum, 10 000 est bien supérieur ou égal à 80. Si je saisis « 99 » comme port max, ça fonctionne. « 100 », erreur.

OK, le contrôle de la saisie est foireux…

Et après, t'as tous les décideurs qui te disent que le logiciel privateur et les multinationales du logiciel, ça marche, c'est efficace, on peut avoir confiance, il y a moins de bugs, etc. Mais bien sûûûûr.

Les personnes qui me trouvent injuste de tacler pour un unique bug : il y a également le nom d'un certificat x509 limité à 31 caractères et le refus du format PEM avec un message abscons, entre autres.

Je n'ai pas trouvé de solution (j'imagine qu'il faudrait encore mettre à jour le bouzin, c'est la blague de l'assistance de tout équipementier…), et j'ai autorisé tous les ports TCP.

L'audience de blocage de Pornhub, Tukif, Xhamster, Xnxx et xivideos fixée le 6 septembre.
‒ Marc Rees pour NextInpact : pourquoi le choix symbolique du 6-9 ? Alors que vous aviez le choix dans la date ?

:D :D :D :D
J'aurais ajouté : « n'est-ce pas de l'apologie du porno ? » (calqué sur l'apologie du terrorisme et ces autres verrues de notre droit).

Les Conventions Judiciaires d'Intérêt Public sont disponibles sur plusieurs sites web :

• Sinistère de la justice ;
  
  
• Agence Française Anticorruption.

• Un lecteur fait remarquer, à juste titre, que la fabrique de l'amnésie, ce n'est pas uniquement les divertissements et la culture qui modèlent l'imaginaire (comme l'affirme le numéro 102 de Fakir), mais aussi certaines formes de relations sociales, comme l'intérim (ou tout turn-over organisé) : les intérimaires ne connaissent pas le passé de la société commerciale ni celui de leurs chefs ni les anciennes luttes syndicales ni l'historique de leur poste de travail (pourquoi tel mode de production, pourquoi telle façon de produire, pourquoi telle organisation du travail, pourquoi c'était différent avant, etc.) ;

  • Je constate ça dans la fonction publique : un agent passe de services en services, sans avoir la culture du métier, l'historique, tout ça, donc quand il faut répondre à une question, soit c'est copié/collé de la bible interne, soit ça questionne le supérieur, et dans les deux cas, on obtient souvent une réponse biaisée par ce que l'administration veut, pas tellement la vérité juridique ou technique ;

• iStrat devenue Maelstrom Media aka Public Relations Agency, filiale d'Avisa Partners : agence de lobbying qui fait publier des articles bidons, vides, et orientés dans des journaux ou assimilés (Contrepoints.org, blog du Huffington Post, L'Express, blog de Mediapart, blog des Echos, Agoravox, Le journal économique, Juriguide, 24heuresactufs, planetebusiness.com, lasantepublique.fr, ladiplomatie.fr, etc.) sous de fausses identités (ou des vraies, comme des chefs d'entreprise ou de pays, mais qui n'ont pas écrit l'article / la tribune en question).

  • 60-110 € le papier (avec l'expérience) ;
    
    
  • Un même "journaliste" traite d'énergie, d'économie, de santé, de politique internationale, etc., donc de sujets qu'il ignore, selon le biais demandé par le commanditaire. Aucune enquête de terrain, coup de fil, tout se fait à partir de recherches web. Comme dans toute rédaction, quoi ;
    
    
  • Dizaines d'articles sur les atouts du Linky, son innocuité, etc. Décrédibiliser les travaux du CIRC qui classe potentiellement cancérogène le glyphosate. Un incident se produit à la centrale nucléaire de Flamanville ? Pouf, une commande pour un article vantant la sûreté des installations nucléaires françaises. Faire la louange de présidents africains pris dans des élections. Pour deux présidents qui s'arrangent avec la constitution, parler d'une dérive autocratique pour l'un et de procédé légitime pour l'autre, en adéquation avec la demande client ;
    
    
  • Jusqu'au jour où on demande au "journaliste" de faire la promo d'un livre qui dézingue Ruffin. Il informe son pote Pocréaux, qui bosse pour Fakir. Ruffin et Pocréaux écrivent l'article en question. Chaque client a un code de facturation. Le "journaliste" a écrit d'autres articles facturés à ce code de facturation : un qui dénigre Chanel, un autre Victoria's Secret, un qui vante l'engagement et les bons chiffres de LVMH durant la crise Covid et un autre pour vanter l'engagement et la popularité d'Arnault. L'ami Bernard serait donc derrière tout ça ?

• La SAFER Pays de Loire filerait toutes les terres au Puy-du-Fou afin de favoriser l'extension du parc, donc le tourisme. Pour rappel, les SAFER, sociétés anonymes chargées de la mission de service public d'aménagement des territoires ruraux, peuvent préempter l'achat de terres agricoles ;

• La fin des services publics physiques était planifiée pour 2022 (mais bien sûûûûr) ;

  • Selon l'INSEE, 14 millions de Français sont en grande difficulté pour utiliser un ordinateur et naviguer sur Internet. 38 % des Français manquent d'au moins une compétence numérique de base pour communiquer, chercher une info, résoudre un problème ;
    
    
  • …Y compris les jeunes qui portent, en plus, la honte de ne pas savoir, comme si la compétence (numérique) venait avec la jeunesse (à ce compte-là, les jeunes actifs devraient être les mieux rémunérés) ou avec le sexe (femme = s'occupe du foyer). Je ne partage pas l'avis qu'il est « violent » de demander aux vieux d'apprendre de nouvelles choses : on apprend toujours et s'enfermer dans le contraire me semble délétère, mais il faut adapter le rythme et le contenu des "formations" ;
    
    
  • Les plus précaires, qui sont les plus exclus du numérique (pas le fric, pas le temps avec le cumul des trouzemilles petits boulots, etc.), ont aussi le plus de démarches administratives à accomplir (actualisation mensuelle pôle emploi, RSA, CMU, CAF, choper des coupons de réduction qui ne sont plus distribués au format papier, etc.) ;
    
    
  • Un rapport du Sénat affirme que la dématérialisation coûte cher… Oui, on nomme ça un investissement. L'OCDE affirme que la transformation numérique n'améliore pas la productivité du travail. Oui, mais ça permet de virer des fonctionnaires, de libérer (donc vendre) des bâtiments, etc. (le reste de l'article le dit) ;
    
    
  • L'État propose les centres et bus France Services ainsi que les pass numériques (subventionne, en partie, des prestataires conventionnés). Emmaüs Connect et les bus Secours Populaire ;
    
    
  • Des start-ups proposent des sites internet pour s'y retrouver… moyennant finance (30 € par trimestre pour mes-allocs.fr, par exemple). À mon avis, ce n'est pas lié exclusivement à la dématérialisation des services publics, mais également à la complexité du système (trouzemilles aides, versées par trouzemilles organismes, etc.).
• Sipartech, pour le compte de Starlink, voulait poser des antennes à 70 m d'habitations dans la baie du Mont-Saint-Michel. Comme en Gironde ou dans le Nord. Un collectif se monte. Conseil municipal de crise. Le projet est refusé. Sipartech était pressée donc le collectif demande plus de précisions afin de ralentir la procédure. L'ARCEP abroge son autorisation. Le Conseil d'État met Starlink à l'arrêt en avril. L'article laisse à penser que le collectif a gagné la bataille des idées. Non, le Conseil d'État a annulé la décision de l'ARCEP qui octroie les fréquences à SpaceX pour vice de procédure (voir ‒ via ‒) : l'ARCEP aurait dû effectuer une consultation publique au préalable (ce qu'elle a finalement fait en avril 2022). En revanche, en janvier 2022, à la demande de SpaceX, l'ARCEP a abrogé ses décisions d'attribution de fréquences pour deux stations SpaceX, Manche et Nord, sur les trois en projet. SpaceX aurait laissé tomber à cause des oppositions locales (source 1, source 2). Selon moi, d'autres sites en France seront donc choisis.