GuiGui's Show

[…] Je vous résume le mouvement […] politique qu'il faut produire : du bas vers le haut. Qu'on les laisse à leur ordinaire, et ils s'en prennent, forcément, à « l'assisté » d'à côté, à la famille d'immigrés du dessus, aux réfugiés qu'ont voit à la télé. Nous devons, nous, faire relever le nez, faire regarder au-dessus. Nous devons, et c'est pas simple, donner à voir deux invisibles : les invisibles d'en bas, souvent invisibles des médias, invisibles des décideurs […]. Et les invisibles d'en haut, les hyper-riches, y mettre des noms, des visages, du concret. […] [ Fin de contrat sans prévenir chez Amazon, rationnement chez Orpéa, dans les hôpitaux, à l'éducation nationale, sur les bas salaires, mais le CAC40 n'est pas rationné, lui, bénéfices et dividendes record en 2021 ] Les seigneurs d'antan avaient leur château au bord du village, et le peuple, d'instinct, d'un coup d'œil, savait, sentait, qui lui volait la prospérité. Parfois, ça brûlait. Dans notre village mondial, les deux se sont séparés, distendus ; à nous de les rapprocher, de les lier. À nous de les montrer, les châteaux des seigneurs du numérique, des seigneurs du luxe, des seigneurs du médicament, des seigneurs de l'armement, des seigneurs du sol et du sous-sol. […]

Dans le numéro 102 du journal Fakir.

Le Ravi, journal papier et numérique indépendant et satirique en région PACA termine sa campagne de dons à la fin de ce mois et il lui manque encore du blé (53 k€ sur 100 k€). Go faire un don, défiscalisé ou non et / ou relayer cet appel. :)

Lire ici ce qu'est le Ravi et l'origine de l'appel aux dons. En gros : journal + émissions de radio + éducation aux médias / journalisme dans les écoles, les quartiers, les prisons + … Soudaine absence de soutien des collectivités + enchaînement de procès (dont un perdu) + coûteuse présence en kiosque + …

Pour une présentation des ressources et des dépenses (à quoi ça sert de donner ?), c'est par ici.

Pour un état des lieux de la campagne de dons au 24/05/2022, c'est par là.

• Trucage d'un marché public de concession d'une halle au Puy-en-Velay. Favoritisme. Rendez-vous secrets et conseils personnalisés pour un concurrent. Trucage du rapport d'appel d'offres (pour dévaloriser la rentabilité d'une offre pour la mairie). Le gagnant a oublié des pièces jointes au dossier (grilles tarifaires), mais ça passe. Preuves ? 58 enregistrements audio clandestins. Tout ça pour quoi ? Pour plaire à Wauquiez (ancien maire y'a plus de 5 ans !). La responsable du service commerce de proximité commun à la ville et à la communauté d'agglo dira même « Je préfère qu'on aille au tribunal plutôt que d'annoncer à Laurent Wauquiez que ça ne se passe pas comme prévu ». :O Le gagnant est donc une offre moins rentable pour la ville et plus coûteuse pour les commerçants des halles (impôt sur le chiffre d'affaires = 20 % contre 1 % chez le concurrent). Tout le monde sait, y compris le maire (qui s'exclame « Oh putain ! » quand on lui annonce que le gagnant a oublié des pièces jointes), et laisse faire, voire participe… Ça me dépasse… surtout pour des fonctionnaires ;
  
  
• Les accords qui constituent la NUPES sont bilatéraux (LFI-PC, LFI-PS, LFI-EELV, etc.) et les engagements sont différents entre les accords. Ainsi, la renationalisation d'EDF, Engie, des autoroutes et des aéroports engage uniquement LFI et PC et la planification pilotée par de nouveaux indicateurs de progrès humain (quoi que ça veuille dire) engage uniquement LFI et PS. Dit autrement, même si la NUPES a la majorité absolue à l'Assemblée, l'ensemble de ses composantes ne votera pas forcément un texte, qui n'aura donc pas la majorité des voix pour être adopté, puisque ne pas le faire ne sera pas une dénonciation des accords (genre le PC pourra ne pas voter la planification gnagna puisqu'il ne s'y est pas engagé), donc des promesses pourraient ne pas être tenues par manques de voix à l'Assemblée. Sur les sujets consensuels, il reste à s'accorder sur les détails. Exemple : un revenu minimum pour les jeunes (quelle horreur), oui, mais à quel montant ? Les 1065 € de LFI ? Les 565 € du RSA sauce PS ? Les 900 € des Verts ? ;
  
  
• L'armée ricaine s'équipe d'un nouveau fusil d'assaut, le XM5, qui tire des balles de 6,8 mm de diamètre (alors qu'en 1980, l'OTAN a opté pour du 5,56 mm). Objectif : tuer en un coup (le 5,56 mm laisse quelques minutes de vie après impact, ce qui permet à un ennemi de riposter) et transpercer les nouveaux gilets pare-balles. Le XM5 sera plus lourd mais une partie des troufions ricains est équipée d'exosquelette pour porter son barda. 7 % des effectifs de l'armée de terre sont équipés du XM5. L'OTAN a érigé un principe d'interopérabilité, donc, à terme, les Européens vont devoir remplacer leurs fusils. En septembre 2016, la France a troqué le FAMAS pour des HK486 achetés au boche Heckler & Koch via un accord qui court jusqu'en 2028… (pénalités financières en vue ?) ;
  
  
• Absence de souveraineté française sur les armes. La France, qui a tout misé sur le nucléaire et la haute technologie pèse peu sur le marché des armes. Lorsque la Manufacture d'armes de Saint-Étienne, qui produisait les FAMAS, a fermé en 2001, l'État a rien fait (ne se presse pas pour trouver un remplaçant, ne met pas en place de politique économique en matière d'armement, etc.). De plus, la France ne fabrique plus les petites munitions depuis la fermeture de la dernière cartoucherie du Mans en 2000. Et ça veut faire l'Europe de la défense pouet pouet… ;
  
  
• Amélioration du statut de lanceur d'alerte : loi Waserman (ancien cadre : Sapin 2), transposition d'une directive européenne. Fin de l'obligation de privilégier une divulgation en interne (divulgation directe à un juge, au défenseur des droits, à l'autorité administrative compétente dans le domaine concerné selon un décret à venir, puis, dans un deuxième temps, au public sauf exceptions genre sécurité nationale). Immunité pénale si recel de documents obtenus de manière licite (si collecte illicite genre effraction dans un local professionnel, ça marche pas). Dans la sphère pro, pas besoin d'avoir personnellement connaissance des faits, la loi permet désormais de les relayer (en dehors, cette exigence demeure). La notion « lanceur d'alerte = personne désintéressée » disparaît au profit de l'absence d'une contrepartie financière directe. Ainsi, un intérêt personnel et l'intérêt général peuvent cohabiter et un salarié en conflit avec son employeur peut désormais être lanceur d'alerte. Il n'y a plus besoin que les atteintes à l'intérêt général soient graves pour être divulgables. Élargissement de la protection à ceux qui aident les lanceurs d'alerte. Le défenseur des droits peut être saisi pour avis (suis-je un lanceur d'alerte ?), 6 mois pour répondre. La plupart des dispositions entrent en vigueur en septembre 2022. Plus d'infos ;
  
  
• Censure catho à France Inter. Le podcast d'Affaires sensibles du 18/02/2022 sur la pédocriminalité dans l'Église a disparu du site web de la radio (lien). La radio craignait un nouveau droit de réponse de Barbarin (il lui en avait déjà adressé un lors d'une précédente émission en 2020) et les excités intégristes (je croyais que ça existe uniquement chez les arabes ?! :O Bah ça alors, on nous aurait menti ?) ;
  
  
• Philippines. Durant le mandat de l'ex-président Duderte, dans le cadre de sa guerre contre la drogue, 8 663 personnes suspectées de trafic de drogue ont été assassinées par la police. La Cour Pénale Internationale (CPI) a ouvert une enquête pour crimes contre l'humanité. Il ne s'est pas présenté aux élections du 9 mai 2022. Le fils des dictateurs Marcos a remporté le scrutin. La fille de Duderte a été élue vice-présidente (dans un scrutin à part mais simultané). D'après le Canard du 18 mai 2022, Duderte aurait échangé sa fonction de président contre son immunité. Ferdinand Marcos Junior a déjà déclaré qu'il n'acceptera pas de visite de la CPI autre que touristique ;
  
  
• Le 28 février 2022, la Suisse a accepté d'appliquer les sanctions européennes contre la Russie (gel d'environ 8 milliards de francs suisses d'avoirs, blocage des transactions financières sauf celles liées au gaz). Abandon de la (prétendu, j'y ai jamais cru) neutralité.

• La Chine aurait proposé un pacte de sécurité à l'Ukraine (la protéger en l'affranchissant de la tutelle de l'OTAN). La Chine offrirait son concours à la reconstruction des infrastructures puisque l'Ukraine est sur le tracé des nouvelles voies de la soie (réseau ferré et routier pour desservir l'Europe que la Chine compte développer). Aider Vlady à contourner les sanctions et ne pas compromettre les acquis de son offensive économique au long terme en Europe, la Chine joue sur tous les tableaux ;
  
  
• Les États-Unis ont installé, à Stuttgart, l'European Command Control Center of Ukraine afin de coordonner les livraisons d'armes et de matos. Dans cette guerre, les USA sont très actifs pour pousser leurs pions : ventes militaires en Europe, armement nucléaire en Europe, nouvelles bases aérienne en Europe, hausse du budget alloué au nucléaire ricain, etc. Tout va bien se passer ;
  
  
• Allocation journalière « proche aidant » = vaste blague. Versée par la CAF (ou la MSA) après dépôt d'un dossier. Nécessite de poser un congé accepté par l'employeur (les retraités ne sont donc pas éligibles pour aider). 66 jours consécutifs max. Renouvelable mais le cumul ne peut pas dépasser un an dans toute une carrière. Peu d'incapacités et de pertes d'autonomie reconnues (un décret, annoncé pour « avant 2023 » par le sinistère, devrait élargir, entre autres, aux cancers). Comme d'hab avec l'État (exemple des primes de vol des pilotes de la sécurité civile et des docs volontaires pour aider l'outre-mer à faire face au Covid), le pognon peut mettre jusqu'à 6 mois pour arriver… ;
  
  
• L'Agence France Trésor (AFT), qui gère la dette publique française, va rembourser, dès la fin mai, des obligations à 0 % avec du fric emprunté à 1,20 % (taux actuel). C'est la première fois depuis 2014 que le trésor public se refinance à des taux supérieurs à ceux des remboursements de dettes qu'il opère. Le service de la dette (poids du remboursement des intérêts dans le budget) va de nouveau augmenter (2 milliards d'euros au moins en 2022). Cette année, la France devrait emprunter 300 milliards d'euros. La moitié servira à combler le déficit public (budget de l'État, Sécu, etc.) et le reste à rembourser des prêts souscrits il y a 8 ans (en moyenne) qui arrivent à échéance. L'AFT prévoit que le taux d'intérêt de la dette française atteindra 2,7 % en 2027 ;
  
  
• Chaque année, environ 1/4 des 8 300 magistrats français changent d'affectation. La Direction des Services Judiciaires (DSJ) prépare les transparences, c'est-à-dire les propositions d'affectation que le Conseil Supérieur de la Magistrature (CSM) valide ensuite. Aucun logiciel, tout à la mimine. :O Le système est opaque. DSJ et CSM n'ont pas la même conception de ce qu'est une carrière. D'après les magistrats eux-mêmes, avoir une entente avec le patron de son tribunal ou des relations au cabinet du sinistre de la justice ou dans les syndicats est préférable. Au sein de chaque tribunal, les présidents doivent noter leurs magistrats… mais les notes sont uniquement indexées sur l'ancienneté…, ce qui crédibilise l'existence d'un système parallèle fonctionnant au copinage ;
  
  
• Dans son livre L'économie morale des élites dirigeantes, le sociologue et juriste Pierre Lascoumes expose que le point commun entre les politiciens et les grands patrons est la mise en œuvre permanente de pratiques transgressives. Ils instaurent, à leur seul profit, des mesures dérogatoires aux pratiques ordinaires, au droit commun, c'est-à-dire des valeurs morales qui ont pour seul objectif de servir les intérêts de la classe dirigeante. Exemple : la délinquance en col blanc crée ses propres règles, s'auto-surveille, et résiste à tout regard extérieur (on l'a vu lors de la crise de 2008 et la prétendue moralisation de la finance). Autres exemples ? La Cour de Justice de la République (procédure différente et spécifique pour juger des ministres). Le parlement (règlement interne, déontologue interne, autorégulation). Les conventions judiciaires d'intérêt public (justice négociée pour les grandes sociétés commerciales et les grands patrons) et la justice privée (arbitrage). Tout cela constitue des attributs de puissance d'une catégorie sociale ;
  
  
• Brouillon d'une décision à venir de la Cour Suprême ricaine consistant à revenir sur le droit à l'avortement. La même a déjà validé, en décembre 2021, une loi texane entrée en vigueur en septembre 2021 qui restreint l'IVG aux 6 premières semaines (la majorité des femmes en savent alors rien), sans exception pour les viols, et qui incite à la délation des personnes qui aident à avorter (y compris en conduisant une femme dans un état plus libéral) ;
  
  
• Chine et stratégie « zéro Covid ». Confinements extrêmes, y compris sur le lieu de travail (traders, etc.). Porte soudées (ils dessoudent pour approvisionner en bouffe ?). Centres de quarantaine (dont des habitations réquisitionnées), même si test négatif (arbitraire powa). Tabassage par des flics de ceux qui osent sortir. Quasi-famine (malgré la possibilité légale de faire des courses une fois tous les trois jours, les livraisons à domicile par l'État, etc.). Censure de l'hymne national dont un couplet proclame « Debout les gens qui ne veulent plus être esclaves ! ». Tonton Xi compterait tenir cette ligne jusqu'au 20e congrès du Parti à l'automne. Quel intérêt ? Tout relâchement de la pression et tout début d'autocritique risqueraient d'être perçus comme un aveu de faiblesse et de faire perdre la face au leader suprême. Hum, c'est un peu léger comme explication… Dans plusieurs villes (dont Shanghai), depuis deux semaines, la révolte, la désobéissance et le tabassage de représentants de l'autorité sont à l'œuvre. Mais la répression étatique reste très forte.

Visualiser les circonscriptions électorales avec OpenStreetMap. \o/

Le 22/04/2022, je me suis connecté à mon espace personnel / client (consultation de mes comptes, virements, etc.) sur le site web de la Banque Populaire (BP). C'était ma première connexion à cet espace modernisé / relooké.

Je constate deux problèmes :

1. plusieurs ressources / composants / éléments des pages web (police, CSS, JavaScript) sont récupérés auprès d'acteurs économiques états-uniens en l'absence de base légale ;
   
   
2. la base légale du chargement de plusieurs ressources / composants / éléments des pages web (JavaScript) me semble irrecevable.

ÉDIT DU 11/07/2022 : suite ici. FIN DE L'ÉDIT.

Droit

Schrems II versus Google Fonts

Dans la première catégorie, le cas le plus problématique est la récupération de polices de caractères / CSS auprès de Google Fonts.

Lors de la consultation de mon espace personnel sur le site web de la BP, mon adresse IP et d'autres éléments techniques permettant d'affirmer que telle adresse IP est cliente de BP (HTTP Referer, HTTP CORS Origin, etc.), à quelles dates+heures (et donc fréquence) elle consulte l'espace client BP, et quelles rubriques (relevé de compte, virements, documents) elles y consulte, sont automatiquement transmis à Google dans le cadre du chargement de ces ressources additionnelles. C'est ainsi que fonctionne le web, on ne peut pas y couper. Et croire qu'un serveur web conserve aucun journal des requêtes reçues est de la folie.

Or, l'arrêt de 2020 dit « Schrems II » de la Cour de Justice de l'Union européenne a rendu caduque le Privacy Shield, acte juridique de la Commission européenne qui disposait que le cadre législatif états-unien en matière de protection des données personnelles était en adéquation avec celui de l'UE, et qui, de ce fait, autorisait, le transfert de données personnelles de manière open-bar (automatique) entre l'UE et les USA. Dès lors, pour transférer des données personnelles aux États-Unis, il faut un consentement explicite et/ou tout un cadre interne à la société commerciale et/ou des accords avec l'autorité de contrôle du coin, et/ou…, voir Transferts de données hors UE.

Or, si je refuse le téléchargement de ressources depuis Google Fonts (avec les extensions pour navigateur web uBlock Origin ou uMatrix), l'espace client BP est inutilisable : tout le contenu utile est décalé vers la gauche au lieu d'être centré ; le même contenu est décalé vers le haut et partiellement tronqué ; l'icône « croix » qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n'apparaît pas, ce qui complique la navigation (le bouton « page précédente » de tout navigateur web ne répond pas totalement au besoin à cause de protections légitimes contre le rejeu) ; la modification du motif d'un virement bancaire est impossible car les champs de saisie, leur description et les messages d'aide / d'erreurs s'empilent et empêchent la saisie.

Dès lors, l'utilisation de Google Fonts ne peut pas reposer sur la base légale du consentement explicite car les dysfonctionnements engendrés par le refus constitueraient un vice du consentement.

De toute façon, à ce jour, la BP ne demande pas un consentement explicite pour l'utilisation de Google Fonts ni pour le transfert de données personnelles hors de l'UE que cela entraîne. Or, le chargement de Google Fonts peut légalement intervenir une fois ces deux consentements exprimés.

L'utilisation de Google Fonts ne peut pas reposer sur la base légale de l'intérêt légitime car elle a des exigences de nécessité et de proportionnalité entre les intérêts du responsable du traitement et ceux de ceux qui subissent le traitement. Or, un hébergement internalisé des polices de caractères est possible à coût insignifiant, ce qui ne coche pas les cases d'une externalisation nécessaire et proportionnée.

La décision 3 O 17493/20 du 20/01/2022 de la Cour régionale de Munich appuie cette analyse. Cette décision de justice est très finement analysée ici.

Schrems II versus les autres ricains

Dans la première catégorie, on trouve également des frameworks de gestion de la performance (AppDynamics), des tags marketings (Tealium / tiqcdn.com), et de la gestion de la relation client / chatbot (Ibenta). Toutes récupérées depuis des sociétés commerciales ricaines.

Là encore, la BP n'informe pas du transfert de données personnelles hors de l'UE.

La base légale de l'intérêt légitime est bancale (sauf pour Ibenta, peut-être), tout comme celle du consentement explicite (mais ça dépend des implémentations). Les arguments vont arriver ci-dessous, dans l'analyse de la deuxième catégorie.

Base légale des traitements UE

Dans la deuxième catégorie se trouvent des ressources / composants / éléments récupérés depuis des acteurs économiques européens comme KeyCDN (kxcdn.com, gestion de la performance applicative) et Kameleoon (tests A/B).

Puisque ces sociétés commerciales sont européennes, l'arrêt Schrems II n'est pas un argument recevable. En revanche, il n'existe pas d'échappatoire à la nécessité d'une base légale. Traitement prévu par la loi ? Non. Traitement nécessaire à l'exécution d'un contrat ? Non, il tourne sans ça.

Consentement explicite via le panneau de gestion des cookies ? Non, car même en cas de refus des cookies dans ce panneau, ces ressources / composants / éléments seront tout de même téléchargés par le navigateur web du client de la BP. Le refus des cookies les rend inertes / inactifs (en tout cas, on peut l'espérer), mais la récupération en elle-même transmet, sans consentement, des données personnelles à des acteurs économiques tiers (cf début de ce shaarli).

Intérêt légitime ? Pour moi, c'est irrecevable. Un client peut-il légitimement s'attendre au téléchargement d'un système de gestion de la performance (KeyCDN) alors qu'il ignore l'existence de tels produits / services, qu'il n'en comprend pas la définition (sujet extrêmement technique), et qu'il peut n'avoir que faire que son espace client soit performant à la seconde près ? Est-il proportionné d'utiliser simultanément plusieurs systèmes de gestion de la performance (KeyCDN, AppDynamics) sur un même espace client ? Un client peut-il légitimement s'attendre à la récupération d'un système de tests A/B (Kameleoon), approche essentiellement marketing, dans son espace client (qui renvoie à des notions d'intimité, de confort, à une relation individuelle entre une société commerciale et son client) ? Sait-il au moins que ça existe ? En comprend-il les tenants et aboutissements ? Ces traitements sont-ils nécessaires ? Mêmes questions pour les tag marketings de tiqcdn.

ÉDIT DU 08/05/2022 À 23 H 50 : Aeris me signale que je raconte nawak sur l'intérêt légitime. Il s'agit de celui du responsable du traitement (BP, dans le cas présent), pas de celui de l'individu dont les données sont exploitées (le client BP). Osef de savoir ce que le client pense ou est en capacité de comprendre. L'intérêt légitime est justement une base légale pour légaliser une dissonance entre ce que veut le responsable du traitement d'un côté, et l'individu de l'autre, cas qui ne peut pas se régler avec du consentement, du coup.

L'intérêt peut être celui du responsable du traitement ou d'un tiers, commercial ou sociétal, mais, comme je l'ai indiqué dans la section sur Google Fonts, il doit être en adéquation avec l'objectif affiché, nécessaire, et proportionné avec les droits et les libertés des personnes dont les données sont exploitées.

Selon Aeris, un système de gestion de la performance, de test A/B, et de tags marketings ne répond pas à ces critères : il n'y a pas de réel intérêt dans le contexte d'un espace client (j'ajoute qu'on peut même imaginer des solutions moins intrusives, comme un sondage, une prise en compte des retours spontanés auprès des conseillers, etc.), on peut internaliser de telles solutions (le coût induit n'est pas un critère suffisant pour botter en touche, d'après l'EDPB), et le flicage induit par une solution externalisée porte une atteinte (inutile, du coup) aux droits des personnes.

FIN DE L'ÉDIT DU 08/05/2022 À 23 H 50.

Technique

D'un point de vue technique, aussi, le chargement de ressources externes est une calamité.

Dépendance à des acteurs économiques hégémoniques avec lesquels la BP n'a pas contracté. Donc aucune garantie, ni de qualité de service ni de délai avant rétablissement en cas de panne (même Google a été en panne des heures), ni même de pérennité (même Google a déjà fermé des services). Or, comme je l'ai exposé ci-dessus, l'espace personnel BP est inutilisable sans Google Fonts, donc il vaudrait mieux réduire les dépendances inutiles.

Panne. Une mise à jour unilatérale et inattendue d'une bibliothèque de fonctions JavaScript (ou d'une feuille de style ou…) par le tiers peut causer une panne. Pour peu que le développement de l'espace client BP soit sous-traité, le temps de rétablissement peut se compter en jours / semaines. Ouiiii, utiliser une version précise d'une bibliothèque de fonctions permet d'éviter ce risque, mais ce n'est pas toujours possible.

Sécurité. Que se passe-t-il si le composant chargé depuis le tiers est substitué par une version malveillante ? Par le tiers lui-même (employé malveillant, erreur, etc.) ou par un attaquant de celui-ci ? Dans le cas de Google Fonts, ce risque est minime (l'équipe sécurité de Google est balèze), mais ce n'est pas le cas pour toutes les externalisations. D'où SRI, une couche de merde supplémentaire…

Lenteur. Il n'y a plus de mutualisation du cache du navigateur web entre deux sites web qui intègrent une même ressource, donc elle sera téléchargée pour chaque site. Le téléchargement de ressources / éléments web externalisés ralentit mécaniquement le chargement de l’espace client BP, même avec toutes les techniques d’optimisation du temps de chargement (comme le report du JavaScript en fin de page, etc.). En effet, le navigateur web doit effectuer des requêtes DNS supplémentaires, puis des connexions HTTP supplémentaires, etc. Or, l’établissement d’une connexion HTTP reste coûteux en temps, même en 2022. Pour rappel, cela s’explique par la poignée de main en 3 échanges de TCP, puis la poignée de main en 2 échanges minimum de TLS (chiffrement, authentification, intégrité), etc. Sans compter la perte des bénéfices du multiplexage des requêtes web introduit par HTTP/2, puisque ce multiplexage peut avoir lieu uniquement quand les ressources sont logées sur un même nom / grappe de serveurs. Le coût d’une connexion DNS ou HTTP supplémentaire dépend de la latence, donc de la qualité du réseau depuis lequel un client BP accède à son espace personnel : un accès ADSL en fin de ligne à la campagne ou un accès 3G sur une antenne surchargée ne donneront pas le même résultat qu’un accès en fibre optique.

Courriers

J'ai donc envoyé deux courriers recommandés avec accusé de réception à la Banque Populaire. L'un pour le service réclamations. J'y demande le transfert de ma demande aux équipes informatiques de BP et j'y cause essentiellement technique. L'autre est adressé au délégué à la protection des données personnelles. J'y cause exclusivement de droit.

J'ai doublé le tout par deux plaintes auprès de la CNIL. Pourquoi pas une seule ? La CNIL a tendance à faire le strict minimum : dès qu'un des objets d'une plainte est satisfait (selon elle), la plainte est fermée. Sans compter qu'elles n'ont pas tout à fait le même objet. La première plainte concerne le transfert sans base légale de données personnelles aux États-Unis, l'autre de transfert de données personnelles à des acteurs économiques européens selon des bases légales discutables.

Je ne suis pas naïf, je sais que mes démarches sont vaines, mais j'aurai au moins essayé d'améliorer les choses.

Service réclamations BP

Objet : observations sur le nouvel espace client

Bonjour,

Je suis client de l’agence XXXXXXXXXX de la Banque Populaire XXXXXXXXXX (BP XXXXXXXXXX).

Le 22/04/2022, je me suis connecté à mon espace personnel sur le site web de la BP depuis un ordinateur fixe (pas depuis une application mobile). Je suis arrivé sur une nouvelle version de celui-ci.

J’y ai constaté deux problèmes. Pouvez-vous, svp, transmettre le présent courrier aux équipes techniques en charge du développement du nouvel espace personnel BP (I-BP ou BPCE-IT) ?

Premier problème : externalisation.

Plusieurs éléments / ressources qui composent l’espace client / personnel sont téléchargés depuis des acteurs extérieurs à la BP : police de caractères / feuille de style chez Google (Fonts), JavaScript depuis appdynamics.com, ibenta.io, et kxcdn.com. En cascade, ces éléments provoquent eux-mêmes le téléchargement de ressources depuis des acteurs externes supplémentaires.

Certes, l’ancien espace client BP contenait déjà des ressources téléchargées depuis des acteurs externes comme facil-it.com, kameleoon.com et tiqcdn.com. Ce n’était pas folichon, et, pour sûr, cela ne constitue pas une excuse valable pour ajouter de nouveaux acteurs extérieurs sur le nouvel espace client.

Ces contenus / ressources / éléments externalisés posent problèmes à plusieurs titres.

1) En application de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne, l’utilisation de Google Fonts n’est pas conforme au Règlement Général sur la Protection des Données (RGPD). En effet, lors d’une consultation de l’espace personnel BP, l’adresse IP du client (donnée personnelle) et plusieurs en-têtes techniques permettant d’affirmer que le client consulte l’espace client BP (HTTP Referer, HTTP CORS Origin, etc.), sont transférés automatiquement à Google, société commerciale états-unienne, lors du téléchargement des ressources. Cela constitue un transfert de données personnelles en dehors de l’Union européenne, à destination des États-Unis qui ne disposent pas d’un niveau de protection adéquat des données personnelles.

Ce raisonnement s’applique également aux ressources des sociétés commerciales états-uniennes AppDynamics (appdynamics.com), Tealium (tiqcdn.com), et Ibenta (ibenta.io) que vous utilisez également dans l’espace personnel BP.

Un tribunal allemand a statué en ce sens concernant Google Fonts. Voir :

• Décision originale : https ://s.42l.fr/de-gf ;
  
  
• Analyse https ://s.42l.fr/bpgf qui résume bien en quoi, en sus de l’arrêt Schrems II, l’utilisation de Google Fonts ne peut pas reposer sur la finalité de l’intérêt légitime (car un hébergement en interne est possible à coût quasi-nul) ni sur le consentement explicite (car sans Google Fonts, l’espace client BP dysfonctionne, ce qui contraint le client à accepter le traitement de données personnelles réalisé par Google, ce qui relève du vice de consentement), que vous ne recueillez de toute façon pas ;
  
  
• Un parallèle est à déduire de la décision des CNIL européennes d’une non-conformité RGPD de Google Analytics (voir https ://s.42l.fr/cnil ) et de la position de la CNIL sur le service reCAPTCHA de Google (voir https ://s.42l.fr/cnil-ca et https ://s.42l.fr/cnil-ca2) : la problématique est similaire.

2) Le chargement de ressources / éléments externes fait fuiter une partie de la vie privée de vos clients vers les acteurs économiques sus-cités (Google, AppDynamics, etc.). En effet, ces entités collectent, dans leurs journaux techniques (logs), que telle adresse IP a consulté l’espace client BP à telle date et heure. Ils collectent donc l’information que telle adresse IP est un client BP (puisque les ressources ont été téléchargées pour le compte de l’espace personnel BP). Ils peuvent également déduire, certes par un traitement additionnel, la fréquence de consultation de l’espace client BP par une adresse IP et des comportements (personne stressée par ses finances ou non ?). Pour rappel, le navigateur web communique automatiquement ces informations lors du téléchargement de ressources (adresse IP, en-têtes HTTP Referer, HTTP CORS Origin, etc.).

3) Vous dépendez d’acteurs économiques hégémoniques avec qui vous n’avez pas de contrat, donc aucune garantie, ni de qualité de service, ni de délai avant rétablissement en cas de panne (Google a déjà été en panne plusieurs heures, voir https ://s.42l.fr/pa-go )), ni même de pérennité du service (Google a déjà fermé certains de ces services populaires, voir https://killedbygoogle.com/).

Or, sans Google Fonts, l’espace client BP est inutilisable :

• Tout le contenu est décalé à gauche au lieu d’être centré ;
  
  
• De même, le contenu est décalé vers le haut et le haut des pages est coupé par le menu ;
  
  
• La croix en haut à droite qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n’apparaît pas, ce qui complique singulièrement la navigation (la fonction « reculer d’une page » de tout navigateur web ne répond pas entièrement au besoin, essayez vous-même, vous verrez) ;
  
  
• La modification du motif d’un virement bancaire est impossible, car la description des champs de saisie et les messages d’erreur / d’aide lors de la saisie s’empilent les uns sur les autres.

Ces problèmes n’apparaissent pas lorsque les ressources sont récupérées depuis Google Fonts.

L’ancien espace personnel restait utilisable en cas de panne de tiqcdn ou de kameleoon. Il s’agit donc d’une régression.

J’ajoute que ce type d’externalisation fait peser un risque de panne : par absence d’historisation (versioning), une mise à jour unilatérale, par le prestataire, d’une bibliothèque de fonctions JavaScript ou d’une feuille de style CSS ou de toute autre ressource externe, provoque des dysfonctionnements sur l’espace personnel BP (aussi impactant que ceux sus-mentionnés). Pour peu que le développement de l’espace personnel BP soit sous-traité, le temps de rétablissement du service se comptera en jours.

Un dernier risque est un risque de sécurité si le contenu chargé par / depuis l’espace personnel BP est substitué par un autre par le prestataire ou par un attaquant de celui-ci. Dans le cas de Google Fonts, ce risque est minime, je vous l’accorde, mais ce n’est pas le cas de tous les acteurs de ce type d’externalisation.

4) Le téléchargement de ressources / éléments web externalisés ralentissent mécaniquement le chargement de l’espace client BP, même avec toutes les techniques d’optimisation du temps de chargement (comme le report du JavaScript en fin de page, etc.). En effet, le navigateur web doit effectuer des requêtes DNS supplémentaires, puis des connexions HTTP supplémentaires, etc. Or, l’établissement d’une connexion HTTP reste coûteux en temps, même en 2022.

Pour rappel, cela s’explique par la poignée de main en 3 échanges de TCP, puis la poignée de main en 2 échanges minimum de TLS (chiffrement, authentification, intégrité), etc. Sans compter la perte des bénéfices du multiplexage des requêtes web introduit par HTTP/2, puisque ce multiplexage peut avoir lieu uniquement quand les ressources sont logées sur le même nom que la page web qui les intègrent.

Le coût d’une connexion DNS ou HTTP supplémentaire dépend de la latence, donc de la qualité du réseau depuis lequel un client BP accède à son espace personnel : un accès ADSL en fin de ligne à la campagne ou un accès 3G sur une antenne surchargée ne donneront pas le même résultat qu’un accès en fibre optique.

En conclusion, vous gagnerez tout autant que vos clients à internaliser au maximum les ressources qui composent l’espace client BP pour les différents motifs exposés ci-dessus.

D’autant qu’il y a aucune difficultés technique pour internaliser certaines ressources, notamment Google Fonts : hébergement de la police de caractères / de la feuille de style sur les serveurs informatiques de BP.

Vous pouvez également délester l’espace personnel / client BP des ressources externes superflues : sur un espace client, un système de tag marketing (tiqcdn) est-il vraiment justifiable ? Un framework pour la gestion de la performance (KeyCDN, AppDynamics) est-il vraiment nécessaire ? Est-il nécessaire d’en cumuler deux ? Même questionnement à propos d’un framework d’A/B testing (Kameleoon). Même interrogation pour les autres ressources.

Ma demande : pouvez-vous, svp, retirer toutes les ressources / éléments externes présents sur l’espace client BP ?

Deuxième problème : […]

Cordialement.

DPO BP

Objet : non-conformité RGPD nouvel espace client / personnel

Bonjour,

Je suis client de l’agence XXXXXXXXXX de la Banque Populaire XXXXXXXXXX (XXXXXXXXXX).

Le 22/04/2022, je me suis connecté à mon espace personnel sur le site web de la BP depuis un ordinateur fixe (pas depuis une application mobile). Je suis arrivé sur une nouvelle version de celui-ci.

Plusieurs éléments / ressources qui composent l’espace client / personnel sont téléchargés depuis des acteurs extérieurs à la BP : police de caractères / feuille de style depuis Google (Fonts), JavaScript depuis appdynamics.com, ibenta.io, et kxcdn.com. En cascade, ces éléments provoquent eux-mêmes le téléchargement de ressources depuis des acteurs externes supplémentaires.

En application de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne, l’utilisation de Google Fonts n’est pas conforme au Règlement Général sur la Protection des Données (RGPD).

En effet, lors d’une consultation de l’espace personnel BP, l’adresse IP du client (donnée personnelle) et plusieurs en-têtes techniques permettant d’affirmer que le client consulte l’espace client BP (HTTP Referer, HTTP CORS Origin, etc.), sont communiqués automatiquement à Google, société commerciale états-unienne, lors du téléchargement des ressources. Cela constitue un transfert de données personnelles en dehors de l’Union européenne, à destination des États-Unis qui ne disposent pas d’un niveau de protection adéquat des données personnelles.

Le chargement de ressources / éléments externes fait fuiter une partie de la vie privée des clients BP vers les acteurs économiques sus-cités (Google, AppDynamics, etc.). En effet, ces entités collectent, dans leurs journaux techniques (logs), que telle adresse IP a consulté l’espace client BP à telle date et heure. Ils collectent donc l’information que telle adresse IP est un client BP (puisque les ressources ont été téléchargées pour le compte de l’espace personnel BP). Ils peuvent également déduire, certes par un traitement additionnel, la fréquence de consultation de l’espace client BP par une adresse IP et des comportements (personne stressée par ses finances ou non ?). Pour rappel, le navigateur web communique automatiquement ces informations lors du téléchargement de ressources (adresse IP, en-têtes HTTP Referer, HTTP CORS Origin, etc.).

Sans le chargement de ressources depuis Google Fonts, l’espace client BP est inutilisable :

• Tout le contenu est décalé à gauche au lieu d’être centré ;
  
  
• De même, le contenu est décalé vers le haut et le haut des pages est coupé par le menu ;
  
  
• La croix en haut à droite qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n’apparaît pas, ce qui complique singulièrement la navigation (la fonction « reculer d’une page » de tout navigateur web ne répond pas entièrement au besoin, essayez vous-même, vous verrez) ;
  
  
• La modification du motif d’un virement bancaire est impossible, car la description des champs de saisie et les messages d’erreur / d’aide lors de la saisie s’empilent les uns sur les autres.

Ces problèmes n’apparaissent pas lorsque les ressources sont récupérées depuis Google Fonts.

Un tribunal allemand a statué en ce sens concernant Google Fonts. Voir :

• Décision originale : https ://s.42l.fr/de-gf ;
  
  
• Analyse https ://s.42l.fr/bpgf qui résume bien en quoi, en sus de l’arrêt Schrems II, l’utilisation de Google Fonts ne peut pas reposer sur la finalité de l’intérêt légitime (car un hébergement en interne est possible à coût quasi-nul) ni sur le consentement explicite (car sans Google Fonts, l’espace client BP dysfonctionne, ce qui contraint le client à accepter le traitement de données personnelles réalisé par Google, ce qui relève du vice de consentement), que vous ne recueillez de toute façon pas ;
  
  
• Un parallèle est à déduire de la décision des CNIL européennes d’une non-conformité RGPD de Google Analytics (voir https ://s.42l.fr/cnil ) et de la position de la CNIL sur le service reCAPTCHA de Google (voir https ://s.42l.fr/cnil-ca et https ://s.42l.fr/cnil-ca2) : la problématique est similaire.

Ce raisonnement s’applique également aux ressources des sociétés commerciales états-uniennes AppDynamics (appdynamics.com), Tealium (tiqcdn.com) et Ibenta (ibenta.io) qui sont également chargées par l’espace client BP.

Mes demandes :

• Faire retirer les ressources / éléments / composants de Google Fonts, AppDynamics, Tealium (tiqcdn.com) et Ibenta de l’espace personnel / client de BP. Motif : arrêt Schrems II de la CJUE et déclinaisons ;
  
  
• Faire retirer, de l’espace client / personnel de BP, les ressources / éléments / composants de KeyCDN et de Kameleoon. Sociétés européennes, certes, mais :
  • le consentement n’est pas une finalité applicable (ces ressources seront rendues inertes par le refus des cookies mais seront tout de même chargées, faisant fuiter une partie de la vie privée des clients BP, lire ci-dessus) ;
    
    
  • l’intérêt légitime n’est à mon sens pas recevable : un client peut-il légitimement s’attendre à un système de gestion de la performance (KeyCDN) alors qu’il ignore l’existence de tels produits / services et qu’il n’en comprendra pas la définition ? Est-il proportionné d’en charger plusieurs (KeyCDN, AppDynamics) sur un même espace client ? Idem pour un système de test A/B (Kameleoon) : que vient faire une approche marketing dans un espace client ? Le client BP peut-il légitimement s’y attendre ?

Cordialement.

CNIL - Google Fonts / AppDynamics / tiqcdn.com / Ibenta

Bonjour,

Je suis client de la Banque Populaire XXXXXXXXXX (BP). Le 22/04/2022, je me suis connecté à mon espace client / espace personnel (consultation des comptes, virements, etc.) sur le site web de celle-ci. Je suis arrivé, pour la première fois, sur un espace client modernisé / relooké (avec un tutoriel de présentation et la possibilité de revenir à l'ancienne version via un discret lien dans mon profil).

Plusieurs éléments / composants / ressources qui composent cet espace client sont téléchargés chez des acteurs économiques externes à la BP : police de caractères / CSS chez Google Fonts, JavaScript depuis AppDynamics, Tealium, Ibenta, et KeyCDN qui, eux-mêmes, par cascade, télécharge des ressources chez des acteurs extérieurs supplémentaires.

Or, en application de l'arrêt dit « Schrems II » de la Cour de Justice de l'Union européenne, l'utilisation de Google Fonts n'est pas conforme au RGPD. Lors de la consultation de mon espace personnel BP, mon adresse IP et d'autres éléments techniques qui permettent d'affirmer que telle adresse IP est cliente BP (HTTP Referer, HTTP CORS Origin, etc.) sont transmis automatiquement à la société commerciale Google. Cela constitue un transfert de données personnelles en dehors de l'UE, à destination des États-Unis, qui ne disposent pourtant pas d'un niveau de protection adéquat des données personnelles.

Si je refuse le téléchargement de ressources depuis Google Fonts (avec les extensions pour navigateur web uBlock Origin ou uMatrix), l'espace client BP est inutilisable : tout le contenu utile est décalé vers la gauche au lieu d'être centré ; le même contenu est décalé vers le haut et partiellement tronqué ; l'icône « croix » qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n'apparaît pas, ce qui complique la navigation (le bouton « page précédente » de tout navigateur web ne répond pas totalement au besoin à cause de protections légitimes contre le rejeu) ; la modification du motif d'un virement bancaire est impossible car les champs de saisie, leur description et les messages d'aide / d'erreurs s'empilent et empêchent la saisie.

L'utilisation de Google Fonts ne peut pas reposer sur l'intérêt légitime car un hébergement interne / internalisé est possible à coût insignifiant ni sur un consentement explicite (qui à ce jour, n'est pas demandé par la BP) car les dysfonctionnements engendrés par le refus constitueraient un vice du consentement. La décision 3 O 17493/20 du 20/01/2022 de la Cour régionale de Munich appuie cette analyse.

Ce raisonnement s'applique également à d'autres ressources / éléments / composants récupérés auprès d'autres sociétés commerciales états-uniennes lors de la navigation dans l'espace client / personnel BP : AppDynamics, Tealium (tiqcdn.com), et Ibenta.

Le 29/04/2022, j'ai signalé, par LRAR, ces infractions au DPO de la Banque Populaire XXXXXXXXXX ainsi qu'au service réclamations de celle-ci.

Cordialement.

CNIL - KeyCDN / Kameleoon

Bonjour,

Je suis client de la Banque Populaire XXXXXXXXXX (BP). Le 22/04/2022, je me suis connecté à mon espace client / espace personnel (consultation des comptes, virements, etc.) sur le site web de celle-ci. Je suis arrivé, pour la première fois, sur un espace client modernisé / relooké (avec un tutoriel de présentation et la possibilité de revenir à l'ancienne version via un discret lien dans mon profil).

Plusieurs éléments / composants / ressources qui composent cet espace client sont téléchargés chez des acteurs économiques externes à la BP mais européens : JavaScript depuis KeyCDN (kxcdn.com) et Kameleoon.

Pour ces deux traitements, le consentement explicite n'est pas une finalité applicable, car, même en cas de refus des cookies dans le bandeau dédié, ces ressources seront tout de même téléchargées par le navigateur web. Le refus des cookies les rend inertes / inactives, mais, lors de la consultation de chaque page de mon espace personnel BP, mon adresse IP et d'autres éléments techniques permettant d'affirmer que telle adresse IP est cliente BP (HTTP Referer, HTTP CORS Origin, etc.) et à quelles dates+heures elle consulte l'espace client BP, sont quand même transmis automatiquement aux sociétés commerciales sus-citées. Certaines de ces informations techniques (HTTP Referer) permettent aux sociétés commerciales sus-citées d'enregistrer, toujours dans le journal de leurs serveurs web, quelles rubriques précises de mon espace client BP (relevé de comptes, virements, etc.) ont été consultées par telle adresse IP à telle heure.

L'intérêt légitime est tout autant inapplicable à mon sens. Un client peut-il légitiment s'attendre au téléchargement d'un système de gestion de la performance (KeyCDN) alors qu'il ignore l'existence de tels produits / services, qu'il n'en comprend pas la définition (sujet extrêmement technique), et qu'il peut n'avoir que faire que son espace client soit performant à la seconde près ? Est-il proportionné d'utiliser simultanément plusieurs systèmes de gestion de la performance (KeyCDN, AppDynamics) sur un même espace client ? Un client peut-il légitimement s'attendre à la récupération d'un système de tests A/B (Kameleoon), approche essentiellement marketing, dans son espace client (qui renvoie à du confort, à de l'intimité, à une relation individuelle entre une société commerciale et son client) ? Sait-il au moins que ça existe ? En comprend-t-il les tenants et aboutissements ? Ces traitements sont-ils nécessaires ?

Le 29/04/2022, j'ai signalé, par LRAR, ces infractions au DPO de la Banque Populaire XXXXXXXXXX ainsi qu'au service réclamations de celle-ci.

Cordialement.

‒ Le dîner est arrivé ! Alors, conformément aux demandes, nous avons donc des pizzas ananas tofu anchois agneau raclette.
‒ Une de chaque ?
‒ Hé non, tout mélangé !
‒ Ooooh !
‒ Ha bah oui quand personne ne fait des concessions, ça fait forcément un résultat dégueulasse. Que ça vous serve de leçon […]
[…]
‒ En tout cas, on est tous réunis aujourd'hui autour d'une même conviction : c'est que pour s'approcher du pouvoir, il faut accepter de s'asseoir sur ses convictions.

Gros +1. C'est exactement ça. :)

Tiroir Hemera multimode upgrader = faire passer du 10 G monomode (OS1/2) sur des fibres multimodes (OM1).
Cas d'usage : rentabiliser les investissements d'il y a 20 ans (on posait des fibres multimodes) et/ou passer au 10 G dans des environnements contraints (bâtiment protégé, etc.).

Boîtier passif 1U 19 pouces pour 4/8/12 fibres OM1. J'avoue que le côté passif (donc un jeu purement physique / optique) me bluffe.

Distance / portée : < 2 km. Au-delà de 800 m, il faut un boîtier à chaque extrémité des fibres multimodes. En deçà, une épissure entre une fibre multimode et une jarretière monomode suffirait.

Fabricant : Acome. SCOP. Produit fabriqué en France (usine FR, a dit le commercial).

Prix : 6 k€ pour un boîtier 12 fibres. En comparaison, nous avons dépensé 8 k€ TTC pour la pose de 24 fibres optiques monomodes sur 4 segments (soit 8 cassettes + soudures, qui est ce qui coûte le plus cher dans une pose de fibres). Et pour un segment, il y avait des contraintes : bâtiment protégé, absence de faux plafonds, plans des chemins de câbles perdus, etc.

Mon avis : bricolage (le commercial a reconnu, sans que je l'y pousse, qu'une fibre monomode est préférable et que leur produit est un palliatif pour les cas où l'on ne peut pas remplacer de la multi par de la mono d'un claquement de doigts) + pas rentable.

Ma liste réduite d'autorités de certification (AC) répond toujours à mes besoins plus de 21 mois après. :)

Fin mars 2022, j'ai constaté la présence des AC suivantes dans mon Firefox et je les ai également désactivé sans conséquence néfaste à ce jour :

ANF Secure Server Root CA
Certum EC-384 CA
Certum Trusted Root CA
certSIGN Root CA G2
e-commercie monitoring GmbH - globaltrust 2020
FNMT-RCM - AC RAIZ GNMT-RCM SEVIDORES SEGUROS
GlobalSign Root R46
GlobalSign Root E46
Microsec Ltd. - e-Szigno Root CA 2017
Microsoft RSA Root Certificate Authority 2017
Microsoft ECC Root Certificate Authority 2017
Naver Global Root Certification Authority
Trustware Global ECC P256 Certification Authority
Trustware Global ECC P384 Certification Authority
Trustware Global Certification Authority

Dans un précédent shaarli sur rsyslog, j'ai consigné comment configurer rsyslog pour créer automatiquement une arborescence variable et un nom de journal selon un template genre /var/log/distant/<ANNÉE>/<MOIS>/<JOUR>/bidule/programme.log.

Par défaut, les dossiers créés par rsyslog ont le mode 0700 (0644 pour les fichiers). Ainsi, un compte utilisateur local non-root ne peut pas parcourir l'arborescence de stockage des journaux.

D'après sa documentation, le module omfile de rsyslog propose un paramètre pour configurer le mode des dossiers créés : « dirCreateMode » (« FileCreateMode » pour les fichiers).

Exemple d'utilisation :

template (name="chemin-prog"  type="string" string="/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme.log")

if $hostname == 'machine1' then {
    action(type="omfile" dynaFile="chemin-prog" dirCreateMode="0755")
    stop
}

Une autre façon de faire est de créer un groupe d'utilisateurs dédiés à la consultation des journaux, genre « log » et de configurer rsyslog pour attribuer les dossiers créés à ce groupe.

C'est légèrement plus propre car ça évite de donner un accès en lecture seule aux journaux à tous les comptes utilisateurs de la machine. Mais ça suppose toujours de changer le mode avec lequel les dossiers sont créés (0700 = le groupe n'a pas d'accès non plus).

Le plugin omfile de rsyslog propose les paramètres « dirGroup » / « dirGroupNum » (« fileGroup » / « fileGroupNum » pour les fichiers).

Exemple :

template (name="chemin-prog"  type="string" string="/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme.log")

if $hostname == 'machine1' then {
    action(type="omfile" dynaFile="chemin-prog" dirGroup="log" dirCreateMode="0750")
    stop
}

Il est également possible de modifier l'utilisateur propriétaire du journal ou de l'arborescence : « fileOwner », « dirOwner », « fileOwnerNum », « dirOwnerNum ».

Évidemment, ces paramètres du plugin omfile peuvent être utilisés même quand on n'utilise pas de template. ;)