GuiGui's Show

Il y a "quelques" mois, Aeris lançait un appel à témoigner des actions de la CNIL. Vu que j'ai déjà publié la majorité de mes plaintes et leur suivi (liens dans l'inventaire ci-dessous), je me dis que ce n'est pas une mauvaise idée de publier cela. Alors voici.

Résumé

Total

• 61 réclamations visant 46 responsables de traitement dont :
  • 60 plaintes dont 4 mal rédigées ;
    
    
  • 1 signalement d'une fuite de données.

État

• 9 réclamations clôturées dont :

  • 4 plaintes irrecevables (à raison ou car plainte mal rédigée donc incompréhensible) ;
    
    
  • 1 clôture à ma demande (liquidation judiciaire du responsable du traitement sans lien avec le mésusage de données persos) ;
    
    
  • 3 clôtures dont je ne suis pas satisfait (dans la majorité des cas, la CNIL appuie une demande d'effacement sans sanctionner les infractions au RGPD, et, dans un cas, aucun retour du responsable du traitement malgré le soutien de la CNIL) ;
    
    
  • 1 clôture dont je suis vaguement satisfait.
• 51 réclamations dans l'état « transmise au service des plaintes » (ou au service des contrôles) + 1 qui n'a pas encore passée le greffe.

Répartition temporelle

• 2017 : 2 réclamations dont 1 plainte toujours ouverte ;
  
  
• 2019 : 3 plaintes dont 1 clôturée et 2 qui n'ont pas passé le greffe (sans qu'un quelconque retour me parvienne) ;
  
  
• 2020 : 1 plainte toujours en cours ;
  
  
• 2021 : 1 plainte clôturée (mais les infractions perdurent) ;
  
  
• 2022 : 41 plaintes dont 36 en septembre-octobre-novembre ; 5 clôturées (une le gros du boulot est fait ; une à ma demande ; pour deux autre l'infraction perdure ; la dernière a été jugée irrecevable après transmission au service des plaintes) ;
  
  
• 2023 : 13 plaintes ; toutes en cours de traitement (sauf une qui n'a pas encore passée le greffe).

Répartition par thématique

Une même plainte, un même fait, peut appartenir à plusieurs thématiques.

• Transfert illégal de données persos hors de l'UE (CDN, prestataire d'e-mailing, ressources web téléchargées depuis des entités états-uniennes, etc.) ; raisonnement juridique général : 40 ;
  
  
• Liens et/ou images de traçage dans un email ; raisonnement juridique général : 15 ;
  
  
• Emails non sollicités (commerciaux ou non) : 11 ;
  
  
• Base légale irrecevable (très souvent pour des emails non sollicités) : 10 ;
  
  
• Difficulté pour faire aboutir une demande d'opposition / d'effacement (très souvent suite à un email non sollicité) : 9 ;
  
  
• Durée de conservation excessive / bien supérieure à celle consignée dans la politique de confidentialité : 8 ;
  
  
• Absence de transparence / d'information dans la politique de confidentialité (et autres docs) et droit d'accès incomplet (pas toutes les infos) : 17 ;
  
  
• Absence de réponse à un exercice de droit dans le délai légal : 5 (dont une absence totale de réponse, même quasi un an après intervention de la CNIL) ;
  
  
• Divulgation de données persos / absence de sécurité effective : 1.

Attention : cette classification est approximative (dans mon référentiel de mes plaintes, je n'ai pas forcément fait remonter les griefs mineurs, qui, de fait, n'apparaissent pas dans ce shaarli et donc dans les comptes) et arbitraire (certains faits sont difficiles à classer, notamment si l'exercice de mon droit d'accès ne m'a pas permis de prendre connaissance de la finalité / base légale d'un traitement). Mais, ça correspond plutôt bien à mon ressenti.

Certains chiffres qui semblent être en décalage avec ceux d'autres militants (comme Aeris) s'expliquent :

• Si j'ai peu d'absence de réponse dans le délai légal, c'est que j'ai souvent signalé à la CNIL des infractions au RGPD (ce qui ne nécessite pas un exercice préalable des droits) ;
  
  
• Si le démarchage inopportun est aussi insignifiant, c'est que je suis un ermite numérique qui ne reçoit pas grand-chose et qui supprime ses alias emails rapido après usage (bloquant, de fait, tout contact futur et donc démarchage) ;
  
  
• Si j'ai aussi peu de droit d'accès incomplet, c'est que je l'ai peu exercé (là où Aeris est un champion hors pair, afin de remonter les revendeurs de données persos), car, encore une fois, le spam et la revente des données me concernent très très peu, car je ne le vois pas, cf. point précédent ;
  
  
• Si je ne mentionne pas de bandeau cookies défectueux ou trompeur, c'est que je m'y intéresse trop peu, donc il s'agit de points secondaires de mes plaintes, qui ne sont pas remontés dans ma synthèse et donc ici.

Détail

Tu y trouveras une synthèse des plaintes antérieures à 2022 que je n'ai pas publié, accompagnée d'un recul critique (certaines plaintes sont mal voire très mal rédigées, permettant à la CNIL de rester inactive).

Le tri est effectué par ordre croissant de la date de dépôt de plainte à la CNIL. J'ai décidé de regrouper par responsable du traitement (RT), car grouper par date n'a pas d'intérêt et grouper par thématique génère la duplication de certaines plaintes (car certaines concernent plusieurs thématiques).

La Poste

• Contexte & griefs : au guichet, je remplis et signe un formulaire de ré-expidition du courrier en cochant bien la case "ne pas recevoir de spam postal". Le guichetier l'utilise pour remplir un formulaire numérique, qu'il ne me demande pas de signer. Donc, sur le moment, je ne remarque pas qu'il n'a pas coché ladite case. En déménageant, je me fais spammer à mort. Plus d'infos ;

  • Droit d'accès incomplet : La Poste ne me file pas toutes les infos qu'elle a collectées sur moi (notamment le numéro de ma CNI, sa date de délivrance, etc. qui apparaissent sur le formulaire de ré-expédition) ni à qui elle a revendu mon adresse postale (c'est pourtant une obligation légale) ;
    
    
  • Le RT doit apporter la preuve du consentement. Le DPO LP me répond « vous ne vous êtes pas opposé à cette commercialisation en cochant la case dédiée ». Plusieurs juristes m'avaient informé que c'est un point indémerdable en droit, que la CNIL a jamais tranché (attention, ça date de 2017, depuis, le CEPD aurait posé des jalons, cf. point 5.1 de ces lignes directrices) ;
    
    
  • Droit d'opposition ineffectif : je continuais à recevoir du spam (au-delà de la latence raisonnable, c'est-à-dire le temps de me sortir de la base, de transmettre mon opposition aux prestataires, si le prospectus a été envoyé à l'imprimeur ou déjà imprimé, etc.), et le DPO LP m'a répondu de lui signaler les envois litigieux au cas par cas, ce qui, comme le droit d'accès incomplet, me laissait penser que la traçabilité était défectueuse… ;
    
    
  • Je ne l'ai pas souligné à la CNIL, mais, la prospection pour des produits / services pas similaires / d'une autre société commerciale auprès d'un particulier doit reposer sur le consentement explicite (opt-in), pas sur l'opposition (opt-out).
• Date de la plainte CNIL : avril 2017 ; Demande d'un suivi en mars 2018 (aucune réponse) et en novembre 2022 (demande de suivi transmise au service des plaintes) ;
  
  
• État de la plainte : transmise au service des plaintes depuis avril 2017. Fin 2022, La Poste enfreint toujours le RGPD sur ces points-là :( ;
  
  
• Commentaire : je reconnais que cette plainte est mal rédigée. J'explique le problème, et je demande à la CNIL son interprétation du droit. La bonne façon de faire : dire que ce sont des infractions selon toi et demander une sanction. La CNIL dira, par son action, si ton interprétation de la loi est correcte ou non. Mais douter et demander une interprétation, c'est mort, c'est le meilleur moyen que ta plainte n'avance pas.

• Contexte & griefs : son site web fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Notamment, le suivi d'un envoi est impossible sans accepter un outil de suivi du parcours client (qui, en sus, ne peut relever de l'intérêt légitime) téléchargé sur des serveurs ricains. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

• Contexte & griefs : liens et images traçants dans ses emails « Votre Colissimo arrive ! » + images et redirection des liens hébergées chez Microsoft. Plus d'infos ;
  
  
• Date de la plainte : début octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début octobre 2022.

Gaz Électricité de Grenoble

• Contexte & griefs : suite à un appel au service clients de GEG, je reçois, par email, une enquête de satisfaction de la part d'un prestataire de GEG (Market Audit). Je clique sur le lien : aucun questionnaire, mais des données personnelles d'un autre client (nom, prénom, adresse postale, numéro de téléphone, objet du dernier appel à GEG, d'autres infos que je ne savais pas interpréter). F5. Des données persos concernant quelqu'un d'autre. Le service clients GEG me confirme que deux des trois identités que j'ai vu sont bien clientes de GEG et qu'ils font remonter. Avec les numéros de téléphone dispos dans l'annuaire et sur le web, je contacte le presta, et je finis par tomber sur un dirlo de la communication. 30 minutes plus tard, une autre employée (que j'avais sollicité) m'informe que le problème est corrigé ;

  • J'informe la CNIL et l'invite à étudier les aspects inconnus : durée de la fuite de données ? Ampleur (tous les clients du prestataire ou juste ceux de GEG) ? Comment cela a-t-il pu se produire (absence d'isolation backend/frontend) ? Quelle correction définitive ? Etc.
• Date du signalement : mi-septembre 2017 ; Demande d'un suivi fin septembre 2017 (aucune réponse), en mars 2018 (transmise au service des contrôles, pas de réponse), et en novembre 2022 (« les signalements transmis au service des contrôles ne donnent pas lieu à un suivi de dossier », il était temps de me le dire !) ;
  
  
• État du signalement : transmis au service des contrôles depuis la mi-octobre 2017 (un mois après mon signalement).

Banque Populaire (l'une de ses instances régionales)

• Contexte & griefs : difficulté, pour obtenir la liste des données personnelles strictement nécessaires (loi, contrat, etc.) à notre relation commerciale. Tout est présenté comme étant obligatoire, mais quand j'insiste, ça l'est uniquement pour des services auxquels je n'ai pas souscrit, etc. ;
  
  
• Date de la plainte : novembre 2019 :
  
  
• État de la plainte : clôturée mi-décembre 2020 : « [ La CNIL n’a ] pas vocation à se prononcer, au cas par cas, sur le profil de la relation contractuelle établie avec votre banque, qui définie son degré d’exposition au risque et la nature des informations qu’elle est susceptible de recueillir auprès de vous pour se prémunir contre ce risque ». Prendre contact avec le médiateur de la banque. En revanche, une banque doit informer de la raison de la collecte d'une donnée perso, de ce qu'elle va en faire, et des conséquences d'un refus ;
  
  
• Commentaire : je reconnais que cette plainte est très mal rédigée. Je demande à la CNIL une liste de ce qu'une banque a l'obligation légale de collecter, l'interdiction légale de collecter, etc. et l'invite à en faire un guide sur son site web avant de lui relater mes échanges tortueux avec ma banque, sans lui demander quoi que ce soit (à part sous-entendre "regardez comment c'est compliqué de savoir"). Forcément… La bonne démarche aurait été d'être affirmatif : information incomplète = infraction, et, me renseigner sur les obligations légales d'une banque, puis demander à ma banque d'effacer telles infos précises, et en cas de refus, plainte CNIL pour droit d'effacement ineffectif.

• Contexte & griefs : je demande à ma banque de supprimer de mon dossier un numéro de téléphone fixe périmé. Il fut effacé. Puis, des mois après (au-delà d'un délai raisonnable, donc), il est ré-apparu dans mon espace client web. J'ai redemandé sa suppression. Il a été de nouveau effacé. Je n'ai plus confiance et demande à la CNIL de vérifier si la BP stocke des données personnelles périmées à mon sujet. Effacement difficile, en somme ;
  
  
• Date de la plainte : novembre 2019 ;
  
  
• État de la plainte : elle n'a pas franchi le greffe de la CNIL, mais aucune information (rejet, etc.) m'a été envoyée ;
  
  
• Commentaire : plainte très mal rédigée. Il fallait écrire "une donnée perso prétendument effacée réapparaît des mois après, infraction au RGPD, sanction". Pour l'absence de confiance, il fallait exercer mon droit d'accès, constater une absence de réponse ou une réponse incomplète (pas représentative de ce qu'une banque détient sur son client ‒ ne rigole pas, c'est comme ça qu'est arrivé l'arrêt CJUE Schrems I : absence de représentativité d'une réponse de Facebook à un droit d'accès ‒) ou contenant des infos périmées (et demander alors leur rectification / suppression), tout en déposant une plainte à la CNIL ("donnée périmée" ou "réponse incomplète" ou "absence de réponse").

• Contexte & griefs : un contrat « porteur CB » de la BP stipulait que le GIE CB élaborait des stats anonymes auxquelles on pouvait s'opposer, en ne disant pas que Visa faisait pareil (c'était Visa Advertising Solutions et un formulaire web d'opt-out était dispo). Si la notice RGPD de la BP mentionne bien des transferts vers GIE CB, Visa et Mastercard, elle ne dit pas quel jeu de données l'est, pour quelles finalités, et qu'il est possible d'opt-out un traitement de Visa. Une nouvelle version du contrat « porteur CB » ne mentionne plus les stats du GIE CB et renvoie vers la politique de confidentialité de ce dernier. Toujours aucun renvoi vers Visa (qui permettait un opt-out partiel, j'insiste). La Notice RGPD reste inchangée. Bref, j'y voyais un manque de transparence / d'information sur les transferts de données persos réalisés par la BP ;
  
  
• Date de la plainte : novembre 2019 ;
  
  
• État de la plainte : elle n'a pas franchi le greffe de la CNIL, mais aucune information (rejet, etc.) m'a été envoyée ;
  
  
• Commentaire : plainte mal rédigée. Je demande à la CNIL d'émettre un avis sur un contrat que je n'ai pas encore signé et d'intervenir pour faire stopper un manque de transparence… La bonne façon de faire : être affirmatif ("absence d'information sur les transferts et leur finalité = infraction RGPD"), et ne pas demander confusément un avis sur un contrat en cours de négociation (pas signé).

• Contexte & griefs : le nouvel espace client web fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plainte dispo ici ;
  
  
• Date de la plainte : début mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc ma demande de suivi a été transmise au service des plaintes ;
  
  
• État de ma plainte : transmise au service des plaintes début mai 2022 ;
  
  
• Commentaire : il s'agit de ma première plainte dans la thématique « Schrems II ».

• Contexte & griefs : le nouvel espace client web fait télécharger un outil de tests A/B et un autre de gestion de la performance, tous deux externalisés dans l'UE. Cela ne peut pas reposer sur l'intérêt légitime (le test de légitimité en trois étapes n'est pas passé), donc BP devrait recueillir un consentement au traitement. Plainte dispo ici ;
  
  
• Date de la plainte : début mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc ma demande de suivi a été transmise au service des plaintes ;
  
  
• État de ma plainte : transmise au service des plaintes début mai 2022.

• Contexte & griefs : refus de supprimer des données persos (situation familiale, statut d'occupation d'un logement et depuis quand, etc.) au motif qu'il s'agit d'infos nécessaires à l'évaluation du risque dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (cette évaluation est une obligation légale), ce dont je disconviens en m'appuyant sur les lignes directrices de l'ACPR. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes mi-novembre 2022. Réponse par email (pas par le téléservice) le 28/11/2022 sans clôture de la plainte (résumé : incompétence de la CNIL, renvoi vers l'ACPR), complément de réponse et clôture le 05/12/2022 suite à mon complément interrogatif du 02/12/2022.

ACESI

• Contexte & griefs : demande d'un devis pour une association que nous ne signons pas Je continuais de recevoir des emails de démarchage plus de cinq ans après. Un peu excessif. Demande d'effacement ;

  • La politique de confidentialité ne présentait pas le traitement ni la durée de conservation (y'en avait que pour les clients, les contacts via le formulaire web, etc.) ;
    
    
  • N'étant pas client, il était illégal de me démarcher sans consentement (voir) ;
    
    
  • Dès 2018, j'ai cliqué sur le lien « se désinscrire » d'un email. Aucun effet. En 2019, email au co-dirlo (qui me spammait à nouveau). Aucune réponse, aucun effet. En octobre 2020, j'utilise l'adresse emails générique consignée dans la politique de confidentialité. Le même co-dirlo qu'en 2019 me répond que ma demande d'effacement a été exécutée. Absence de réponse sur les autres points (durée de conservation excessive, absence de base légale, opposition automatique ineffective, délai légal largement dépassé).
• Date de la plainte : octobre 2020. Demande de suivi en novembre 2022 (demande de suivi transmise au service des plaintes) ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin octobre 2020 ;
  
  
• Commentaire : toujours utiliser l'adresse emails consignée dans la politique de confidentialité. Même si l'adresse d'émission du spam est une adresse lue par un humain, celle d'un co-dirlo, etc.

Silkhom

• Contexte & griefs : ce cabinet de recrutement me propose des offres d'emploi 4 ans après ma candidature sur l'une des offres dont il avait la charge. Quatre ans, c'est le double de la durée max de conservation annoncée dans la politique de confidentialité. Deux demandes d'effacement (car deux spams en un mois). Absence de réponse. Je raconte ça ici ;
  
  
• Date de la plainte : août 2021 ;
  
  
• État de la plainte : clôturée fin décembre 2021 : « La CNIL a appuyé votre demande […] » (message type). La CNIL ne se prononce donc pas sur la durée de conservation excessive. :(

Danitis

• Contexte & griefs : ce cabinet de recrutement me propose des offres d'emploi 7 ans après une candidature. Sept ans, c'est au-delà de la durée max de conservation annoncée dans la politique de confidentialité (5 ans), et c'est clairement excessif. Le lien « se désinscrire » d'un email précédent n'a pas produit l'effet escompté. Aucune réponse à ma demande d'effacement ;
  
  
• Date de la plainte : début janvier 2022 ;
  
  
• État de la plainte : clôturée début janvier 2022 : « La CNIL a appuyé votre demande […] » (message type). La CNIL ne se prononce donc pas sur la durée de conservation excessive. :(

ÉDIT DU 19/07/2023 :

Suite à une demande de communication de documents, la CNIL m'a transmis, le 30/01/2023, la prose qu'elle a envoyée à Danitis le 4 janvier 2022 (j'ai caviardé mon identité et mon adresse postale). Contrairement à son échange avec Shilkhom (voir point précédent), elle y évoque bien la durée de conservation, se garde bien de la qualifier d'excessive, invite Danitis à consulter sa fiche pratique, et, si Danitis constate qu'elle ne respecte pas les règles qui y sont rappelées, elle doit se mettre en conformité.

Contrairement à ma réclamation visant Silkhom, cette fois-ci la CNIL a clôturé ma réclamation après avoir envoyé son courrier à Danitis.

Malgré l'appui de la CNIL, Danitis ne m'a jamais informé de la suite qu'elle a donnée, ne serait-ce que m'informer de la bonne suppression de mes données persos…

FIN DE L'ÉDIT DU 19/07/2023.

Une administration française (mon employeur, au moment du dépôt)

• Contexte & griefs : plusieurs dizaines de ses sites web font télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plus d'infos ;
  
  
• Date de la plainte : fin mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc transmission de ma demande de suivi au service des plaintes ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin mai 2022.

Fisc

• Contexte & griefs : son espace personnel pour les particuliers fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes + recours à un CDN ricain sur certaines pages. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

Cogent Communications

• Contexte & griefs : j'étais le contact technique / administratif pour deux associations. Puis, j'ai pris le large. Je le signale à Cogent. Elle continue de m'envoyer des emails en rapport avec la relation commerciale qu'elle continue légitimement d'avoir avec les assos (hausse de prix, maintenance programmée, etc.). Je lui signale. On me répond que je suis déjà effacé de la base, qu'on ne comprend pas d'où ça sort, qu'on envoie au service technique (avec preuve de l'échange en PJ). Aucun retour, et je reçois toujours des emails deux ans et demi après. Nouveau signalement, absence de réponse. Droit à l'effacement incomplet, car traçabilité des données incomplète. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe ;
  
  
• État de la plainte : transmise au service des plaintes et clôturée mi-novembre 2022 (suite à ma relance) : « La CNIL est intervenue à l’appui de votre demande […] Elle lui a rappelé ses obligations et lui a demandé d’effacer les données vous concernant de ses fichiers de prospection ». Il ne s'agit pas de prospection. La CNIL ne se penchera pas sur l'effacement incomplet réitéré (je ne lui avait pas demandé, ceci dit, mais bon… relou).

Vitaline

• Contexte & griefs : mélange entre newsletter et démarchage pour des produits similaires à ceux achetés. Sauf que j'ai jamais été informé et que le premier envoi a eu lieu 11 mois après mon dernier achat… + liens et images traçants dans les emails + utilisation d'un CDN ricain pour diffuser les images de l'email, rediriger les liens, et héberger son site web officiel. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

Le Ravi

• Contexte & griefs : lors d'un appel au don, ré-utilisation d'une adresse emails utilisée deux ans plus tôt pour signer une pétition We Sign It lancée par le journal. Lors de la pétition, j'avais refusé la newsletter We Sign It, donc la seule finalité de collecte de mon adresse emails était la sécurité / fiabilité de la pétition. We Sign It est aussi responsable car elle permet l'exportation des adresses emails des signataires d'une pétition, y compris celles collectées uniquement pour la sécurité (et sans le mentionner dans sa politique de confidentialité). Absence d'info, détournement de finalité et durée de conservation excessive. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : clôturée à ma demande fin novembre 2022 suite à la liquidation judiciaire du Ravi.

OVH

• Contexte & griefs : liens et images traçants dans ses emails commerciaux + les images et la redirection des liens sont diffusées via un CDN ricain. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022 ;
  
  
• Commentaire : il s'agit de ma première plainte pour des liens et images traçants.

Caisse Nationale de l'Assurance Maladie

• Contexte & griefs : liens et images traçants dans ses emails. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Météo France

• Contexte & griefs : impossible de consulter les cartes de prévision (je ne parle pas de vigilance) sans télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Pôle emploi

• Contexte & griefs : impossible de s'inscrire au Pôpôle sans télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes + volonté contradictoire de présenter, dans le bandeau cookies, l'outil de mesure d'audience Xiti comme étant nécessaire (ce qui ne peut pas être le cas) et de le dissimuler (CNAME cloaking). Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

• Contexte & griefs : liens et images traçants dans ses emails (courrier disponible dans l'espace personnel web, échange avec un conseiller, etc.). Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-octobre 2022.

• Contexte & griefs : convocation à un atelier se déroulant en visio avec Microsoft Teams + communication, pour y accéder, d'un lien court de la société commerciale ricaine Bitly (aucun autre moyen). Deux transferts illégaux de données persos vers les États-Unis. Plus d'infos ;
  
  
• Date de la plainte : début novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début novembre 2022.

• Contexte & griefs : invitations récurrentes à rejoindre le réseau social de Pôpôle. Volumétrie excessive. Le seul moyen de s'opposer en autonomie nécessite de créer un compte sur le réseau social… duquel on refuse les invitations. Des informations légalement obligatoires manquantes. Le réseau social utilise des ressources web (scripts, images, police) téléchargées depuis des entités états-uniennes. Idem pour les images rédactionnelles des emails. Liens et image de traçage dans les emails. Plus d'infos ;
  
  
• Date de la plainte : fin décembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin décembre 2022.

Direction de l'Information Légale et Administrative (DILA)

• Contexte & griefs : recours à un CDN ricain pour plusieurs sites web officiels du gouvernement français (Légifrance, Journal-Officiel, Vie-Publique, etc.) et téléchargement de ressources web depuis des serveurs détenus par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Decitre

• Contexte & griefs : liens et images traçants dans ses emails de suivi d'une commande + images et redirection des liens via Amazon + prestataire d'e-mailing ricain. Donc transferts illégaux de données persos vers les États-Unis. Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-octobre 2022.

CNIL

• Contexte & griefs : pour proposer des vidéos sur son site web, la CNIL a recours à un prestataire français qui s'héberge chez des entités états-uniennes, y compris le suivi des interactions avec une vidéo (lecture, pause, reprise, déplacement, à tels moments de telle vidéo, etc.). Carences dans le pilotage de la sous-traitance. Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : réponse du DPO de la CNIL à la mi-octobre 2022 : "il m'incombe de traiter votre plainte, je reviens vers vous" ; plainte clôturée le 10/01/2023 : auto-hébergement des vidéos + dialogue avec le prestataire.

• Contexte & griefs : suite de la précédente puisque toutes les vidéos litigieuses n'avaient pas été préventivement internalisées alors qu'il apaprtient à une entité mise en cause (que ce soit la CNIL ou non) de corriger l'ensemble des composants d'un problème, pas uniquement ceux signalés. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Arrêt sur images, Basta, Disclose, Fakir, Les Jours, L'informé, Mediapart, Next Inpact, Numerama, Off Investigation, Siné mensuel, et StreetPress

• Contexte & griefs : recours à un CDN ricain et/ou téléchargement de ressources web depuis des serveurs informatiques détenus par des entités ricaines et, pour la plupart, dépôt de cookies de traçage sans consentement (induit par les tiers intégrés à leurs sites web). Recours à un prestataire d'e-mailing ricain pour les newsletters ou les emails transactionnels de certains, bandeau cookies trompeur et/ou pas exhaustif chez d'autres. Pour la moitié, aucune amélioration suite à un signalement vieux de deux ans. Plus d'infos ;
  
  
• Dates des plaintes : début novembre 2022 ;
  
  
• État des plaintes : transmises au service des plaintes depuis début novembre 2022 ;
  
  
• Commentaire : il s'agit de plusieurs plaintes puisqu'une plainte doit viser un seul RT.

Danitis, Expectra, ITalent, Silkhom et Squad

• Contexte & griefs : cabinets de recrutement qui me proposent des offres d'emploi des années après ma candidature sur l'une des offres dont ils avaient la charge. Détails ici ;

  • Base légale irrecevable : le test de légitimité en trois étapes de l'intérêt légitime qui permet légalement ces envois n'est pas passé (argumentaire), surtout quand les offres ne sont pas ciblées sur les compétences (le service proposé n'est pas similaire) ;
    
    
  • Durée de conservation excessive au regard de la finalité, et supérieure (du double dans 4/5 des cas) à celle annoncée dans la politique de confidentialité ;
    
    
  • Pour trois d'entre eux : absence de réponse à un exercice de droit dans le délai légal. Dans un cas, absence totale de réponse même après intervention de la CNIL (cf. plainte ci-dessus) ;
    
    
  • Pour deux d'entre eux, on ajoute liens et images traçants dans leur email. Pour deux d'entre eux, leur politique de confidentialité mentionne une obligation de fournir un justificatif d'identité lors d'une demande d'exercice des droits (cette obligation n'existe pas). Pour deux d'entre eux, transfert illégal de données persos en dehors de l'UE (prestataire d'e-mailing, hébergement des images de l'email, Google Fonts dans l'email, etc.). Pour deux d'entre eux, on ajoute difficulté à faire effacer mes données persos, cf. plaintes ci-dessus.
• Dates des plaintes : début novembre 2022 ;
  
  
• État des plaintes : transmises au service des plaintes depuis début novembre 2022 ;
  
  
• Commentaire : il s'agit de plusieurs plaintes puisqu'une plainte doit viser un seul RT. Première fois que je contestais la recevabilité d'un l'intérêt légitime.

Scaleway

• Contexte & griefs : quatre ans après une création de compte client / commande avortées (car je ne voulais pas valider mon compte avec mon téléphone, 2FA tout ça) et une impossibilité de me connecter à mon compte client afin de le clôturer (erreurs techniques signalées au service clients quasiment deux ans avant ma plainte), je continue de recevoir des emails typiques d'une relation commerciale (changez votre mdp, nouveaux tarifs, etc.). Plus d'infos ;

  • Base légale irrecevable : je ne suis pas devenu client (ce qu'énonçait le pied de page des premiers emails), donc absence de nécessité au contrat, et l'on repassera pour l'intérêt légitime à recevoir les nouveaux tarifs de service qu'on n'a pas souscrit et d'exigence de changement du mot de passe d'un compte client auquel on ne peut pas se connecter. Ça sent quand même plus le bug technique qui m'a fait entrer dans un cas imprévu qu'une volonté de nuire ;
    
    
  • Durée de conservation excessive : la politique de confidentialité énonce cinq ans après la fin de la relation commerciale / délai légal… mais j'ai jamais été client, et, dans ce cas-là, une durée de conservation de quatre ans est excessive ;
    
    
  • Transfert illégal de données personnelles hors de l'UE (prestataire e-mailing ricain) ;
    
    
  • Liens et images traçants dans les emails depuis au moins deux ans et demi.
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

Mediapart

• Contexte & griefs : liens et images traçants dans email + hébergement des images de l'email chez les ricains + prestataire d'e-mailing européen concerné par le CLOUD Act. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

OpenStreetMap Foundation

• Contexte & griefs : recours à un CDN ricain pour diffuser sa carte sur son site web officiel + recours à un autre CDN ricain pour télécharger des scripts nécessaires à son éditeur en ligne. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

Mutins de Pangée

• Contexte & griefs : recours à des CDN ricains pour diffuser ses ressources web statiques et les films + les seuls prestataires de paiement proposés sont des ricains alors que l'usage de l'un d'eux a été étriller par une APD. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Mairie de mon bled

• Contexte & griefs : recours à Microsoft pour ses emails + utilisation de Google Analytics, Google Fonts et Google DoubleClick (?!) sur son site web. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

CGT

• Contexte & griefs : divulgation de données persos de syndiqués à un tiers + le logiciel de gestion des adhésions, des cotisations, etc. semble octroyer trop de droits (lecture, etc.) à trop de monde, ce qui nuit à la sécurité des données persos (la divulgation en est l'illustration). Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Le Bon Coin

• Contexte & griefs : les emails transactionnels sont émis par des sociétés commerciales ricaines + ils contiennent des images et des liens de traçage + qui sont hébergés par des entités ricaines + même chose pour les images rédactionnelles + recours à un CDN ricain pour diffuser le site web + recours à des ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Darty

• Contexte & griefs : les emails transactionnels sont émis par une sociétés commerciale ricaine + ils contiennent des images et des liens de traçage + qui sont hébergés par une entités ricaine + même chose pour les images rédactionnelles + recours à un CDN ricain pour diffuser le site web + recours à une palanquée ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

FNAC

• Contexte & griefs : les emails transactionnels contiennent des images et des liens de traçage + qui sont diffusés par une entité ricaine + même chose pour les images rédactionnelles et des polices de caractères + recours à un CDN ricain pour diffuser le site web et à une palanquée de ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

SFR

• Contexte & griefs : reCAPTCHA est nécessaire pour se connecter à l'espace client de Red by SFR + le site web (y compris l'espace client) incorpore une palanquée de ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : fin avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes fin avril 2023.

Basta

• Contexte & griefs : conservation 5 ans d'une adresse emails utilisée lors d'un don (conservation excessive) pour l'inscrire à plusieurs newsletters dont 2 sans rapport avec le don (détournement de finalité, et absence de base légale), liens et images de traçage dans les emails des newsletters, et images (et police de caractères) des newsletter hébergées par les ricains. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

Conseil National des Barreaux

• Contexte & griefs : emails entrants sous-traités à Microsoft. Logiciel de gestion des demandes d'assistance de la société commerciale ricaine Zendesk. Les emails envoyés par celle-ci contiennent des images diffusées via un CDN ricain. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

GIE CB

• Contexte & griefs : emails sous-traités à une entité ricaine. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : reçue (elle n'a pas encore passée le greffe).

• Contexte & griefs : réponse incomplète à une demande d'information sur un traitement et sur les modalités d'exercice du droit d'opposition. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

Visa

• Contexte & griefs : réponse incomplète à une demande d'information sur un traitement et sur les modalités d'exercice du droit d'opposition. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

ÉDIT DU 29/12/2022 : ajout de la 4e plainte visant Pôle emploi et clôture de la plainte visant la Banque Populaire « refus de supprimer des données persos » de mi-novembre 2022. FIN DE L'ÉDIT.

ÉDIT DU 10/01/2023 : mise à jour de l'état de la plainte déposée à la mi-octobre 2022 portant sur le site web de la CNIL. FIN DE L'ÉDIT.

ÉDIT DU 21/07/2023 : ajout d'un lot de 8 réclamations. FIN DE L'ÉDIT.

ÉDIT DU 06/08/2023 : ajout d'un lot de 5 réclamations. FIN DE L'ÉDIT.

Rendue le même 18 novembre par Violette Baty, vice-présidente, agissant en tant que magistrate déléguée par le président du tribunal judiciaire de Paris, Stéphane Noël, cette ordonnance fait droit dans l’urgence à une requête déposée le même jour par l’avocat de Gaël Perdriau, Me Christophe Ingrain.
[…]
Elle nous enjoint « de ne pas publier sous astreinte de 10 000 euros par extrait publié » de nouvelles révélations sur les pratiques politiques du maire de Saint-Étienne, appuyées notamment sur les mêmes enregistrements qui nous ont permis de révéler le scandale du chantage à la sextape dont a été victime son premier adjoint centriste, Gilles Artigues.
[…]
Poursuivant son enquête, Antton Rouget a découvert des faits inédits qui, de nouveau, mettent en cause les pratiques du maire de Saint-Étienne, notamment dans le recours à la rumeur comme instrument politique. Mais, cette fois, leur victime est une personnalité notable de la droite, Laurent Wauquiez, président LR de la région Auvergne-Rhône-Alpes, dont l’ambition présidentielle est notoire.
[…]
Contacté en début de semaine par Antton Rouget pour répondre sur ces faits nouveaux, Gaël Perdriau avait pour sa part demandé un délai supplémentaire jusqu’au vendredi 18 novembre à 13 heures, qui lui fut volontiers accordé. […] Trois heures après que nous eûmes reçu, à 12 h 57 par courriel, ses réponses détaillées, un huissier venait nous délivrer l’ordre de ne rien publier, obtenu par le même Gaël Perdriau auprès du président du tribunal judiciaire de Paris. Le maire de Saint-Étienne sait donc pertinemment quelles informations il ne veut pas voir publiées.
[…]
Cette procédure expéditive s’appuie sur deux articles du Code de procédure civile : l’article 493, qui concerne toutes les juridictions, selon lequel « l’ordonnance sur requête est une décision provisoire rendue non contradictoirement dans les cas où le requérant est fondé à ne pas appeler de partie adverse » ; l’article 875, qui relève des « dispositions particulières au tribunal de commerce » : « Le président peut ordonner sur requête, dans les limites de la compétence du tribunal, toutes mesures urgentes lorsque les circonstances exigent qu’elles ne soient pas prises contradictoirement. » […] Totalement extérieure au droit de la presse, la procédure d’exception choisie est destinée, selon la jurisprudence, à créer « un effet de surprise » qui, en l’occurrence, consiste à tuer dans l’œuf la publication d’une information sans que le journal ne puisse défendre devant des juges indépendants l’intérêt général qui justifie sa publication.

Pour rappel : magistrat du parquet = pouvoir exécutif, pas judiciaire.

Me Christophe Ingrain est également l'avocat d'Altice dans son procès contre Reflets, de Dupond-Moretti devant la CJR, et du maire de Saint-Etienne dans l'affaire de chantage sur son adjoint (source).

Donc, en deux mois : Reflets est poursuivi sur la base du secret des affaires. Interdiction de publier de futurs articles basées sur des informations issues du piratage d'Altice (voir) ; Arrêt sur images, Mediapart, Reflets, Next Inpact et d'autres sont poursuivis pour diffamation par Avisa Partners (voir) ; Et maintenant, ça. Tout. Va. Bien.

ÉDIT DU 29/06/2023 : Ça a fait pschitt lors de la demande de rétractation de l'ordonnance sur requête examinée le 30/11/2022 par le tribunal. Il existe deux procédures d'urgence : le référé et l'ordonnance sur requête. Pas de contradictoire dans le deuxième cas afin d'aller vite pour parer un dommage imminent (ici, sur la vie privée). Le tribunal a estimé que cette urgence n'était pas remplie dès lors que M. Perdriau avait caché qu'il avait connaissance de la détention de l'enregistrement litigieux par Mediapart depuis plus de deux mois. Voir aussi cette intéressante analyse. FIN DE L'ÉDIT DU 29/06/2023.

Sur un chauffage électrique, les résistances électriques dégagent toujours la même quantité de chaleur. Le bouton de réglage (1, 2, … 7) sert à moduler la durée (et la fréquence) pendant laquelle les résistances sont allumées, pas la quantité de chaleur qu'elles dégagent. Néanmoins, sur certains modèles équipés de plusieurs résistances, on peut un peu moduler effectivement la chaleur dégagée (sans artifice).

Idem pour des radiateurs en fonte alimentés par une chaudière : l'eau est toujours à la même température, surtout entre les différents radiateurs, et le bouton de réglage produit une fluctuation incessante du débit de la flotte.

Même principe pour un grille-pain. Ou pour une plaque de cuisson électrique (sauf qu'en plus, les résistances sont pilotables indépendamment, le nombre de résistances allumées en simultané varie en fonction du réglage, et comme il y a plus de niveaux de réglage que de résistances, dans certains niveaux, des résistances sont allumées, éteintes, allumées, etc. en alternance, ce qui revient à jouer sur la durée de fonctionnement).

Évidemment, c'est le même principe pour tout ce qui fonctionne avec une résistance électrique (four, etc.).

Parfois, on apprend des choses basiques… Merci, prof' Johndescs.

Pivoter / rotate toutes les pages d'un PDF vers la droite (90 degrés dans le sens horaire) : pdftk entrée.pdf cat 1-endeast output sortie.pdf

Pivoter / rotate les pages 3 et suivantes (jusqu'à la fin) vers la droite (90 degrés dans le sens horaire) : pdftk entrée.pdf cat 1-2 3-endeast output sortie.pdf

Pivoter / rotate uniquement la première page vers la droite (90 degrés dans le sens horaire) : pdftk entrée.pdf cat 1east 2-end output sortie.pdf

pdfjam (paquet texlive-extra-utils) permet de préciser plus finement l'angle : pdfjam --angle 2 entrée.pdf --outfile sortie.pdf

Le Groland a trouvé une utilité concrète au Métavers !

Sinon, dans ma jeunesse, quand la chienne de la famille a eu des metavers, on lui a filé un vermifuge et c'était réglé, j'vois pas pourquoi on fait tout un plat du metavers de Zucky. :-

Tu connais la différence entre un enfant et une prostituée ?
Non ?
Gros taré, j'appelle les flics

:')

https://danstonchat.com/10633.html :

Mouah : hey les gens, vous connaissez la différence entre WoW et un vagin?
Nico : Non, c'est?
Maxou-ou-ou : Non je vois pas...
Mouah : Non bah rien, continuez de jouer à WoW. =)

:'D

Tiens, j'ignorais que KissKissBankBank et Societe.com sont des filiales du groupe La Poste.

Under Swedish law, a party can request a decision within four weeks, if an authority has not decided within six months. Following three years of inactivity, the complainant requested a formal decision under Section 12 of the Swedish administrative law, which was rejected by the Swedish IMY, arguing that it is undertaking a parallel ex officio investigation into Spotify and that the complainant is not a party to the procedure.

Une enquête de son propre chef d'une APD, même si elle est plus large qu'une réclamation déposée par un lambda auprès de la même APD, ne fait pas obstacle à une demande de prise de décision (après six mois de silence, dans la loi suédoise) portant sur la réclamation.

Attention, il s'agit d'une loi suédoise relative aux administrations, pas tellement d'une loi relative aux données persos, donc ce cas peut être cité en exemple mais n'est pas transposable à un autre pays de l'UE. Et la décision fait toujours l'objet d'une contestation devant la cour suprême suédoise en juin 2023.

• Europol (coordination européenne des flics) pratique illégalement la pêche de gros de données personnelles, y compris, donc, de personnes sans lien établi la criminalité ;
  
  
• En janvier 2022, l'EDPS (la CNIL européenne) lui ordonne d'arrêter. Europol n'a pas compétence pour faire ça. Tous les jeux de données plus vieux que six mois qui n'ont pas été catégorisés (criminel, victime, etc.) doivent être supprimés ;
  
  
• En juin 2022, un nouveau règlement européen concernant Europol est adopté par le Parlement et le Conseil. Il étend le mandat d'Europol concernant l'échange de données persos avec des entités privées, l'utilisation de l'IA, et le traitement de grands jeux de données. Europol devient donc autorisée à traiter de gros jeux de données dans certains cas, ce qui va augmenter la quantité de données persos collectées, traitées et stockées par Europol, y compris celles de personnes sans lien avec la criminalité ;
  
  
• Le même Règlement autorise Europol à traiter les jeux de données qu'elle détenait illégalement avant son adoption, ce qui outrepasse la décision de l'EDPS de janvier 2022.

En matière de police, je n'aime pas voir être associés les mots IA et jeux de données… Surtout quand il y a eu abus passé. On se rapproche d'une collecte massive et d'une approche prédictive de la criminalité, tout de même. :(

Via https://twitter.com/gchampeau/status/1573030150953902082.

[…] le « paquet européen de protection des données à caractère personnel », composé du règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et de la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice ».
[…]
Le RGPD a vocation à s’appliquer à l’ensemble des traitements de données à caractère personnel dans les Etats membres, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit de l’Union européenne, telles que les activités de sûreté de l’Etat ou de défense nationale, et ceux mis en œuvre aux fins de la directive « Police-Justice ».

Ooook. Trois contextes (champs d'application) distincts :

• Directive européenne Police-Justice : pénal, application des peines judiciaires, prévention, maintien de l'ordre, PNR, etc. ;
  
  
• Loi Informatique et Libertés (1978) : sûreté de l'État et défense nationale (car ce ne sont pas des compétences de l'UE donc hors directive Police-Justice et RGPD) ;
  
  
• RGPD pour le reste.

Droits en plus et/ou en moins entre la directive Police-Justice et le RGPD (notamment un droit d'accès restreint voire indirect pour la directive).