GuiGui's Show

Plus que quelques jours pour mandater la Quadrature pour déposer une plainte collective auprès de la CNIL concernant le vidéoflicage, la reconnaissance faciale, le vidéoflicage algorithmique, et une infime partie du fichage étatique (fichiers Titres Électroniques Sécurisés ‒ TES ‒ et Traitement des Antécédents Judiciaires ‒ TAJ ‒ qui fiche les victimes, les témoins, les suspects, les coupables, qui contient 80 % d'erreurs et à l'encontre duquel l'exercice des droits est une plaie).

Aucun risque juridique ni financier à mandater LQDN.

Quasi 13 000 mandats récoltés.

Au deuxième semestre 2019, le Ravi proposait de signer une pétition de soutien éditée et hébergée par We Sign It. En 2022, j'ai reçu deux emails émis par le Ravi via Sendinblue portant sur un appel au don. Ils ont été envoyés à l'adresse emails dérivée dédiée à la signature de la pétition de 2019. We Sign It collecte (et utilise) une adresse emails essentiellement pour fiabiliser une pétition en évitant les fausses signatures par des robots (j'ai refusé la newsletter). Il s'agit donc d'un détournement de finalité (fiabilité / sécurité -> appel au don) pour laquelle le consentement était obligatoire (ça ne relève pas de l'exécution d'un contrat ni de l'intérêt légitime). Comment l'adresse emails et le pseudo des signataires de 2019/2020 ont pu être exportés par le Ravi et réutilisés deux ans plus tard via un autre prestataire ? Deux ans est une durée de conservation démesurée pour le motif « validation d'une signature ».

ÉDIT DU 23/11/2022 : suite à la liquidation judiciaire du Ravi, j'ai demandé à la CNIL de clôturer ma plainte. FIN DE L'ÉDIT.

Du coup, hop, plainte à la CNIL :

Bonjour

À partir de 2019 et jusqu'à mi 2020 (environ), le journal Le Ravi, édité par l'association La Tchatche, ci-après « Le Ravi », proposait de signer une pétition accessible à l'adresse http://leravienproces.wesign.it/fr (elle n'est plus accessible aujourd'hui, voir https://web.archive.org/web/20190701000000*/http://leravienproces.wesign.it/fr pour une version archivée).

Lors de la signature de cette pétition, je n'ai pas accepté la newsletter et je l'ai, de ce fait, jamais reçue.

Notons que la pétition est publiée via le prestataire « WE SIGN IT POUR LA PARTICIPATION CITOYENNE », ci-après « We Sign It », qui émet ses emails depuis l'hébergeur informatique Octopuce (sources : mentions légales + constat pratique).

Le 04/03/2022 et le 08/03/2022, j'ai reçu un email du Ravi concernant un appel au don (PJ 1). Ils ont été envoyés à l'adresse emails « <CENSURE>+wesign @ <CENSURE> » qui est une adresse emails dérivée dédiée à ma signature de la pétition du Ravi auprès de We Sign It. Je ne l'ai pas utilisé pour quoi que ce soit d'autre.

On notera que le pied de page des emails indique « You've received this email because you've subscribed to our newsletter », ce qui n'est pas le cas, j'ai été inscrit de force, il s'agit du modèle de pied de page par défaut.

Les informations techniques de ces emails (PJ 2) montrent qu'ils sont envoyés via la société commerciale Sendinblue, pas via l'association We Sign It. Mon adresse email et le nom que j'ai donné (voir sujet de l'email du 08/03/2022) ont été extrait de la liste des signataires de la pétition We Sign It par Le Ravi, puis exportés chez un autre prestataire pour envoyer un appel au don.

Il s'agit d'un détournement de finalité. We Sign It collecte (et utilise) une adresse emails essentiellement pour fiabiliser une pétition en évitant les fausses signatures par des robots. (Les autres cas prévus par la politique de confidentialité, https://news.wesign.it/index.php/charte-de-confidentialite/, newsletter et facilité de navigation ne s'appliquent pas ici puisque j'ai décliné la newsletter.) Quand j'ai communiqué mon adresse emails à cette fin, je ne pouvais pas légitimement m'attendre à recevoir un appel au don.

De plus, la temporalité interpelle : je signe une pétition fin 2019 et je reçois un appel au don début 2022, soit plus de deux ans plus tard. Il s'agit d'une durée de conservation excessive pour une validation de pétition, c'est-à-dire pour un motif de sécurité / fiabilité.

J'ai utilisé les liens de désinscription contenus dans les emails du 04/03/2022 et du 08/03/2022. À ce jour, je n'ai pas reçu de nouvelle sollicitation sur cette adresse emails dérivée.

Le 11/03/2022, j'ai exposé les griefs ci-dessus au Ravi. La concision et la légèreté de la réponse (PJ 3), « Pour le RGPD on reste vigilent grâce aussi à vos retours, alors merci », rédigée par la « Responsable marketing » (ce qui illustre l'absence, en interne, d'une personne compétente sur le sujet des données personnelles), me convainc que des abus auront à nouveau lieu car la problématique n'est pas maîtrisée.

Le Ravi est fautif puisqu'il est le donneur d'ordre, mais une faute de l'association We Sign It pourrait également être à rechercher en cela qu'elle permet, à l'auteur d'une pétition, l'exportation des signataires d'une pétition pour des finalités visiblement très larges (premier grief), au-delà d'un délai raisonnable (deuxième grief). Ou alors, Le Ravi a extrait hâtivement la liste des signataires et l'a conservé "au cas où" (donc sans motif valable) pendant deux ans ?

Les faits relatés ci-dessus, détournement de finalité non consenti deux ans après la dernière interaction consentie, constituent des manquements au RGPD qui justifient à eux seuls le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Bonne journée.

L'opérateur d'opérateurs Cogent continuent à m'envoyer des emails (sondage, démarchage pour de nouveaux projets, activation de nouveaux services, etc.) sur mon adresse emails personnelle alors que je ne suis plus le contact technique / administratif de deux de ses clients depuis janvier 2019. Mon droit d'opposition, exprimé à deux reprises en 2020, n'a pas été mis en œuvre. D'ailleurs, en 2020, j'ai reçu un email dont notre ingénieur commercial me dit que ça n'aurait pas dû arriver puisque je n'étais déjà plus contact d'un quelconque service d'après leur outil d'avitaillement… Paye ton système d'information daubé.

Cogent est connu pour son démarchage agressif, surtout aux États-Unis, cf. le liste de discussion des opérateurs NANOG.

ÉDIT DU 24/11/2022 : réponse de la CNIL. Voir ci-dessous. FIN DE L'ÉDIT du 24/11/2022.

Du coup, hop, plainte à la CNIL :

Bonjour,

Entre 2015 et 2019, j'étais membre de deux associations loi 1901, Grifon et Alsace Réseau Neutre (« ARN » ci-après). Elles ont souscrit des contrats auprès de la société commerciale Cogent Communications France, filiale de Cogent Communications (États-Unis), « Cogent » ci-après. J'étais l'un des contacts techniques et/ou administratifs de ces contrats, pour le compte des deux assos.

Le 10/04/2020, j'ai reçu un email de notre ingénieur commercial Cogent. Par retour d'email, je l'ai informé ne plus faire partie de l'association et je lui ai demandé à ne plus recevoir d'emails de Cogent. Le 14/04/2020, il me confirme m'avoir retiré de leurs bases (PJ 1).

Le 25/04/2020, j'ai reçu un email de surveillance auto des services numériques de l'asso (objets des contrats avec Cogent). J'ai demandé au même ingénieur commercial de me retirer de cette base de données. Le 27/04/2022, il m'informe que je n'étais déjà plus enregistré comme contact, qu'à ce titre, je n'aurais pas dû recevoir l'email, et qu'il a effectué les démarches pour me faire retirer de ladite base (PJ 2).

Le 14/10/2020, j'ai reçu un email de Cogent m'invitant à remplir un sondage. J'ai utilisé le lien pour me désinscrire (PJ 3, page 1).

Le 09/02/2021, j'ai reçu un email de démarchage de la responsable du compte client de l'asso chez Cogent. J'ai pris aucune action (PJ 3, page 2).

Le 12/07/2022, j'ai reçu un email du service européen de facturation de Cogent. J'y ai, une nouvelle fois, demandé à ne plus recevoir d'emails et à être effacé de toutes les bases de données (PJ 4).

Tous les emails sus-référencés m'ont été envoyé en tant que contact de l'asso Grifon. J'ai également reçu l'email du 12/07/2022 en tant que contact de l'asso ARN, comme l'atteste le journal de mon serveur emails personnel (PJ 5, page 1). Il est probable que j'ai également reçu les emails du 14/10/2020 et du 09/02/2021, mais je ne conserve pas aussi longtemps le journal de mon serveur emails pour l'affirmer (et, depuis 2019, j'ai désactivé l'adresse emails dérivée qui me servait dans l'asso ARN, donc je n'ai pas de copie de ces emails).

Je précise que tous ces emails ont été reçus sur mon adresse emails personnelle, que j'ai communiquée à Cogent en tant que contact technique et/ou administratif des associations.

Sur l'espace français de son site web (https://www.cogentco.com/fr/), Cogent déclare un DPO états-unien. Dans sa page « GDPR », seules des adresses postales sont listées. Pas question que j'envoie un courrier. Je n'ai pas trouvé de contact français dans la liste des DPO déclarés à la CNIL (https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/).

Les associations dont j'étais membre ont contracté avec Cogent Communications France (PJ 5, pages 2-3 et 4-5), donc je dois pouvoir faire valoir mes droits, par email, et en français.

Je constate que mon opposition à la réception d'emails Cogent et/ou mon effacement des bases de données Cogent, pourtant réclamés à deux reprises, n'ont pas été respectés ni mises en œuvre en avril 2020.

Cet historique illustre un manque de volonté de Cogent en matière de bon traitement des données personnelles, et/ou un manque de formation aux outils internes, ou un système d'information inadapté ou dysfonctionnel.

Dans tous les cas, il s'agit de manquements au RGPD qui justifient à eux seuls le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.

Bonne journée.

Pour info, mon email envoyé à Cogent le 09/09/2022 en réponse à celui du 12/07/2022 :

Bonjour,

Je ne fais plus partie de Grifon depuis janvier 2019.

En avril 2020, j'ai demandé, à deux reprises, à <CENSURE, nom de notre ingénieur commercial>, de ne plus recevoir d'emails de Cogent et d'être effacé de toutes vos bases de données. Il avait fait les démarches nécessaires auprès du support UE, cf. PJ. Mais, ça ne suffit pas…

J'ai reçu un email "répondez à notre questionnaire" le 14/10/2020, un email de nouvelle année / démarchage en février 2021, et désormais, cet email.

Ça commence à faire beaucoup. Je vous rappelle que ceci est mon adresse emails personnelle.

Pouvez-vous, svp, me retirer effectivement de toutes vos bases de données et faire en sorte que je ne reçoive plus d'emails provenant de Cogent ?

Attention : j'ai également reçu les emails sus-cités en tant que contact d'ARN (Alsace Réseau Neutre), dont je ne fais plus partie non plus depuis 2019. Merci donc de procéder à ma demande ci-dessus à la fois en tant que contact de Grifon ET en tant que contact d'ARN.

Bonne fin de semaine.

P.-S. : pour l'entité Alsace Réseau Neutre, mon adresse emails (que vous utilisez et qu'il faut supprimer de vos bases) est <CENSURE>. À des fins d'autorisation, le présent email est émis avec ladite adresse.

ÉDIT DU 24/11/2022 :

Après deux mois sans réponse de la CNIL (ma plainte était toujours au greffe) ni de Cogent, j'ai relancé la CNIL. Ma plainte a été traitée. Réponse (morceau utile) :

La CNIL est intervenue à l’appui de votre demande auprès de l’organisme mis en cause. Elle lui a rappelé ses obligations et lui a demandé d’effacer les données vous concernant de ses fichiers de prospection conformément à l’article 21 alinéa 2 du règlement général 2016/679 sur la protection des données (RGPD).

Il ne s'agit pas d'emails de prospection, mais bon… On va voir ce qu'en pense Cogent…

FIN DE L'ÉDIT du 24/11/2022.

ÉDIT DU 19/07/2023 :

Suite à une demande de communication de documents, la CNIL m'a transmis, le 30/01/2023, la prose qu'elle a envoyée à Cogent le 18 novembre 2022 :

Madame, Monsieur,

La Commission nationale de l’informatique et des libertés (CNIL) a reçu une réclamation à l'encontre de votre organisme de la part d’un usager rencontrant des difficultés dans l’exercice de son droit d'opposition à recevoir de la prospection commerciale.

En effet, l’usager nous informe qu’il ne souhaite pas recevoir de prospection commerciale de votre organisme et demande que ses données soient supprimées de vos bases de prospection commerciale. Il indique avoir tenté, sans succès, de s’opposer à ces sollicitations commerciales en adressant une demande à vos services dont vous trouverez une copie jointe au présent courrier.

Dans ce contexte, je vous informe que toute personne a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à des fins de prospection commerciale en application de l’article 21 2. du règlement général 2016/679 sur la protection des données (RGPD).

Lorsque vous êtes saisis d’une telle demande d’opposition, vous devez supprimer les données de la personne concernée de l’ensemble de vos fichiers de prospection (article 17 1. c du RGPD). Vous devez également notifier cette demande d'opposition aux partenaires commerciaux auxquels votre organisme a communiqué les données de la personne concernée (article 19 du RGPD).

Vous devez enfin fournir à cette personne des informations sur les mesures prises dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à partir de la réception de sa demande (article 12 3. du RGPD). Ce délai peut être prolongé de deux mois en raison de la complexité de la demande ou du nombre de demandes. Dans ce cas, vous devez en informer la personne concernée et lui indiquer les motifs de ce report.

Si vous ne donnez pas une suite favorable à sa demande, vous devez l’informer des motifs de votre inaction, de la possibilité d'introduire une réclamation auprès de la CNIL et de former un recours juridictionnel (article 12 4. du RGPD).

Par conséquent, je vous remercie de bien vouloir supprimer de vos fichiers de prospection les données personnelles de l’usager dont l’identité figure dans la pièce jointe au présent courrier, le cas échéant, de notifier cette demande à l’ensemble de vos partenaires destinataires de ses données et d'informer l’usager des mesures prises.

L’usager va être informé de la présente intervention auprès de votre organisme et être invité à revenir vers la CNIL s’il ne reçoit pas de réponse satisfaisante de votre part.

Afin de vous aider à assurer la conformité de vos traitements de données à caractère personnel, la CNIL met à votre disposition une fiche pratique qui vous rappelle vos obligations en matière de prospection commerciale également jointe au présent courrier.

A ce stade, ce courrier n’appelle pas de réponse de votre part auprès de la CNIL. Sachez néanmoins que si la CNIL est saisie de nouvelles réclamations concernant votre organisme, elle pourrait procéder à la vérification de vos traitements de données à caractère personnel, notamment en effectuant un contrôle et, si la situation l’exige, fera usage de ses pouvoirs de sanction.

Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées.

Je constate :

• Contrairement à ceux envoyés à Silkhom et Danitis, ce courrier est impersonnel (pas de destinataire nominatif) ;
  
  
• La CNIL évoque vraiment des emails de prospection alors qu'il s'agit d'emails transactionnels normaux dans ce type de relation commerciale. Le problème est que je ne suis plus membre de ladite relation commerciale. Il aurait été intéressant de traiter ma réclamation sous l'angle de la sécurité des données (Cogent ne transmets des infos sur deux de ses clients dont je ne fait plus partie) ;

Cogent ne m'a jamais informé de la suite qu'elle avait donnée. Je n'ai plus reçu d'emails non plus, ce qui laisse à penser qu'elle a traité ma demande. Affaire à suivre.

FIN DE L'ÉDIT DU 19/07/2023.

Tout commence par la lecture d'une causerie sur Twitter qui mentionne un testeur TLS qui marque au fer rouge les configurations TLS qui n'utilisent pas les groupes prédéfinis dans leurs paramètres Diffie-Hellman (DH) utilisés, pour rappel, lors de l'échange des clés de chiffrement symétrique. Surtout, ce fil m'apprend qu'une manip' « résout le problème ».

Or, depuis le renforcement de mes configurations TLS de 2020, j'attendais que la fonction « SSL_CONF_cmd() » d'OpenSSL, qui est utilisée par la directive de configuration « SSLOpenSSLConfCmd » d'Apache httpd, prenne en charge les groupes prédéfinis lors d'une génération à la volée des paramètres DH. Or, même la version 1.1.1n empaquetée dans Debian 11 Bullseye ne permet pas cela (Apache httpd ne redémarre pas quand j'utilise la directive SSLOpenSSLConfCmd Groups ffdhe4096… alors que cette valeur est référencée dans la doc' depuis 2019).

J'ai fini par comprendre que les paramètres DH avec groupes prédéfinis du RFC 7919 sont… des paramètres DH connus à l'avance. Rien de plus. Ils sont disponibles au téléchargement chez plusieurs acteurs. Mozilla : https://ssl-config.mozilla.org/ffdhe4096.txt ; Internet.nl : https://raw.githubusercontent.com/internetstandards/dhe_groups/main/ffdhe4096.pem.

On peut également demander à OpenSSL de nous les sortir : openssl genpkey -genparam -algorithm DH -pkeyopt dh_param:ffdhe4096 -out /etc/ssl/ffdhe4096.pem.

J'étais donc totalement dans l'erreur. Le but du RFC 7919 est précisément de normaliser des paramètres DH fiables, c'est-à-dire dont les détails mathématiques (les groupes, etc.) sont connus et semblent être robustes, et de les utiliser partout. Par opposition aux paramètres DH générés à la volée (Dovecot faisait ça à une époque, Apache httpd fait ça si l'on ne configure pas explicitement des paramètres DH) qui peuvent être daubés.

Les paramètres DH normalisés s'utilisent comme tous les paramètres DH.

Du coup, avec nginx, il suffit d'utiliser la directive de configuration ssl_dhparam avec, comme valeur, le chemin vers le fichier récupéré (ou généré) à l'étape précédente. Postfix : smtpd_tls_dh1024_param_file. Dovecot : ssl_dh. Ejabberd : c2s_dhfile et s2s_dhfile.

Et avec Apache httpd ? Il faut ajouter les paramètres DH au fichier qui contient les certificats x509 (feuille et intermédiaires) que l'on passe à la directive de configuration SSLCertificateFile… Paye ton gloubi-boulga…

Avant de commencer mes manipulations, plusieurs testeurs TLS m'indiquaient que j'utilisais des paramètres DH de 3072 bits alors que, d'après ma configuration, j'ordonnais l'utilisation de paramètres de 4096 bits. En commentant la directive de configuration SSLOpenSSLConfCmd DHParameters, j'obtenais le même résultat, ce qui prouve son inertie. C'est ici que l'on voit à l'œuvre les paramètres DH générés à la volée par un logiciel. ;)

Une recherche sur le web m'a appris que la directive SSLOpenSSLConfCmd DHParameters ne produit pas (plus ?) l'effet escompté, et que ça serait la faute à OpenSSL (tous les logiciels serveur sus-cités parviennent à utiliser une directive de configuration séparée pour passer les paramètres DH, mais c'est la faute à OpenSSL… :- ). Source.

Comment tester mes changements ? Ma liste de testeurs de configurations TLS.

https://internet.nl/ permet de tester web et SMTP.

https://xmpp.net/ permet de tester XMPP. Même s'il n'évalue pas la robustesse des paramètres DH, il affiche « Group: draft-ietf-tls-negotiated-ff-dhe-10 ffdhe4096 » quand ils sont utilisés.

Et pour tester IMAP, alors ? Je n'ai pas trouvé d'outil, donc je l'ai fait à la main : openssl s_client -connect <server.example>:143 -starttls imap -tls1_2 -cipher 'DHE' -msg. « msg » permet d'afficher les messages de la poignée de main TLS. Il suffit de constater que le contenu du message TLS « ServerKeyExchange » a changé… et qu'il contient, en partie, le même contenu que celui de tout serveur utilisant les groupes DH prédéfinis (« ff ff ff ff ff ff ff ff ad f8 54 58 a2 bb 4a 9a af dc 56 20 27 3d 3c f1 d8 b9 », etc.).

Alors que Johndescs relisait mes plaintes auprès de la CNIL, il me demanda ce que l'on peut faire.

Que faire ?

Ben. Comme d'hab. C'est-à-dire :

• Relayer les décisions intéressantes qui donnent du pouvoir d'agir (comme la décision TS 1039/2022 dans laquelle la Cour suprême espagnole juge que, dans le cas d'une violation du RGPD, un citoyen peut saisir la CNIL sans avoir initié des démarches préalables et inutiles auprès du responsable d'un traitement de données personnelles) ;
  
  
• Publier et relayer les plaintes. Ça illustre comment ça s'écrit. Ça met en lumière les thématiques et les organisations fautives. Et ça incite à porter plainte à son tour "ha, je ne le savais pas, mais je suis également concerné" couplé à "le courage est contagieux" ;
  
  
• Porter plainte auprès de la CNIL. Coût nul (hors temps passé). Aucun risque juridique. Inutile de chier des louches d'arguments : écrire, par exemple, « téléchargement de Google Fonts = transfert illégal de données personnelles vers les États-Unis » suffit amplement. En cas de violation du RGPD, inutile d'écrire au préalable au DPO de l'acteur fautif, qui, d'expérience, ne répond pas ou répond à côté.

Faut-il se coordonner afin d'éviter de porter plainte contre les mêmes organisations ?

Non. Plus les plaintes sont nombreuses pour un même acteur, plus la CNIL priorisera son action et ajustera sa sanction (XXXX personnes qui se signalent incitent à plus de sévérité que XXXX victimes théoriques / potentielles).

Il est tentant de vouloir diviser le travail afin de couvrir plus de terrain (= porter plainte contre + d'acteurs), mais je pense que la meilleure stratégie à l'heure actuelle est de faire nombre.

Faut-il mettre en avant des acteurs et des sujets particuliers ?

Non. Agis contre ce qui t'arrive et/ou que tu aimerais voir changer.

• Tu reçois un spam commercial (je ne parle pas de celui qui te propose du Viagra ou les millions d'euros d'un prince d'Afrique ou qui menace de publier tes prétendues branlettes) ? Plainte. Surtout après 3/4 ans de silence de l'organisation (3/4 ans = durée moyenne de conservation d'une adresse emails pour les finalités courantes énoncées dans la politique de confidentialité des sociétés commerciales). Si tu veux affiner, le raisonnement est ici ;
  
  
• Tu as déjà demandé à ne plus recevoir les emails d'une organisation, et tu en reçois toujours des mois après ? Plainte (car ça signifie que le système d'information et/ou les prestataires sont mal tenus) ;
  
  
• Tu constates le dépôt, par défaut, d'un cookie non nécessaire et qui ne facilite pas la mise en relation (exemples : authentification, protection, panier, mémorisation de paramètres, etc.) ? Plainte. Idem si le "bandeau" ne permet pas de s'y opposer. Idem si la durée de conservation est trop longue (un an) ;
  
  
• Lors de la navigation sur un site web, tu constates le téléchargement de ressources web (images, feuilles de style, polices de caractères, scripts JavaScript, etc.) hébergées par des sociétés de droit états-unien (Amazon, Cloudflare, Google, Fastly, Microsoft, etc.) ? Plainte. Si tu veux affiner, le raisonnement est ici ;
  
  
• Etc., etc.

Comment porter plainte auprès de la CNIL ?

Le plus simple :

• Créer un compte sur https://services.cnil.fr/ ;
  
  
• Puis aller ici : https://www.cnil.fr/webform/adresser-une-plainte.

(Pour retrouver toi-même ce formulaire depuis la page d'accueil du site web de la CNIL : « Découvrez nos moyens d'actions », « Adressez une plainte à la CNIL », dérouler le point 2 (« Préparez et envoyez votre plainte à la CNIL »), « Accéder au service de plainte en ligne », « Autre cas », « service d’aide en ligne », « Autres » (mais peu importe), « Transférer des données personnelles hors de l'Union Européenne, c'est possible ? » (mais peu importe), « adresser votre plainte ». Ouf \o/

Ce genre de procédure à rallonge, avec trouzemilles clics, dissuade de porte plainte. C'est fait à dessein et c'est dommage. :( )

ÉDIT DU 28/11/2022 : j'ajoute la section « Conseils » ci-dessous. FIN DE L'ÉDIT DU 28/11/2022.

Conseils

• Il faut toujours adresser sa demande d'exercice de droit aux adresses consignées dans la politique de confidentialité / protection des données que l'on trouve sur le site web de l'organisme ou en le lui demandant. Répondre à un email non sollicité, même s'il provient d'une adresse emails lue par un humain, même en humain haut placé dans l'organigramme de l'organisme émetteur, est une perte de temps (c'est du vécu) ;
  
  
• Si elle est longue, toujours joindre une copie au format PDF de la prose que tu écris dans le formulaire de plainte de la CNIL, car il y a quelques retours à la ligne qui sautent de temps à autre. Surtout quand tu déposes un complément à une plainte, car, là, tous les retours à la ligne sautent ;
  
  
• Dans le formulaire de dépôt de plainte, consigne les infos essentielles au traitement de ta plainte (résumé en une-deux phrases des faits, nom de l'infraction ‒ démarchage illicite, transferts illégal de données personnelles hors de l'UE, etc. ‒), démarches entreprises auprès de l'entité ‒ ou exemption, si tu signales une infraction sans demander un appui à une demande d'exercice de droit, par exemple ‒, à quelle date, et pour quel résultat, ce que tu veux obtenir de la CNIL ‒ soutien d'une demande d'exercice de droit, sanction, etc. ‒) et déporte le reste dans une pièce jointe au format PDF. Ainsi, le greffe de la CNIL n'a pas à tout lire et à trier les seules infos dont il a besoin (infraction, démarches), ce qui limite les erreurs de tri ;
  
  
• L'erreur étant humaine, si tu reçois une réponse-type "contactez d'abord le délégué à la protection des données de l'organisme" alors que tu penses en être exempté, n'hésite pas à déposer une question « Où en est mon dossier ? » ;
  
  
• Soit affirmatif sur les faits, leur qualification et tes prétentions (ce que tu attends de la CNIL). Exemple : « je vous demande d'appuyer ma demande d'effacement restée sans réponse et de sanctionner l'organisme X pour son absence de réponse dans le délai légal » / « je vous demande de sanctionner l'organisme Y car tel fait constitue telle infraction au RGPD, et tel autre fait telle autre infraction ». Pas de « que pensez-vous de tels faits ? », « quelle est votre interprétation du RGPD sur ce point ? », « ce contrat est-il bien conforme au RGPD ? », etc. Lire ici les erreurs que j'ai commises (cherche « mal rédigée ») ;
  
  
• Au-delà de quelques plaintes déposées, fais-toi un inventaire (tableur, gestion de tâches, autre, peu importe) de tes plaintes (numéro, date de dépôt, nom de l'organisme concerné, thématique, état de la plainte, date du dernier changement d'état, prochaine date butoir, date d'une demande de suivi, etc.) et des rappels des dates butoirs dans un calendrier, car sinon, c'est ingérable. Ça te simplifiera grandement leur suivi, surtout quand la CNIL répondra à 5 demandes de suivi dans le corps de l'une d'elle, ou quand son téléservice t’indiquera que ta plainte est dans tel état alors que son greffe t'indiquera qu'elle est dans un autre, etc.

Même topo que d'habitude : le site web de La Poste embarque trouzemilles tonnes de scripts, de polices de caractères, de feuilles de style, d'images, etc. hébergées sur des serveurs informatiques détenus par une palanquée de sociétés de droit états-unien, ce qui est incompatible avec le RGPD. L'outil de suivi d'un envoi est dysfonctionnel sans le téléchargement d'un outil de ciblage, de traque, et de suivi du parcours client (il est ainsi présenté par son éditeur) hébergé sur les serveurs informatiques d'une société commerciale états-unienne. Ils ont belle mine, l'ancrage local de La Poste et le symbole de la France du terroir d'autrefois, non ?

Du coup, hop, plainte à la CNIL. Aeris en a fait de même fin juillet.

Le raisonnement juridique reste identique aux fois précédentes.

Nouveautés :

• J'utilise la décision du 22/04/2022 de l'autorité de protection des données personnelles (APD) autrichienne. Le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat. Ça permet d'enfoncer le clou lorsqu'on explique que les clauses contractuelles types et les garanties appropriées ont été indirectement invalidées par l'arrêt dit Schrems II de la CJUE ;
  
  
• Je m'appuie sur les Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées (ouf, ça ne s'invente pas) du Comité européen pour la protection des données personnelles (CEPD) pour affirmer qu'un traitement de données personnelles destiné à améliorer un service ou à développer de nouvelles fonctionnalités n'est a priori pas un traitement nécessaire à l'exécution d'un contrat (point 49) ;
  
  
• J'utilise la décision TS 1039/2022 de la Cour suprême espagnole (le tribunal suprême). En cas de violation du RGPD, une autorité de protection des données personnelles peut agir même si la personne concernée par un traitement de données personnelles n'a pas, au préalable, fait valoir ses droits (accès, rectification, effacement, opposition, etc.) auprès du responsable du traitement.

ÉDIT DU 23/11/2022 : en novembre 2022, j'ai déposé un complément afin d'exposer que Xiti est probablement soumise au CLOUD Act. FIN DE L'ÉDIT DU 23/11/2022.

Merci à Aeris et à Johndescs pour leur relecture. Merci à Aeris de défricher le terrain (c'est lui qui a débusqué quasiment toutes les décisions que je cite).

Ma plainte à la CNIL :

ÉDIT DU 25/11/2022 : Elle contient au moins une erreur : c'est dans sa décision du 22/04/2022 que l'APD autrichienne rappelle que le RGPD ne prévoit pas d'approche basée sur le risque en matière de transferts de données personnelles hors de l'UE, pas dans sa décision 2021-0.586.257 (qui en est tout de même la première partie du film). FIN DE L'ÉDIT.

Elle contient une erreur (en plus d'une faute de frappe) : la décision TS 1039/2022 est celle du tribunal suprême espagnol, pas de l'APD espagnole.

Bonjour,

Le site web de la société commerciale La Poste (https ://www.laposte.fr/), et notamment son outil de suivi des envois (https ://www.laposte.fr/outils/suivre-vos-envois), enfreint le RGPD pour les motifs suivants :

• Le suivi de courrier dépend du téléchargement automatique et forcé d'un outil de ciblage, de traque, et de suivi du parcours client (présenté en ces teres par son éditeur) hébergé (techniquement, informatiquement) par des sociétés commerciales de droit états-unien. Ce téléchargement constitue de facto un transfert illégal de données personnelles vers les États-Unis au regard de l'arrêt dit Schrems II de la CJUE, de la décision 3_O_17493/20 de la Cour régionale de Munich, de votre mise en demeure du 10/02/2022 relative à l'utilisation de Google Analytics, de la décision 2020-1013 de l'EDPS, de la décision 2021-0.586.257 de l'Autorité de Protection des Données (APD) autrichienne, et des lignes directrices du CEPD 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD ;
  
  
• Le site web de La Poste dans son ensemble télécharge automatiquement une palanquée de ressources web (scripts JavaScript, polices de caractères, feuilles de style, images, etc.), qui sont la propriétés d'une multitude de sociétés commerciales, et qui sont hébergés (techniquement, informatiquement) par des sociétés commerciales de droit états-unien. Cela constitue des transferts illégaux de données personnelles vers les États-Unis au regard des mêmes décisions qu'au point précédent ;
  
  
• L'utilisation, sans consentement, d'un cookie facultatif de suivi du parcours client (selon son éditeur). Absence d'information (seul cookie absent de la politique de confidentialité du site web La Poste). Le bandeau cookie ne permet pas de s'y opposer. Durée de vie (1 an) excessive. Il est transmis à un hébergeur de droit états-unien, ce qui constitue un transfert illégal de données personnelles vers les États-Unis au regard des mêmes décisions qu'aux points précédents.

Vous trouverez, en PJ, ma plainte détaillée.

Je vais signaler, à la DPO de La Poste, les nombreux manquements au RGPD énumérés dans la présente afin qu’elle s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’elle entreprendrait, les faits relatés ci-dessus constituent en soi des violations du RGPD qui justifient à elles seules le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes (article 77 du RGPD et décision TS 1039/2022 de l’APD espagnole).

Cordialement.

Plainte détaillée (la fameuse pièce jointe du blabla ci-dessus) :

Bonjour,

Le site web de La Poste (www.laposte.fr) et notamment sa page de suivi d’un envoi (https ://www.laposte.fr/​outils/suivre-vos-envois) contrevient au RGPD sur au moins trois points.

Premier point / grief. L’outil de suivi d’un envoi ne fonctionne pas tant que l’on bloque, avec une extension pour navigateur web telle uMatrix, les requêtes web destinées à la société commerciale française Commanders Act (cdn.tagcommander.com) : l’erreur « tC is not defined » s’affiche lors de la validation du formulaire.

Ces requêtes web téléchargent des scripts JavaScript auprès des infrastructures techniques de ladite société. Or, pour son hébergement web, celle-ci a recours aux services des sociétés commerciales de droit états-unien Edgecast Networks et Amazon.

Comme l’ont jugé la Cour de Justice de l’Union européenne (arrêt C-311/18 dit « Schrems II ») et la Cour régionale de Munich (décision 3_O_17493/20) et comme vous l’avez analysé (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics), ces téléchargements en eux-mêmes génèrent de facto un transfert hors de l’Union européenne (UE) de plusieurs données personnelles du client La Poste (LP) : son adresse IP, sa langue (entête HTTP Accept-Language), la date et l’heure de ses consultations du site web LP, les pages du site web LP qu’il a consulté (entêtes HTTP Referer et CORS Origin), la marque et le modèle de son navigateur web (entête HTTP User-Agent), etc. Notons que le site web de LP positionne un entête HTTP « Referrer-Policy » avec la valeur « no-referrer-when-downgrade », ce qui a pour effet d’amoindrir la politique par défaut des navigateurs web modernes et de transmettre aux tiers (prestataires de LP) l’URL complète des pages web du site web LP consultées par le client LP, ce qui permet à ces tiers de suivre la navigation du client LP à travers les différentes rubriques du site web LP.

Ces données personnelles renforcent entre elles leur caractère discriminant / individualisant (voir l’étude Panopticlick de l’Electronic Frontier Foundation qui, depuis plus d’une décennie, identifie de manière unique un navigateur web à partir, entre autres, des entêtes sus-mentionnés) et rendent identifiable une personne, surtout par un acteur hégémonique qui, par sa présence sur de nombreux sites web, peut suivre une personne entre les sites web et parvenir à l’identifier. On retrouve cette analyse dans votre mise en demeure du 10 février 2022 concernant l’utilisation de Google Analytics.

D’après l’article 44 du RGPD, seules une décision d’adéquation (article 45 du RGPD), des garanties appropriées (articles 46 et 47 du RGPD) ou des exceptions (consentement ou exécution du contrat, les autres dispositions de l’article 49 du RGPD ne sont pas applicables dans le présent contexte) peuvent autoriser ces transferts de données personnelles en dehors de l’UE.

À ce jour, il n’existe plus de décision d’adéquation entre l’UE et les États-Unis, l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) ayant invalidé la dernière décision, le Privacy Shield.

Comme l’EDPS (décision numéro 2020-1013) et vous-même (mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics) l’analysez, les clauses contractuelles types, et toutes les garanties appropriées ont été indirectement invalidées par l’arrêt Schrems II de la CJUE au motif de la surveillance de l’État fédéral états-unien, de l’absence de recours effectif et de l’absence de démonstration de l’efficacité à garantir un niveau de protection adéquat au droit de l’UE de toute mesure contractuelle, organisationnelle ou technique.

      Dans sa politique de confidentialité (https://www.laposte.fr/donnees-personnelles-et-cookies), La Poste ne mentionne pas avoir recours à d’autres instruments juridiques que ceux qui viennent d’être énoncés, ni à des mesures supplémentaires. De plus, on peut avoir la certitude que LP met en œuvre aucune mesure technique complémentaire, car son site web inclut une instruction technique ordonnant au navigateur web du client LP le téléchargement de scripts directement auprès de l’infrastructure technique de l’hébergeur informatique états-unien choisi par Commander Act, le prestataire de LP. Dès lors, la requête de téléchargement émise par le navigateur web du client LP ne chemine pas par l’infrastructure technique de LP ni par celle de son prestataire (dit autrement, il y a un contact direct entre le terminal du client LP et les serveurs informatiques du prestataire états-unien de Commander Act), donc elle échappe totalement à La Poste et à son prestataire direct, qui peuvent, de ce seul fait, prendre aucune mesure technique.

      Comme l’analyse l’autorité de protection des données personnelles autrichienne (décision numéro 2021-0.586.257), le RGPD ne prévoit pas d’approche fondée sur les risques en matière de transfert de données personnelles à un pays tiers non adéquat.

La Poste ne recueille pas explicitement le consentement de son client pour le transfert de ses données personnelles sus-référencées vers les États-Unis et ne l’informe pas des risques que ce transfert peut comporter pour lui, comme l’impose l’article 49.1a du RGPD. Quand bien même LP le recueillerait, il serait vicié car, en l’absence de TagCommander (nom de l’outil, du script de la société Commanders Act dont il est question depuis le début), l’outil de suivi des envois de LP est totalement inutilisable (impossible d’obtenir le suivi d’un envoi), ce qui contraindrait le client LP à accepter de force le traitement de données personnelles sus-présenté réalisé par l’hébergeur de Commanders Act, et donc le transfert de ses données personnelles aux États-Unis.

La nécessité du transfert des données personnelles sus-énumérées aux États-Unis au motif de l’exécution du contrat (article 49.1b du RGPD) est irrecevable, car un outil de ciblage, de traque, et de suivi du parcours client (c’est ainsi qu’il est présenté par son éditeur, Commanders Act) ne peut pas être regardé comme étant nécessaire à l’exécution d’un contrat. De plus, la requête web qui permet au client LP de fournir le numéro de son envoi via un formulaire, et d’obtenir, en retour, le suivi dudit envoi, est envoyée aux serveurs LP qui opèrent derrière le nom « api.laposte.fr ». Cet échange, et donc le suivi d’un envoi, est indépendant / décoléré / disjoint du script TagCommander qui n’intervient donc pas pour fournir le service. En tout état de cause, il est techniquement possible de proposer le suivi d’un envoi sans transférer des données personnelles à des sociétés tierces hébergées (techniquement) aux États-Unis.

Le téléchargement automatique et obligatoire du script TagCommander de la société Commanders Act, prestataire de La Poste, afin de pouvoir utiliser l’outil de suivi des envois du site web de LP, et le transfert de données personnelles vers les États-Unis qui en découle, est donc illégal.

Deuxième point / grief. La page de suivi d’un envoi du site web de La Poste, et plus généralement le site web de La Poste, fait automatiquement télécharger, au navigateur web du client LP, des ressources web (scripts JavaScript, polices de caractères, feuilles de style, images, etc.) qui sont la propriété de sociétés commerciales de droit européen ou états-unien et qui sont hébergées sur des infrastructures techniques situées aux États-Unis et/ou détenues par des organisations de droit états-unien.

Ces téléchargements ont lieu même après le refus, par le client LP, de tous les cookies dans le bandeau dédié, ce n’est pas lié.

L’essentiel du raisonnement est commun à tous les prestataires que je vais énumérer ci-dessous et il est identique à celui exposé dans le premier grief ci-dessus : ces téléchargements, déclenchés automatiquement lors de la consultation du site web LP, génèrent, de facto, des transferts de données personnelles (liste dans le premier grief) à destination des États-Unis ; il n’existe plus de décision d’adéquation entre l’UE et les États-Unis ; toutes les garanties appropriées, et les mesures complémentaires sont irrecevables ; le consentement du client La Poste (au sens de l’article 49.1a du RGPD) n’est pas recueilli et la nécessité du transfert des données personnelles au motif de l’exécution d’un contrat (article 49.1b du RGPD) n’est pas recevable.
      Seul le motif de cette irrecevabilité varie en fonction de la ressource web et du prestataire de LP, et c’est ce motif que je vais présenter ci-dessous sans rappeler la partie commune du raisonnement à chaque fois :

• Autres scripts JavaScript de la société commerciale française Commanders Act (trustcommander.net, commander1.com) hébergés par les sociétés commerciales états-uniennes Edgecast Networks et Amazon. Ils sont de plusieurs types : plateforme de gestion du consentement (CMP) d’un côté, suivi et analyse marketing de l’autre. La nécessité du transfert de données personnelles pour l’exécution du contrat est irrecevable : à quoi sert le téléchargement d’images transparentes de dimensions un pixel sur un pixel au format gif lors de la validation du formulaire de suivi d’un envoi (c’est ce qui se produit), si ce n’est à traquer le client La Poste, ce qui a rien à voir avec l’objet du contrat ? De même, il n’est pas nécessaire d’externaliser sa CMP chez un hébergeur / distributeur de contenus (CDN) états-unien : elle peut être hébergée dans l’UE tout en restant externalisée (plusieurs fournisseurs de ce type de solutions procèdent ainsi) ;
  
  
• Police de caractères hébergée par le service Google Fonts (fonts.googleapi.com et fonts.gstatic.com) de la société états-unienne Google (ci-après Google). Cette société reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, des données personnelles énumérées au premier grief (https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (https://policies.google.com/privacy/frameworks). La nécessité du transfert pour l’exécution du contrat est irrecevable puisque un hébergement internalisé (sur les infrastructures de La Poste) de la police de caractères est techniquement et juridiquement possible à un coût nul alors que son hébergement par Google porte une atteinte disproportionnée aux droits des clients LP. De même, il est possible d’utiliser un fournisseur européen de polices ou même une police de base embarquée dans tous les navigateurs web. Notons que l’un des prestataires auquel a recours LP, Inbenta, sur lequel je reviendrai, fait également télécharger une police de caractères depuis le service Fonts de Google, donc que le raisonnement qui vient d’être déroulé dans ce point s’y applique ;
  
  
• Cours actuel du taux de change de devises présentés au format JSON. Ce fichier est téléchargé par le prestataire Adverline (cdn.adnext.fr), filiale du groupe La Poste (via Mediapost), depuis les infrastructures techniques du projet jsDelivr (jsdelivr.net), mises à disposition par les sociétés commerciales états-uniennes Cloudflare et Fastly. La nécessité du transfert pour l’exécution d’un contrat est irrecevable puisque un hébergement internalisé, sur les infrastructures techniques du prestataire Adverline ou sur celles de LP, de ce fichier JSON est techniquement et juridiquement possible à un coût nul, et que ces données peuvent être récupérées, dans le même format, auprès d’un fournisseur hébergé techniquement dans l’UE. De même, ces informations de conversion sont utiles uniquement pour quelques services précis proposés par LP, donc elles ne devraient pas être téléchargées en dehors / au préalable de l’utilisation de ces services par le client LP ;
  
  
• Scripts JavaScript et images de la société commerciale française AB Tasty (abtasty.com) hébergés par la société commerciale états-unienne Cloudflare (ci-après Cloudflare). Il s’agit d’outils de tests A/B, d’analyse et d’optimisation du parcours client. Le Comité européen de la protection des données (CEPD) ne considère pas qu’un traitement destiné à améliorer un service est nécessaire à l’exécution d’un contrat (cf. Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées). De plus, des sociétés commerciales européennes proposent un service équivalent depuis des infrastructures situées dans l’UE, et, en dernier ressort, un hébergement internalisé de ce type de solution est techniquement et juridiquement (avec accord de l’éditeur) possible à un coût quasi nul ;
  
  
• Scripts Google Tag Manager (googletagservices.com). Un outil de suivi du client et de marketing n’est pas nécessaire à l’exécution du contrat, et des sociétés commerciales européennes proposent un service équivalent ;
  
  
• Scripts des sociétés commerciales états-uniennes Heroku (herokuapps.com) et Inbenta (inbenta.io) hébergés par la société commerciale états-unienne Amazon (ci-après Amazon). Un outil d’assistance au client et de foire aux questions n’est pas nécessaire à l’exécution du contrat, et des sociétés commerciales européennes proposent un service équivalent. Le chargement de l’outil d’Inbenta provoque, en cascade, le téléchargement d’une police de caractères auprès de Google Fonts, ce qui constitue un deuxième transfert illégal des mêmes données personnelles (lire ci-dessus l’analyse concernant Google Fonts) ;
  
  
• Scripts, feuilles de style et images de la société commerciale française PubStack (pbstck.com) hébergés par Cloudflare. Un outil d’analyse des revenus publicitaires et de gestion de la publicité n’est pas nécessaire à l’exécution d’un contrat portant sur un service payant (dont la contrepartie n’est pas l’affichage de publicités, s’entend), et des sociétés commerciales européennes hébergées sur des infrastructures situées dans l’UE proposent un service équivalent ;
  
  
• Scripts Xiti de la société commerciale française AT Internet (logs4.xiti.com) hébergés par Amazon (CDN, https://www.atinternet.com/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/#traitees-et-stockees). Un outil d’analyse des audiences n’est pas nécessaire à l’exécution du contrat, et il est possible d’héberger ce type de solutions sur des infrastructures situées dans l’UE (des concurrents d’AT Internet le proposent) ou en interne de LP ;
  
  
• Scripts Google Maps (maps.googleapis.com). Un outil de cartographie n’est pas nécessaire à l’exécution du contrat (proposer une localisation est une fonctionnalité supplémentaire), et des sociétés commerciales européennes proposent un service équivalent hébergé sur des infrastructures européennes ;
  
  
• Scripts de la société commerciale états-unienne BazaarVoice (bazaarvoice.com) hébergés par Amazon. Un outil d’affichage de l’avis des clients concernant les produits La Poste et un outil de production de statistiques (https ://analytics-static.ugc.bazaarvoice.com/prod/static/latest/bv-analytics.js) ne sont pas nécessaires à l’exécution du contrat, et des sociétés commerciales européennes proposent un service équivalent hébergé techniquement dans l’UE ;
  
  
• Scripts Google DoubleClick. Une régie publicitaire n’est pas nécessaire à l’exécution d’un contrat payant (dont la contrepartie n’est pas l’affichage de publicités, s’entend), surtout quand il recouvre une mission de service public. De plus, plusieurs sociétés commerciales européennes proposent un service équivalent hébergé techniquement dans l’UE (certes moins rentable) ;
  
  
• Les autres régies publicitaires et prestataires assimilés (Adnxs, Criteo, Adscale, SmartAdserver, etc.) intégrés sur le site web de LP sont totalement inhibées (aucune requête est émise) tant que le client LP n’a pas exprimé son consentement dans le bandeau cookies. Concernant les scripts de DoubleClick, de PubStack, et d’une bonne partie des prestataires qui viennent d’être énumérés, qui sont téléchargés par défaut et qui continuent à l’être après le refus de tous les cookies, peut-être s’agit-il d’un oubli dans la configuration et/ou le code du site web LP de les inhiber tant que le client LP n’a pas accepté ? ;
  
  
• Je n’ai pas vérifié la conformité au présent grief (transfert illégal de données personnelles vers les États-Unis) des très (trop) nombreuses régies publicitaires et prestataires assimilés utilisées par LP sur son site web (après consentement du client, cf. point précédent). Je n’ai pas l’énergie pour ce faire.

Lors de la navigation sur le site web de La Poste, le téléchargement automatique de ressources web (scripts JavaScript, polices de caractères, feuilles de style, images, etc.), propriétés de prestataires européens ou états-uniens de La Poste et hébergées sur des infrastructures techniques situées aux États-Unis et/ou détenues par des organisations de droit états-unien, et le transfert de données personnelles vers les États-Unis qui en découle est donc illégal.

Les multiples transferts auprès de (trop) nombreuses organisations états-uniennes aggrave le manquement au RGPD, surtout qu’il est commis par une société commerciale chargée d’une mission de service public jouissant d’un ancrage local et d’une image « France du terroir d’autrefois ». La divergence entre l’image dont se prévaut La Poste et ses actes sus-énumérés constitue un abus de confiance caractérisé.

Troisième et dernier point / grief. En naviguant sur la page de suivi d’un envoi du site web de La Poste, et plus généralement sur le site web de LP, et avant le recueil du consentement du client LP, un cookie tiers est déposé (et lu) par l’un des prestataires de LP, la société commerciale française Commanders Act (commader1.com) pourtant fournisseuse de la plateforme de gestion du consentement utilisé par LP. Nom de ce cookie : « tc_cj_v2 ».

Même après le refus de tous les cookies dans le bandeau dédié, Commanders Act (commander1.com) continue de le lire et de le déposer sur le terminal du client La Poste, notamment lors de l’utilisation de l’outil de suivi des envois.

Il découle du deuxième grief, que ce cookie transite par la société commerciale de droit états-unien Amazon, puisque la française Commanders Act a recours à ses prestations d’hébergement.

Contrairement aux autres cookies, celui-ci n’est pas consigné dans la politique de confidentialité de La Poste (https://www.laposte.fr/information-sur-les-cookies).

Ce cookie, d’une durée de vie d’un an (ce qui est excessif au regard de sa finalité que l’on va découvrir), ne peut pas être regardé comme étant nécessaire à la fourniture du service ni comme facilitant la communication électronique :

• Le site web de LP, et notamment le formulaire de suivi d’un envoi, reste totalement fonctionnel si l’on bloque l’utilisation de ce cookie et/ou les requêtes web destinées à « *.commander1.com » (avec l’extension pour navigateur web uMatrix, par exemple) : on obtient bien le suivi de son envoi ;
  
  
• Il est lu et déposé lors du téléchargement d’images transparentes de dimensions un pixel sur un pixel au format gif, autrement dit d’images invisibles. Il s’agit d’une méthode habituellement utilisée pour traquer les visiteurs d’un site web ;
  
  
• Dans sa documentation (https://community.commandersact.com/platform/knowledge-base/cookies), la société Commanders Act explique que ce cookie est « Used for user customer journey storage for tag deduplication (channel and source storage). ». Il s’agit donc bien d’un cookie de suivi du parcours client.

On notera que le refus de tous les cookies et l’absence de consentement produit bien l’effet escompté (aucun dépôt de cookie) sur la palanquée de régies publicitaires et assimilées. Peut-être que l’inhibition de ce cookie a été oubliée dans la configuration et/ou dans le code du site web LP ?

L’utilisation d’un cookie tiers par un prestataire de La Poste lors de la consultation du site web de LP, et notamment lors de l’utilisation de l’outil de suivi d’un envoi, est donc illégale : cookie facultatif déposé et lu par défaut (opt-in), absence d’information, impossible de s’y opposer, transfert illégal aux États-Unis.

Je vais signaler, à la DPO de La Poste, les nombreux manquements au RGPD énumérés dans la présente afin qu’elle s’explique, mais quelles que soient la réponse et les actions, y compris correctrices, qu’elle entreprendrait, les faits relatés ci-dessus constituent en soi des violations du Règlement qui justifient à elles seules le dépôt d’une plainte auprès de l’autorité de contrôle que vous êtes (article 77 du RGPD et décision TS – 1039/2022 de l’APD espagnole).

Cordialement.

ÉDIT DU 23/11/2022 :

Complément déposé en novembre 2022 :

Bonjour,

Dans ma plainte, je mentionne l'utilisation, par La Poste, de l'outil de mesure d'audience Xiti de la société commerciale AT Internet en indiquant qu'il est automatiquement téléchargé depuis les serveurs informatiques de la société commerciale états-unienne Amazon (comme l'indique elle-même AT Internet sur son site web), ce qui constitue un contact direct entre le terminal du client La Poste et les serveurs d'Amazon qui génère un transfert de données personnelles (adresse IP, marque, modèle et paramètres du terminal, données collectées par Xiti, etc.) vers Amazon et donc vers les États-Unis.

En sus, depuis mars 2021, l’unique actionnaire d'AT Internet est la société commerciale états-unienne Piano Software Inc. (cf. https://www.atinternet.com/presses/at-internet-sassocie-a-piano-pour-creer-la-premiere-plateforme-dexperience-client-basee-sur-lanalyse-contextuelle/). Cette dernière est toujours immatriculée dans le Delaware (cf. https://icis.corp.delaware.gov/Ecorp/EntitySearch/NameSearch.aspx) et elle dispose toujours de plusieurs bureaux aux États-Unis (cf. https://resources.piano.io/about/). Le mémorandum concernant l’application du Cloud Act à des entités européennes commandé par le ministère de la Justice des Pays-Bas (https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo) tend à montrer que, de ces faits, AT Internet est soumise au Cloud Act. Votre analyse appuyant votre mise en demeure du 10 février 2022 portant sur l’utilisation de Google Analytics est de pleine application ici.

Bonne journée.

FIN DE L'ÉDIT du 23/11/2022.

Sur YouTube, un vidéaste peut déclencher la lecture automatique d'une de ses vidéos sur la page de présentation de sa chaîne. C'est relou.

J'utilisais le script Kill YouTube Channel Video Autoplay, mais ça fait des mois qu'il ne fonctionne plus.

J'ai cru que le dysfonctionnement est causé par mes extensions Firefox (ublock Origin, uMatrix, LocalCDN, Privacy Badger, etc.), mais non : j'ai le même problème dans un profil firefox vierge (firefox -p).

J'ai essayé plusieurs scripts Greasemonkey (exemple : « Disable YouTube Channel/User Home Page Video AutoPlay »). Rien de concluant…

Jusqu'à YouTube Click To Play. Il fonctionne impec'. Attention : il faut désormais cliquer (ou touche espace) pour lire une vidéo.

Si tu utilises l'extension Firefox LocalCDN, il faut désactiver le filtrage du code source HTML sur YouTube, sinon YouTube Click To Play ne fonctionne pas.

À toutes les gauches que j'ai aimées avant
Celles des grèves, des combats, des sentiments
Des chemises déchirées, des patrons séquestrés
Où sont mes camarades d'antan ?

À toutes les gauches que j'ai aimées avant
Qui trouvaient que Jean Ferrat était bandant
T-shit Che Guevara, et des poils sous les bras
68 c'était le bon temps.

Elles avaient, elles avaient
la lutte des classes au fond des yeux
Elles brûlaient, elles brûlaient
des merguez, des palettes, des pneus
Elles voulaient, elles voulaient
remplacer les 35 heures par 32
Elles avaient, pour entret'nir la flamme
Des discours de Jaurès,
Pas besoin d'hologramme
Pour atteindre l'ivresse
Du grand soir, à Paname,
au rythme d'un djembé.

Ouais, nuit debout ça fait mal au dos, hein
Ça fait mal aux oreilles surtout, mais c'est ça, la gauche, mon vieux

À toutes les gauches que j'ai aimées avant
Qui se retrouvent chez Macron
Maintenant
Robert Hue Cohn-Bendit, Renaud même pas en cuite
On va regrette Mitterrand

À toutes les gauches que j'ai aimées avant
Qui en stage n'embauchaient pas leur enfant
Lénine dans toute sa vie, n'a pas eu la phobie administrative, c'est marrant

Elles disaient, elles disaient
mon adversaire c'est la finance
Elles rêvaient, elles rêvaient
qu'tout l'monde paie ses impôts en France
Promettaient, promettaient
qu'elle serait populaire, la belle alliance

Aujourd'hui, elles vont pleurer au centre
avec tous leurs bobos,
Elles veulent pas s'coincer entre
la faucille et l'Arthaud
Ou se faire, sur l'bas-ventre, des Poutou indignés

Mais c'est dégueulasse des Poutou sur l'bas-ventre !
Oui mais c'est ça, la gauche, mon vieux !

Elles luttaient, elles luttaient
contre le grand capital
Critiquaient, critiquaient
la vision du Général
Elles chantaient, elles chantaient
à la fête de l'Huma en sandales
Elles aimaient, Picasso et Godard
et elles les comprenaient
après deux-trois pétards
Et tout ça finissait
en partouze, quelque part
sans qu'le monde ait changé

C'est quand même bien d'avoir essayé !
Mais oui, mais c'est ça la gauche

À toutes les gauches qu'on a aimées avant

J'aime beaucoup. :)

Via https://twitter.com/bayartb/status/1532791516581740544.

#Frédéric #Fromet

• Dans le numéro 94 (juillet-septembre 2020), Ruffin justifie sa boulimie d'activités simultanées (député, film, livres, manifs, etc.) par le fait qu'un militant est irremplaçable, que ce qu'il fait, personne d'autre le fera. Je suis d'accord, mais je pense qu'il en va de même dans le salariat (Ruffin écrit l'inverse et le justifie par les écoles et la formation qui sont conçues pour rendre remplaçables les personnes, en oubliant l'organisation du travail et sa division qui concourent au même objet). De même, deux expressions m'ont toujours profondément agacé : « personne n'est irremplaçable » et « si c'est important, quelqu'un le fera ». On entend la première plutôt dans le salariat, et la deuxième plutôt dans l'associatif. Les deux sont du pipeau. Chaque personne est irremplaçable. Pas par le boulot qu'elle produit même si deux personnes ont jamais strictement le même niveau de compétences, mais surtout par sa manière de le faire (gentillesse, communication, priorité qu'elle accorde, etc.), sa sensibilité / l'angle d'attaque qu'elle retient pour le faire, l'historique (voir) / les choses vécues ensemble, les liens sociaux que chaque autre personne du collectif tisse avec elle, etc. Il y a une alchimie unique, un collectif qui fonctionne… ou non. Tout départ est une perte, à laquelle on pallie et on s'habitue, comme le décès d'un proche, certes, mais il y a tout de même une perte. De même, quelque chose peut être important et ne pas être fait par peur, par ignorance de la manière de s'y prendre, par flemme, par résignation, etc. Exemple ? Lutte contre le réchauffement climatique. Mais c'est toute l'histoire des luttes sociales, des acquis sociaux, selon moi ;
  
  
• Durant le Covid, les médias ont passé beaucoup de temps à plaindre une prétendue jeunesse sacrifiée. Dans le numéro 97 (février-avril 2021), un lecteur de 46 ans fait remarquer qu'à son époque, la jeunesse n'était pas non plus que rencontres, amour et amitié, qu'il restait dans sa piaule du CROUS par manque de moyens (et pour étudier), et que la peur du chômage et de l'avenir était déjà bien là. Étant d'une autre génération, j'appuie ces propos : laisser croire que tout était idéal pour la jeunesse avant le Covid, faut pas charrier. Mais, oui, je reconnais que le Covid a amplifié les problèmes existants, mais pas que pour la jeunesse ;
  
  
• Le numéro 97 nous parle des études / rapports qui tentent d'évaluer l'utilité sociale des métiers. Est retenu celui de 2009 pour la New Economics Foundation, un think tank écolo britannique. L'employée de crèche, par l'éducation et les soins prodigués, ainsi que par le temps libéré aux parents (ce qui gâche un peu la mesure) rendrait à la société 9,43 fois son salaire. Le conseiller fiscal détruirait 47 fois plus de valeur qu'il en créerait. Agent de recyclage : 12 livres sterling de valeur générées pour une livre de salaire. Le publicitaire détruirait 11,50 livres à chaque fois qu'il encaisserait une livre (sa démarche génère de la consommation, donc de la production, des emplois, du transport, etc., mais aussi de l'endettement du consommateur, de la pollution, de l'obésité, etc.). Agent de nettoyage spécialisé à l'hosto ? 1 livre de salaire = 10 livres de valeur (réduction des risques d'infection nosocomiales et des complications). Chiffres à prendre avec autant de pincettes que ceux concernant la pollution générée par le numérique, car celui qui arrive à inventorier toutes les externalités négatives et positives, par rebond, d'une activité puis à les chiffrer, il est très fort. Sans compter le biais idéologique du client (tu ne vas pas dire à un think tank écolo qu'un agent de recyclage détruit de la valeur). Mais ça donne une idée.

• Un lecteur écrit que, sur les 36 000 fermes des Pays de la Loire, 20 000 seront à reprendre d'ici à 2028. Dans toute la France, environ la moitié des agriculteurs seront à la retraite dans les dix prochaines années. Manque de candidats. Inexistence des outils juridiques facilitant la reprise. En l'absence, comment reprendre 200 ha sans capitaux élevés ? Peur de la reprise + fusion en fermes géantes par des investisseurs ;
  
  
• Pour Ruffin, discours des politiciens = langue sans âme, langue qui n'est pas habitée. L'expression « langue de bois » ne convient pas : on peut se heurter à du bois, c'est du solide, on s'y frotte, on s'y confronte. Là, c'est une langue chamallow, une langue de coton, une langue creuse et molle. Elle nous chloroforme. C'est leur arme, ces mots. « Réformes nécessaires », « innovations de rupture », « progrès », « libérer les énergies », « dette », « concurrence », etc., quelle tristesse. Je nuance en affirmant qu'il n'y a pas que les politiciens qui utilisent une langue morte : chef de tout niveau, camarade associatif, collègue de bureau, amis… On passe tous notre temps à raconter du vent à propos de rien… Y'a qu'à voir ce shaarli. :) Pire, on défend nos maîtres tels ce collègue ou cette amie qui m'expliquent, convaincus, que mon DRH n'a pas le choix que de circonvoluer pour (ne pas) me répondre, ça sied à son rang, il est obligé, c'est ce qu'on attend de lui, c'est comme ça. On n'est pas rendu… L'action est précédée par un changement d'imaginaire. Penser un autre monde, d'autres possibilités, etc. et s'y accrocher. Je pense qu'un changement d'imaginaire nécessite l'abandon de cette langue morte. Mon message serait donc : commençons par parler normalement entre nous et à ne plus excuser la langue morte d'autrui. Le reste suivra.