GuiGui's Show

• La fonction de président de la Commission des finances de l'Assemblée doit-elle revenir à un député membre du principal groupe d'opposition ? Le règlement de l'Assemblée dispose qu'il doit échoir à un élu de l'opposition, sans plus de précision. Perso, je pense que ça se réglera par rapport de force / appel à la tradition, pas par la loi ;
  
  
• J'ignorais l'existence du partenariat Thales-Google pour créer un cloud souverain de plus, y compris pour répondre aux besoins de l'État. Le Canard expose un potentiel conflit d'intérêt du nouveau ministre de la transformation et de la fonction publique, Guerini, dont la femme, Marie-Luce Conrad est cheffe de la stratégie et des opérations chez Google Cloud France. ÉDIT DU 27/06/2022 : le sinistre a été écarté des dossiers liés à Google et à l'hébergement en nuage des donénes de l'État. FIN DE L'ÉDIT. On notera que Google (Cloud) était présent aux Journées Réseaux de l'Enseignement Supérieur et de la recherche 2021 (qui se sont déroulées en 2022) : ateliers et stands ;
  
  
• Difficulté de recruter des enseignants dans l'éduc' nat' (le sinistère prétexte un changement des modalités de passage du CAPES, mais, d'après la Dares, 68 k postes resteront non pourvus d'ici à 2030… peut-être parce que leur rémunération a fondu de 15 à 25 % en 20 ans en tenant compte de l'inflation ?), des infirmiers et des médecins dans les hôpitaux (33 % de postes de toubib vacants contre 27,4 % en 2018 d'après le centre national de gestion… peut-être parce que le privé rémunère mieux les toubibs pour moins d'heure et sans les gardes contraignantes ?), dans la pénitentiaire (alors que le plan prison ‒ toujours plus de places en zonzon ‒ et les nouvelles missions filées à la pénitentiaire ‒ gardes statiques devant les hôpitaux psy, extractions ‒ devrait nécessiter 3 à 4 k personnels en sus d'après les syndicats), et chez les flics (moins de candidats donc le taux de sélectivité aux concours est passé de 1 admis pour 7,6 candidatures en 2015 à 1 sur 4,3 en 2020, d'où on n'élimine plus les inaptes, ce que je trouve dangereux puisqu'on n'écrème potentiellement plus les personnes brutales). J'ajoute les informaticiens dans la fonction publique d'État (rémunération significativement inférieure à celle du privé pour bosser en sous-effectif chronique sur des systèmes obsolètes et mal conçus ou externalisés) ;
  
  
• À la fin des années 70, la France opte pour un modèle de réacteur nucléaire américain créé par la société commerciale Westinghouse, mais en modifie l'agacement du réseau d'injection de secours (chargé, en cas d'urgence d'inonder d'eau borée le cœur du réacteur afin de stopper la réaction en chaîne). Les micro-fissures observées dans la tuyauterie de la centrale de Civaux sont absentes des réacteurs Westinghouse originaux en service dans le monde. Ça rappelle les défauts de l'alliage des cuves des EPR ou l'usure précoce des barres de combustible des EPR. Cocoricoooo ! ;
  
  
• J'ignorais l'existence, depuis 1974, du prix du jury œcuménique du Festival de Cannes. Un jury composé de 3 cathos et de 3 protestants distingue un film pour son aspect artistique, mais aussi pour sa manière de transmettre le message de l'Évangile et les valeurs chrétiennes. Le Canard ne le dit pas, mais il existe aussi la Queer Palm (LGBTQIAA+) ;
  
  
• Après le Salvador en 2021, la Centrafrique a adopté le Bitcoin comme monnaie légale. Mouiiii… Deuxième pays le plus pauvre du monde et faible pénétration d'Internet… Ça ressemble plus à une mesurette pour engager, à raison, des négociations sur le franc CFA ;
  
  
• La France interdit l'importation de viande d'animaux traités aux antibios de croissance. Le bétail UE en était déjà privé depuis 2006. Concurrence déloyale, notamment sur le poulet : 1/2 est importé, et le Brésil utilise masse d'antibios de croissance. Il s'agit d'une mesurette : arrêté valable un an (soyons optimistes, il sera renouvelé jusqu'à ce que le règlement UE, toujours en négociation, aboutisse) ; les trois ports d'importation sont à l'étranger (Anvers, Amsterdam, Rotterdam), donc aucune instruction donnée à la DGAL ; il existe aucun moyen de distinguer les antibios à usage médicamenteux de ceux à usage dopant (je doute sur ce point, les molécules ne sont pas les mêmes, tout de même) donc il faut croire la paperasse des exportateurs ;
  
  
• En 1996, la famille Saadé, propriétaire de la société commerciale CMA au bord du dépôt de bilan, rachète, contre l'avis de Bercy, la Compagnie Générale Maritime (CGM) pour 20 millions de francs. L'État venait d'y injecter 1 milliard de francs et de financer un plan social. Lors du rachat, la CGM avait 800 millions de francs de trésorerie et elle était évaluée à 2 milliards de francs. Une note de Maurice Gourdault-Montagne, directeur de cabinet de Juppé, relate « Le PR m'a signalé sa préférence pour CMA ». Quand la justice a voulu mettre son nez dans l'affaire, pouf, cambriolages, documents volés, etc. ;
  
  
• Des tirailleurs d'Afrique de l'Ouest se sont rendus aux nazis en mai/juin 40. Dès l'offensive du Reich, aucun respect pour eux, soldats coloniaux de la France : exécutions pour laver l'Allemagne de la honte noire (occupation de la Rhénanie par les indigènes, notamment marocains, accusés en 1920 d'avoir souillé les femmes et le sol allemand). Captivité pour ceux qui se sont rendus. Pas en Allemagne (crainte des maladies et des mélanges raciaux), mais à Rennes, dans un Frontstalag de la France occupée. De l'automne 40 à l'automne 44. À leur libération, la France leur propose un étrange marché : ils seront rapatriés à Dakar et bénéficieront de leur solde militaire calculée en fonction de leurs jours de captivité. On leur en versera 1/4 à l'embarquement à Morlaix, le reste plus tard. Il s'agit donc d'une ingrate incitation au départ. 1 300 sont reclus dans le camp militaire de Thiaroye près de Dakar. Ils réclament leur solde. Un rapport militaire consigne qu'il faut coiffer le camp militairement et par surprise. Ça sera fait le 1er décembre 44 à 5 h : gendarmes et bidasses rassemblent leurs frères d'armes africains et ouvrent le feu. 70 morts selon Paris. 400 selon les historiens ;
  
  
• Hausse du prix du blé à cause de la guerre en Ukraine : ça ne va pas s'arranger. Inondations au Manitoba (grenier du Canada). L'Inde a interdit les exportations de blé. La sécheresse en France fait craindre une mauvaise moisson ;
  
  
• Le possible renversement de la jurisprudence états-unienne sur l'avortement fait prendre conscience aux femmes l'importance de la vie privée. En 2018, une habitante du Missouri a été poursuivie pour meurtre au second degré après avoir fait passer un avortement hors délai (donc répréhensible quoi qu'il arrive) pour une fausse couche. Comment la justice a su ? Elle avait fait une recherche web pour l'achat d'une pilule abortive. La justice de tout État peut contraindre une société commerciale à lui communiquer les données personnelles de ses clients / utilisateurs. L'article n'explique pas comment la justice a été saisie au départ (délation par un proche de l'accusée ?). ÉDIT DU 06/10/2023 : dans au moins deux cas, il y avait des indices externes (bébé mort-né à côté d'une femme qui appelle à l'aide, reste de fœtus). FIN DE L'ÉDIT. Traces possibles : conversation "privée" sur un réseau social, traceurs sur le site web de pharmacies, application de suivi des règles (pourquoi elles utilisent ça ?!), géolocalisation proche d'une clinique ou de l'équivalent du planning familial, recherche ou achat sur le web d'une pilule abortive ou d'un équivalent de planning familial, etc. Des sénateurs ricains (dont Sanders) écrivent des petites lettres aux GAFAM afin qu'ils ne collectent plus certaines données. Ça ne peut pas faire de mal mais… c'est toi qui a voté les lois qui permettent l'accès aux données personnelles par le gouvernement ricain, Ducon !

+ Communiqué de presse de Ruffin.

• Ruffin et son journal, Fakir, sont espionnés par LVMH au motif qu'ils avaient pour intention de déstabiliser LVMH et son AG. Détails ici. Collecte frauduleuse de données personnelles + exercice illégal d'activités privées de sécurité (pour infiltrer Fakir). Source ;
  
  
• Dans cette affaire, qui dépasse Fakir, d'autres infractions ont été relevées. Trafic d'influence (demander, en tant qu'ancien dirlo, à des agents de la DGSI de cibler des individus, faciliter l'obtention de visas et de badges d'accès à un aéroport), abus de confiance (profiter de sa fonction de dirlo de la DGSI pour ouvrir une enquête afin d'identifier un maître-chanteur bien réel de LVMH au motif de la défense des intérêts économiques de la Nation, tiens, l'un des motifs fourre-tout de la loi Renseignement de 2015), violation et recel d'un secret (obtenir des infos sur une enquête / plainte en cours). Source ;
  
  
• Au motif que les infractions sont anciennes, LVMH et le Parquet de Paris signent une Convention Judiciaire d'Intérêt Public (CJIP, apparue avec la loi Sapin 2) : moyennant 10 millions d'euros, LVMH et Arnault échappent à la justice sans reconnaître leur culpabilité. Une CJIP n'empêche pas de poursuivre les personnes physiques impliquées. Marcadier, dirlo juridique de LVMH, Squarcini, ex-dirlo de la DGSI et consultant pour LVMH, et d'autres, n'échappent pas aux poursuites : ils sont renvoyés devant un tribunal en décembre 2022 pour un jugement rendu en mars 2025. La loi prévoit zéro recours contre une CJIP (d'autres décisions judiciaires ne peuvent être contestées) ;
  
  
• Ruffin se questionne : acheter la justice (10 millions d'euros = 0,02 % du chiffre d'affaires annuel de LVMH) ? La CJIP, initialement conçue pour lutter contre la corruption, le trafic d'influence, le blanchiment et la fraude fiscale, est-elle utilisable quand la conséquence des infractions relevées est l'espionnage d'un journal ou la liberté de la presse et le respect de la vie privée passent-elles avant ? Une victime des infractions a peu de marge de manœuvre (elle transmet des éléments pour évaluer son préjudice, elle ne négocie pas, la loi prévoit aucun délai de réponse / d'action donc le Parquet fait ce qu'il veut ‒ 10 jours pour Ruffin ‒)… Pro-éminence du Parquet et prérogatives excessives ? Quid du droit à un recours effectif ?
  
  
• Ruffin tente un appel contre la décision d'homologation de la CJIP, et, parallèlement, un pourvoi en cassation. La Cass' a rejeté son recours en février 2022. La Cour d'appel vient de le faire aujourd'hui. Épuisement de tous les recours franco-français ;
  
  
• Ruffin envisage un recours devant la Cour européenne des Droits de l'Homme et une saisine directe du Conseil constitutionnel (sur ce point, j'ignore quel levier sera actionné : pour moi, le Conseil peut être saisi, avant l'adoption d'une loi, par les parlementaires ou le président de la Rép', et, après l'adoption, par l'une des parties dans un procès en cours). Go Ruffin, go ! :) ;
  
  
• Le 4 mai 2023, la CEDH a jugé irrecevable le recours. Ruffin et Fakir s'étaient constitués partie civile et une CJIP permet d'obtenir réparation du préjudice au civil (Ruffin ne l'a pas fait car le pognon, et surtout celui de LVMH, ne l'intéresse pas). La question pénale demeure : une CJIP peut-elle éteindre une éventuelle atteinte à la vie privée et à la liberté d'expression ?

• Très beau dessin de presse : le bourgeois dit aux prolos « l'un de vous deux profite du système » ;
  
  
• En décembre 2021, l'ancien haut-commissaire à la réforme des retraites, Jean-Paul Delevoye, qui avait oublié de déclarer 13 mandats (dont certains le plaçaient en conflit d'intérêt) à la HATVP, a été condamné à 4 mois de zonzon avec sursis et 15 k€ d'amende dans une procédure de plaider-coupable (comparution sur reconnaissance préalable de culpabilité). Pas d'inéligibilité. Pas d'inscription au casier ;
  
  
• D'après l'économiste Lucas Chancel, les 10 % des Français les plus riches ont émis 25 tonnes de CO2 par personne en 2019 contre 5 pour les 50 % les plus pauvres et 9 tonnes pour les 40 % suivants. Aucun détail des calculs alors que, oui, le jet du milliardaire pollue, mais la merde importée de l'autre bout du monde consommée à gogo par le prolo également (même si l'on dira qu'il n'a pas le choix, blablabla), donc bon… On retrouve ça ici : en 2011, 20 % des Français les plus riches étaient responsables de 50 % des émissions CO2, mais l'objectif 2050, 2 tonnes de CO2 par an n'était atteint que par les 10 % des Français les plus pauvres, donc scalper les milliardaires risque de ne pas suffire… ;
  
  

• Je n'avais pas suivi les traités de libre-échange UE. L'accord avec le Canada (CETA) est entré en vigueur "provisoirement" en 2017 (uniquement la partie qui dépend de la compétence de l'UE, soit 90 % quand même) et sa ratification est bloquée, entre autres, au Parlement français (l'Assemblée s'est prononcée en 2019, le Sénat ne s'est pas encore prononcé, la Convention citoyenne sur le climat de 2020 avait demandé de ne pas le ratifier). C'est toujours le cas fin 2023. L'accord avec le Japon (JEFTA) est entré en vigueur en 2019. Idem pour celui avec Singapour. Celui avec le Viêt Nam est entré en vigueur en 2020. Celui avec la nouvelle-Zélande a été adopté fin 2023 (la Nouvelle-Zélande doit encore le ratifier). Révision de celui conclut en 2000 avec le Mexique en cours. Celui avec le Mercosur est bloqué par la France et le Parlement UE (va-t-il favoriser la déforestation ?). En 2024-2026, ça devient un feuilleton à n'en plus finir (adoption forcée par ComUE et entrée en application provisoire comme le CETA + Parlement UE qui saisit la CJUE). Celui avec la Chine (il s'agit plutôt d'un accord d'investissement) est bloqué depuis 2021 par la Commission UE compte-tenu du contexte politique chinois (Hong Kong, Ouïghours, etc.). Début 2024, on parle d'accords avec le Chili et le Kenya ;

• Ce numéro étant consacré à passer au vitriol le bilan du premier quinquennat Macron, on trouve du chiffre à la pelle (qu'il faut vérifier et extraire de la malhonnêteté, ce que j'ai essayé de faire) :

  • Hausse de la part du patrimoine estimé par Challenges des 500 plus grosses fortunes françaises dans le PIB français : 6 % en 1996, 20 % en 2017, 25 % en 2018, 30 % en 2019, 31 % en 2020 (PIB en baisse de 52 milliards d'euros, donc forcément), 43 % en 2021 (j'y crois moyen, l'INSEE n'a même pas encore produit sa première estimation du PIB 2021). Aucune analyse sur l'origine de cette hausse : conséquence des politiques de Macron ou conjoncture économique (les consos préfèrent Netflix, Uber, le luxe et autres qui savent produire à bas coût et optimiser le placement de leur capital) ? ;
    
    
  • D'après l'Institut des Politiques Publiques et Challenges, les politiques de Macron (suppression de l'ISF et flat-tax/PFU, essentiellement) accroissent le niveau de vie des 1 % des Français les plus riches de 2,8 % (3 500 € annuels), de 4,1 % pour les 0,1 %, et réduisent celui des 1 % les plus pauvres de 35 € annuels (baisse des aides au logement ‒ désindexation de l'APL de l'indice de référence des loyers et donc de l'inflation, réduction du loyer de solidarité ‒, hausse des taxes tabac et énergie, hausse de la CSG pour les retraités). Environ 500 balles annuelles de plus pour les 25 % les plus aisés. Environ 250 € pour les 50 % les moins aisés ;
    
    
  • Concentration des aides Covid. 2/3 des aides de l'État aux sociétés commerciales (baisse de l'impôt sur les sociétés ‒ IS ‒ et des impôts de production) ont bénéficié aux grands groupes et aux ETI (> 250 salariés). 1/4 sont mêmes tombées dans les poches de 280 sociétés commerciales. Si l'on classe les sociétés par chiffre d'affaires (CA) croissant, les 10 % des sociétés avec le plus petit CA ont bénéficié d'une baisse d'impôt de 0,8 % contre 1,9 % pour les 10 % des sociétés au plus gros CA. Mouais… Il faudrait voir aussi à qui à le plus profité le chômage partiel et les autres aides et faire la comparaison globale. On constate aussi que la baisse des impôts de production a le plus bénéficié aux 50 % des sociétés au plus petit CA alors que la baisse de l'IS a bénéficié aux 40 % des plus grosses, ce qui est normal : plus de CA = plus de ristourne. Mais, oui, il y avait d'autres leviers que l'État aurait pu actionner qui auraient pu permettre d'aider plus les artisans et les TPE/PME, c'est donc bien un choix ;
    
    
  • 48 % du budget de la campagne 2017 de Macron a été financée par 1 % des donateurs. Jusque-là, rien de neuf : le financement des partis politiques a toujours été un phénomène de classe. La City de Londres est la deuxième ville contributrice à la campagne Macron après Paris et avant les 10 plus grandes villes française. Renvoi d'ascenseur ? Macron avait prévu la suppression de l'ISF pour 2019, mais, dès son entrée à l'Élysée, l'AFEP (Association Française des Entreprises Privées) lui tort le bras pour une entrée en vigueur dès 2018 ;
    
    
  • Durant le premier quinquennat Macron, le taux normal de l'IS est passé de 33 % (taux historique) à 25 % au 1er janvier 2022. Faudrait vérifier si d'autres impôts n'ont pas augmenté en parallèle… L'UE souhaite harmoniser le taux en UE mais, à ce jour, la seule décision prise est de filer un mandat à la Commission pour étudier le sujet, donc la baisse du taux d'IS est bien une décision franco-française ;
    
    
  • 1,5 % d'emplois salariés en plus entre 2017 et mi-2021. Moins que la moyenne UE (2,7 %). Hausse des emplois non-salariés sur la même période : 7,3 %. Seules l'Estonie et la Hongrie font "mieux" que nous. Choix de vie, liberté, tout ça ? Selon l'INSEE, 40 % des indépendants sont micro-entrepreneurs, 1/4 des indépendants gagnent moins que 50 % du SMIC avec leur activité, et 18 % d'entre eux ont un niveau de vie (activité + aides sociales) inférieur au seuil de pauvreté (60 % du revenu médian national donc environ 1 100 € en cette saison) ;
    
    
  • D'après la DARES (sinistère du travail), en 2021, il y avait 286 000 emplois vacants (hors intérim ‒ qui représente 750-800 k équivalents temps plein, le compte n'y est pas ‒, agriculture, public et particulier employeur) pour 5,6 millions de chômeurs (catégories A, B, C). 19,5 fois plus de demandeurs que d'emplois. Pertinence de la réforme de l'allocation chômage ? ;
    
    
  • CICE : 125,8 milliards d'euros sur 5 ans (2017-2022) ;
    
    
  • Fakir calcule 17 900 fermetures de lits d'hôpital en 5 ans (2017-2022).

• Des millions pour les pauvres, « un pognon de dingues », c'est du gâchis. Des milliards pour les riches, c'est investir, les « premiers de cordée » venant tirer le reste de la société, ou, au contraire, s'échappant par le haut

[…] Je vous résume le mouvement […] politique qu'il faut produire : du bas vers le haut. Qu'on les laisse à leur ordinaire, et ils s'en prennent, forcément, à « l'assisté » d'à côté, à la famille d'immigrés du dessus, aux réfugiés qu'ont voit à la télé. Nous devons, nous, faire relever le nez, faire regarder au-dessus. Nous devons, et c'est pas simple, donner à voir deux invisibles : les invisibles d'en bas, souvent invisibles des médias, invisibles des décideurs […]. Et les invisibles d'en haut, les hyper-riches, y mettre des noms, des visages, du concret. […] [ Fin de contrat sans prévenir chez Amazon, rationnement chez Orpéa, dans les hôpitaux, à l'éducation nationale, sur les bas salaires, mais le CAC40 n'est pas rationné, lui, bénéfices et dividendes record en 2021 ] Les seigneurs d'antan avaient leur château au bord du village, et le peuple, d'instinct, d'un coup d'œil, savait, sentait, qui lui volait la prospérité. Parfois, ça brûlait. Dans notre village mondial, les deux se sont séparés, distendus ; à nous de les rapprocher, de les lier. À nous de les montrer, les châteaux des seigneurs du numérique, des seigneurs du luxe, des seigneurs du médicament, des seigneurs de l'armement, des seigneurs du sol et du sous-sol. […]

Dans le numéro 102 du journal Fakir.

Le Ravi, journal papier et numérique indépendant et satirique en région PACA termine sa campagne de dons à la fin de ce mois et il lui manque encore du blé (53 k€ sur 100 k€). Go faire un don, défiscalisé ou non et / ou relayer cet appel. :)

Lire ici ce qu'est le Ravi et l'origine de l'appel aux dons. En gros : journal + émissions de radio + éducation aux médias / journalisme dans les écoles, les quartiers, les prisons + … Soudaine absence de soutien des collectivités + enchaînement de procès (dont un perdu) + coûteuse présence en kiosque + …

Pour une présentation des ressources et des dépenses (à quoi ça sert de donner ?), c'est par ici.

Pour un état des lieux de la campagne de dons au 24/05/2022, c'est par là.

• Trucage d'un marché public de concession d'une halle au Puy-en-Velay. Favoritisme. Rendez-vous secrets et conseils personnalisés pour un concurrent. Trucage du rapport d'appel d'offres (pour dévaloriser la rentabilité d'une offre pour la mairie). Le gagnant a oublié des pièces jointes au dossier (grilles tarifaires), mais ça passe. Preuves ? 58 enregistrements audio clandestins. Tout ça pour quoi ? Pour plaire à Wauquiez (ancien maire y'a plus de 5 ans !). La responsable du service commerce de proximité commun à la ville et à la communauté d'agglo dira même « Je préfère qu'on aille au tribunal plutôt que d'annoncer à Laurent Wauquiez que ça ne se passe pas comme prévu ». :O Le gagnant est donc une offre moins rentable pour la ville et plus coûteuse pour les commerçants des halles (impôt sur le chiffre d'affaires = 20 % contre 1 % chez le concurrent). Tout le monde sait, y compris le maire (qui s'exclame « Oh putain ! » quand on lui annonce que le gagnant a oublié des pièces jointes), et laisse faire, voire participe… Ça me dépasse… surtout pour des fonctionnaires ;
  
  
• Les accords qui constituent la NUPES sont bilatéraux (LFI-PC, LFI-PS, LFI-EELV, etc.) et les engagements sont différents entre les accords. Ainsi, la renationalisation d'EDF, Engie, des autoroutes et des aéroports engage uniquement LFI et PC et la planification pilotée par de nouveaux indicateurs de progrès humain (quoi que ça veuille dire) engage uniquement LFI et PS. Dit autrement, même si la NUPES a la majorité absolue à l'Assemblée, l'ensemble de ses composantes ne votera pas forcément un texte, qui n'aura donc pas la majorité des voix pour être adopté, puisque ne pas le faire ne sera pas une dénonciation des accords (genre le PC pourra ne pas voter la planification gnagna puisqu'il ne s'y est pas engagé), donc des promesses pourraient ne pas être tenues par manques de voix à l'Assemblée. Sur les sujets consensuels, il reste à s'accorder sur les détails. Exemple : un revenu minimum pour les jeunes (quelle horreur), oui, mais à quel montant ? Les 1065 € de LFI ? Les 565 € du RSA sauce PS ? Les 900 € des Verts ? ;
  
  
• L'armée ricaine s'équipe d'un nouveau fusil d'assaut, le XM5, qui tire des balles de 6,8 mm de diamètre (alors qu'en 1980, l'OTAN a opté pour du 5,56 mm). Objectif : tuer en un coup (le 5,56 mm laisse quelques minutes de vie après impact, ce qui permet à un ennemi de riposter) et transpercer les nouveaux gilets pare-balles. Le XM5 sera plus lourd mais une partie des troufions ricains est équipée d'exosquelette pour porter son barda. 7 % des effectifs de l'armée de terre sont équipés du XM5. L'OTAN a érigé un principe d'interopérabilité, donc, à terme, les Européens vont devoir remplacer leurs fusils. En septembre 2016, la France a troqué le FAMAS pour des HK486 achetés au boche Heckler & Koch via un accord qui court jusqu'en 2028… (pénalités financières en vue ?) ;
  
  
• Absence de souveraineté française sur les armes. La France, qui a tout misé sur le nucléaire et la haute technologie pèse peu sur le marché des armes. Lorsque la Manufacture d'armes de Saint-Étienne, qui produisait les FAMAS, a fermé en 2001, l'État a rien fait (ne se presse pas pour trouver un remplaçant, ne met pas en place de politique économique en matière d'armement, etc.). De plus, la France ne fabrique plus les petites munitions depuis la fermeture de la dernière cartoucherie du Mans en 2000. Et ça veut faire l'Europe de la défense pouet pouet… ;
  
  
• Amélioration du statut de lanceur d'alerte : loi Waserman (ancien cadre : Sapin 2), transposition d'une directive européenne. Fin de l'obligation de privilégier une divulgation en interne (divulgation directe à un juge, au défenseur des droits, à l'autorité administrative compétente dans le domaine concerné selon un décret à venir, puis, dans un deuxième temps, au public sauf exceptions genre sécurité nationale). Immunité pénale si recel de documents obtenus de manière licite (si collecte illicite genre effraction dans un local professionnel, ça marche pas). Dans la sphère pro, pas besoin d'avoir personnellement connaissance des faits, la loi permet désormais de les relayer (en dehors, cette exigence demeure). La notion « lanceur d'alerte = personne désintéressée » disparaît au profit de l'absence d'une contrepartie financière directe. Ainsi, un intérêt personnel et l'intérêt général peuvent cohabiter et un salarié en conflit avec son employeur peut désormais être lanceur d'alerte. Il n'y a plus besoin que les atteintes à l'intérêt général soient graves pour être divulgables. Élargissement de la protection à ceux qui aident les lanceurs d'alerte. Le défenseur des droits peut être saisi pour avis (suis-je un lanceur d'alerte ?), 6 mois pour répondre. La plupart des dispositions entrent en vigueur en septembre 2022. Plus d'infos ;
  
  
• Censure catho à France Inter. Le podcast d'Affaires sensibles du 18/02/2022 sur la pédocriminalité dans l'Église a disparu du site web de la radio (lien). La radio craignait un nouveau droit de réponse de Barbarin (il lui en avait déjà adressé un lors d'une précédente émission en 2020) et les excités intégristes (je croyais que ça existe uniquement chez les arabes ?! :O Bah ça alors, on nous aurait menti ?) ;
  
  
• Philippines. Durant le mandat de l'ex-président Duderte, dans le cadre de sa guerre contre la drogue, 8 663 personnes suspectées de trafic de drogue ont été assassinées par la police. La Cour Pénale Internationale (CPI) a ouvert une enquête pour crimes contre l'humanité. Il ne s'est pas présenté aux élections du 9 mai 2022. Le fils des dictateurs Marcos a remporté le scrutin. La fille de Duderte a été élue vice-présidente (dans un scrutin à part mais simultané). D'après le Canard du 18 mai 2022, Duderte aurait échangé sa fonction de président contre son immunité. Ferdinand Marcos Junior a déjà déclaré qu'il n'acceptera pas de visite de la CPI autre que touristique ;
  
  
• Le 28 février 2022, la Suisse a accepté d'appliquer les sanctions européennes contre la Russie (gel d'environ 8 milliards de francs suisses d'avoirs, blocage des transactions financières sauf celles liées au gaz). Abandon de la (prétendu, j'y ai jamais cru) neutralité.

• La Chine aurait proposé un pacte de sécurité à l'Ukraine (la protéger en l'affranchissant de la tutelle de l'OTAN). La Chine offrirait son concours à la reconstruction des infrastructures puisque l'Ukraine est sur le tracé des nouvelles voies de la soie (réseau ferré et routier pour desservir l'Europe que la Chine compte développer). Aider Vlady à contourner les sanctions et ne pas compromettre les acquis de son offensive économique au long terme en Europe, la Chine joue sur tous les tableaux ;
  
  
• Les États-Unis ont installé, à Stuttgart, l'European Command Control Center of Ukraine afin de coordonner les livraisons d'armes et de matos. Dans cette guerre, les USA sont très actifs pour pousser leurs pions : ventes militaires en Europe, armement nucléaire en Europe, nouvelles bases aérienne en Europe, hausse du budget alloué au nucléaire ricain, etc. Tout va bien se passer ;
  
  
• Allocation journalière « proche aidant » = vaste blague. Versée par la CAF (ou la MSA) après dépôt d'un dossier. Nécessite de poser un congé accepté par l'employeur (les retraités ne sont donc pas éligibles pour aider). 66 jours consécutifs max. Renouvelable mais le cumul ne peut pas dépasser un an dans toute une carrière. Peu d'incapacités et de pertes d'autonomie reconnues (un décret, annoncé pour « avant 2023 » par le sinistère, devrait élargir, entre autres, aux cancers). Comme d'hab avec l'État (exemple des primes de vol des pilotes de la sécurité civile et des docs volontaires pour aider l'outre-mer à faire face au Covid), le pognon peut mettre jusqu'à 6 mois pour arriver… ;
  
  
• L'Agence France Trésor (AFT), qui gère la dette publique française, va rembourser, dès la fin mai, des obligations à 0 % avec du fric emprunté à 1,20 % (taux actuel). C'est la première fois depuis 2014 que le trésor public se refinance à des taux supérieurs à ceux des remboursements de dettes qu'il opère. Le service de la dette (poids du remboursement des intérêts dans le budget) va de nouveau augmenter (2 milliards d'euros au moins en 2022). Cette année, la France devrait emprunter 300 milliards d'euros. La moitié servira à combler le déficit public (budget de l'État, Sécu, etc.) et le reste à rembourser des prêts souscrits il y a 8 ans (en moyenne) qui arrivent à échéance. L'AFT prévoit que le taux d'intérêt de la dette française atteindra 2,7 % en 2027 ;
  
  
• Chaque année, environ 1/4 des 8 300 magistrats français changent d'affectation. La Direction des Services Judiciaires (DSJ) prépare les transparences, c'est-à-dire les propositions d'affectation que le Conseil Supérieur de la Magistrature (CSM) valide ensuite. Aucun logiciel, tout à la mimine. :O Le système est opaque. DSJ et CSM n'ont pas la même conception de ce qu'est une carrière. D'après les magistrats eux-mêmes, avoir une entente avec le patron de son tribunal ou des relations au cabinet du sinistre de la justice ou dans les syndicats est préférable. Au sein de chaque tribunal, les présidents doivent noter leurs magistrats… mais les notes sont uniquement indexées sur l'ancienneté…, ce qui crédibilise l'existence d'un système parallèle fonctionnant au copinage ;
  
  
• Dans son livre L'économie morale des élites dirigeantes, le sociologue et juriste Pierre Lascoumes expose que le point commun entre les politiciens et les grands patrons est la mise en œuvre permanente de pratiques transgressives. Ils instaurent, à leur seul profit, des mesures dérogatoires aux pratiques ordinaires, au droit commun, c'est-à-dire des valeurs morales qui ont pour seul objectif de servir les intérêts de la classe dirigeante. Exemple : la délinquance en col blanc crée ses propres règles, s'auto-surveille, et résiste à tout regard extérieur (on l'a vu lors de la crise de 2008 et la prétendue moralisation de la finance). Autres exemples ? La Cour de Justice de la République (procédure différente et spécifique pour juger des ministres). Le parlement (règlement interne, déontologue interne, autorégulation). Les conventions judiciaires d'intérêt public (justice négociée pour les grandes sociétés commerciales et les grands patrons) et la justice privée (arbitrage). Tout cela constitue des attributs de puissance d'une catégorie sociale ;
  
  
• Brouillon d'une décision à venir de la Cour Suprême ricaine consistant à revenir sur le droit à l'avortement. La même a déjà validé, en décembre 2021, une loi texane entrée en vigueur en septembre 2021 qui restreint l'IVG aux 6 premières semaines (la majorité des femmes en savent alors rien), sans exception pour les viols, et qui incite à la délation des personnes qui aident à avorter (y compris en conduisant une femme dans un état plus libéral) ;
  
  
• Chine et stratégie « zéro Covid ». Confinements extrêmes, y compris sur le lieu de travail (traders, etc.). Porte soudées (ils dessoudent pour approvisionner en bouffe ?). Centres de quarantaine (dont des habitations réquisitionnées), même si test négatif (arbitraire powa). Tabassage par des flics de ceux qui osent sortir. Quasi-famine (malgré la possibilité légale de faire des courses une fois tous les trois jours, les livraisons à domicile par l'État, etc.). Censure de l'hymne national dont un couplet proclame « Debout les gens qui ne veulent plus être esclaves ! ». Tonton Xi compterait tenir cette ligne jusqu'au 20e congrès du Parti à l'automne. Quel intérêt ? Tout relâchement de la pression et tout début d'autocritique risqueraient d'être perçus comme un aveu de faiblesse et de faire perdre la face au leader suprême. Hum, c'est un peu léger comme explication… Dans plusieurs villes (dont Shanghai), depuis deux semaines, la révolte, la désobéissance et le tabassage de représentants de l'autorité sont à l'œuvre. Mais la répression étatique reste très forte.

Visualiser les circonscriptions électorales avec OpenStreetMap. \o/

Le 22/04/2022, je me suis connecté à mon espace personnel / client (consultation de mes comptes, virements, etc.) sur le site web de la Banque Populaire (BP). C'était ma première connexion à cet espace modernisé / relooké.

Je constate deux problèmes :

1. plusieurs ressources / composants / éléments des pages web (police, CSS, JavaScript) sont récupérés auprès d'acteurs économiques états-uniens en l'absence de base légale ;
   
   
2. la base légale du chargement de plusieurs ressources / composants / éléments des pages web (JavaScript) me semble irrecevable.

ÉDIT DU 11/07/2022 : suite ici. FIN DE L'ÉDIT.

Droit

Schrems II versus Google Fonts

Dans la première catégorie, le cas le plus problématique est la récupération de polices de caractères / CSS auprès de Google Fonts.

Lors de la consultation de mon espace personnel sur le site web de la BP, mon adresse IP et d'autres éléments techniques permettant d'affirmer que telle adresse IP est cliente de BP (HTTP Referer, HTTP CORS Origin, etc.), à quelles dates+heures (et donc fréquence) elle consulte l'espace client BP, et quelles rubriques (relevé de compte, virements, documents) elles y consulte, sont automatiquement transmis à Google dans le cadre du chargement de ces ressources additionnelles. C'est ainsi que fonctionne le web, on ne peut pas y couper. Et croire qu'un serveur web conserve aucun journal des requêtes reçues est de la folie.

Or, l'arrêt de 2020 dit « Schrems II » de la Cour de Justice de l'Union européenne a rendu caduque le Privacy Shield, acte juridique de la Commission européenne qui disposait que le cadre législatif états-unien en matière de protection des données personnelles était en adéquation avec celui de l'UE, et qui, de ce fait, autorisait, le transfert de données personnelles de manière open-bar (automatique) entre l'UE et les USA. Dès lors, pour transférer des données personnelles aux États-Unis, il faut un consentement explicite et/ou tout un cadre interne à la société commerciale et/ou des accords avec l'autorité de contrôle du coin, et/ou…, voir Transferts de données hors UE.

Or, si je refuse le téléchargement de ressources depuis Google Fonts (avec les extensions pour navigateur web uBlock Origin ou uMatrix), l'espace client BP est inutilisable : tout le contenu utile est décalé vers la gauche au lieu d'être centré ; le même contenu est décalé vers le haut et partiellement tronqué ; l'icône « croix » qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n'apparaît pas, ce qui complique la navigation (le bouton « page précédente » de tout navigateur web ne répond pas totalement au besoin à cause de protections légitimes contre le rejeu) ; la modification du motif d'un virement bancaire est impossible car les champs de saisie, leur description et les messages d'aide / d'erreurs s'empilent et empêchent la saisie.

Dès lors, l'utilisation de Google Fonts ne peut pas reposer sur la base légale du consentement explicite car les dysfonctionnements engendrés par le refus constitueraient un vice du consentement.

De toute façon, à ce jour, la BP ne demande pas un consentement explicite pour l'utilisation de Google Fonts ni pour le transfert de données personnelles hors de l'UE que cela entraîne. Or, le chargement de Google Fonts peut légalement intervenir une fois ces deux consentements exprimés.

L'utilisation de Google Fonts ne peut pas reposer sur la base légale de l'intérêt légitime car elle a des exigences de nécessité et de proportionnalité entre les intérêts du responsable du traitement et ceux de ceux qui subissent le traitement. Or, un hébergement internalisé des polices de caractères est possible à coût insignifiant, ce qui ne coche pas les cases d'une externalisation nécessaire et proportionnée.

La décision 3 O 17493/20 du 20/01/2022 de la Cour régionale de Munich appuie cette analyse. Cette décision de justice est très finement analysée ici.

Schrems II versus les autres ricains

Dans la première catégorie, on trouve également des frameworks de gestion de la performance (AppDynamics), des tags marketings (Tealium / tiqcdn.com), et de la gestion de la relation client / chatbot (Ibenta). Toutes récupérées depuis des sociétés commerciales ricaines.

Là encore, la BP n'informe pas du transfert de données personnelles hors de l'UE.

La base légale de l'intérêt légitime est bancale (sauf pour Ibenta, peut-être), tout comme celle du consentement explicite (mais ça dépend des implémentations). Les arguments vont arriver ci-dessous, dans l'analyse de la deuxième catégorie.

Base légale des traitements UE

Dans la deuxième catégorie se trouvent des ressources / composants / éléments récupérés depuis des acteurs économiques européens comme KeyCDN (kxcdn.com, gestion de la performance applicative) et Kameleoon (tests A/B).

Puisque ces sociétés commerciales sont européennes, l'arrêt Schrems II n'est pas un argument recevable. En revanche, il n'existe pas d'échappatoire à la nécessité d'une base légale. Traitement prévu par la loi ? Non. Traitement nécessaire à l'exécution d'un contrat ? Non, il tourne sans ça.

Consentement explicite via le panneau de gestion des cookies ? Non, car même en cas de refus des cookies dans ce panneau, ces ressources / composants / éléments seront tout de même téléchargés par le navigateur web du client de la BP. Le refus des cookies les rend inertes / inactifs (en tout cas, on peut l'espérer), mais la récupération en elle-même transmet, sans consentement, des données personnelles à des acteurs économiques tiers (cf début de ce shaarli).

Intérêt légitime ? Pour moi, c'est irrecevable. Un client peut-il légitimement s'attendre au téléchargement d'un système de gestion de la performance (KeyCDN) alors qu'il ignore l'existence de tels produits / services, qu'il n'en comprend pas la définition (sujet extrêmement technique), et qu'il peut n'avoir que faire que son espace client soit performant à la seconde près ? Est-il proportionné d'utiliser simultanément plusieurs systèmes de gestion de la performance (KeyCDN, AppDynamics) sur un même espace client ? Un client peut-il légitimement s'attendre à la récupération d'un système de tests A/B (Kameleoon), approche essentiellement marketing, dans son espace client (qui renvoie à des notions d'intimité, de confort, à une relation individuelle entre une société commerciale et son client) ? Sait-il au moins que ça existe ? En comprend-il les tenants et aboutissements ? Ces traitements sont-ils nécessaires ? Mêmes questions pour les tag marketings de tiqcdn.

ÉDIT DU 08/05/2022 À 23 H 50 : Aeris me signale que je raconte nawak sur l'intérêt légitime. Il s'agit de celui du responsable du traitement (BP, dans le cas présent), pas de celui de l'individu dont les données sont exploitées (le client BP). Osef de savoir ce que le client pense ou est en capacité de comprendre. L'intérêt légitime est justement une base légale pour légaliser une dissonance entre ce que veut le responsable du traitement d'un côté, et l'individu de l'autre, cas qui ne peut pas se régler avec du consentement, du coup.

L'intérêt peut être celui du responsable du traitement ou d'un tiers, commercial ou sociétal, mais, comme je l'ai indiqué dans la section sur Google Fonts, il doit être en adéquation avec l'objectif affiché, nécessaire, et proportionné avec les droits et les libertés des personnes dont les données sont exploitées.

Selon Aeris, un système de gestion de la performance, de test A/B, et de tags marketings ne répond pas à ces critères : il n'y a pas de réel intérêt dans le contexte d'un espace client (j'ajoute qu'on peut même imaginer des solutions moins intrusives, comme un sondage, une prise en compte des retours spontanés auprès des conseillers, etc.), on peut internaliser de telles solutions (le coût induit n'est pas un critère suffisant pour botter en touche, d'après l'EDPB), et le flicage induit par une solution externalisée porte une atteinte (inutile, du coup) aux droits des personnes.

FIN DE L'ÉDIT DU 08/05/2022 À 23 H 50.

Technique

D'un point de vue technique, aussi, le chargement de ressources externes est une calamité.

Dépendance à des acteurs économiques hégémoniques avec lesquels la BP n'a pas contracté. Donc aucune garantie, ni de qualité de service ni de délai avant rétablissement en cas de panne (même Google a été en panne des heures), ni même de pérennité (même Google a déjà fermé des services). Or, comme je l'ai exposé ci-dessus, l'espace personnel BP est inutilisable sans Google Fonts, donc il vaudrait mieux réduire les dépendances inutiles.

Panne. Une mise à jour unilatérale et inattendue d'une bibliothèque de fonctions JavaScript (ou d'une feuille de style ou…) par le tiers peut causer une panne. Pour peu que le développement de l'espace client BP soit sous-traité, le temps de rétablissement peut se compter en jours / semaines. Ouiiii, utiliser une version précise d'une bibliothèque de fonctions permet d'éviter ce risque, mais ce n'est pas toujours possible.

Sécurité. Que se passe-t-il si le composant chargé depuis le tiers est substitué par une version malveillante ? Par le tiers lui-même (employé malveillant, erreur, etc.) ou par un attaquant de celui-ci ? Dans le cas de Google Fonts, ce risque est minime (l'équipe sécurité de Google est balèze), mais ce n'est pas le cas pour toutes les externalisations. D'où SRI, une couche de merde supplémentaire…

Lenteur. Il n'y a plus de mutualisation du cache du navigateur web entre deux sites web qui intègrent une même ressource, donc elle sera téléchargée pour chaque site. Le téléchargement de ressources / éléments web externalisés ralentit mécaniquement le chargement de l’espace client BP, même avec toutes les techniques d’optimisation du temps de chargement (comme le report du JavaScript en fin de page, etc.). En effet, le navigateur web doit effectuer des requêtes DNS supplémentaires, puis des connexions HTTP supplémentaires, etc. Or, l’établissement d’une connexion HTTP reste coûteux en temps, même en 2022. Pour rappel, cela s’explique par la poignée de main en 3 échanges de TCP, puis la poignée de main en 2 échanges minimum de TLS (chiffrement, authentification, intégrité), etc. Sans compter la perte des bénéfices du multiplexage des requêtes web introduit par HTTP/2, puisque ce multiplexage peut avoir lieu uniquement quand les ressources sont logées sur un même nom / grappe de serveurs. Le coût d’une connexion DNS ou HTTP supplémentaire dépend de la latence, donc de la qualité du réseau depuis lequel un client BP accède à son espace personnel : un accès ADSL en fin de ligne à la campagne ou un accès 3G sur une antenne surchargée ne donneront pas le même résultat qu’un accès en fibre optique.

Courriers

J'ai donc envoyé deux courriers recommandés avec accusé de réception à la Banque Populaire. L'un pour le service réclamations. J'y demande le transfert de ma demande aux équipes informatiques de BP et j'y cause essentiellement technique. L'autre est adressé au délégué à la protection des données personnelles. J'y cause exclusivement de droit.

J'ai doublé le tout par deux plaintes auprès de la CNIL. Pourquoi pas une seule ? La CNIL a tendance à faire le strict minimum : dès qu'un des objets d'une plainte est satisfait (selon elle), la plainte est fermée. Sans compter qu'elles n'ont pas tout à fait le même objet. La première plainte concerne le transfert sans base légale de données personnelles aux États-Unis, l'autre de transfert de données personnelles à des acteurs économiques européens selon des bases légales discutables.

Je ne suis pas naïf, je sais que mes démarches sont vaines, mais j'aurai au moins essayé d'améliorer les choses.

Service réclamations BP

Objet : observations sur le nouvel espace client

Bonjour,

Je suis client de l’agence XXXXXXXXXX de la Banque Populaire XXXXXXXXXX (BP XXXXXXXXXX).

Le 22/04/2022, je me suis connecté à mon espace personnel sur le site web de la BP depuis un ordinateur fixe (pas depuis une application mobile). Je suis arrivé sur une nouvelle version de celui-ci.

J’y ai constaté deux problèmes. Pouvez-vous, svp, transmettre le présent courrier aux équipes techniques en charge du développement du nouvel espace personnel BP (I-BP ou BPCE-IT) ?

Premier problème : externalisation.

Plusieurs éléments / ressources qui composent l’espace client / personnel sont téléchargés depuis des acteurs extérieurs à la BP : police de caractères / feuille de style chez Google (Fonts), JavaScript depuis appdynamics.com, ibenta.io, et kxcdn.com. En cascade, ces éléments provoquent eux-mêmes le téléchargement de ressources depuis des acteurs externes supplémentaires.

Certes, l’ancien espace client BP contenait déjà des ressources téléchargées depuis des acteurs externes comme facil-it.com, kameleoon.com et tiqcdn.com. Ce n’était pas folichon, et, pour sûr, cela ne constitue pas une excuse valable pour ajouter de nouveaux acteurs extérieurs sur le nouvel espace client.

Ces contenus / ressources / éléments externalisés posent problèmes à plusieurs titres.

1) En application de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne, l’utilisation de Google Fonts n’est pas conforme au Règlement Général sur la Protection des Données (RGPD). En effet, lors d’une consultation de l’espace personnel BP, l’adresse IP du client (donnée personnelle) et plusieurs en-têtes techniques permettant d’affirmer que le client consulte l’espace client BP (HTTP Referer, HTTP CORS Origin, etc.), sont transférés automatiquement à Google, société commerciale états-unienne, lors du téléchargement des ressources. Cela constitue un transfert de données personnelles en dehors de l’Union européenne, à destination des États-Unis qui ne disposent pas d’un niveau de protection adéquat des données personnelles.

Ce raisonnement s’applique également aux ressources des sociétés commerciales états-uniennes AppDynamics (appdynamics.com), Tealium (tiqcdn.com), et Ibenta (ibenta.io) que vous utilisez également dans l’espace personnel BP.

Un tribunal allemand a statué en ce sens concernant Google Fonts. Voir :

• Décision originale : https ://s.42l.fr/de-gf ;
  
  
• Analyse https ://s.42l.fr/bpgf qui résume bien en quoi, en sus de l’arrêt Schrems II, l’utilisation de Google Fonts ne peut pas reposer sur la finalité de l’intérêt légitime (car un hébergement en interne est possible à coût quasi-nul) ni sur le consentement explicite (car sans Google Fonts, l’espace client BP dysfonctionne, ce qui contraint le client à accepter le traitement de données personnelles réalisé par Google, ce qui relève du vice de consentement), que vous ne recueillez de toute façon pas ;
  
  
• Un parallèle est à déduire de la décision des CNIL européennes d’une non-conformité RGPD de Google Analytics (voir https ://s.42l.fr/cnil ) et de la position de la CNIL sur le service reCAPTCHA de Google (voir https ://s.42l.fr/cnil-ca et https ://s.42l.fr/cnil-ca2) : la problématique est similaire.

2) Le chargement de ressources / éléments externes fait fuiter une partie de la vie privée de vos clients vers les acteurs économiques sus-cités (Google, AppDynamics, etc.). En effet, ces entités collectent, dans leurs journaux techniques (logs), que telle adresse IP a consulté l’espace client BP à telle date et heure. Ils collectent donc l’information que telle adresse IP est un client BP (puisque les ressources ont été téléchargées pour le compte de l’espace personnel BP). Ils peuvent également déduire, certes par un traitement additionnel, la fréquence de consultation de l’espace client BP par une adresse IP et des comportements (personne stressée par ses finances ou non ?). Pour rappel, le navigateur web communique automatiquement ces informations lors du téléchargement de ressources (adresse IP, en-têtes HTTP Referer, HTTP CORS Origin, etc.).

3) Vous dépendez d’acteurs économiques hégémoniques avec qui vous n’avez pas de contrat, donc aucune garantie, ni de qualité de service, ni de délai avant rétablissement en cas de panne (Google a déjà été en panne plusieurs heures, voir https ://s.42l.fr/pa-go )), ni même de pérennité du service (Google a déjà fermé certains de ces services populaires, voir https://killedbygoogle.com/).

Or, sans Google Fonts, l’espace client BP est inutilisable :

• Tout le contenu est décalé à gauche au lieu d’être centré ;
  
  
• De même, le contenu est décalé vers le haut et le haut des pages est coupé par le menu ;
  
  
• La croix en haut à droite qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n’apparaît pas, ce qui complique singulièrement la navigation (la fonction « reculer d’une page » de tout navigateur web ne répond pas entièrement au besoin, essayez vous-même, vous verrez) ;
  
  
• La modification du motif d’un virement bancaire est impossible, car la description des champs de saisie et les messages d’erreur / d’aide lors de la saisie s’empilent les uns sur les autres.

Ces problèmes n’apparaissent pas lorsque les ressources sont récupérées depuis Google Fonts.

L’ancien espace personnel restait utilisable en cas de panne de tiqcdn ou de kameleoon. Il s’agit donc d’une régression.

J’ajoute que ce type d’externalisation fait peser un risque de panne : par absence d’historisation (versioning), une mise à jour unilatérale, par le prestataire, d’une bibliothèque de fonctions JavaScript ou d’une feuille de style CSS ou de toute autre ressource externe, provoque des dysfonctionnements sur l’espace personnel BP (aussi impactant que ceux sus-mentionnés). Pour peu que le développement de l’espace personnel BP soit sous-traité, le temps de rétablissement du service se comptera en jours.

Un dernier risque est un risque de sécurité si le contenu chargé par / depuis l’espace personnel BP est substitué par un autre par le prestataire ou par un attaquant de celui-ci. Dans le cas de Google Fonts, ce risque est minime, je vous l’accorde, mais ce n’est pas le cas de tous les acteurs de ce type d’externalisation.

4) Le téléchargement de ressources / éléments web externalisés ralentissent mécaniquement le chargement de l’espace client BP, même avec toutes les techniques d’optimisation du temps de chargement (comme le report du JavaScript en fin de page, etc.). En effet, le navigateur web doit effectuer des requêtes DNS supplémentaires, puis des connexions HTTP supplémentaires, etc. Or, l’établissement d’une connexion HTTP reste coûteux en temps, même en 2022.

Pour rappel, cela s’explique par la poignée de main en 3 échanges de TCP, puis la poignée de main en 2 échanges minimum de TLS (chiffrement, authentification, intégrité), etc. Sans compter la perte des bénéfices du multiplexage des requêtes web introduit par HTTP/2, puisque ce multiplexage peut avoir lieu uniquement quand les ressources sont logées sur le même nom que la page web qui les intègrent.

Le coût d’une connexion DNS ou HTTP supplémentaire dépend de la latence, donc de la qualité du réseau depuis lequel un client BP accède à son espace personnel : un accès ADSL en fin de ligne à la campagne ou un accès 3G sur une antenne surchargée ne donneront pas le même résultat qu’un accès en fibre optique.

En conclusion, vous gagnerez tout autant que vos clients à internaliser au maximum les ressources qui composent l’espace client BP pour les différents motifs exposés ci-dessus.

D’autant qu’il y a aucune difficultés technique pour internaliser certaines ressources, notamment Google Fonts : hébergement de la police de caractères / de la feuille de style sur les serveurs informatiques de BP.

Vous pouvez également délester l’espace personnel / client BP des ressources externes superflues : sur un espace client, un système de tag marketing (tiqcdn) est-il vraiment justifiable ? Un framework pour la gestion de la performance (KeyCDN, AppDynamics) est-il vraiment nécessaire ? Est-il nécessaire d’en cumuler deux ? Même questionnement à propos d’un framework d’A/B testing (Kameleoon). Même interrogation pour les autres ressources.

Ma demande : pouvez-vous, svp, retirer toutes les ressources / éléments externes présents sur l’espace client BP ?

Deuxième problème : […]

Cordialement.

DPO BP

Objet : non-conformité RGPD nouvel espace client / personnel

Bonjour,

Je suis client de l’agence XXXXXXXXXX de la Banque Populaire XXXXXXXXXX (XXXXXXXXXX).

Le 22/04/2022, je me suis connecté à mon espace personnel sur le site web de la BP depuis un ordinateur fixe (pas depuis une application mobile). Je suis arrivé sur une nouvelle version de celui-ci.

Plusieurs éléments / ressources qui composent l’espace client / personnel sont téléchargés depuis des acteurs extérieurs à la BP : police de caractères / feuille de style depuis Google (Fonts), JavaScript depuis appdynamics.com, ibenta.io, et kxcdn.com. En cascade, ces éléments provoquent eux-mêmes le téléchargement de ressources depuis des acteurs externes supplémentaires.

En application de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne, l’utilisation de Google Fonts n’est pas conforme au Règlement Général sur la Protection des Données (RGPD).

En effet, lors d’une consultation de l’espace personnel BP, l’adresse IP du client (donnée personnelle) et plusieurs en-têtes techniques permettant d’affirmer que le client consulte l’espace client BP (HTTP Referer, HTTP CORS Origin, etc.), sont communiqués automatiquement à Google, société commerciale états-unienne, lors du téléchargement des ressources. Cela constitue un transfert de données personnelles en dehors de l’Union européenne, à destination des États-Unis qui ne disposent pas d’un niveau de protection adéquat des données personnelles.

Le chargement de ressources / éléments externes fait fuiter une partie de la vie privée des clients BP vers les acteurs économiques sus-cités (Google, AppDynamics, etc.). En effet, ces entités collectent, dans leurs journaux techniques (logs), que telle adresse IP a consulté l’espace client BP à telle date et heure. Ils collectent donc l’information que telle adresse IP est un client BP (puisque les ressources ont été téléchargées pour le compte de l’espace personnel BP). Ils peuvent également déduire, certes par un traitement additionnel, la fréquence de consultation de l’espace client BP par une adresse IP et des comportements (personne stressée par ses finances ou non ?). Pour rappel, le navigateur web communique automatiquement ces informations lors du téléchargement de ressources (adresse IP, en-têtes HTTP Referer, HTTP CORS Origin, etc.).

Sans le chargement de ressources depuis Google Fonts, l’espace client BP est inutilisable :

• Tout le contenu est décalé à gauche au lieu d’être centré ;
  
  
• De même, le contenu est décalé vers le haut et le haut des pages est coupé par le menu ;
  
  
• La croix en haut à droite qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n’apparaît pas, ce qui complique singulièrement la navigation (la fonction « reculer d’une page » de tout navigateur web ne répond pas entièrement au besoin, essayez vous-même, vous verrez) ;
  
  
• La modification du motif d’un virement bancaire est impossible, car la description des champs de saisie et les messages d’erreur / d’aide lors de la saisie s’empilent les uns sur les autres.

Ces problèmes n’apparaissent pas lorsque les ressources sont récupérées depuis Google Fonts.

Un tribunal allemand a statué en ce sens concernant Google Fonts. Voir :

• Décision originale : https ://s.42l.fr/de-gf ;
  
  
• Analyse https ://s.42l.fr/bpgf qui résume bien en quoi, en sus de l’arrêt Schrems II, l’utilisation de Google Fonts ne peut pas reposer sur la finalité de l’intérêt légitime (car un hébergement en interne est possible à coût quasi-nul) ni sur le consentement explicite (car sans Google Fonts, l’espace client BP dysfonctionne, ce qui contraint le client à accepter le traitement de données personnelles réalisé par Google, ce qui relève du vice de consentement), que vous ne recueillez de toute façon pas ;
  
  
• Un parallèle est à déduire de la décision des CNIL européennes d’une non-conformité RGPD de Google Analytics (voir https ://s.42l.fr/cnil ) et de la position de la CNIL sur le service reCAPTCHA de Google (voir https ://s.42l.fr/cnil-ca et https ://s.42l.fr/cnil-ca2) : la problématique est similaire.

Ce raisonnement s’applique également aux ressources des sociétés commerciales états-uniennes AppDynamics (appdynamics.com), Tealium (tiqcdn.com) et Ibenta (ibenta.io) qui sont également chargées par l’espace client BP.

Mes demandes :

• Faire retirer les ressources / éléments / composants de Google Fonts, AppDynamics, Tealium (tiqcdn.com) et Ibenta de l’espace personnel / client de BP. Motif : arrêt Schrems II de la CJUE et déclinaisons ;
  
  
• Faire retirer, de l’espace client / personnel de BP, les ressources / éléments / composants de KeyCDN et de Kameleoon. Sociétés européennes, certes, mais :
  • le consentement n’est pas une finalité applicable (ces ressources seront rendues inertes par le refus des cookies mais seront tout de même chargées, faisant fuiter une partie de la vie privée des clients BP, lire ci-dessus) ;
    
    
  • l’intérêt légitime n’est à mon sens pas recevable : un client peut-il légitimement s’attendre à un système de gestion de la performance (KeyCDN) alors qu’il ignore l’existence de tels produits / services et qu’il n’en comprendra pas la définition ? Est-il proportionné d’en charger plusieurs (KeyCDN, AppDynamics) sur un même espace client ? Idem pour un système de test A/B (Kameleoon) : que vient faire une approche marketing dans un espace client ? Le client BP peut-il légitimement s’y attendre ?

Cordialement.

CNIL - Google Fonts / AppDynamics / tiqcdn.com / Ibenta

Bonjour,

Je suis client de la Banque Populaire XXXXXXXXXX (BP). Le 22/04/2022, je me suis connecté à mon espace client / espace personnel (consultation des comptes, virements, etc.) sur le site web de celle-ci. Je suis arrivé, pour la première fois, sur un espace client modernisé / relooké (avec un tutoriel de présentation et la possibilité de revenir à l'ancienne version via un discret lien dans mon profil).

Plusieurs éléments / composants / ressources qui composent cet espace client sont téléchargés chez des acteurs économiques externes à la BP : police de caractères / CSS chez Google Fonts, JavaScript depuis AppDynamics, Tealium, Ibenta, et KeyCDN qui, eux-mêmes, par cascade, télécharge des ressources chez des acteurs extérieurs supplémentaires.

Or, en application de l'arrêt dit « Schrems II » de la Cour de Justice de l'Union européenne, l'utilisation de Google Fonts n'est pas conforme au RGPD. Lors de la consultation de mon espace personnel BP, mon adresse IP et d'autres éléments techniques qui permettent d'affirmer que telle adresse IP est cliente BP (HTTP Referer, HTTP CORS Origin, etc.) sont transmis automatiquement à la société commerciale Google. Cela constitue un transfert de données personnelles en dehors de l'UE, à destination des États-Unis, qui ne disposent pourtant pas d'un niveau de protection adéquat des données personnelles.

Si je refuse le téléchargement de ressources depuis Google Fonts (avec les extensions pour navigateur web uBlock Origin ou uMatrix), l'espace client BP est inutilisable : tout le contenu utile est décalé vers la gauche au lieu d'être centré ; le même contenu est décalé vers le haut et partiellement tronqué ; l'icône « croix » qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n'apparaît pas, ce qui complique la navigation (le bouton « page précédente » de tout navigateur web ne répond pas totalement au besoin à cause de protections légitimes contre le rejeu) ; la modification du motif d'un virement bancaire est impossible car les champs de saisie, leur description et les messages d'aide / d'erreurs s'empilent et empêchent la saisie.

L'utilisation de Google Fonts ne peut pas reposer sur l'intérêt légitime car un hébergement interne / internalisé est possible à coût insignifiant ni sur un consentement explicite (qui à ce jour, n'est pas demandé par la BP) car les dysfonctionnements engendrés par le refus constitueraient un vice du consentement. La décision 3 O 17493/20 du 20/01/2022 de la Cour régionale de Munich appuie cette analyse.

Ce raisonnement s'applique également à d'autres ressources / éléments / composants récupérés auprès d'autres sociétés commerciales états-uniennes lors de la navigation dans l'espace client / personnel BP : AppDynamics, Tealium (tiqcdn.com), et Ibenta.

Le 29/04/2022, j'ai signalé, par LRAR, ces infractions au DPO de la Banque Populaire XXXXXXXXXX ainsi qu'au service réclamations de celle-ci.

Cordialement.

CNIL - KeyCDN / Kameleoon

Bonjour,

Je suis client de la Banque Populaire XXXXXXXXXX (BP). Le 22/04/2022, je me suis connecté à mon espace client / espace personnel (consultation des comptes, virements, etc.) sur le site web de celle-ci. Je suis arrivé, pour la première fois, sur un espace client modernisé / relooké (avec un tutoriel de présentation et la possibilité de revenir à l'ancienne version via un discret lien dans mon profil).

Plusieurs éléments / composants / ressources qui composent cet espace client sont téléchargés chez des acteurs économiques externes à la BP mais européens : JavaScript depuis KeyCDN (kxcdn.com) et Kameleoon.

Pour ces deux traitements, le consentement explicite n'est pas une finalité applicable, car, même en cas de refus des cookies dans le bandeau dédié, ces ressources seront tout de même téléchargées par le navigateur web. Le refus des cookies les rend inertes / inactives, mais, lors de la consultation de chaque page de mon espace personnel BP, mon adresse IP et d'autres éléments techniques permettant d'affirmer que telle adresse IP est cliente BP (HTTP Referer, HTTP CORS Origin, etc.) et à quelles dates+heures elle consulte l'espace client BP, sont quand même transmis automatiquement aux sociétés commerciales sus-citées. Certaines de ces informations techniques (HTTP Referer) permettent aux sociétés commerciales sus-citées d'enregistrer, toujours dans le journal de leurs serveurs web, quelles rubriques précises de mon espace client BP (relevé de comptes, virements, etc.) ont été consultées par telle adresse IP à telle heure.

L'intérêt légitime est tout autant inapplicable à mon sens. Un client peut-il légitiment s'attendre au téléchargement d'un système de gestion de la performance (KeyCDN) alors qu'il ignore l'existence de tels produits / services, qu'il n'en comprend pas la définition (sujet extrêmement technique), et qu'il peut n'avoir que faire que son espace client soit performant à la seconde près ? Est-il proportionné d'utiliser simultanément plusieurs systèmes de gestion de la performance (KeyCDN, AppDynamics) sur un même espace client ? Un client peut-il légitimement s'attendre à la récupération d'un système de tests A/B (Kameleoon), approche essentiellement marketing, dans son espace client (qui renvoie à du confort, à de l'intimité, à une relation individuelle entre une société commerciale et son client) ? Sait-il au moins que ça existe ? En comprend-t-il les tenants et aboutissements ? Ces traitements sont-ils nécessaires ?

Le 29/04/2022, j'ai signalé, par LRAR, ces infractions au DPO de la Banque Populaire XXXXXXXXXX ainsi qu'au service réclamations de celle-ci.

Cordialement.

‒ Le dîner est arrivé ! Alors, conformément aux demandes, nous avons donc des pizzas ananas tofu anchois agneau raclette.
‒ Une de chaque ?
‒ Hé non, tout mélangé !
‒ Ooooh !
‒ Ha bah oui quand personne ne fait des concessions, ça fait forcément un résultat dégueulasse. Que ça vous serve de leçon […]
[…]
‒ En tout cas, on est tous réunis aujourd'hui autour d'une même conviction : c'est que pour s'approcher du pouvoir, il faut accepter de s'asseoir sur ses convictions.

Gros +1. C'est exactement ça. :)