Le 22/04/2022, je me suis connecté à mon espace personnel / client (consultation de mes comptes, virements, etc.) sur le site web de la Banque Populaire (BP). C'était ma première connexion à cet espace modernisé / relooké.
Je constate deux problèmes :
ÉDIT DU 11/07/2022 : suite ici. FIN DE L'ÉDIT.
Dans la première catégorie, le cas le plus problématique est la récupération de polices de caractères / CSS auprès de Google Fonts.
Lors de la consultation de mon espace personnel sur le site web de la BP, mon adresse IP et d'autres éléments techniques permettant d'affirmer que telle adresse IP est cliente de BP (HTTP Referer, HTTP CORS Origin, etc.), à quelles dates+heures (et donc fréquence) elle consulte l'espace client BP, et quelles rubriques (relevé de compte, virements, documents) elles y consulte, sont automatiquement transmis à Google dans le cadre du chargement de ces ressources additionnelles. C'est ainsi que fonctionne le web, on ne peut pas y couper. Et croire qu'un serveur web conserve aucun journal des requêtes reçues est de la folie.
Or, l'arrêt de 2020 dit « Schrems II » de la Cour de Justice de l'Union européenne a rendu caduque le Privacy Shield, acte juridique de la Commission européenne qui disposait que le cadre législatif états-unien en matière de protection des données personnelles était en adéquation avec celui de l'UE, et qui, de ce fait, autorisait, le transfert de données personnelles de manière open-bar (automatique) entre l'UE et les USA. Dès lors, pour transférer des données personnelles aux États-Unis, il faut un consentement explicite et/ou tout un cadre interne à la société commerciale et/ou des accords avec l'autorité de contrôle du coin, et/ou…, voir Transferts de données hors UE.
Or, si je refuse le téléchargement de ressources depuis Google Fonts (avec les extensions pour navigateur web uBlock Origin ou uMatrix), l'espace client BP est inutilisable : tout le contenu utile est décalé vers la gauche au lieu d'être centré ; le même contenu est décalé vers le haut et partiellement tronqué ; l'icône « croix » qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n'apparaît pas, ce qui complique la navigation (le bouton « page précédente » de tout navigateur web ne répond pas totalement au besoin à cause de protections légitimes contre le rejeu) ; la modification du motif d'un virement bancaire est impossible car les champs de saisie, leur description et les messages d'aide / d'erreurs s'empilent et empêchent la saisie.
Dès lors, l'utilisation de Google Fonts ne peut pas reposer sur la base légale du consentement explicite car les dysfonctionnements engendrés par le refus constitueraient un vice du consentement.
De toute façon, à ce jour, la BP ne demande pas un consentement explicite pour l'utilisation de Google Fonts ni pour le transfert de données personnelles hors de l'UE que cela entraîne. Or, le chargement de Google Fonts peut légalement intervenir une fois ces deux consentements exprimés.
L'utilisation de Google Fonts ne peut pas reposer sur la base légale de l'intérêt légitime car elle a des exigences de nécessité et de proportionnalité entre les intérêts du responsable du traitement et ceux de ceux qui subissent le traitement. Or, un hébergement internalisé des polices de caractères est possible à coût insignifiant, ce qui ne coche pas les cases d'une externalisation nécessaire et proportionnée.
La décision 3 O 17493/20 du 20/01/2022 de la Cour régionale de Munich appuie cette analyse. Cette décision de justice est très finement analysée ici.
Dans la première catégorie, on trouve également des frameworks de gestion de la performance (AppDynamics), des tags marketings (Tealium / tiqcdn.com), et de la gestion de la relation client / chatbot (Ibenta). Toutes récupérées depuis des sociétés commerciales ricaines.
Là encore, la BP n'informe pas du transfert de données personnelles hors de l'UE.
La base légale de l'intérêt légitime est bancale (sauf pour Ibenta, peut-être), tout comme celle du consentement explicite (mais ça dépend des implémentations). Les arguments vont arriver ci-dessous, dans l'analyse de la deuxième catégorie.
Dans la deuxième catégorie se trouvent des ressources / composants / éléments récupérés depuis des acteurs économiques européens comme KeyCDN (kxcdn.com, gestion de la performance applicative) et Kameleoon (tests A/B).
Puisque ces sociétés commerciales sont européennes, l'arrêt Schrems II n'est pas un argument recevable. En revanche, il n'existe pas d'échappatoire à la nécessité d'une base légale. Traitement prévu par la loi ? Non. Traitement nécessaire à l'exécution d'un contrat ? Non, il tourne sans ça.
Consentement explicite via le panneau de gestion des cookies ? Non, car même en cas de refus des cookies dans ce panneau, ces ressources / composants / éléments seront tout de même téléchargés par le navigateur web du client de la BP. Le refus des cookies les rend inertes / inactifs (en tout cas, on peut l'espérer), mais la récupération en elle-même transmet, sans consentement, des données personnelles à des acteurs économiques tiers (cf début de ce shaarli).
Intérêt légitime ? Pour moi, c'est irrecevable. Un client peut-il légitimement s'attendre au téléchargement d'un système de gestion de la performance (KeyCDN) alors qu'il ignore l'existence de tels produits / services, qu'il n'en comprend pas la définition (sujet extrêmement technique), et qu'il peut n'avoir que faire que son espace client soit performant à la seconde près ? Est-il proportionné d'utiliser simultanément plusieurs systèmes de gestion de la performance (KeyCDN, AppDynamics) sur un même espace client ? Un client peut-il légitimement s'attendre à la récupération d'un système de tests A/B (Kameleoon), approche essentiellement marketing, dans son espace client (qui renvoie à des notions d'intimité, de confort, à une relation individuelle entre une société commerciale et son client) ? Sait-il au moins que ça existe ? En comprend-il les tenants et aboutissements ? Ces traitements sont-ils nécessaires ? Mêmes questions pour les tag marketings de tiqcdn.
ÉDIT DU 08/05/2022 À 23 H 50 : Aeris me signale que je raconte nawak sur l'intérêt légitime. Il s'agit de celui du responsable du traitement (BP, dans le cas présent), pas de celui de l'individu dont les données sont exploitées (le client BP). Osef de savoir ce que le client pense ou est en capacité de comprendre. L'intérêt légitime est justement une base légale pour légaliser une dissonance entre ce que veut le responsable du traitement d'un côté, et l'individu de l'autre, cas qui ne peut pas se régler avec du consentement, du coup.
L'intérêt peut être celui du responsable du traitement ou d'un tiers, commercial ou sociétal, mais, comme je l'ai indiqué dans la section sur Google Fonts, il doit être en adéquation avec l'objectif affiché, nécessaire, et proportionné avec les droits et les libertés des personnes dont les données sont exploitées.
Selon Aeris, un système de gestion de la performance, de test A/B, et de tags marketings ne répond pas à ces critères : il n'y a pas de réel intérêt dans le contexte d'un espace client (j'ajoute qu'on peut même imaginer des solutions moins intrusives, comme un sondage, une prise en compte des retours spontanés auprès des conseillers, etc.), on peut internaliser de telles solutions (le coût induit n'est pas un critère suffisant pour botter en touche, d'après l'EDPB), et le flicage induit par une solution externalisée porte une atteinte (inutile, du coup) aux droits des personnes.
FIN DE L'ÉDIT DU 08/05/2022 À 23 H 50.
D'un point de vue technique, aussi, le chargement de ressources externes est une calamité.
Dépendance à des acteurs économiques hégémoniques avec lesquels la BP n'a pas contracté. Donc aucune garantie, ni de qualité de service ni de délai avant rétablissement en cas de panne (même Google a été en panne des heures), ni même de pérennité (même Google a déjà fermé des services). Or, comme je l'ai exposé ci-dessus, l'espace personnel BP est inutilisable sans Google Fonts, donc il vaudrait mieux réduire les dépendances inutiles.
Panne. Une mise à jour unilatérale et inattendue d'une bibliothèque de fonctions JavaScript (ou d'une feuille de style ou…) par le tiers peut causer une panne. Pour peu que le développement de l'espace client BP soit sous-traité, le temps de rétablissement peut se compter en jours / semaines. Ouiiii, utiliser une version précise d'une bibliothèque de fonctions permet d'éviter ce risque, mais ce n'est pas toujours possible.
Sécurité. Que se passe-t-il si le composant chargé depuis le tiers est substitué par une version malveillante ? Par le tiers lui-même (employé malveillant, erreur, etc.) ou par un attaquant de celui-ci ? Dans le cas de Google Fonts, ce risque est minime (l'équipe sécurité de Google est balèze), mais ce n'est pas le cas pour toutes les externalisations. D'où SRI, une couche de merde supplémentaire…
Lenteur. Il n'y a plus de mutualisation du cache du navigateur web entre deux sites web qui intègrent une même ressource, donc elle sera téléchargée pour chaque site. Le téléchargement de ressources / éléments web externalisés ralentit mécaniquement le chargement de l’espace client BP, même avec toutes les techniques d’optimisation du temps de chargement (comme le report du JavaScript en fin de page, etc.). En effet, le navigateur web doit effectuer des requêtes DNS supplémentaires, puis des connexions HTTP supplémentaires, etc. Or, l’établissement d’une connexion HTTP reste coûteux en temps, même en 2022. Pour rappel, cela s’explique par la poignée de main en 3 échanges de TCP, puis la poignée de main en 2 échanges minimum de TLS (chiffrement, authentification, intégrité), etc. Sans compter la perte des bénéfices du multiplexage des requêtes web introduit par HTTP/2, puisque ce multiplexage peut avoir lieu uniquement quand les ressources sont logées sur un même nom / grappe de serveurs. Le coût d’une connexion DNS ou HTTP supplémentaire dépend de la latence, donc de la qualité du réseau depuis lequel un client BP accède à son espace personnel : un accès ADSL en fin de ligne à la campagne ou un accès 3G sur une antenne surchargée ne donneront pas le même résultat qu’un accès en fibre optique.
J'ai donc envoyé deux courriers recommandés avec accusé de réception à la Banque Populaire. L'un pour le service réclamations. J'y demande le transfert de ma demande aux équipes informatiques de BP et j'y cause essentiellement technique. L'autre est adressé au délégué à la protection des données personnelles. J'y cause exclusivement de droit.
J'ai doublé le tout par deux plaintes auprès de la CNIL. Pourquoi pas une seule ? La CNIL a tendance à faire le strict minimum : dès qu'un des objets d'une plainte est satisfait (selon elle), la plainte est fermée. Sans compter qu'elles n'ont pas tout à fait le même objet. La première plainte concerne le transfert sans base légale de données personnelles aux États-Unis, l'autre de transfert de données personnelles à des acteurs économiques européens selon des bases légales discutables.
Je ne suis pas naïf, je sais que mes démarches sont vaines, mais j'aurai au moins essayé d'améliorer les choses.
Objet : observations sur le nouvel espace client
Bonjour,
Je suis client de l’agence XXXXXXXXXX de la Banque Populaire XXXXXXXXXX (BP XXXXXXXXXX).
Le 22/04/2022, je me suis connecté à mon espace personnel sur le site web de la BP depuis un ordinateur fixe (pas depuis une application mobile). Je suis arrivé sur une nouvelle version de celui-ci.
J’y ai constaté deux problèmes. Pouvez-vous, svp, transmettre le présent courrier aux équipes techniques en charge du développement du nouvel espace personnel BP (I-BP ou BPCE-IT) ?
Premier problème : externalisation.Plusieurs éléments / ressources qui composent l’espace client / personnel sont téléchargés depuis des acteurs extérieurs à la BP : police de caractères / feuille de style chez Google (Fonts), JavaScript depuis appdynamics.com, ibenta.io, et kxcdn.com. En cascade, ces éléments provoquent eux-mêmes le téléchargement de ressources depuis des acteurs externes supplémentaires.
Certes, l’ancien espace client BP contenait déjà des ressources téléchargées depuis des acteurs externes comme facil-it.com, kameleoon.com et tiqcdn.com. Ce n’était pas folichon, et, pour sûr, cela ne constitue pas une excuse valable pour ajouter de nouveaux acteurs extérieurs sur le nouvel espace client.
Ces contenus / ressources / éléments externalisés posent problèmes à plusieurs titres.
1) En application de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne, l’utilisation de Google Fonts n’est pas conforme au Règlement Général sur la Protection des Données (RGPD). En effet, lors d’une consultation de l’espace personnel BP, l’adresse IP du client (donnée personnelle) et plusieurs en-têtes techniques permettant d’affirmer que le client consulte l’espace client BP (HTTP Referer, HTTP CORS Origin, etc.), sont transférés automatiquement à Google, société commerciale états-unienne, lors du téléchargement des ressources. Cela constitue un transfert de données personnelles en dehors de l’Union européenne, à destination des États-Unis qui ne disposent pas d’un niveau de protection adéquat des données personnelles.
Ce raisonnement s’applique également aux ressources des sociétés commerciales états-uniennes AppDynamics (appdynamics.com), Tealium (tiqcdn.com), et Ibenta (ibenta.io) que vous utilisez également dans l’espace personnel BP.
Un tribunal allemand a statué en ce sens concernant Google Fonts. Voir :
- Décision originale : https ://s.42l.fr/de-gf ;
- Analyse https ://s.42l.fr/bpgf qui résume bien en quoi, en sus de l’arrêt Schrems II, l’utilisation de Google Fonts ne peut pas reposer sur la finalité de l’intérêt légitime (car un hébergement en interne est possible à coût quasi-nul) ni sur le consentement explicite (car sans Google Fonts, l’espace client BP dysfonctionne, ce qui contraint le client à accepter le traitement de données personnelles réalisé par Google, ce qui relève du vice de consentement), que vous ne recueillez de toute façon pas ;
- Un parallèle est à déduire de la décision des CNIL européennes d’une non-conformité RGPD de Google Analytics (voir https ://s.42l.fr/cnil ) et de la position de la CNIL sur le service reCAPTCHA de Google (voir https ://s.42l.fr/cnil-ca et https ://s.42l.fr/cnil-ca2) : la problématique est similaire.
2) Le chargement de ressources / éléments externes fait fuiter une partie de la vie privée de vos clients vers les acteurs économiques sus-cités (Google, AppDynamics, etc.). En effet, ces entités collectent, dans leurs journaux techniques (logs), que telle adresse IP a consulté l’espace client BP à telle date et heure. Ils collectent donc l’information que telle adresse IP est un client BP (puisque les ressources ont été téléchargées pour le compte de l’espace personnel BP). Ils peuvent également déduire, certes par un traitement additionnel, la fréquence de consultation de l’espace client BP par une adresse IP et des comportements (personne stressée par ses finances ou non ?). Pour rappel, le navigateur web communique automatiquement ces informations lors du téléchargement de ressources (adresse IP, en-têtes HTTP Referer, HTTP CORS Origin, etc.).
3) Vous dépendez d’acteurs économiques hégémoniques avec qui vous n’avez pas de contrat, donc aucune garantie, ni de qualité de service, ni de délai avant rétablissement en cas de panne (Google a déjà été en panne plusieurs heures, voir https ://s.42l.fr/pa-go )), ni même de pérennité du service (Google a déjà fermé certains de ces services populaires, voir https://killedbygoogle.com/).Or, sans Google Fonts, l’espace client BP est inutilisable :
- Tout le contenu est décalé à gauche au lieu d’être centré ;
- De même, le contenu est décalé vers le haut et le haut des pages est coupé par le menu ;
- La croix en haut à droite qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n’apparaît pas, ce qui complique singulièrement la navigation (la fonction « reculer d’une page » de tout navigateur web ne répond pas entièrement au besoin, essayez vous-même, vous verrez) ;
- La modification du motif d’un virement bancaire est impossible, car la description des champs de saisie et les messages d’erreur / d’aide lors de la saisie s’empilent les uns sur les autres.
Ces problèmes n’apparaissent pas lorsque les ressources sont récupérées depuis Google Fonts.
L’ancien espace personnel restait utilisable en cas de panne de tiqcdn ou de kameleoon. Il s’agit donc d’une régression.
J’ajoute que ce type d’externalisation fait peser un risque de panne : par absence d’historisation (versioning), une mise à jour unilatérale, par le prestataire, d’une bibliothèque de fonctions JavaScript ou d’une feuille de style CSS ou de toute autre ressource externe, provoque des dysfonctionnements sur l’espace personnel BP (aussi impactant que ceux sus-mentionnés). Pour peu que le développement de l’espace personnel BP soit sous-traité, le temps de rétablissement du service se comptera en jours.
Un dernier risque est un risque de sécurité si le contenu chargé par / depuis l’espace personnel BP est substitué par un autre par le prestataire ou par un attaquant de celui-ci. Dans le cas de Google Fonts, ce risque est minime, je vous l’accorde, mais ce n’est pas le cas de tous les acteurs de ce type d’externalisation.
4) Le téléchargement de ressources / éléments web externalisés ralentissent mécaniquement le chargement de l’espace client BP, même avec toutes les techniques d’optimisation du temps de chargement (comme le report du JavaScript en fin de page, etc.). En effet, le navigateur web doit effectuer des requêtes DNS supplémentaires, puis des connexions HTTP supplémentaires, etc. Or, l’établissement d’une connexion HTTP reste coûteux en temps, même en 2022.Pour rappel, cela s’explique par la poignée de main en 3 échanges de TCP, puis la poignée de main en 2 échanges minimum de TLS (chiffrement, authentification, intégrité), etc. Sans compter la perte des bénéfices du multiplexage des requêtes web introduit par HTTP/2, puisque ce multiplexage peut avoir lieu uniquement quand les ressources sont logées sur le même nom que la page web qui les intègrent.
Le coût d’une connexion DNS ou HTTP supplémentaire dépend de la latence, donc de la qualité du réseau depuis lequel un client BP accède à son espace personnel : un accès ADSL en fin de ligne à la campagne ou un accès 3G sur une antenne surchargée ne donneront pas le même résultat qu’un accès en fibre optique.
En conclusion, vous gagnerez tout autant que vos clients à internaliser au maximum les ressources qui composent l’espace client BP pour les différents motifs exposés ci-dessus.D’autant qu’il y a aucune difficultés technique pour internaliser certaines ressources, notamment Google Fonts : hébergement de la police de caractères / de la feuille de style sur les serveurs informatiques de BP.
Vous pouvez également délester l’espace personnel / client BP des ressources externes superflues : sur un espace client, un système de tag marketing (tiqcdn) est-il vraiment justifiable ? Un framework pour la gestion de la performance (KeyCDN, AppDynamics) est-il vraiment nécessaire ? Est-il nécessaire d’en cumuler deux ? Même questionnement à propos d’un framework d’A/B testing (Kameleoon). Même interrogation pour les autres ressources.
Ma demande : pouvez-vous, svp, retirer toutes les ressources / éléments externes présents sur l’espace client BP ?
Deuxième problème : […]
Cordialement.
Objet : non-conformité RGPD nouvel espace client / personnel
Bonjour,
Je suis client de l’agence XXXXXXXXXX de la Banque Populaire XXXXXXXXXX (XXXXXXXXXX).
Le 22/04/2022, je me suis connecté à mon espace personnel sur le site web de la BP depuis un ordinateur fixe (pas depuis une application mobile). Je suis arrivé sur une nouvelle version de celui-ci.
Plusieurs éléments / ressources qui composent l’espace client / personnel sont téléchargés depuis des acteurs extérieurs à la BP : police de caractères / feuille de style depuis Google (Fonts), JavaScript depuis appdynamics.com, ibenta.io, et kxcdn.com. En cascade, ces éléments provoquent eux-mêmes le téléchargement de ressources depuis des acteurs externes supplémentaires.
En application de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne, l’utilisation de Google Fonts n’est pas conforme au Règlement Général sur la Protection des Données (RGPD).En effet, lors d’une consultation de l’espace personnel BP, l’adresse IP du client (donnée personnelle) et plusieurs en-têtes techniques permettant d’affirmer que le client consulte l’espace client BP (HTTP Referer, HTTP CORS Origin, etc.), sont communiqués automatiquement à Google, société commerciale états-unienne, lors du téléchargement des ressources. Cela constitue un transfert de données personnelles en dehors de l’Union européenne, à destination des États-Unis qui ne disposent pas d’un niveau de protection adéquat des données personnelles.
Le chargement de ressources / éléments externes fait fuiter une partie de la vie privée des clients BP vers les acteurs économiques sus-cités (Google, AppDynamics, etc.). En effet, ces entités collectent, dans leurs journaux techniques (logs), que telle adresse IP a consulté l’espace client BP à telle date et heure. Ils collectent donc l’information que telle adresse IP est un client BP (puisque les ressources ont été téléchargées pour le compte de l’espace personnel BP). Ils peuvent également déduire, certes par un traitement additionnel, la fréquence de consultation de l’espace client BP par une adresse IP et des comportements (personne stressée par ses finances ou non ?). Pour rappel, le navigateur web communique automatiquement ces informations lors du téléchargement de ressources (adresse IP, en-têtes HTTP Referer, HTTP CORS Origin, etc.).
Sans le chargement de ressources depuis Google Fonts, l’espace client BP est inutilisable :
- Tout le contenu est décalé à gauche au lieu d’être centré ;
- De même, le contenu est décalé vers le haut et le haut des pages est coupé par le menu ;
- La croix en haut à droite qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n’apparaît pas, ce qui complique singulièrement la navigation (la fonction « reculer d’une page » de tout navigateur web ne répond pas entièrement au besoin, essayez vous-même, vous verrez) ;
- La modification du motif d’un virement bancaire est impossible, car la description des champs de saisie et les messages d’erreur / d’aide lors de la saisie s’empilent les uns sur les autres.
Ces problèmes n’apparaissent pas lorsque les ressources sont récupérées depuis Google Fonts.
Un tribunal allemand a statué en ce sens concernant Google Fonts. Voir :
- Décision originale : https ://s.42l.fr/de-gf ;
- Analyse https ://s.42l.fr/bpgf qui résume bien en quoi, en sus de l’arrêt Schrems II, l’utilisation de Google Fonts ne peut pas reposer sur la finalité de l’intérêt légitime (car un hébergement en interne est possible à coût quasi-nul) ni sur le consentement explicite (car sans Google Fonts, l’espace client BP dysfonctionne, ce qui contraint le client à accepter le traitement de données personnelles réalisé par Google, ce qui relève du vice de consentement), que vous ne recueillez de toute façon pas ;
- Un parallèle est à déduire de la décision des CNIL européennes d’une non-conformité RGPD de Google Analytics (voir https ://s.42l.fr/cnil ) et de la position de la CNIL sur le service reCAPTCHA de Google (voir https ://s.42l.fr/cnil-ca et https ://s.42l.fr/cnil-ca2) : la problématique est similaire.
Ce raisonnement s’applique également aux ressources des sociétés commerciales états-uniennes AppDynamics (appdynamics.com), Tealium (tiqcdn.com) et Ibenta (ibenta.io) qui sont également chargées par l’espace client BP.
Mes demandes :
- Faire retirer les ressources / éléments / composants de Google Fonts, AppDynamics, Tealium (tiqcdn.com) et Ibenta de l’espace personnel / client de BP. Motif : arrêt Schrems II de la CJUE et déclinaisons ;
- Faire retirer, de l’espace client / personnel de BP, les ressources / éléments / composants de KeyCDN et de Kameleoon. Sociétés européennes, certes, mais :
- le consentement n’est pas une finalité applicable (ces ressources seront rendues inertes par le refus des cookies mais seront tout de même chargées, faisant fuiter une partie de la vie privée des clients BP, lire ci-dessus) ;
- l’intérêt légitime n’est à mon sens pas recevable : un client peut-il légitimement s’attendre à un système de gestion de la performance (KeyCDN) alors qu’il ignore l’existence de tels produits / services et qu’il n’en comprendra pas la définition ? Est-il proportionné d’en charger plusieurs (KeyCDN, AppDynamics) sur un même espace client ? Idem pour un système de test A/B (Kameleoon) : que vient faire une approche marketing dans un espace client ? Le client BP peut-il légitimement s’y attendre ?
Cordialement.
Bonjour,
Je suis client de la Banque Populaire XXXXXXXXXX (BP). Le 22/04/2022, je me suis connecté à mon espace client / espace personnel (consultation des comptes, virements, etc.) sur le site web de celle-ci. Je suis arrivé, pour la première fois, sur un espace client modernisé / relooké (avec un tutoriel de présentation et la possibilité de revenir à l'ancienne version via un discret lien dans mon profil).
Plusieurs éléments / composants / ressources qui composent cet espace client sont téléchargés chez des acteurs économiques externes à la BP : police de caractères / CSS chez Google Fonts, JavaScript depuis AppDynamics, Tealium, Ibenta, et KeyCDN qui, eux-mêmes, par cascade, télécharge des ressources chez des acteurs extérieurs supplémentaires.
Or, en application de l'arrêt dit « Schrems II » de la Cour de Justice de l'Union européenne, l'utilisation de Google Fonts n'est pas conforme au RGPD. Lors de la consultation de mon espace personnel BP, mon adresse IP et d'autres éléments techniques qui permettent d'affirmer que telle adresse IP est cliente BP (HTTP Referer, HTTP CORS Origin, etc.) sont transmis automatiquement à la société commerciale Google. Cela constitue un transfert de données personnelles en dehors de l'UE, à destination des États-Unis, qui ne disposent pourtant pas d'un niveau de protection adéquat des données personnelles.Si je refuse le téléchargement de ressources depuis Google Fonts (avec les extensions pour navigateur web uBlock Origin ou uMatrix), l'espace client BP est inutilisable : tout le contenu utile est décalé vers la gauche au lieu d'être centré ; le même contenu est décalé vers le haut et partiellement tronqué ; l'icône « croix » qui permet de fermer les rubriques comme « Documents » ou « Prélèvements reçus » n'apparaît pas, ce qui complique la navigation (le bouton « page précédente » de tout navigateur web ne répond pas totalement au besoin à cause de protections légitimes contre le rejeu) ; la modification du motif d'un virement bancaire est impossible car les champs de saisie, leur description et les messages d'aide / d'erreurs s'empilent et empêchent la saisie.
L'utilisation de Google Fonts ne peut pas reposer sur l'intérêt légitime car un hébergement interne / internalisé est possible à coût insignifiant ni sur un consentement explicite (qui à ce jour, n'est pas demandé par la BP) car les dysfonctionnements engendrés par le refus constitueraient un vice du consentement. La décision 3 O 17493/20 du 20/01/2022 de la Cour régionale de Munich appuie cette analyse.
Ce raisonnement s'applique également à d'autres ressources / éléments / composants récupérés auprès d'autres sociétés commerciales états-uniennes lors de la navigation dans l'espace client / personnel BP : AppDynamics, Tealium (tiqcdn.com), et Ibenta.
Le 29/04/2022, j'ai signalé, par LRAR, ces infractions au DPO de la Banque Populaire XXXXXXXXXX ainsi qu'au service réclamations de celle-ci.
Cordialement.
Bonjour,
Je suis client de la Banque Populaire XXXXXXXXXX (BP). Le 22/04/2022, je me suis connecté à mon espace client / espace personnel (consultation des comptes, virements, etc.) sur le site web de celle-ci. Je suis arrivé, pour la première fois, sur un espace client modernisé / relooké (avec un tutoriel de présentation et la possibilité de revenir à l'ancienne version via un discret lien dans mon profil).
Plusieurs éléments / composants / ressources qui composent cet espace client sont téléchargés chez des acteurs économiques externes à la BP mais européens : JavaScript depuis KeyCDN (kxcdn.com) et Kameleoon.
Pour ces deux traitements, le consentement explicite n'est pas une finalité applicable, car, même en cas de refus des cookies dans le bandeau dédié, ces ressources seront tout de même téléchargées par le navigateur web. Le refus des cookies les rend inertes / inactives, mais, lors de la consultation de chaque page de mon espace personnel BP, mon adresse IP et d'autres éléments techniques permettant d'affirmer que telle adresse IP est cliente BP (HTTP Referer, HTTP CORS Origin, etc.) et à quelles dates+heures elle consulte l'espace client BP, sont quand même transmis automatiquement aux sociétés commerciales sus-citées. Certaines de ces informations techniques (HTTP Referer) permettent aux sociétés commerciales sus-citées d'enregistrer, toujours dans le journal de leurs serveurs web, quelles rubriques précises de mon espace client BP (relevé de comptes, virements, etc.) ont été consultées par telle adresse IP à telle heure.L'intérêt légitime est tout autant inapplicable à mon sens. Un client peut-il légitiment s'attendre au téléchargement d'un système de gestion de la performance (KeyCDN) alors qu'il ignore l'existence de tels produits / services, qu'il n'en comprend pas la définition (sujet extrêmement technique), et qu'il peut n'avoir que faire que son espace client soit performant à la seconde près ? Est-il proportionné d'utiliser simultanément plusieurs systèmes de gestion de la performance (KeyCDN, AppDynamics) sur un même espace client ? Un client peut-il légitimement s'attendre à la récupération d'un système de tests A/B (Kameleoon), approche essentiellement marketing, dans son espace client (qui renvoie à du confort, à de l'intimité, à une relation individuelle entre une société commerciale et son client) ? Sait-il au moins que ça existe ? En comprend-t-il les tenants et aboutissements ? Ces traitements sont-ils nécessaires ?
Le 29/04/2022, j'ai signalé, par LRAR, ces infractions au DPO de la Banque Populaire XXXXXXXXXX ainsi qu'au service réclamations de celle-ci.
Cordialement.