Suite à la publication de sa réponse à une personne concernée dans un journal allemand, le « Standard », l’autorité bavaroise de protection des données (APD) a saisi cette occasion pour répondre aux critiques récurrentes et attirer l’attention des organisations sur son application effective de la décision Schrems II de la CJCE interdisant le transfert de données personnelles vers les États-Unis à défaut de la mise en place de mesures supplémentaires (voir ici).
La décision fait référence à une plainte déposée par un particulier concernant le transfert de ses données personnelles aux États-Unis par une société allemande. Il apparaît que cette dernière a utilisé l’outil Mailchimps pour sa campagne de marketing par e-mail. L’utilisation de cet outil a entraîné le transfert de l’adresse électronique des destinataires à Mailchimp, aux États-Unis.
Selon l’autorité bavaroise de protection des données, ce cas démontre qu’elle applique les exigences de la décision de la CJCE (Schrems 2), puisque l’entreprise s’est abstenue d’utiliser l’outil de Mailchimp après son intervention.
Au-delà de cette démonstration de l’application effective de la décision, il s’agit également d’un avertissement pour les autres entreprises qui font appel à des sociétés basées aux États-Unis pour leurs activités commerciales.
Le contexte
Une entreprise individuelle allemande utilisait l’outil Mailchimp pour ses campagnes de marketing par courriel.
Suite à une plainte d’une personne concernée auprès de l’autorité bavaroise de protection des données, cette dernière a demandé des explications et des informations détaillées à l’entreprise concernée.
Les investigations ont montré que :
- l’entreprise a utilisé l’outil Mailchimp à deux reprises pour envoyer des newsletters ;
- elle ne transmettait les adresses électroniques à Mailchimp que pour ses campagnes de newsletters.
Le transfert de données à caractère personnel vers les Etats-Unis est illégal selon l’analyse de l’Autorité Bavaroise
L’autorité de contrôle a fait l’évaluation suivante :
- L’utilisation de l’outil Mailchimps entraîne le transfert de données vers les États-Unis ;
- Il existe des indications selon lesquelles Mailchimp pourrait être soumis à un accès aux données par les services de renseignement américains : Disposition légale américaine FISA702 (50 U.S.C. § 1881) en tant que possible « Electronic Communications Service Provider » ;
- Selon la décision de la CJCE « Schrems II » (CJCE, arrêt du 16.7. 2020, C-311/18), dans un tel cas, le transfert ne pourrait être légal que si des mesures supplémentaires (si possible et suffisantes pour remédier au problème) étaient mises en place.
Étant donné que la société n’avait pas examiné si de telles mesures supplémentaires étaient nécessaires ni n’en avait mise en œuvre, le transfert de données était donc illégal.
En conséquence, l’entreprise a déclaré qu’elle n’utiliserait plus Mailchimp à l’avenir.
Commentaires
Comme l’a soulevé à juste titre l’entreprise, les recommandations du Conseil européen de la protection des données (CEPD) sur les « mesures supplémentaires » pour les transferts de données à caractère personnel vers des pays tiers ne sont pas encore disponibles dans leur version finale, mais sont toujours soumises à une consultation publique.
Toutefois, l’absence d’orientations définitives ne constitue pas une base juridique pour ne pas se conformer à la loi et, par conséquent, une autorité de protection des données pourrait potentiellement infliger une amende à une entreprise qui transfère illégalement des données vers les États-Unis ou tout autre pays doté d’une législation similaire.
Ainsi, cette publication doit être considérée comme un avertissement invitant les entreprises à procéder à l’évaluation et à mettre en œuvre des mesures techniques et contractuelles pour prévenir le risque d’accès aux données par les autorités américaines.
Même s’il s’agit d’un véritable défi pour la plupart des entreprises, il y a encore de l’espoir, comme par exemple, le Conseil d’Etat, dans une décision récente, n’a pas annulé un transfert de données vers les Etats-Unis après avoir constaté que des mesures contractuelles et de cryptage étaient mises en œuvre. (voir ici pour plus de détails).
Pour plus d’informations ou pour toute question vous pouvez contacter, Arnaud Blanc
