Blog Données personnelles

Mailchimp : transferts de données illégaux vers les Etats-Unis selon l’autorité bavaroise de protection des données

L’autorité bavaroise de protection des données a rendu le mois dernier une décision dans laquelle elle estime que l’utilisation de l’outil américain Mailchimp pour l’envoi de newsletters ne permet pas de garantir un niveau de protection des données suffisant au regard des risques encourus liés au transfert de données vers les Etats-Unis.

En l’espèce, un particulier allemand a porté plainte devant l’autorité bavaroise au motif qu’une entreprise allemande avait stocké son adresse mail auprès de l’entreprise américaine Mailchimp afin d’envoyer des newsletters.

Selon l’autorité bavaroise, Mailchimp pourrait en effet être soumise à la loi de surveillance américaine « FISA » et être contrainte d’autoriser l’accès aux données par les services de renseignement américains.

Par conséquent, l’entreprise allemande aurait dû vérifier l’existence, en plus des clauses contractuelles types de protection des données, de mesures supplémentaires avant de transférer ces données à Mailchimp et mettre en place de telles mesures le cas échéant.

A ce titre, l’autorité bavaroise de protection des données a demandé à cette entreprise de cesser d’utiliser cet outil de marketing par mail, ce qu’elle a accepté.

Pour rappel, en juillet 2020 dans la décision « Schrems II » la Cour de justice de l’Union européenne a invalidé le Privacy Shield sur lequel étaient fondés les transferts de données vers les Etats-Unis.

Depuis cette date, les responsables du traitement et les sous-traitants doivent mettre en œuvre des garanties supplémentaires dans le cas où ils transfèrent des données vers ce pays.

Au regard de ces décisions, il est plus que recommandé aux responsables du traitement souhaitant recourir aux services de Mailchimp de mettre en place des mesures supplémentaires de protection en s’appuyant notamment sur les recommandations du Comité européen de la protection des données.