MailChimp c’est fini

 
MailChimp c'est fini
 

Le 15 mars 2021 : L’autorité de contrôle bavaroise (la BayLDA) a considéré comme illégale l’utilisation de Mailchimp, l’outil de newsletter, par une société allemande.

 

Reprenons les faits

 
Un Allemand de Bavière a déposé une plainte auprès de l’autorité de contrôle bavaroise, la BayLDA, contre une société allemande qui utilisait MailChimp pour l’envoi de newsletter.
 
Il demandait l’arrêt de l’utilisation de MailChimp ainsi que la prononciation d’une amende à l’encore de ladite société.
 
Après enquête, la société a déclaré avoir utilisé MailChimp seulement 2 fois, et uniquement pour envoyer des newsletters.
 
Suite à l’intervention de la BayLDA, la société a stoppé immédiatement l’utilisation de MailChimp et aucune amende n’a été requise.
 

Explications

 
MailChimp appartient à The Rocket Science Group, une société américaine située aux USA.
 
Utiliser MailChimp revient à transférer des adresses email aux USA.
 
De plus, MailChimp est considéré comme un fournisseur de service de communication électronique selon la loi américaine, la FISA702.
 
Par conséquent, les adresses e-mail transférées risquent d’être consultées par les services de renseignement américains.
 
Ce transfert a été jugé illégal car la société n’a pas cherché à appliquer des mesures supplémentaires au sens de la décision de la CJUE du 16/07/2020 dit « Schrems II » (C-311/18) qui sont nécessaires pour rendre le transfert conforme au RGPD et pour protéger les personnes concernées d’un accès par les autorités américaines.
 
Pour rappel, les transferts de données vers les USA sont désormais illégauxsans « mesures supplémentaires » .
 
L’autorité de contrôle a donc demandé à la société allemande d’arrêter l’utilisation de MailChimp, ce qu’elle a immédiatement fait.
 

Pas d’amende

 
Contrairement à ce que demandait la personne concernée, la BayLDA n’a pas infligé d’amende à la société.
 
On peut se demander pourquoi.
 
La BAyLDA informe qu’une personne concernée n’a aucun droit légal à l’imposition d’une amende en cas de violation des règles sur la protection des données, et aucun droit à une décision discrétionnaire sur l’imposition d’une amende.
 
Elle considère également que le pouvoir d’imposer une amende en vertu de l’article 83 du RGPD (article 58, paragraphe 2, point i) du RGPD) ne sert pas à protéger les droits et libertés d’une personne concernée, mais plutôt l’intérêt public à faire respecter la loi.
 
Par conséquent, une personne concernée n’a pas le droit subjectif à l’encontre des autorités de contrôle de la protection des données de décider de l’imposition d’une amende en vertu de l’article 58, paragraphe 2, point i) du RGPD.
 
Même si un tel droit subjectif avait été reconnu, cette demande aurait été rejetée.
 
Compte tenu des facteurs pertinents énumérés à l’article 83 du RGPD qui jouent un rôle dans cette décision, il est dans le cadre du pouvoir discrétionnaire de s’abstenir d’imposer une amende en l’espèce.
 
En particulier, parce que dans le cas présent, seules quelques données ont été transmises (et seulement 2 fois), et également parce que les données concernées – sous forme d’adresses e-mail – ne sont pas des données très sensibles (et n’engendrent pas de risque élevé pour la personne concernée).
 
S’appuyer sur ce seul fait ne suffirait pas à justifier une renonciation à l’amende.
 
Cependant, la renonciation à l’amende s’appuie plutôt sur, notamment, le fait que les recommandations du CEPD ne peuvent pas être mises en œuvre.
 
En effet, elles font toujours l’objet d’une consultation publique et ne sont donc pas encore disponibles dans une version finale, de sorte que l’infraction ici doit encore être qualifiée de mineure eu égard à sa nature et à sa gravité.
 
Seul un léger degré de négligence au maximum doit être affirmé.
 

Notre avis

 
Cette décision va sans doute faire jurisprudence en Allemagne, et les sociétés Allemandes n’utiliseront plus MailChimp.
 
Cela met un nouveau coup d’arrêt aux transferts vers les USA.
 
Ce pourra être plus accentué encore si d’autres autorités de contrôle suivent cette décision, en Allemagne ou en Europe.
 
Si la société a utilisé seulement 2 fois MailChimp, elle aurait pu s’appuyer sur une dérogation de l’article 49, à condition d’avoir fait le nécessaire en amont.
 
Nous rappelons qu’il existe des solutions équivalentes de droit européen, et qu’il serait préférable de les utiliser.
 
 

Article rédigé par Frédéric – 19/04/2021