En juillet 2020, la Cour de justice de l’Union européenne a déclaré que la protection des données personnelles offerte par le Privacy Shield UE-États-Unis était inadéquate, car non conforme au RGPD. De nombreuses entreprises américaines qui traitent des données d’utilisateurs européens (comme Mailchimp, Active Campaign, Campaign Monitor et d’autres logiciels de marketing par courriel de premier plan, Sendgrid, SMTP.com et Mailgun, et d’autres services SMTP professionnels) ont fondé leur activité sur le Privacy Shield, qui prévoyait l’élaboration d’une sorte d’autocertification dans laquelle était déclarée l’adoption de mesures de protection adéquates pour la protection des données. Avec l’abolition de cet accord entre les États-Unis et l’UE, la seule façon pour les entreprises américaines de continuer à opérer ici semble être de déplacer leur siège en Europe. En raison de ces faits, vous devrez peut-être trouver des alternatives européennes à Mailchimp, qui assurent la protection de vos données personnelles conformément au RGPD.
Règles de l’UE en matière de protection de la vie privée pour les entreprises non européennes
La Cour de justice de l’Union européenne s’est prononcée contre le bouclier UE-États-Unis, car le règlement intérieur américain n’assurerait pas des garanties suffisantes en matière de protection des données. Toutefois, les clauses contractuelles relatives aux données ont été considérées comme valables pour les entreprises américaines, mais seulement si elles sont accompagnées d’autres garanties qui rendent les contrats parfaitement alignés sur le RGPD.
Dans tous les cas, ceux qui utilisent Mailchimp ou d’autres systèmes américains pour envoyer leurs e-mails doivent s’assurer que le destinataire a explicitement consenti au transfert de données en dehors de l’UE, après avoir été informé des risques éventuels.
En substance, le niveau de protection des données (c’est-à-dire l’ensemble des garanties adéquates, des droits exécutoires et des recours effectifs) requis dans le cadre du transfert de données de l’UE vers des pays tiers doit être équivalent à celui garanti par le dans l’Union. Pour cette raison (puisqu’il peut ne pas y avoir d’équivalence réelle en raison des différents systèmes juridiques, de la distance et des différentes langues), malgré la validité des clauses contractuelles, de nombreuses entreprises européennes peuvent ne pas se sentir à l’aise de confier leurs données à un service de email marketing américain.
Le RGPD et l’email marketing après l’abolition du Privacy Shield
Dans le cas d’une plateforme d’email marketing, le transfert de données a lieu sur des serveurs dans l’Etats-Unis et leur traitement est soumis à la réglementation interne américaine, il est donc difficile pour une entreprise américaine de garantir les mêmes normes de protection des données qu’une entreprise européenne alignée sur le RGPD. Les systèmes juridiques en vigueur dans les États européens sont en effet très différents de ceux en vigueur aux États-Unis et – également en matière de protection de la vie privée – le droit national est toujours destiné à prévaloir.
La décision de la Cour de justice de l’Union européenne semble enfin venir au secours des entreprises européennes, qui ont toujours été éclipsées par les entreprises américaines. Alors que des entreprises américaines comme Mailchimp opèrent tranquillement sur le territoire sans avoir à se conformer à la réglementation fiscale.
Conclusions
Récemment, l’autorité bavaroise de protection des données s’est prononcée contre Mailchimp, jugeant insuffisantes les garanties offertes pour le transfert de données vers les États-Unis. Aucune sanction financière n’a été infligée à la société américaine, mais un simple avertissement qui constitue pourtant un précédent. Le transfert de données vers des pays tiers devrait, en effet, être considéré comme illégitime si les clauses contractuelles ne sont pas accompagnées de mesures supplémentaires permettant une totale conformité avec le RGPD.