L' autorité bavaroise de protection des données a ordonné qu'aucun éditeur allemand ne puisse transférer des adresses e-mail à MailChimp aux États- Unis pour l'envoi de newsletters. Cette décision illustre clairement les obstacles auxquels sont confrontés les commerçants étrangers dans le cadre du RGPD. L'une des principales préoccupations est que les données peuvent être consultées par les agences de renseignement américaines.
Une partie offensée a protesté auprès de l'autorité (le BDPA) concernant le transfert de données, ce qui a abouti à une enquête officielle et à un verdict. Le nom de la société allemande qui a porté l'affaire devant le BDPA n'a pas été divulgué, mais il est confirmé qu'elle avait utilisé MailChimp peu fréquemment et qu'elle a cessé depuis. Il n'y a pas non plus de rapports d'action en justice ou d'amende contre la société.
Le BDPA a déclaré le 15 mars :
« Nous faisons référence à votre plainte relative à la protection des données contre …. concernant l'utilisation de «Mailchimp ». Suite à notre intervention, l'entreprise nous a informés qu'elle avait utilisé Mailchimp à deux reprises pour envoyer des newsletters. Suite à notre intervention, l'entreprise nous a informés qu'elle n'utilisera plus Mailchimp avec effet immédiat.
La société nous a également informés qu'elle n'avait transmis des adresses e-mail à Mailchimp que dans le cadre de l'utilisation susmentionnée. Il a également mentionné que les recommandations du comité européen de la protection des données sur les mesures dites supplémentaires pour les transferts de données à caractère personnel vers des pays tiers ne sont pas encore disponibles dans une version finale, mais font toujours l'objet d'une consultation publique ; c'est exact.
Selon notre évaluation, l'utilisation de Mailchimp par …. dans les deux cas mentionnés – et donc aussi le transfert de votre adresse e-mail à Mailchimp, qui fait l'objet de votre plainte – était illégal en vertu de la loi sur la protection des données, car …. n'avait pas examiné si, en plus des clauses types de protection des données de l'UE (qui ont été utilisées), des "mesures supplémentaires" au sens de la décision de la CJCE "Schrems II" (CJCE, arrêt du 16.7.2020, C-311/18) étaient nécessaires pour rendre le transfert conforme aux exigences de protection des données, et dans le cas présent, il y avait au moins des indications que Mailchimp pourrait en principe faire l'objet d'un accès aux données par les services de renseignement américainsservices basés sur la disposition légale américaine FISA 702 (50 USC § 1881) en tant que soi-disant fournisseur de services de communications électroniques et donc le transfert ne pourrait être légal que si de telles mesures supplémentaires (si possible et suffisantes pour résoudre le problème) étaient prises »
L'autorité a conclu que le transfert, qui a été effectué en vertu des clauses contractuelles types (SCC) de l'UE, a violé les accords conclus dans le précédent jugement Schrems II sur la protection de la vie privée dans l' UE.
"Ce type d'interprétation de Schrems II est précisément le résultat que craignaient de nombreuses multinationales lorsque Schrems II a confirmé l'utilisation des SCC mais a jeté des soupçons sur l'efficacité des SCC en tant qu'outil de transport de données vers les États-Unis ", commente Lexology.
Le verdict indique en outre: «Il y avait des signes que MailChimp était reconnu comme un fournisseur de communications travaillant sous la juridiction de surveillance américaine. Par conséquent, un danger sous la forme d' agences de renseignement américaines accédant à ces adresses e-mail se profile indéfiniment. MailChimp n'a pas non plus fait de commentaires sur le verdict. Bien que le nom de la société allemande n'ait jamais été révélé, la rumeur dit qu'il s'agit d'un magazine de mode.
Selon Lexology, les entreprises qui utilisent des processeurs de données situés en dehors de l' UE doivent tenir compte des emplacements de ces processeurs et des différentes juridictions qui leur sont appliquées. Cela est nécessaire pour garantir que les données et informations personnelles ne sont pas disponibles ou accessibles par une entité gouvernementale.