- Le 15 mars 2021, la BayLDA a déclaré que l’utilisation de Mailchimp dans le cas examiné n’était pas conforme à la législation sur la protection des données.
- La raison en était le risque d’accès par les autorités américaines en raison de la classification de Mailchimp sous FISA §1881(b)(4), malgré les clauses contractuelles standard de l’UE.
- BayLDA a suivi l’approche basée sur les droits de l’EDSA et a exigé des mesures de protection supplémentaires plutôt qu’une évaluation des risques.
- Aucune amende infligée ; seules les adresses électroniques étaient concernées et les lignes directrices de l’EDSA étaient encore un projet, l’infraction a donc été considérée comme mineure.
L’Office bavarois de protection des données (BayLDA) a déclaré le 15 mars 2021 que l’utilisation de Mailchimp n’était pas autorisée dans le cas jugé (LDA-1085.1 – 12159/20-IDV).
L’élément déterminant était que Mailchimp, bien que concluant les clauses contractuelles standard de l’UE, était considéré comme un “Electronic Communications Service Provider” au sens de l’article 1881 (b) (4) de la loi américaine sur les télécommunications. Loi sur la surveillance du renseignement extérieur du moins, le BayDLA a vu des “indices” en ce sens (et cela correspond également à la propre conception de Mailchimp). Par conséquent, les données sous le contrôle de Mailchimp seraient, le cas échéant, des “données à caractère personnel”. Accès des autorités américaines suspendues conformément aux dispositions de l’article 1881a FISA, c’est-à-dire dans la mesure où elles sont présumées contenir des “foreign intelligence information”, conformément à l’article 1801 (e) FISA
(1) les informations qui se rapportent à, et si elles concernent une personne des États-Unis, sont nécessaires à, la capacité des États-Unis à se protéger contre-
(A) réel ou potentiel attaque ou autre acte hostile grave commis par une puissance étrangère ou un agent d’une puissance étrangère ;
(B) le sabotage, le terrorisme international ou la prolifération internationale d’armes de destruction massive par une puissance étrangère ou un agent d’une puissance étrangère ; ou
(C) clandestine intelligence activities par un service ou réseau de renseignement d’une puissance étrangère ou par un agent d’une puissance étrangère ; ou
(2) les informations relatives à une puissance étrangère ou à un territoire étranger qui se rapportent à, et si elles concernent, une personne des États-Unis sont nécessaires pour
(A) le la défense nationale ou la sécurité des États-Unis ; ou
(B) le conduite des affaires étrangères des États-Unis.
Ce scénario est peu probable, car seules des adresses électroniques ont apparemment été transmises à Mailchimp. En outre, Mailchimp avait, selon propres indications divulgué des données de contenu dans deux cas en 2018 et dans aucun cas en 2019, et des métadonnées dans neuf cas seulement en 2019 (les chiffres pour 2020 ne sont pas connus), et ce pour plus de 10 millions de clients dès 2019 :
La BayLDA a néanmoins estimé que le L’utilisation de Mailchimp n’est pas autorisée (citations de la décision selon GDPRhub):
Selon notre évaluation, l’utilisation de Mailchimp par FOGS Magazin dans les deux cas susmentionnés – et donc également la transmission de votre adresse électronique à Maichimp, qui fait l’objet de votre plainte – n’était pas conforme à la législation sur la protection des données, car [le responsable] n’avait pas vérifié si, pour la transmission à Mailchimp, en plus des clauses standard de protection des données de l’UE (utilisées), des “mesures supplémentaires” au sens de l’arrêt de la CJUE “Schrems II” (CJUE, arr. du 16.7.2020, C‑311/18) sont nécessaires pour que la transmission soit conforme à la protection des données […].
Sur le fond, la BayLDA suit ainsi les Recommandations de l’EDSAqui, comme on le sait, n’incluent ni ne permettent – malheureusement – de vérifier les risques (“approche basée sur le risque”), mais de conclure directement à l’inadmissibilité d’une communication de données insuffisamment sécurisée à partir de la protection juridique considérée comme déficiente aux États-Unis, sans prendre en considération la probabilité d’occurrence et les conséquences d’un accès (“approche basée sur les droits„).
C’est choquant :
- La compatibilité de cette approche basée sur les droits avec le RGPD est très discutable et fera encore l’objet de nombreuses discussions. Dans la pratique, les entreprises procèdent au contraire souvent à des évaluations des risques (appelées “Évaluation de l’impact du transfert“Les autorités de protection des données (APD) sont chargées d’évaluer les risques (par exemple, les “évaluations Schrems II”) et d’examiner en premier lieu les risques concrets que le transfert présente pour la personne concernée.
- Non seulement les recommandations de l’EDSA ne sont pas juridiquement contraignantes, mais en plus seulement une ébauche. Le responsable concerné avait même invoqué devant la BayLDA le fait que ces recommandations n’existaient qu’à l’état de projet, mais malheureusement sans succès ; cela lui a tout de même permis d’éviter une amende.
Au moins, la BayLDA a renoncé à infliger une amende. Tout d’abord, la personne concernée pas de droit à une amende à la charge du responsable:
Nous estimons qu’il n’est pas nécessaire, dans le cas concret, d’aller au-delà de cette constatation de l’illicéité des transmissions de données susmentionnées et de prendre des mesures de surveillance conformément à l’article 58, paragraphe 2, du RGPD par le biais d’une décision prise selon une appréciation conforme aux obligations. Nous avons clairement fait savoir à l’entreprise que la transmission susmentionnée de votre adresse e‑mail n’était pas autorisée par la législation sur la protection des données. Nous ne pensons pas qu’il soit nécessaire d’infliger une amende, comme vous l’avez demandé. Sur ce point, nous vous informons par la présente que nous estimons qu’une personne concernée n’a pas le droit de se voir infliger une amende en cas de violation de la protection des donnéesIl n’y a pas non plus de droit à une décision sans erreur d’appréciation sur la sanction pécuniaire. […]. Par conséquent, une personne concernée ne dispose pas d’un droit subjectif à l’encontre des autorités de contrôle de la protection des données de décider de l’imposition d’une amende conformément à l’article 58, paragraphe 2, point i), du RGPD.
En outre, en l’espèce, seuls les Adresses e‑mail concernées et donc des données “dont Une sensibilité encore relativement gérable et que, de plus, les méthodes – pourtant appliquées ! – Les lignes directrices de l’EDSA ne sont qu’un projet:
Toutefois, même si l’on reconnaissait un tel droit subjectif à une personne concernée, il n’existerait pas en l’espèce de droit de votre part à l’imposition d’une amende à FOGS Magazin. En effet, si l’on tient compte des facteurs déterminants énumérés à l’article 83 du RGPD, qui jouent un rôle dans cette décision, il est conforme au pouvoir d’appréciation de ne pas infliger d’amende dans le cas présent. Ceci d’autant plus qu’en l’espèce, seules quelques données ont été transmises de manière illicite et que, d’autre part, il s’agissait – sous la forme d’adresses électroniques – de données dont le caractère sensible est encore relativement gérable.Ce dernier point ne justifierait certes pas à lui seul la non-imposition d’une amende. En fin de compte, l’absence d’amende ne constitue pas une erreur d’appréciation, en particulier si l’on tient compte du fait que les mesures susmentionnées ne sont pas suffisantes.
les recommandations du Comité européen de la protection des données sont toujours en cours de consultation publique et ne sont donc pas encore disponibles dans leur version finaleLa présente infraction doit donc être considérée comme mineure au regard de sa nature et de sa gravité (article 83, paragraphe 2, point a), du RGPD) et, en particulier, il convient de n’admettre qu’un degré de négligence tout au plus léger (article 83, paragraphe 2, point b), du RGPD).
datenrecht.ch utilise continuer à utiliser Mailchimp.