RGPD et Mailchimp : pouvez-vous vraiment utiliser ce logiciel d’e-mailing en toute sérénité ?

19/7/2023

Êtes-vous prêt à renoncer à Mailchimp à cause du RGPD ?

Entrepreneur, indépendant, patron de PME… Quelle que soit votre activité, si vous souhaitez développer votre chiffre d’affaires sur le Web, difficile de ne pas utiliser un logiciel d'e-mailing ou autorépondeur. 

Récupération de données personnelles (e-mails, noms, prénoms…) des internautes qui fréquentent votre site, classement de ces informations… Avec de simples formulaires de capture (par exemple, un visiteur saisit son e-mail et son prénom pour accéder à un ebook), les autorépondeurs vous permettent de créer aisément des listes de contacts fiables.

Une mine d’informations précieuses pour communiquer efficacement avec votre cible. Avec ces listes, vous programmez des séquences d’e-mails personnalisés, envoyés automatiquement. Un simple visiteur, intéressé par votre contenu (newsletters, articles de blog, vidéos…), devient un client potentiel. 

Des actions marketing précises que vous pouvez organiser simultanément avec des milliers de contacts, indépendamment de la nature de la relation commerciale entretenue. (Les séquences d’e-mails d’un visiteur et d’un client fidèle sont bien entendues très différentes.)

Bref, un outil puissant pour fidéliser et susciter la confiance et, de fait, pérenniser votre business. 

Avec 14 millions de clients, une activité mondiale et un milliard de mails journaliers, Mailchimp apparaît comme une référence.

Gratuit (jusqu’à 2000 contacts), fiable, intuitif, excellente délivrabilité, service client de qualité… L’entreprise, fondée aux États-Unis en 2001, favorise la création de tunnels de vente efficaces pour développer une activité en un minimum de temps.

Adopté, difficile de s’en passer… Un logiciel quasi-parfait… enfin presque… 

Ces précieuses listes sont transférées et stockées sur des serveurs installés aux États-Unis. Conformément au RGPD, vous devez assurer la protection de la vie privée de vos contacts européens…

Une tâche bien difficile quand le gouvernement américain s’en mêle !

Découvrez, dans cet article, les risques liés à une utilisation de MailChimp au regard du RGPD.

RGPD et MailChimp : une position ambigüe des autorités européennes 

La Cour de justice de l’Union européenne invalide le Privacy Shield...

Nous sommes le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) annule la décision d’adéquation sur la base du Privacy Shield, pourtant adoptée par la Commission européenne 4 ans plus tôt.

Une décision aux conséquences non négligeables pour les entreprises européennes qui travaillent avec des sous-traitants américains. Ce régime, le Privacy Shield, facilitait et organisait le transfert de données de l’Union européenne (UE) vers les États-Unis. Aucune autre formalité n’était exigée auprès des entreprises.

Pourquoi une telle décision ?

Pour la CJUE, la vie privée des ressortissants européens, pilier central du RGPD, ne peut être assurée à 100 % avec cette réciprocité.

En effet, un ensemble de textes législatifs américains, adoptés pour assurer la sécurité nationale (Cloud Act, FISA…), autorisent les instances gouvernementales à accéder aux données personnelles de ressortissants étrangers stockées par les services de communications électroniques nationaux.

La vie privée des ressortissants européens ne bénéficie plus d’un niveau de protection adéquat. Aucune possibilité de recours. Ces dispositions sont non conformes au RGPD. 

Problème : Mailchimp, entreprise née à Atlanta, aux serveurs installés sur le territoire national, organise le transfert de données des Européens en s’appuyant sur sa certification Privacy Shield.

Pourtant, cette décision ne signifie pas une interdiction de l’utilisation du logiciel…

… mais valide les clauses contractuelles types

Un visiteur, un prospect ou un client complète, sur votre site Internet, un formulaire. Voilà leurs informations transférées et stockées aux États-Unis.

En vertu de l’article 702, le FISA Amendments Act (un amendement qui autorise la surveillance à l’étranger), le gouvernement américain peut décider de la collecte de ces informations personnelles.

Un contexte législatif censé mettre un terme quasi-définitif à l’utilisation de Mailchimp pour des entreprises européennes, mais…

La CJUE, le 16 juillet 2020, a validé les clauses contractuelles types (CCT), dispositifs proposés aux entreprises qui souhaitent traiter des données personnelles des Européens en dehors du territoire continental. Ceci à condition de veiller à leur protection. 

En clair, la Cour de justice autorise le transfert, tout en jugeant le niveau de protection insuffisant une fois les données stockées sur place.

Un vrai casse-tête pour les entreprises qui ne savent plus sur quel pied danser. La CJUE, dans sa décision, ne précise aucune disposition à prendre pour respecter le RGPD.

Une ambiguïté exploitée par Mailchimp et clairement explicitée sur son site Internet : ” Dans le même temps, la CJUE a confirmé que les clauses contractuelles types (CCT) continuent de fournir un mécanisme valide pour les entreprises afin de transférer des données personnelles en dehors de l’UE / du Royaume-Uni. Suite à la décision, cependant, les transferts basés sur des CCT peuvent être contestés au cas par cas, en particulier lorsque les lois de sécurité nationale entrent en conflit avec les garanties fournies par l’importateur de données dans le cadre des CCT.” (Source : Mailchimp.)

En clair : vous utilisez Mailchimp “à vos risques et périls”. Le transfert de données est possible, les sanctions également.

Une situation vécue très récemment par une entreprise allemande...

RGPD et Mailchimp : une plainte déposée par un particulier contre FOGS Magazin

Mode, vie, aliments, voyage… FOGS Magazin est un magazine “art de vivre”. 

Mars 2021, un particulier dépose une plainte auprès de l’autorité bavaroise de protection des données.

Il reproche à l’entreprise allemande le stockage de son e-mail sur les serveurs de Mailchimp pour mener ses actions marketing (envoi de newsletters), sans consentement et sans avoir mesuré les risques d’un tel transfert (en vertu de la loi américaine FISA, les autorités américaines pourraient potentiellement avoir accès à cette information). 

Une plainte susceptible de dégrader l’image de l’entreprise, incapable d’assurer la protection des données personnelles confiées. 

RGPD : les utilisateurs de Mailchimp dans l’attente

Vous en savez désormais un peu plus sur Mailchimp et sa conformité au RGPD. Un contexte d’incertitude règne. Les autorités européennes n’ont pas clarifié tous les mécanismes internationaux de transfert des données.

Mailchimp est probablement important pour la santé financière de votre entreprise… Mais notez que des alternatives européennes, et même françaises, existent !

Dans tous les cas, vous ne pouvez pas, actuellement, utiliser Mailchimp "tel quel" en toute quiétude. Aucune certitude de répondre pleinement aux exigences du RGPD. Aucune certitude d'échapper à d'éventuels recours.

La conformité au Privacy Shield et le respect des clauses contractuelles types sont des dispositions insuffisantes.

La FAQ (Foire aux questions) de la société américaine est particulièrement explicite : "La CJUE a noté que, en plus d’adhérer aux CCT, l’exportateur de données et l’importateur de données peuvent avoir besoin d’accepter des mesures supplémentaires pour garantir un niveau de protection adéquat pour les données transférées."

Embauche d’un délégué à la protection des données, cryptage, contrôle d’accès, édition de rapports de transparence, aucune vente d’informations, personnalisation des formulaires, paramétrages opt-in double (pour un consentement “renforcé”), gestion précise des profils de contacts… Mailchimp essaye de rassurer ses utilisateurs et propose un ensemble d’outils pour vous aider à vous mettre en conformité au RGPD tout en précisant que "le formulaire actuel des CCT a été rédigé avant que le RGPD ne soit effectif et sera mis à jour à un moment donné", comme précisé ici.

Pas forcément très rassurant !

C’est donc un choix difficile. L’image et la pérennité de votre société sont en jeu...

Le logiciel RGPD Leto vous informe en temps réel de la conformité de vos outils. Réserver une démo avec nos experts.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre