Transferts de données personnelles Aucune activité de singe n’est autorisée | Lexologie – Lexologie

L’autorité nationale allemande de protection des données pour la Bavière (BDPA) a récemment publié une décision déclarant que le transfert de données personnelles vers la plate-forme de marketing par e-mail basée aux États-Unis Mailchimp, par une société (qui n’a pas été officiellement nommée), était illégal.

En fin de compte, le BDPA a refusé de prendre des mesures d’exécution formelles parce que la société a cessé d’utiliser Mailchimp en réponse à la plainte. Malgré l’absence de mesures d’exécution formelles, cette décision du BDPA est un développement important mettant en évidence les répercussions continues de l’arrêt de la Cour de justice de l’UE (CJUE) dans Schrems II pour les transferts internationaux de données hors de l’Union européenne.[1] Pour plus de détails sur Schrems II, veuillez consulter notre alerte client, disponible ici.

L’utilisation de Mailchimp

Selon la décision du BDPA, la société aurait transféré des données personnelles à Mailchimp, une entité américaine. Le transfert a été effectué sur la base des clauses contractuelles standard de l’UE (SCC), une mesure ordinaire prise pour assurer la protection des données personnelles lorsque ces données personnelles sont transférées hors de l’UE; et un que la CJUE a confirmé dans Schrems II.

Le BDPA a toutefois décidé que, malgré l’utilisation des SCC, la société n’avait pas évalué si des mesures supplémentaires étaient nécessaires pour protéger les données personnelles conformément à Schrems II.

Le BDPA a adopté ce point de vue car il considérait que les données personnelles en question risquaient d’être accessibles par le gouvernement américain. Le BDPA a déterminé que Mailchimp pouvait répondre à la définition de «fournisseur de services de communication électronique» en vertu du Foreign Intelligence Surveillance Act des États-Unis, ce qui signifie que Mailchimp pourrait être obligé de divulguer des données personnelles à la demande du gouvernement américain.[2] Les protections accordées aux données personnelles par le règlement général sur la protection des données (RGPD) ne pouvaient donc pas être assurées lorsque les données personnelles ont atteint les États-Unis. Ce type d’interprétation de Schrems II est précisément le résultat que craignaient de nombreuses entreprises multinationales lorsque Schrems II a confirmé l’utilisation des SCC, mais a jeté le doute sur l’efficacité des SCC en tant que mécanisme de transfert de données aux États-Unis.

Étapes pratiques

Il est important de noter que ni Schrems II, ni la décision BDPA, ne rendent illégaux les transferts internationaux de données à caractère personnel en dehors de l’Union européenne et vers les États-Unis. Des mesures supplémentaires peuvent être mises en œuvre pour assurer la protection de toutes les données personnelles transférées qui pourraient être soumises à l’accès du gouvernement. C’est l’incapacité de l’entreprise à évaluer la nécessité de mesures supplémentaires qui a abouti à la décision du BDPA selon laquelle les transferts de données personnelles à Mailchimp étaient contraires au RGPD.

La décision du BDPA renforce la nécessité pour les entités soumises au RGPD d’examiner attentivement leurs transferts internationaux de données. En particulier:

  • Les entreprises utilisant des processeurs de données en dehors de l’UE devraient tenir compte de l’emplacement des processeurs de données et des lois applicables dans ces juridictions afin de déterminer si les données personnelles transférées pourraient être accessibles par les entités gouvernementales; et
  • Si tel est le cas, examinez les mesures de protection supplémentaires nécessaires et mettez-les en œuvre si nécessaire. Cette décision doit être clairement documentée pour garantir une responsabilité démontrable appropriée envers les autorités de protection des données.

Le comité européen de la protection des données (EDPB) a publié des conseils sur la manière d’aborder ce processus d’examen et d’atténuation pour les transferts personnels internationaux en dehors de l’UE. Pour plus d’informations sur les orientations de l’EDPB et sur ce qui constitue des mesures supplémentaires, veuillez consulter notre alerte client disponible ici. Le bureau du commissaire à l’information du Royaume-Uni a déclaré qu’il publierait en temps voulu ses propres orientations concernant les transferts internationaux de données à caractère personnel hors du Royaume-Uni.

Jusqu’à ce que l’Union européenne et les États-Unis conviennent d’un nouveau programme de certification pour le transfert transatlantique de données, il est important que les entreprises de l’UE et des États-Unis prennent les mesures analytiques recommandées par l’EDPB afin de garantir que leur utilisation continue des SCC reste valide.