Darine Fayed

// Directrice juridique

Et c’est reparti. Le paysage en constante évolution de la confidentialité des données vient une fois de plus… d’évoluer. Difficile de suivre les changements constamment apportés aux lois et règlements qui touchent votre entreprise et votre gestion des données utilisateur. Au cours des derniers mois, vous avez été de plus en plus nombreux à vous poser des questions au sujet de l’invalidation du Privacy Shield et des conséquences de cette décision sur la transmission des données des consommateurs entre l’Union européenne et les États-Unis.

Comme d’habitude, nous souhaitons vous tenir au courant de ces changements et vous aider à comprendre leurs implications. Nous avons piqué votre curiosité ? Alors poursuivez votre lecture.

Que s’est-il passé avec le Privacy Shield ?

Vous avez probablement déjà entendu parler du Privacy Shield pour les données UE-États-Unis, qui régissait depuis 2016 l’utilisation des données des consommateurs transférées entre l’Europe et les États-Unis. Les entreprises américaines pouvaient recourir à ce Privacy Shield pour valider et agréer ces transferts de données transatlantiques. En bref, ce Privacy Shield permettait aux entreprises américaines d’effectuer ces transactions.

Le Privacy Shield protège-t-il encore ces entreprises ?

Plus aujourd’hui. En effet, le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé l’adéquation de la protection assurée par le Privacy Shield pour les données UE-États-Unis. En d’autres termes, les entreprises américaines ne peuvent plus utiliser le Privacy Shield pour « autoriser » les transferts de données transatlantiques. Vous vous demandez peut-être quelles sont les conséquences pour Mailjet by Pathwire ?

Bonne question. Plusieurs clients nous ont interrogés sur l’impact de cette décision sur nos services et nos activités. Aussi, nous aimerions vous fournir plus d’informations sur la manière dont notre entreprise gère la protection des données, ainsi que sur les répercussions de la récente décision de la CJUE.

Le contexte autour de la décision de la CJUE

Sous le Règlement Général sur la Protection des Données (RGPD), des mesures de sécurité (ou de protection) doivent être mises en œuvre pour les transferts de données en provenance des pays non membres de l’Union européenne, notamment les États-Unis. Jusqu’au 16 juillet 2020, le Privacy Shield était considéré comme une mesure de protection adéquate qui remplissait les critères du RGPD pour le transfert des données personnelles vers les États-Unis.

Toutefois, le 16 juillet 2020, la CJUE a invalidé l’adéquation de la protection assurée par le Privacy Shield pour les données UE-États-Unis. Si vous souhaitez en savoir plus au sujet de cette décision, nous vous invitons à la consulter ici.

Maintenant que le Privacy Shield a été jugé insuffisant, les entreprises doivent recourir à d’autres mesures de protection pour leurs transferts de données. Parmi ces mesures, les Clauses Contractuelles Types (CCT), aussi appelées modèles de clauses, ou les règles d’entreprise contraignantes. D’autres mesures de sécurité peuvent également être requises pour assurer un niveau de protection des données équivalent à celui fourni par la loi de l’Union européenne.

Est-ce que Mailjet a mis en place des mesures de protection des données alternatives ?

Bien sûr ! Chez Mailjet by Pathwire, nous avions déjà dépassé les exigences minimales requises par le RGPD. En fait, nous avons même été la première entreprise au monde à avoir obtenu la certification d’AFNOR garantissant le respect des grands principes du RGPD. Au lieu de nous contenter d’appliquer le Privacy Shield, nous avons continué (et nous continuons) à respecter les Clauses Contractuelles Types (CCT) pour tous nos transferts de données, y compris les transferts avec les entreprises qui traitent pour nous les données personnelles de nos clients. Aujourd’hui, suite à la décision de la CJUE, ces clauses restent un mécanisme légal valide pour transférer des données conformément au RGPD. Donc si vous utilisez Mailjet, vos données sont valides et en sécurité.

Pour aller encore plus loin, nous avons mis en place des mesures de protection supplémentaires et nous veillons à respecter les exigences techniques et organisationnelles requises pour tous les transferts de données (y compris le chiffrement des données, l’agrégation des données et la séparation des clés d’accès).

Chez Mailjet by Pathwire, nous disposons d’une procédure de gestion des fournisseurs stricte qui nous permet de contrôler et d’auditer régulièrement l’ensemble de nos sous-traitants, notamment les entreprises qui traitent pour nous les données personnelles de nos clients. Tout ça pour dire que nos processus de traitement des données et nos sous-traitants sont sûrs, valides et que nous les contrôlons fréquemment. Nous effectuons également des évaluations des risques et nous avons instauré les mesures techniques et organisationnelles nécessaires à assurer la sécurité et une protection adéquate des données. Pour en savoir plus sur nos mesures de sécurité et de confidentialité, vous pouvez les consulter ici.

Alors tout est en ordre ? Ou faut-il que je fasse ou change quelque chose concernant la confidentialité des données ?

Non, vous n’avez rien à faire. Nous avons déjà mis en place toutes les mesures de protection requises. Avec Mailjet by Pathwire, vous êtes dans les règles. Nous sommes depuis toujours très soucieux de nous conformer aux réglementations sur la protection des données pour tous nos transferts de données. Chez Mailjet et Mailgun by Pathwire, nous surveillons l’évolution des mécanismes de transfert des données à l’internationale prévus par le RGPD et nous veillons à effectuer tous nos transferts dans le respect des lois en vigueur sur la protection des données.

Nous comprenons parfaitement les inquiétudes de nos clients et nous faisons tout notre possible pour garantir la sécurité de leurs données. Soyez tranquille, tant que nous existerons, nous mettrons tout en œuvre pour protéger vos données dans les règles, ainsi que leur transfert à l’étranger. Vous pouvez compter sur nous .

Vous avez d’autres questions d’ordre juridique ? N’hésitez pas à contacter nos spécialistes à l’adresse legal@mailjet.com.