Comment Safe Harbor impacte votre entreprise

En quoi consistait l’accord Safe Harbor ?

La réglementation européenne relative à la vie privée et la sécurité des données n’autorise pas le transfert des données personnelles aux ressortissants de l’UE en dehors de l’Espace Economique Européen, à moins que les pays destinataires de ces données n’offrent un niveau de protection adéquat.

L’accord Safe Harbor, qui repose tout entier sur une auto-certification des entreprises américaines, a eu pour conséquence de faciliter à ces dernières le transfert de données européennes de leurs clients vers leurs serveurs hébergés outre-Atlantique.

Cet accord avait été établi initialement par une décision de la Commission Européenne en 2000. La Commission avait jugé à l'époque qu'il garantissait un niveau de protection adéquat aux données personnelles transférées de l’Europe vers les USA.

La situation aujourd’hui

Avec l’invalidation de l’accord Safe Harbor, les transferts de données de l’Europe vers les États-Unis ne sont plus considérés comme respectant les dispositions européennes en vigueur dès lors qu’ils ne s’appuient que sur la certification Safe Harbor des destinataires des données concernées. Ces transferts sont donc illégaux.

En conséquence, tout ressortissant européen peut désormais poursuivre toute entreprise, s’il a le sentiment que l’entreprise en question n’assure pas une protection suffisante à ses données personnelles, au sens de la directive européenne 95/46/CE de 1995, et notamment si cette entreprise a procédé à un transfert de ses données personnelles vers les États-Unis sur la seule base de l’accord Safe Harbor.

Ainsi, une entreprise européenne ayant utilisé un service américain pour héberger les données personnelles de ses clients peut être la cible de poursuites. Les solutions de comptabilité, de gestion des RH, d’hébergement cloud, les CRM, les outils de collecte de données et de marketing en ligne sont notamment concernés.

Il appartient aujourd’hui à chacune des agences de protection des données nationales (CNIL et équivalentes) de déterminer si le transfert vers les États-Unis de données personnelles des ressortissants du pays membre concerné doit être ou non suspendu, sachant que d’autres normes de transfert de données que le Safe Harbor peuvent avoir été mises en place par les entreprises opérant de tels transferts, notamment des "règles d’entreprise contraignantes" ou les "Clauses contractuelles type" de l’Union Européenne.

Une des autorités allemandes de protection des données (dans le Länder de Schleswig-Holstein) a ainsi annoncé que tout transfert de données vers les USA est en l’état actuel illégal tant que la législation américaine en la matière n’aura pas changé, et a menacé les entreprises et organisations publiques qui procéderaient à de tels transferts d’amendes pouvant aller jusqu’à 300 000€. Cette position ne concerne cependant qu’une seule des autorités allemandes (il en existe une par Länd).

Le Bureau du Commissionnaire à l’Information (ICO, l’autorité britannique de protection des données) a pour sa part indiqué que "les entreprises utilisant Safe Harbor devront revoir leurs méthodes de sécurité des données transférées vers les États-Unis, afin de rentrer dans le cadre légal".

De manière générale, l’ensemble des autorités de protection des données européennes, dont la CNIL (Commission Nationale Informatique & Libertés), se sont réunies le 15 octobre dernier pour analyser les conséquences de la décision de la CJUE du 6 octobre 2015 invalidant le Safe Harbor, et ont adopté une approche commune sur cette question, en demandant aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques d’ici le 31 janvier 2016.

Suis-je concerné par l’invalidation de l’accord EU Safe Harbor ? Quel impact sur l’email marketing ?

Mailjet n’a bien sûr pas vocation à remplacer une consultation auprès d’un cabinet d’avocats spécialisés et nous vous invitons donc à vous rapprocher de votre conseil juridique habituel qui pourra seul éclairer sur votre situation personnelle.

Voici néanmoins quelques pistes dans le but de vous aider à identifier si vous êtes concerné et vous mettre en conformité avec la réglementation en vigueur le cas échéant.

D’après l’EU/EAA, vous devez d’abord déterminer le type de données que vous collectez, puisque votre entreprise gère les données récoltées et est donc responsable de leur traitement et de leur transfert (vous êtes le "Data Controller" au sens de la directive). Commencez donc par cartographier toutes les données personnelles que vous avez récoltées auprès de vos clients et prospects, directement ou via un service tiers connecté à votre entreprise, et où ces données sont stockées (localisation des serveurs d’hébergement). Attention, avec l’essor du cloud computing, de plus en plus de données sont stockées par des services tiers en ligne et le risque que ces données soient envoyées vers les États-Unis n’est pas négligeable.

Dans le cas où un ou plusieurs services tiers hébergent et/ou traitent les données personnelles de ressortissants européens depuis les États-Unis, vérifiez alors que ces prestataires garantissent un niveau de protection adéquat aux données personnelles de vos clients et prospects que vous leur transmettez : si cet engagement ne reposait jusqu’à maintenant que sur une auto-certification Safe Harbor, le transfert de données vers les services de ces prestataires hébergés aux États-Unis est dorénavant illégal et vous devez leur demander la mise en place de véritables mesures de protection conformes aux exigences européennes en la matière : à ce jour, seules la conclusion d’un contrat incluant les clauses types européennes, ou l’adoption par le prestataire de règles internes d’entreprise approuvées par les différentes autorités nationales de protection des données ("Binding Corporate Rules") permettent encore de transférer légalement des données personnelles entre Europe et États-Unis. Dans tous les cas, étudiez soigneusement les contrats qui vous seraient proposés par vos prestataires tiers, ne donnez pas votre accord à la va-vite et restez attentifs aux décisions et recommandations publiées par les autorités nationales de protection des données (en France, la CNIL) pour être sûr de ce que vous vous apprêtez à valider.

Si vous ne parvenez pas à obtenir un engagement explicite d’un prestataire de services basé aux États-Unis, la meilleure solution est de passer à un service hébergé en Europe dès que possible, pour limiter tout risque juridique ou en matière de sécurité.

Enfin, il n’est certainement pas inutile de rappeler les règles de base de l’email marketing, qui ne sont pas toujours mises en oeuvre et pourtant obligatoires en vertu de la réglementation européenne en vigueur. Comme toujours, tout message non sollicité, envoyé sous la forme d’emailing de masse par une entreprise, sera considéré comme spam et pourra faire l’objet de poursuites.

En outre, il est utile de rappeler que toutes données collectées d’après le comportement d’un client ou d’un prospect via ses emails, un site ou une application ne peuvent être utilisée à des fins marketing sans le consentement explicite du titulaire de ces données. Si cela n’est pas déjà le cas, les entreprises implantées au sein de l’UE doivent mettre à jour leurs conditions d’utilisation et politiques de confidentialité, ainsi que les formulaires utilisés pour collecter des informations clients lors de l’inscription (opt-in), afin que ces derniers donnent également leur accord pour que leurs données soient utilisées dans le cadre d’envoi d’emails marketing. Par exemple, vous ne pourrez envoyer un email personnalisé incluant la ville de résidence de votre destinataire que si et seulement si ce dernier vous a donné son accord exprès pour l’envoi d’emails marketing ET l’utilisation de données personnelles.

Et Mailjet dans tout ça ?

Conformément à notre politique de confidentialité, Mailjet dispose de serveurs exclusivement hébergés en Europe, en France pour être exacts, et respecte scrupuleusement les dispositions de la réglementation européenne en matière de protection des données personnelles.

Mailjet peut parfois être amenée, de manière spécifique, à transmettre certaines données vers des entreprises de services situées aux États-Unis, notamment aux fins d’analyse et d’amélioration dans le cadre de la lutte anti-spam, mais en pareil cas nous ne nous sommes jamais contentés de l’éventuelle certification Safe Harbor de nos cocontractants et avons veillé à ce qu’ils s’engagent à respecter la réglementation européenne à travers la signatures de DPA (Data Protection Agreements) contraignants reposant sur les clauses type européennes.

Si vous êtes déjà client de Mailjet, vos données et celles de vos propres clients ou des destinataires de vos campagnes emailing sont donc protégées et l’invalidation de l’accord Safe Harbor par la CJUE n’aura aujourd’hui aucun impact sur votre utilisation de nos services : vous pouvez continuer à envoyer vos emails avec Mailjet en toute confiance !

Vous n’êtes pas encore client Mailjet et avez des doutes sur la légalité des services que vous utilisez actuellement ? La décision de la CJUE est peut-être une bonne occasion pour vous de reconsidérer votre stratégie emailing en prenant notamment en compte la sécurité des données personnelles de vos clients : contactez-nous à contact@mailjet.com.