Mailchimp, Campaign Monitor, Hubspot sont-ils en conformité avec le RGPD ?

Le 25 mai 2018, c'est à dire dans moins de 100 jours, le Règlement général sur la protection de la donnée (RGPD) sera mis en application sur le territoire de l’Union Européenne pour répondre aux enjeux digitaux du XXI ème siècle incluant notamment :

  • la protection du citoyen en ligne,
  • le dynamisme économique de l’UE,
  • des considérations géostratégiques.

Ce texte copieux de 99 articles porte sur de nombreux sujets, notamment l'application du principe de privacy by design, l'établissement de relations responsabilisées entre le responsable de traitement (les entreprises) et ses sous-traitants (comme Message Business) et l'instauration de nouvelles régulations…

Mais au-delà de ces sujets majeurs, une question clé pour les entreprises est la suivante : 

si mon sous-traitant est en dehors de l'Union Européenne est-il en conformité avec le RGPD ?

Deux possibilités :

  • Il a installé des data centers en Europe et il vous garantit que les données personnelles de vos contacts y sont bien hébergées. Sur cet aspect fondamental du RGPD, Il est en conformité.
  • Il n’a pas installé de data Centers en Europe et a préféré investir dans des conseils juridiques pour analyser les possibilités et les risques associés.

C’est le cas de Mailchimp (mais aussi de Campaign Monitor, de Hubspot par exemple. Disclosure : ce sont des concurrents de Message Business). 

Autrement dit, dans les mots de Mailchimp 

Ce texte d’accompagnement est censé éclairer les utilisateurs de Mailchimp et on retrouvera peu ou prou le même genre de texte chez les autres acteurs évoqués. Nous allons compléter cet éclairage.

Il fait référence au remplacement à la hâte du Safe Harbor Act – invalidé il y a quelques années par la justice européenne – par un nouvel ensemble contractuel certes reconnu par la CNIL mais dont la validation juridique définitive dans le contexte du RGPD est dans la todo list des différentes instances de régulation nationales pour les prochains mois et années (et rappelons que ces organismes sont déjà très occupées par la mise en application du RGPD et par la rédaction de la future directive Eprivacy). 

Un autre document approfondit le sujet du RGPD chez Mailchimp, pardon, du GDPR, on l’a trouvé pour vous. Il détaille en anglais cette fois non pas la conformité de Mailchimp avec le RGPD mais distille plutôt des conseils généraux à l’attention de ses clients et des points de vue non engageants juridiquement.

Petit extrait :

Mailchimp suppose donc que la Sphère de Sécurité / Privacy Shield s’appliquera et les mettra en conformité avec le RGPD. Comme ils le rappellent ce sont des documents non engageants.

Chez Hubspot, c’est un peu la même approche.

Revenons donc aux fondamentaux alors que le 25 mai 2018 approche ! Voici nos conclusions. 

Est-ce que Mailchimp, Campaign Monitor ou Hubspot garantissent la conformité avec le RGPD à leurs utilisateurs ?

Non.

De simples documents pédagogiques détaillent des prises de position non engageantes et précisent d’ailleurs que les clients doivent, eux, être en conformité. Autrement dit, ces prestataires semblent s’affranchir discrètement de leurs obligations de sous-traitants qui sont pourtant un pilier fondamental du RGPD. Demandez à Mailchimp son registre des sous-traitants par exemple.

Est-ce que Mailchimp, Campaign Monitor ou Hubspot participent au développement économique des territoires ? 

(et plus généralement les acteurs non européens gérants de la donnée personnelle n’ayant pas investi dans des data center et des équipes en Europe)

Non, du tout !

Serveurs, équipes, savoir-faire : tout est en dehors du territoire européen.

Est-ce que Mailchimp, Campaign Monitor ou Hubspot s’interdiront de respecter la loi américaine ?

(quand il s’agira par exemple de transmettre des données à la NSA, enjeu géo-stratégique qui a été à la base de l’invalidation du Safe harbor) ?

Non bien sûr.

Les entreprises européennes traitant de la donnée personnelle et leurs sous-traitants européens font actuellement des efforts importants (et parfois salvateurs) pour tendre vers la conformité vis-à-vis du RGPD. Ces efforts payeront tant en terme d’éthique digital réclamée vigoureusement par les consommateurs, d’efficacité opérationnelle ainsi que le jour où les premiers contrôles seront menés et la jurisprudence précisée.

Alors que le règlement s'impose (à juste titre) à toutes organisations traitant de la donnée personnelle des ressortissants européens, on peut s'interroger sur la pérennité du « mécanisme » Privacy Shield mis en place hâtivement pour palier à l'invalidation du Safe Harbor et dont le spectre des protections était déjà à l'époque moins large que celui du présent RGPD. Le RGPD est une opportunité pour les organisations d'affirmer leurs démarches afin de protéger les données personnelles qui leur sont confiées ; il est dommage de brouiller cette affirmation en hébergeant ces données hors UE.

Du côté de Message Business nous nous sentons très sereins.

Nous participons activement au développement de notre écosystème digital à travers un hébergement haut de gamme basé en France, une sélection de quelques prestataires hébergeant la donnée en France soit, plus rarement, en Europe. Nous pouvons l’affirmer : Message Business est en conformité avec le RGPD. C’est déjà inscrit dans nos Conditions générales de Vente et résumé dans un document d’accompagnement à l’attention de nos clients et consultable par tous pour véritablement les accompagner dans cette évolution importante et décisive pour le futur de l’Europe.

Vincent Fournout, Guillaume Le Friant, Jean-Michel Hazera (cofondateurs Message Business)