Passer au contenu principal

Comprendre les mesures prises par Mailchimp pour la conformité au RGPD

Notre guide vous présente le RGPD, les mesures prises par Mailchimp pour s’y conformer, ainsi que la manière dont nous protégeons vos données et dont nous y accédons légalement aux États-Unis.

Commencer l'essai gratuit

Cette page est uniquement destinée à un usage informatif. Si vous souhaitez obtenir un avis juridique, veuillez contacter un juriste.

Mailchimp GDPR Friendly Tools
Outils compatibles avec le RGPD

Reprenons depuis le début : qu’est-ce que le règlement général sur la protection des données (RGPD) ?

Vous en avez certainement entendu parler, le RGPD est une législation européenne sur la protection de la vie privée qui est entrée en vigueur en mai 2018. Il a été conçu pour renforcer, harmoniser et moderniser la loi européenne sur la protection des données et améliorer les droits et libertés individuels, conformément à la compréhension européenne de la confidentialité en tant que droit humain fondamental.

Le RGPD réglemente la manière dont les personnes et les organisations peuvent obtenir, utiliser, stocker et partager des données à caractère personnel.

Pourquoi la protection des données est importante pour nous

Nous avons toujours accordé de l’importance à la confidentialité des données et le RGPD est la norme de référence. Mailchimp appartient à Intuit, et nous tenons à protéger les données de vos clients et à vous donner le contrôle de vos informations. Les informations que vous nous confiez vous appartiennent, à vous et à vos clients, et nous prenons cela au sérieux.

Depuis la création de Mailchimp, nous avons toujours refusé de vendre les informations personnelles de nos membres, leurs listes de diffusion ou leurs contacts. C’est pourquoi nos solides principes d’intendance des données et la mise en œuvre d’outils que vous pouvez utiliser pour aider à répondre aux exigences du RGPD nous ont permis de gagner continuellement la confiance de nos clients depuis des années.

Vous pouvez faire confiance à Mailchimp pour traiter les données de votre audience de manière responsable et sécurisée.

Quel effet cela a-t-il sur mon entreprise et sur moi-même en matière de marketing par e-mail ?

Le RGPD ne résume pas à lui seul la réglementation européenne en matière de marketing électronique. La directive ePrivacy ajoute des règles supplémentaires pour le consentement concernant le marketing par des canaux tels que le téléphone, le fax, l’e-mail et les SMS. Ces règles exigent que les entreprises obtiennent un consentement explicite pour le marketing par e-mail et par SMS.

Mailchimp adopte l’opt-in comme norme mondiale pour les e-mails envoyés par l’intermédiaire de notre service. Nous n’autorisons pas l’envoi de spam via notre plateforme, ce qui garantit la distribution de vos messages dans la boîte de réception de vos clients. Pour en savoir plus, cliquez ici.

Person using laptop

Comment Mailchimp se conforme-t-il au RGPD alors que ses serveurs sont situés aux États-Unis ?

Le RGPD impose des règles strictes sur l’envoi de données personnelles en dehors de l’UE afin de s’assurer qu’elles sont protégées quel que soit l’endroit où elles sont transférées. En tant qu’entreprise basée aux États-Unis, Mailchimp s’engage à appliquer des normes rigoureuses de protection des données pour toutes les informations de nos utilisateurs.

Comment garantir la confidentialité des données de vos abonnés européens alors que Mailchimp est une société basée aux États-Unis ? La réponse se trouve dans le Data Privacy Framework UE-États-Unis (EU-US DPF). Cet accord a été signé en juillet 2023 et il permet aux entreprises certifiées de transférer des données personnelles entre l’UE et les États-Unis.

Mailchimp est certifié selon le DPF UE-États-Unis, l’extension britannique du Data Privacy Framework UE-États-Unis et le Data Privacy Framework Suisse-États-Unis. Cela permet votre transfert de données personnelles de l’UE, du Royaume-Uni ou de la Suisse vers Mailchimp, afin que vous puissiez vous concentrer sur la croissance de votre activité avec la garantie que la confidentialité des données de vos clients est entre de bonnes mains.

Vous voulez en savoir plus sur la façon dont Mailchimp assure la sécurité de vos données ? Consultez notre certification DPF UE-États-Unis et notre politique de confidentialité globale.

Mesures de conformité de Mailchimp

Nous obtenons chaque année une certification au cadre de protection des données UE-États-Unis/Suisse-États-Unis et nous continuons à protéger les données de l'EEE, du Royaume-Uni et de la Suisse conformément au cadre de protection des données. Vous pouvez consulter ici notre certification au cadre de protection des données.

Nous avons nommé un délégué à la protection des données (DPD) pour superviser notre programme de conformité.

Nous évaluons en continu nos mesures de sécurité pour veiller à ce que toutes les données personnelles que nous collectons et traitons dans nos systèmes soient correctement protégées.

Nous veillons à ce que notre Déclaration de confidentialité mondiale explique clairement l'engagement de Mailchimp envers le RGPD, soit transparente sur la façon dont nous utilisons les données personnelles et informe les personnes sur la manière dont elles peuvent exercer leurs droits en matière de données.

Nous intégrons les clauses contractuelles types de l'UE dans notre Addendum relatif au traitement des données, lequel se rattache automatiquement à nos Conditions d'utilisation standard (le contrat qui nous lie) et s'applique aux données client protégées par les lois de l'UE.

Nous proposons à nos clients des dispositions adaptées au RGPD dans notre Addendum relatif au traitement des données, et nous actualisons nos contrats avec des fournisseurs tiers pour veiller à ce que ceux-ci respectent le RGPD.

Nous établissons des processus autour des droits liés aux données pour nous assurer de pouvoir aider les clients à répondre aux demandes qu'ils reçoivent.

Nous répondons aux demandes en matière de droits des personnes concernées en tant que responsables du traitement.

Nous effectuons des évaluations sur l'impact de la protection des données pour identifier et réduire les risques liés à nos activités de traitement.

Vous pouvez exercer vos droits en matière de RGPD sur cette page.

Person analyzing SMS settings in Mailchimp

Qu’en est-il des pays ayant des exigences supplémentaires ?

Certains pays, notamment l’Autriche, l’Allemagne et la Norvège, exigent un consentement « opt-in double » pour le marketing par e-mail. Ce processus ajoute une étape de confirmation supplémentaire pour vérifier chaque adresse électronique, démontrant ainsi une plus grande diligence dans l’obtention du consentement. Mailchimp prend en charge ces fonctionnalités pour vous aider à vous conformer aux normes les plus strictes.

Bien que le RGPD n’impose pas l’opt-in double et que certains États membres de l’UE ne l’exigent pas, nous vous recommandons d’activer cette fonctionnalité lorsque vous envoyez des communications marketing électroniques à des ressortissants de l’UE. Elle renforce la conformité et instaure un climat de confiance avec votre audience. Pour en savoir plus sur nos fonctions de double consentement, cliquez ici.

Les données provenant de l’UE doivent-elles être stockées sur le territoire européen ?

Non, les règles concernant le transfert de données personnelles en dehors de l’UE restent inchangées. Ces informations peuvent être transférées à l’étranger à condition qu’elles soient « protégées de manière adéquate. » L’UE autorise le transfert de données à l’étranger vers 16 pays qu’elle juge dotés de protections « adéquates ». Les États-Unis en font partie.

Mobile phone with "data protection" rules on screen

Comment Mailchimp se conforme-t-il au RGPD lors du transfert de données vers les États-Unis ?

Le RGPD établit des règles pour le transfert de données personnelles en dehors de l’UE, et Mailchimp adhère à cette réglementation de deux manières principales.

Nous sommes certifiés en vertu du Data Privacy Framework (DPF) UE-États-Unis, ce qui permet à Mailchimp de recevoir des données personnelles en provenance de l’UE aux États-Unis. En outre, nous utilisons des Clauses contractuelles types (CCT) dans notre Addendum sur le traitement des données. Les CCT sont des conditions standardisées approuvées par la Commission européenne qui offrent des garanties juridiques pour les transferts de données, ajoutant une deuxième base pour justifier le transfert de données personnelles à Mailchimp aux États-Unis.

Obtenez plus d’informations sur notre certification DPF UE-États-Unis ici, ainsi que sur nos transferts de données européennes ici.

Pourquoi ai-je vu des articles sur Mailchimp et le RGPD ?

En mars 2021, l’autorité bavaroise de protection des données (ATD) s’est prononcée sur l’utilisation des services de Mailchimp par une maison d’édition allemande. Il est crucial de noter que la décision ne portait pas sur les mesures de conformité de Mailchimp, mais se concentrait sur le fait que le client n’avait pas procédé à l’évaluation requise du transfert de données en vertu du RGPD.

Cette exigence est apparue avant la mise en place de l’actuel Data Privacy Framework et après que le précédent Privacy Shield UE-États-Unis a été invalidé par la Cour de justice de l’Union européenne (CJUE) en 2020 (connu sous le nom de Schrems II). Cet arrêt a engendré de l’incertitude et des implications importantes pour les entreprises qui transfèrent des données personnelles de l’UE vers les États-Unis. Il a imposé aux exportateurs de données, comme la société d’édition allemande utilisant Mailchimp, de procéder à des évaluations supplémentaires avant de transférer des données vers les États-Unis. L’ATD bavaroise a constaté que l’entreprise n’avait pas procédé à cette vérification et a donc jugé le transfert de données illégal.

La mise en place du Data Privacy Framework (DPF) UE-États-Unis en juillet 2023 a changé la dynamique des transferts de données personnelles, permettant à celles-ci de circuler de manière fluide de part et d’autre de l’Atlantique. Le DPF UE-US sert de mécanisme pour transférer légalement des données personnelles de l’UE vers Mailchimp aux États-Unis, et indique que nous respectons des normes élevées en la matière. Vous pouvez ainsi vous concentrer sur la croissance de votre entreprise et la communication avec votre audience, en sachant que vos besoins en matière de confidentialité des données sont couverts.

EU-US and Swiss-US Data Privacy Framework Certification on laptop

Qu’est-ce que cela signifie pour les clients britanniques et suisses ?

Mailchimp est certifié en vertu de l’extension britannique du Data Privacy Framework UE-États-Unis et du Data Privacy Framework Suisse-États-Unis. Vous pouvez consulter notre inscription en recherchant « Intuit » sur le registre officiel ici, et lire la page de certification du Data Privacy Framework d’Intuit ici.

En outre, si le Data Privacy Framework devait un jour être rendu caduc, Mailchimp s’engage contractuellement à transférer et à traiter toutes les données européennes de ses clients conformément aux Clauses contractuelles types (CCT), qui continuent de donner à nos clients la possibilité de transférer légalement des données soumises aux lois applicables en matière de protection des données (y compris le RGPD) en dehors de l’Europe vers Mailchimp aux États-Unis. Les CCT s’appliquent automatiquement conformément à l’addendum de Mailchimp sur le traitement des données.

Les responsabilités de Mailchimp et du client pour être en conformité avec le RGPD

Mailchimp agit en tant que sous-traitant lorsque vous utilisez notre plateforme. Nous vous aidons à stocker et à traiter les données en votre nom, conformément à vos instructions. Nos responsabilités en matière de RGPD comprennent :

  • Protéger vos données : nous avons mis en place des mesures de sécurité strictes pour protéger les informations que vous saisissez dans Mailchimp.
  • Vous informer des problèmes : en cas de fuite de données (par exemple, en cas de piratage), nous vous en informons immédiatement.
  • Fournir des outils pour respecter la réglementation : nous fournissons des fonctionnalités qui vous aident à suivre les règles du RGPD, par exemple des options telles que l’opt-in double, les liens de désabonnement et la possibilité d’exporter des données.
Mailchimp employee speaking with customers
Man using laptop

En tant que client de Mailchimp, vous agissez en tant que responsable du traitement

Cela signifie que vous déterminez les finalités et les moyens du traitement des données personnelles. Vos responsabilités en matière de RGPD comprennent :

  • Avoir une bonne raison : vous devez avoir une raison valable de collecter les informations d’une personne, par exemple si elle s’est inscrite à votre lettre d’information ou si elle a acheté quelque chose chez vous. Vous ne pouvez pas collecter des données sans raison.
  • Faire preuve de transparence : expliquez clairement aux gens comment vous utilisez leurs données. Cela se fait généralement par le biais d’une politique de confidentialité.
  • Respecter la volonté des personnes concernées : si une personne souhaite voir les informations que vous détenez à son sujet, les modifier ou les supprimer, vous devez le lui permettre.
  • Protéger également les données : vous êtes aussi responsable de la sécurité des données que vous collectez, notamment de la manière dont vous utilisez Mailchimp (par exemple, avec des mots de passe forts et la 2FA).
  • Conserver uniquement le nécessaire : ne gardez pas des informations plus longtemps que vous n’en avez besoin.

Où trouver plus d’informations sur Mailchimp et la conformité au RGPD ?

Nous avons rassemblé une liste pratique de ressources supplémentaires pour plus d’informations. N’hésitez pas à les consulter.

Que puis-je faire ?

Si vous êtes toujours préoccupé par le traitement de vos données aux États-Unis, vous pouvez contacter Mailchimp directement pour en discuter. Notre service client sera peut-être en mesure de vous fournir de plus amples informations pour répondre à vos inquiétudes spécifiques.

Parler au service commercial