Mailchimp et transfert des données en France

Si vous êtes un client Mailchimp situé dans l'espace économique européen (EEE), au Royaume-Uni ou en Su Notre annexe sur le traitement des données (DPA) a été conçue pour vous permettre de transférer vos données personnelles à Mailchimp aux États-Unis et d'autoriser Mailchimp à traiter ces données en votre nom.

Le DPA est directement intégré à nos conditions d'utilisation standard et n'exige pas de signature. En utilisant Mailchimp ou en créant un compte, vous acceptez ces conditions. Conformément aux conditions d'utilisation standard de Mailchimp et à l'annexe sur le traitement des données, chaque utilisateur s'assure que son utilisation est conforme à la législation en vigueur.

Conformité d'exportation des données de Mailchimp

L'entreprise fusées Frais LLC d/b/a Mailchimp est une entité couverte par le programme Data Framework d'Intuit et a certifié sa conformité aux réglementations de l'UE et des États-Unis. Bouclier de protection des données, l'extension britannique à l'UE-États-Unis Bouclier de protection des données et la Date de clôture de l'UE-États-Unis Bouclier de protection des données. Vous pouvez consulter notre liste en utilisant la recherche « Intuit » ici, et consulterla page sur la certification Intuit en matière de confidentialité des données.

En outre, si le cadre de confidentialité des données n'est pas valide, Mailchimp s'engage, par contrat, à transférer et traiter l'ensemble des données de ses clients au sein de l'Union européenne conformément aux conditions contractuelles standard (les « SCC »), qui continueront à donner à nos clients la possibilité de transférer légalement vos données. les données soumises aux lois en matière de protection des données (y compris le RGPD) en dehors de l'Europe vers Mailchimp aux États-Unis. Les SCC s'appliquent automatiquement conformément à l'annexe Mailchimp relative au traitement des données.

Plus d'infos sur les transferts de données

Nous savons que nos clients peuvent avoir des questions sur la conformité des transferts de données, notamment l'impact de la décision CJUE de 2020 sur les transferts de données et l'adoption par la Commission européenne des nouveaux documents SCC le 4 juin 2021. Dans cette section, nous fournirons des questions et réponses courantes.

Mailchimp permet-il de transférer des données en dehors de l'Europe ? Si oui, vers quels pays ?

Oui. Le siège social de Mailchimp est aux États-Unis, et nos serveurs sont également situés aux États-Unis. Cela signifie que les données que nous traitons peuvent être transférées, stockées ou traitées aux États-Unis. En outre, nous employons les services de fournisseurs tiers qui utilisent les données personnelles en notre nom pour fournir des services à Mailchimp, et leurs serveurs peuvent être situés en dehors de l'Union européenne.

Vous pouvez consulter la liste complète des sous-traitants que nous utilisons pour traiter les données de nos clients, ainsi que les détails de leur emplacement. Nous prenons les mesures nécessaires pour protéger les données personnelles qu'ils utilisent en notre nom, et nous nous engageons à traiter ces données conformément aux lois relatives à la protection des données en vigueur.

Quelles mesures Mailchimp a-t-il mises en œuvre pour protéger les données de ses clients françaises traitées en dehors de l'Union européenne ?

Mailchimp a mis en place un certain nombre de mesures pour garantir que les données françaises restent protégées lorsqu'elles sont transférées en dehors de l'Union européenne.

Engagements contractuels
En plus de certifier notre conformité aux réglementations de l'UE et des États-Unis Bouclier de protection des données, l'extension britannique à l'UE-États-Unis Bouclier de protection des données et la Date de clôture de l'UE-États-Unis Bouclier de protection des données, les SCC sont directement intégrées à notre Addendum sur le traitement des données. Nous spécifions également nos engagements en matière de sécurité, de confidentialité dans le traitement, de limitations aux transferts internationaux de données personnelles, de respect des droits d'accès aux données, d'avis d'incidents de sécurité, et plus encore.

Note importante : Mailchimp ne vend, loue ou n'accepte pas les données des utilisateurs.

Mesures de sécurité
Mailchimp accorde la plus grande importance à la confidentialité et à la sécurité des données de ses utilisateurs. Notre programme de sécurité et de confidentialité est mentionné en détail sur notre page Sécurité.

Voici un récapitulatif des mesures techniques et organisationnelles importantes et spécifiques que nous avons mises en œuvre (et que nous continuerons à appliquer) pour protéger contre l'accès non autorisé aux données des utilisateurs :

(1) Chiffrement
Mailchimp a, dans la mesure du possible, mis en œuvre des technologies de chiffrement au sein de son infrastructure pour protéger les données des utilisateurs contre tout accès non autorisé lorsqu'elles sont traitées en interne par Mailchimp. Par exemple, toutes les pages de production de Mailchimp utilisent la sécurité TLS, un protocole de chiffrement sécurisé, et le réseau sans fil interne de Mailchimp utilise un chiffrement WPA2 à 128 bits. De plus, l'e-mail Mailchimp (256bit), toutes les connexions VPN (256bit) et l'application de chat interne (256bit) sont également chiffrés. Les pages de connexion utilisent TLS et bénéficient d'une protection contre les armes brutes. Cela s'applique également aux applications mobiles Mailchimp et à l'API Mailchimp.

(2) Contrôles d'accès
Mailchimp restreint l'accès des tiers à son infrastructure et à ses outils internes. Notre équipe juridique évalue toutes les demandes d'accès, veille à ce que la demande soit appropriée pour les travaux à effectuer et veille à ce que le tiers respecte toutes les provisions de sécurité et de confidentialité définies dans son contrat. Une fois qu'il a été approuvé, Mailchimp accorde l'accès via des comptes contrôlés à des sections clairement définies du système.

Mailchimp veille à maintenir les niveaux de confidentialité et de sécurité les plus élevés pour nos utilisateurs. Si vous avez des questions sur notre programme de sécurité et de confidentialité, envoyez-les ici.

Conventions des fournisseurs
Nous mettons tout en œuvre pour nous assurer que nos accords avec nos fournisseurs internationaux (y compris les sous-traitants) contiennent les engagements appropriés de ces tiers concernant le transfert et le traitement des données françaises en dehors de l'Union européenne, et que nous mettons en œuvre un transfert de données approprié et licite. fournisseur (comme les articles standard du contrat) et les mesures de protection supplémentaires, le cas échéant. Les détails des sous-traitants que nous utilisons pour traiter les données de nos membres sont à jour.

Référentiel de confidentialité des données
L'engagement de fusées ou de Mailchimp est conforme aux exigences de l'UE-États-Unis. Référentiel en matière de confidentialité des données (UE-États-Unis) DPF), l'extension britannique vers l'UE-États-Unis DPF, et la Suivre (États-Unis) Framework de protection des données (Suisse-États-Unis) DPF) tel que défini par les États-Unis Département du Commerce concernant la collecte, l'utilisation et la rétention des informations personnelles transférées de l'Union européenne (UE), du Royaume-Uni (et de Gibraltar (Royaume-Uni) et de la France aux États-Unis.

Comment Mailchimp répond-il aux demandes d'informations ?

Nous examinons attentivement toutes les demandes d'informations. Nous nous engageons à ne pas communiquer à des tiers des informations relatives à un compte qui ne nous appartiennent pas, sauf si nous sommes légalement tenus de le faire. En d'autres termes, nous ne répondrons qu'à une décision de justice, une ordonnance de requête, un mandat de recherche ou tout autre processus légal valable concernant la recherche d'informations et de documents à partir d'un compte Mailchimp. Mailchimp utilise certaines règles pour répondre aux demandes d'informations, qu'elles soient adressées à une entité gouvernementale ou non :

• Nous mettons tout en œuvre pour protéger la confidentialité de nos utilisateurs.
• Dans la mesure du possible, nous demandons au demandeur de demander ces infos directement auprès des titulaires du compte concerné plutôt que de Mailchimp.
• Nous demandons au demandeur de nous fournir le plus d'infos possible afin que nous puissions identifier le bon compte utilisateur. Nous ne répondrons pas à une demande tant que nous ne disposerons pas d'informations précises et adéquates, telles qu'une adresse e-mail, des en-têtes d'e-mail, le domaine Internet, le nom d'utilisateur, l'adresse IP ou d'autres informations similaires, qui nous permettent d'identifier et de localiser le bon compte.
• En l'absence d'exception prévue par la loi en vigueur aux États-Unis, nous ne répondons qu'aux demandes envoyées dans le cadre d'une procédure légale aux États-Unis. En d'autres termes, la procédure légale (telle que la demande d'introduction, la demande de renseignements, les mandats de recherche ou les ordonnances de justice) doit être correctement établie par un saisir de l'État compétent aux États-Unis et émise conformément aux règles de procédure fédérales et/ou d'État applicables pour que Mailchimp réponde.
• Mailchimp n'accepte pas directement les demandes des entités gouvernementales en dehors des États-Unis. Nous ne répondons qu'aux demandes du gouvernement étranger faites dans le cadre d'un traité d'assistance juridique mutuelle ou d'un autre moyen diplomatique ou légal disponible pour obtenir des informations de Mailchimp.

Conformément à notre Addendum relatif au traitement des données, Mailchimp fournira aux utilisateurs étrangers une notification écrite concernant l'obligation d'accéder à leurs données, sauf si la loi nous l'interdit.

Mailchimp publie-t-il des rapports de transparence concernant les demandes d'informations ?

Afin de prouver notre engagement en matière de confidentialité et nos efforts de transparence, Mailchimp publie désormais des rapports annuels sur la transparence afin de documenter le nombre et le type de demandes légales que nous recevons. Bien qu'il y ait des restrictions sur le niveau de détail que nous pouvons fournir, nous ferons tout notre possible pour rester aussi clair que possible dans tous ces rapports.

Mailchimp reçoit-il des demandes d'informations de la part du gouvernement des États-Unis ?

Au cœur de la récente décision CJUE (et l'une des principales raisons pour lesquelles le Bouclier de protection des données a été invalidé), il y avait la déclaration d'inquiétude concernant les programmes d'assurance et de surveillance aux États-Unis au titre de la section 702, également appelé la loi FISA modifié, et du règlement exécutif 12333. . De manière générale, Mailchimp n'autorise pas les agences gouvernementales ou aux autorités (y compris l'application des lois) à accéder aux comptes Mailchimp ou à leur sujet.

Cependant, en tant que plateforme de marketing par e-mail B2B et donc comme « service de communication électronique », Mailchimp est, comme presque tous les fournisseurs de services dans le cloud aux États-Unis, le type d'entité auquel le gouvernement des États-Unis est techniquement autorisé à émettre des directives FISA conformément à la Section 702 ou à entreprendre des activités de renseignements. rassemblement sous OD 12333. En d'autres termes, Mailchimp peut être techniquement utilisé pour ce type de demande d'information obligatoire.

Nos rapports de transparence annuels documentent le nombre limité et les types de demandes juridiques reçues par Mailchimp. De plus, comme expliqué ci-dessus, nous appliquons des règlements et des procédures très précises pour répondre aux demandes d'informations relatives à l'application de la loi.

Puis-je exécuter les conditions contractuelles standard de l'UE avec Mailchimp ?

Les conditions générales du contrat sont directement intégrées dans notre Addendum en matière de traitement des données (DPA), qui fait automatiquement partie de nos conditions d'utilisation standard (le contrat que nous avons conclu avec vous) et s'applique aux données clients protégées par la législation européenne en matière de protection des données (y compris la RGPD).