POLITIQUE & INSTITUTIONS — Institutions

Protection des données

Mailjet, un problème pour la CNPD, pas pour l’État



La CNPD a mis fin à son contrat avec Mailjet pour l’envoi de sa newsletter. Une solution qui continuera à être utilisée par le gouvernement, les ministères et les agences, mais que le CTIE tient à l’œil, depuis son rachat par son concurrent américain en 2019. (Photo: Shutterstock)

La CNPD a mis fin à son contrat avec Mailjet pour l’envoi de sa newsletter. Une solution qui continuera à être utilisée par le gouvernement, les ministères et les agences, mais que le CTIE tient à l’œil, depuis son rachat par son concurrent américain en 2019. (Photo: Shutterstock)

La Commission nationale pour la protection des données a suspendu l’envoi de sa newsletter. En cause, son fournisseur, Mailjet, française rachetée par son concurrent américain en 2019 et qui utilise Google Cloud et AWS. La solution d’envoi d’e-mails est aussi celle de nombreux services de l’État.

«La CNPD a désinstallé Mailjet et est à la recherche d’une solution technique alternative.» En une phrase, la présidente de la Commission nationale pour la protection des données (CNPD), Tine A. Larsen, confirme que le régulateur luxembourgeois a mis fin à son contrat avec le fournisseur français de service d’envoi d’e-mails groupés.

«Français» parce que créé à Nantes en 2010, parisien depuis quelques années, mais en réalité propriété américaine depuis 2019. Le leader français a été racheté par un de ses concurrents américains, MailGun. À elles deux, les sociétés envoient des millions de mails par jour pour le compte de leurs nombreux et prestigieux clients.

Où est le problème? Depuis l’arrêt Schrems de juillet dernier, le régulateur européen, comme la CNPD, a invité toutes les entreprises à revisiter les contrats qui les liaient à des entreprises américaines pour éviter que des données personnelles se retrouvent transférées «de force» aux États-Unis sans qu’elles aient de voies de recours.

Passage au cloud

Difficile pour un régulateur de la donnée de continuer à utiliser une solution qui présente ce risque. Même si la société française a tout fait pour se conformer aux exigences: Mailjet a été la première société de ce type à obtenir la certification européenne ISO 27001 et dit aussi suivre «les grandes lignes» des recommandations de l’Association française de normalisation. La certification ISO ne s’intéresse pas à cette dimension-là (privacy shield ou transfert de données vers les États-Unis), indique BSI, la société britannique chargée de cet audit.

Mailjet a longtemps eu ses propres centres de données, ce qui fait qu’elle ne posait pas de problème pour la conservation de données personnelles. Mais devant son succès et des pics d’envoi d’e-mails, l’entreprise a dû passer au cloud, à Google Cloud d’abord, à Amazon Web Services ensuite. Selon son site internet, les données ne sont pas transférées aux États-Unis et restent stockées dans deux centres de données, en Belgique à Saint-Ghislain et en Allemagne à Francfort pour Google, et à Francfort pour Rackspace (AWS).

Elle a aussi un DPO, utilise le chiffrement de base et met régulièrement à jour son accord sur le traitement des données. Dans lequel elle publie la liste des sous-traitants avec lesquels elle a des accords. Outre le cloud dans des centres de données des Américains en Europe, elle utilise une société bulgare (Proxiad Bulgaria) et une autre indienne pour le support (Sitel India).

Mailjet est aussi la solution que propose le Centre des technologies de l’information de l’État (CTIE) au gouvernement, ministères et autres agences étatiques, qui l’utilisent largement. Pour son directeur, Patrick Houtsch, rien à redire. «Que la CNPD fasse ce choix, cela peut se comprendre. Nous, nous regardons de très près ce que fait Mailjet, mais ses garanties dans les clauses contractuelles et le fait que ses serveurs soient basés en Allemagne et en Belgique est positif. Il y a très peu de données personnelles qui passent par l’API, en dehors de l’adresse e-mail et parfois du nom et du prénom.»

Au moment où l’Europe souligne, via son commissaire européen au Marché intérieur, Thierry Breton, ou via Gaia-X, sa volonté de reprendre le contrôle de sa souveraineté, le directeur du CTIE souligne aussi la difficulté de trouver un service équivalent en Europe, qui ne soit pas d’une manière ou d’une autre relié à Google, Amazon Web Services ou Microsoft. «On voit même dans ce cas précis que recourir à un prestataire 100% européen, comme c’était le cas avec Mailjet, ne vous met pas à l’abri d’une acquisition future!»