top of page
  • xdpo

Votre logiciel de newsletter est-il conforme au RGPD ?

Dernière mise à jour : il y a 2 jours





Vous utilisez d'ores et déjà un logiciel de newsletter ou vous prévoyez d'en utiliser un? Vous souhaitez en changer ?


⚠️ Lorsque vous utilisez ces logiciels vous êtes "Responsable de Traitement" et l'éditeur du logiciels en ligne est "sous-traitant" : ces logiciels traitent de données personnelles pour votre compte et selon vos instructions.

Or le RGPD donne des obligations dans cette relation responsable de traitements & sous-traitant (pour en savoir plus sur les sous-traitants, consulter notre article).


👉C'est pourquoi il est important que vous choisissiez votre logiciel en fonction de vos besoins, de vos contraintes budgétaires, mais également en fonction des preuves de conformité que ces logiciels peuvent donner.


Mais quelles preuves peuvent donner ces logiciels d'emailing?


👍Dans cet article xDPO a évalué la conformité RGPD des logiciels de newsletter les plus utilisés du marché : Mailchimp, Sarbacane, Sendethic, Mailjet et Sendinblue.


A l'issue de cet article, vous saurez :



1️⃣ Quels sont les avantages d'un logiciel de newsletter ?


Les avantages sont multiples:


Premièrement pour gagner du temps : le logiciel permet d'importer de nombreux contacts, de les séparer si vous adressez des mailing différents selon vos cibles, mais aussi de créer des modèles et de les personnaliser (par exemple, ajouter le nom du destinataire dans le titre ou dans le corps du mail).


Deuxièmement pour optimiser la délivrabilité des mails : Envoyer des centaines de mails par votre boite mail classique augmente fortement le risque que votre mail tombe dans les spams et qu'il ne soit jamais lu. D'autant plus que ces logiciels vous permettent de savoir qui a ouvert votre mail, s'il y a eu des clics ou qui a cliqué sur quoi.


Troisièmement pour respecter le droit de retrait du consentement de vos destinataires : lorsque vous prospectez par mail, le destinataire à donner son consentement au moment où vous avez collecté ses coordonnées. Mais il dispose d'un droit de retrait de ce consentement à tout moment, il se matérialise généralement par le bouton "se désabonner" à la fin des mails. Le logiciel de newsletter vous permet de respecter ce droit en bloquant l'envoi de la campagne de mailing à toute personne s'étant déjà désabonné.




2️⃣ Quels sont les principaux points à vérifier avant de choisir son logiciel

de newsletter?


✅ Le niveau de sécurité technique mis en place : un sous-traitant doit prendre en compte des mesures de sécurité techniques et organisationnelles adaptés pour se prémunir de toutes violations de données (piratage, divulgation accidentelle des données, suppression accidentelle....).

(Pour en savoir plus sur la sécurité numérique, cliquez ici)


✅ La présence d'un DPO : malgré que la désignation d'un DPO ne soit pas forcement obligatoire pour les entreprises éditrices de ces logiciels, en revanche elle est fortement recommandé. D'autant plus que la présence d'un DPO est un indice pour évaluer le niveau de maturité au RGPD.

(Nos articles de blog sur la désignation d'un DPO et sur le DPO externe)


La transparence sur la conformité RGPD : la nature des opérations, les finalités des opérations, les catégories de personnes concernées et les type de données sous-traitées... doivent être clairement identifié. D'autant plus une entreprise qui communique sur la protection des données prouve une certaine sensibilité pour cette question.


✅ La conservation et suppression des données : la règle veut qu'une fois la relation commerciale finie avec la société éditrice de ces logiciel de newsletter alors les données que vous leur avez confié doivent être supprimées ou anonymisées.

(Pour déterminer vos durées de conservation, notre article !)


✅ Un engagement de confidentialité : vos destinataires ont consenti que vous (et uniquement vous !) puissiez collecter et traiter leurs données personnelles. Vous les confiez a votre sous-traitant mais celui-ci ne doit pas pouvoir les réutilisez pour son propre compte ou les transmettre à d'autres.

✅ Les flux de données hors de l'Union européenne : Les transfert de données hors de l’Union européenne sont possibles mais doivent respecter des conditions strictes. D'autant plus qu'une fois sortie de l'Union européenne, les données peuvent être soumises à des législations étrangères (parfois assez intrusive !).


✅ Un registre de traitement pour le compte du responsable de traitement : Le sous-traitant doit vous fournir un registre des activités de traitement qu'il met en œuvre pour votre compte. C'est un élément de conformité à prendre en compte.

(Le registre de traitement, un élément essentiel de votre conformité)



3️⃣ Notre sélection


Tableau comparatif des logiciels de newsletter les plus utilisés


👉Vous voulez les détails de notre évaluation ? Un rapport détaillé est disponible sur simple demande par mail à l’adresse contact@xdpo.fr


N.B : Nous avons établi cette sélection en fonction de nos propres critères d'évaluation du niveau de conformité. Notre appréciation est subjective et peut faire l'objet de critiques.


👑

🥇 SendEthic :


SendEthic met en avant une gestion responsable des newsletters. Sendethic est transparent sur les mesures mises en place au sein de la société pour respecter le RGPD. Les données sont hébergées dans des data centers en France. Sendethic demande les coordonnées du DPO de ses clients pour pouvoir les contacter directement en cas de violation de données personnelles. Il est aussi possible de télécharger leur registre des sous-traitants depuis le compte utilisateur.

https://www.sendethic.com/



🥈Sarbacane


Sarbacane semble impliqué dans la protection des données personnelles et est membre de l'AFCDP. Les données personnelles sont hébergées en Europe et ne font pas l'objet de flux de données hors de l'Union européenne.

Sarbacane donne une liste assez précise des mesures de sécurité qu'elle met en œuvre.

https://www.sarbacane.com/



🥉Mailjet


Mailjet communique sur sa conformité au RGPD et a désigné un DPO auprès de la CNIL. Depuis 2019, Mailjet a été racheté par une société américaine et est soumise au droit américain. Mailjet met à disposition de ses utilisateurs l'ensemble des mesures de sécurité qu'elle met en œuvre.

https://www.mailjet.com/fr/


Sendinblue


La société a désigné un DPO auprès de la CNIL et met en avant sa conformité RGPD. Les données sont hébergées par des clouds américains, bien que Sendinblue met encadre sa relation avec ses hébergeurs par des clauses contractuelles types, les données confiées peuvent être soumise à la législation américaine (moins protectrice des données personnelles).



Mailchimp


Mailchimp appartient à la société américaine Intuit. Les données personnelles des citoyens européens sont hébergées dans les data center de Google en Europe. Malgré tout, les données personnelles sont aussi soumises à la législation américaine.




Vous n'arrivez pas et vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous!


xDPO propose aussi une offre de formation au RGPD et en cybersécurité.



Les internautes ont aussi consulté dans le Blog

Voir aussi : Le guide du sous-traitant de la CNIL

rgpd-guide_sous-traitant-cnil
.pdf
Download PDF • 597KB

58 vues0 commentaire
bottom of page