Les logiciels de newsletter offrent une variété de fonctionnalités qui vous permettent de créer, envoyer et suivre vos newsletters. Avant de choisir un logiciel, il est essentiel de tenir compte des règles du RGPD (Règlement général sur la protection des données), pour garantir la conformité et protéger les données personnelles de vos abonnés.
En effet quand vous utilisez des logiciels de newsletter votre organisation est "Responsable de Traitement" et l'éditeur du logiciel de newsletter est "sous-traitant" : le logiciel de newsletter traite les données personnelles de vos clients, pour votre compte et selon vos instructions.
Dans ce type de relation, le RGPD impose des obligations particulières au responsable de traitements et au sous-traitant (pour en savoir plus sur les sous-traitants, consulter notre article).
👉 C'est pourquoi, avant de choisir un logiciel de newsletter, son éditeur doit vous fournir des preuves de sa conformité au RGPD.
Principaux points de conformité RGPD à vérifier avant de choisir son logiciel de newsletter :
✅ Quelles sont les mesures de sécurité technique ?
Le logiciel doit déclarer dans le détail les mesures de sécurité techniques et organisationnelles adaptées pour se prémunir de toutes violations de données (piratage, divulgation accidentelle des données, suppression accidentelle...). Le logiciel doit avoir au minimum une page dédiée sur son site internet et doit annexer ses engagements à votre bon de commande.
Une certification ISO/IEC 27001 (Management de la sécurité de l'information) ou ISO/IEC 27701 (Protection de la Vie privée) est aussi un bon indice de conformité.
(Pour en savoir plus sur la sécurité numérique, cliquez ici)
✅ Un(e) DPO - Délégué à la Protection des Données est il(elle) désigné(e)?
Même si elle n'est pas obligatoire pour les éditeurs de ces logiciels, elle est fortement recommandée. La présence d'un DPO est un signe de conformité au RGPD de l'organisation et la preuve que certaines démarches sont mises en œuvre pour protéger les données traitées par le logiciel pour le compte de ses clients.
La désignation d'un DPO est une donnée publique consultable sur https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/
(Nos articles de blog sur la désignation d'un DPO et sur le DPO externe)
✅ Le siège de l'éditeur est-il basé en Union Européenne?
Si votre organisation est basée dans l’Union Européenne, il est préférable d’opter pour un prestataire basé dans l’UE, ou dont les serveurs sont basés en Europe. Dans le cas contraire, les données de votre newsletter vont faire plusieurs fois le tour du monde. S’il existe des transferts de données hors Union européenne, ils doivent respecter des conditions strictes (voir le point suivant).
✅ Les serveurs du logiciel sont-ils basés en Union Européenne?
Il faut tout d'abord vérifier si les serveurs sont localisés à l'intérieur ou à l'extérieur de l'Union européenne. Les transferts de données hors de l’UE sont possibles mais doivent être strictement encadrés par des Clauses contractuelles Types.
D'autant plus qu'une fois sortie de l’UE, les données peuvent être soumises à des législations étrangères parfois contradictoires avec le RGPD (le Privacy Shield américain par exemple a été invalidé par la Cour de Justice Européenne en Juillet 2020, son successeur le Data Privacy Framework est pour le moment (Septembre 2023) reconnu comme offrant un niveau de protection suffisant mais sera vraisemblablement invalidé dans les prochains mois).
Pour vérifier où sont hébergées les données il faut enquêter sur ce type de page https://www.ovhcloud.com/fr/personal-data-protection/gdpr/
Pour vérifier si votre partenaire américain a adhéré au Data Privacy Network, contrôler la liste publiée ici https://www.dataprivacyframework.gov/s/participant-search
✅ La durée de conservation des données est-elle clairement annoncée?
Quels sont les engagements de l'éditeur pendant votre utilisation du logiciel et après une période d’inactivité ? L'usage veut qu'une fois la relation commerciale inactive, l'éditeur supprime immédiatement les données, maximum 1 an après, mais dans tous les cas personne d'autre que votre organisation doit les utiliser ! A vérifier dans les CGV - CGU.
(Pour déterminer vos durées de conservation, notre article !)
Mise en application des critères :
xDPO a évalué la conformité RGPD des logiciels de newsletter les plus utilisés dans le monde : Mailchimp, Sarbacane, Sendethic, Mailjet et Sendinblue.
(la méthodologie est décrite dans cet article)
Comparaison des logiciels de newsletter les plus utilisés :
N.B : Nous avons établi cette sélection en fonction de nos propres critères d'évaluation du niveau de conformité. Notre appréciation est subjective et peut faire l'objet de critiques.
Retrouvez le rapport détaillé de notre évaluation sur simple demande par mail à l’adresse contact@xdpo.fr
👑
🥇 SendEthic :
SendEthic met en avant une gestion responsable des newsletters. Sendethic est transparent sur les mesures mises en place au sein de la société pour respecter le RGPD et les données sont hébergées dans des data centers en France. Sendethic demande les coordonnées du DPO de ses clients pour pouvoir les contacter directement en cas de violation de données personnelles. Il est aussi possible de télécharger leur registre des sous-traitants depuis le compte utilisateur.
🥈Sarbacane
Sarbacane semble impliqué dans la protection des données personnelles et est membre de l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel). Les données personnelles sont hébergées en Europe et ne font pas l'objet de flux de données hors de l'Union européenne.
Sarbacane donne une liste assez précise des mesures de sécurité qu'il met en œuvre.
🥉Mailjet
Mailjet communique sur sa conformité au RGPD et a désigné un DPO auprès de la CNIL. En 2019, Mailjet a été racheté par une société américaine, soumise au droit américain (contradiction possible entre les principes du RGPD et ceux du droit américain). Mailjet met à disposition de ses utilisateurs l'ensemble des mesures de sécurité qu'il met en œuvre.
Sendinblue
La société a désigné un DPO auprès de la CNIL et met en avant sa conformité RGPD. Les données sont hébergées par des clouds américains, bien que Sendinblue encadre sa relation avec ses hébergeurs par des clauses contractuelles types, les données confiées peuvent être soumise à la législation américaine (moins protectrice des données personnelles que le RGPD).
Mailchimp
Mailchimp appartient à la société américaine Intuit. Les données personnelles des citoyens européens sont hébergées dans les data center de Google en Europe. Les données personnelles sont soumises à la législation américaine, ce qui réduit le niveau de conformité au RGPD de Mailchimp.
👉Vous n'arrivez pas et vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous !
xDPO propose aussi une offre de formation au RGPD et en cybersécurité.
Les internautes ont aussi consulté :
Référence : CNIL - Guide du sous-traitant