Rechercher
  • xdpo

Votre logiciel d’emailing est-il conforme au RGPD ?

Dernière mise à jour : 27 sept.


Vous utilisez des logiciels d’emailing en ligne (Sendinblue, Sendethic ou Mailjet) dans vos activités de prospection commerciale ou de relation client?


Dans ce cas, votre organisation est le Responsable de Traitement et l’éditeur du logiciel d’emailing est le Sous-Traitant de données personnelles.


En tant que Responsable du Traitement, l'article 28 du RGPD vous oblige à vérifier que votre logiciel d'emailing "présente des garanties suffisantes" .../... et que votre relation est "régie par un contrat".


👉 D’où la question : Comment s’assurer que votre logiciel d’emailing "présente des garanties suffisantes" et que - par voie de conséquence - vous êtes conforme au RGPD?

(Pour en savoir plus sur la conformité RGPD, voir notre article)


Pour vous aider dans cet exercice difficile, nous vous proposons :

La liste des 10 points de conformité RGPD à valider.

• Une évaluation de la conformité RGPD de cinq logiciels d’emailing rencontrés chez nos clients : Sarbacane, Sendethic, Sendinblue, Mailjet et Mailchimp.


Bonne lecture !



Quels sont les 10 points de conformité RGPD à vérifier ?


La liste n’étant pas exhaustive en ce sens qu’on compte une quinzaine de critères dans le Guide du sous-traitant de la CNIL. Seulement, nos dix critères identifiés nous semblent cruciaux pour votre conformité, avec des risques associés différents (par exemple, le risque encouru en cas de non-confidentialité des données personnelles est plus important que la non-communication de l’identité du DPO).


1️⃣Est-ce que le sous-traitant s’engage à prendre en compte le privacy par design et privacy par default ? (Protection de la vie privée dès la conception et protection de la vie privée par défaut. Article 25 du RGPD).


Le Privacy by Design implique une prise en compte de la protection de la vie privée des utilisateurs avant le traitement proprement dit des données personnelles. Le privacy by default quant à lui intervient a posteriori et implique la protection de la vie privée par défaut, pendant le traitement des données personnelles. Les sous-traitants que nous avons identifiés, sont tous conformes sur ces principes consacrés dans le RGPD ; ce qui nous semble louable dans la mesure où le respect de la vie privée est fondamental en matière de protection des données personnelles.


2️⃣ Est-ce que la nature des opérations, les finalités des opérations et les catégories de personnes concernées sont définies ? (Article 28 alinéa 3 du RGPD)


Nous avons constaté que certains sous-traitants collectent les données sans donner des précisions claires sur les finalités. C’est le cas de la sous-traitance effectuée par de Mailjet dont il ressort que : « Les données à caractère personnel sont collectées pour permettre l’exécution d’un contrat avec le client ». Cette disposition est vague en ce sens que Mailjet aurait dû préciser clairement que « la collecte des données a pour finalité l’envoi des courriels ». C’est ce défaut de clarté qui nous a amenés à conclure la non-conformité de Mailjet sur ce point.


3️⃣Est-ce que le sous-traitant se rassure de la confidentialité des données personnelles traitées dans sa structure ? (Article 28 alinéa 3b du RGPD)


La confidentialité des données consiste à garder les données secrètes et d'empêcher leur accès par des personnes non concernées. Nous avons fait le constat selon lequel tous ces sous-traitants accordent une importance à la non-divulgation des données personnelles et par ricochet au respect de la vie privée.


4️⃣Est-ce que les mesures techniques et organisationnelles sont mises en place ? (Article 32 du RGPD et article 122 alinéa 3 de la Loi informatique et des libertés)


Les mesures techniques et organisationnelles ont pour objectif de garantir un niveau de sécurité adapté au risque. Les sous-traitants identifiés sont tous conformes. Sachant que l’obligation de sécurité a pour corollaire la confidentialité des données, c’est rassurant de savoir que les sous-traitants de nos clients garantissent un niveau de sécurité adapté au risque numérique.

(Pour en savoir plus sur la sécurité des données, notre article !)


5️⃣Est-ce que le responsable de traitements est informé en cas de violation, de contrôle des autorités ou de demande d’exercice de droits? (Articles 12 à 21 du RGPD)


Le principe de la transparence du RGPD exige que toute information soit transmise à la personne concernée, en cas de traitement des données personnelles. Nous avons constaté que certains sous-traitants restent silencieux sur la question; d’où la non-conformité.


6️⃣Est-ce que le sort des données à l’issue de la collaboration est précisé ? (Suppression ou anonymisation des données personnelles)(Article 28 alinéa 3g du RGPD)


En matière de protection des données personnelles, le principe est la suppression ou l’anonymisation des données personnelles à la fin du contrat. Sur ce point, tous les sous-traitants identifiés sont conformes à l’exception de Sendinblue qui ne fait pas allusion au sort des données personnelles. Par conséquent, Sendinblue est non conforme sur ce point.


7️⃣Est-ce que le Responsable de traitement est informé en cas de transfert des données personnelles hors UE ? (Article 44 du RGPD)


Le transfert de données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) est possible (pour en savoir plus), à condition d’assurer un niveau de protection des données suffisant et approprié. Tous les sous-traitants sont conformes sur ce point.



8️⃣ Est-ce qu’un DPO est nommé et déclaré à la CNIL ?

L’un des signes de conformité au RGPD est le fait de désigner un DPO à la CNIL. Nous avons constaté que tous les sous-traitants identifiés ont fait une désignation de leur DPO auprès de la CNIL à l’exception de MAILCHIMP. Voir https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/


9️⃣ Est-ce qu’un Registre de traitements est établi pour le compte du Responsable de traitements ? (Article 30 alinéa 2 du RGPD)


Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous, en qualité de Responsable de Traitement, faites avec les données personnelles. Cette obligation pèse à la fois sur le Responsable de traitement et sur le sous-traitant. Sur ce point, aucun sous-traitant n’est conforme.

(Pour en savoir plus sur la rédaction d'un registre de traitement, notre article de blog)


🔟 Est-ce que l’information nécessaire est fournie à la collecte des données ? (Article 13 du RGPD)


Il est fondamental d’informer les personnes concernées lors de la collecte directe des données personnelles. A l’exception de Sarbacane qui fournit des informations lors de la collecte des données, les autres sous-traitants semblent ignorer cette obligation d’information qui leur est due et sont par conséquent non conformes sur ce point.

(L'information des personnes est une des 10 règles d'or du RGPD !)


Quel est le bilan de notre étude comparative ?


A titre d'illustration nous avons passé les logiciels d'emailing les plus utilisés par nos clients au crible de ces critères.

Il en ressort un podium constitué de Sarbacane, Sendethic et Sendinblue, la marche étant fermée par Mailjet et Mailchimp

Cette étude est subjective mais elle donne une bonne indication des logiciels de mailing conformes.


👉Vous voulez les détails de notre évaluation? Un rapport détaillé est disponible sur simple demande par mail à l’adresse contact@xdpo.fr



N.B : Nous avons établi ce Benchmark mailer en fonction de nos propres critères d'évaluation du niveau de conformité. Notre appréciation est subjective et peut faire l'objet de critiques.


Le bilan détaillé est disponible sur simple demande par mail




Vous n'arrivez pas et vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous!


xDPO propose aussi une offre de formation au RGPD et en cybersécurité.



Les internautes ont aussi consulté dans le Blog


75 vues0 commentaire