Brevo et RGPD : guide de conformité 2026
Brevo (ex-Sendinblue) est-il conforme au RGPD ? Analyse du DPA, de l'hébergement français, et configuration recommandée.
Brevo (anciennement Sendinblue) est devenu l’une des principales plateformes d’email marketing en Europe, avec une particularité qui intéresse directement les professionnels soucieux de conformité : c’est une entreprise française, hébergée sur infrastructure française. Dans un contexte où les transferts de données hors UE restent un sujet de tension juridique permanent, cette caractéristique n’est pas anecdotique.
La plateforme traite des données personnelles de vos contacts – adresses email, noms, données comportementales (ouvertures, clics, géolocalisation), adresses IP – dans le cadre de campagnes email, SMS, WhatsApp, et de fonctionnalités CRM et marketing automation. Chacune de ces opérations constitue un traitement de données personnelles au sens de l’article 4(2) du RGPD, et doit être encadrée juridiquement.
Lors d’un entretien avec l’équipe Sendinblue (devenu Brevo), nous avons pu constater la maturité de leur approche RGPD, notamment sur la gestion des sous-traitants et l’hébergement des données en France. Cet article analyse la conformité RGPD de Brevo en détail : qualification juridique, DPA, transferts, sécurité et configuration recommandée.
Pour une vue d’ensemble sur la conformité des outils et logiciels au RGPD, consultez notre guide dédié. Vous pouvez également consulter nos analyses de Sendy et Mailchimp pour comparer les approches.
Qualification juridique de Brevo au regard du RGPD
Brevo comme sous-traitant
Lorsque vous utilisez Brevo pour envoyer vos campagnes email ou gérer vos contacts, Brevo agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Vous restez le responsable de traitement : c’est vous qui déterminez les finalités (envoyer une newsletter, prospecter) et les moyens essentiels du traitement (quelles données collecter, à qui les envoyer).
Brevo traite les données sur vos instructions, dans le cadre du service que vous avez souscrit. Cette qualification s’applique aux fonctionnalités principales : envoi d’emails, gestion de listes, segmentation basée sur vos critères, et reporting de campagnes.
Zones de vigilance : responsabilité conjointe potentielle
Certaines fonctionnalités avancées de Brevo méritent une analyse plus fine. Les fonctionnalités d’optimisation par intelligence artificielle – comme l’optimisation de l’heure d’envoi ou les recommandations de contenu – impliquent que Brevo détermine partiellement les moyens du traitement. Dans ces cas, une qualification de responsabilité conjointe au sens de l’article 26 du RGPD peut être envisagée.
Catégories de données traitées
Les données traitées par Brevo dans le cadre de vos campagnes incluent :
- Données d’identification : adresses email, noms, prénoms, numéros de téléphone (SMS/WhatsApp)
- Données comportementales : ouvertures d’emails, clics sur liens, pages visitées (tracking web), géolocalisation approximative
- Données techniques : adresses IP, type de client email, appareil utilisé
- Données de segmentation : tout attribut personnalisé que vous stockez dans Brevo (fonction, entreprise, historique d’achat, etc.)
Les personnes concernées sont vos abonnés newsletter, vos contacts marketing, et le cas échéant vos contacts transactionnels.
Analyse du DPA de Brevo
Brevo met à disposition un Data Processing Agreement (DPA) conforme aux exigences de l’article 28 du RGPD. Voici l’analyse des clauses essentielles :
| Exigence Art. 28 RGPD | Présence dans le DPA Brevo | Commentaire |
|---|---|---|
| Traitement sur instructions documentées | Oui | Les instructions sont définies par le contrat de service et les actions de l’utilisateur sur la plateforme |
| Confidentialité des personnes autorisées | Oui | Engagement de confidentialité du personnel Brevo |
| Mesures de sécurité (Art. 32) | Oui | Détaillées dans l’annexe sécurité (chiffrement, contrôle d’accès, etc.) |
| Conditions de recours à un sous-traitant ultérieur | Oui | Liste de sous-traitants publiée et mise à jour, notification des changements |
| Assistance pour les droits des personnes | Oui | Brevo s’engage à vous assister pour répondre aux demandes d’exercice de droits |
| Assistance pour les obligations de sécurité | Oui | Notification des violations de données, assistance pour les AIPD |
| Suppression ou restitution des données en fin de contrat | Oui | Suppression des données dans un délai défini après résiliation |
| Audits et inspections | Oui | Droit d’audit prévu, avec modalités pratiques encadrées |
Le DPA de Brevo est globalement complet et conforme. Un point notable : Brevo publie une liste de ses sous-traitants ultérieurs et notifie les changements, ce qui vous permet de suivre la chaîne de sous-traitance conformément à l’article 28(2) du RGPD.
L’un des atouts du DPA de Brevo est qu’il intègre directement les Clauses Contractuelles Types (CCT) de la Commission européenne pour les cas résiduels de transfert, même si l’essentiel du traitement reste en France.
Transferts internationaux et analyse d’impact sur les transferts
C’est sur ce point que Brevo se distingue le plus nettement de ses concurrents américains.
Hébergement français, pas de transfert hors UE
Brevo est une société française dont le siège est à Paris. L’infrastructure principale est hébergée chez OVH, hébergeur français certifié. Cela signifie que pour les fonctionnalités centrales de la plateforme – stockage des contacts, envoi d’emails, reporting – il n’y a pas de transfert de données hors de l’Union européenne.
C’est un avantage considérable. Depuis l’arrêt Schrems II de la CJUE (C-311/18), les transferts de données vers les États-Unis restent juridiquement fragiles. Le Data Privacy Framework (DPF) adopté en 2023 fournit un cadre, mais sa pérennité fait l’objet de recours devant la CJUE. En choisissant Brevo, vous évitez entièrement cette problématique pour votre outil d’email marketing.
Sous-traitants ultérieurs
Certains sous-traitants ultérieurs de Brevo peuvent être situés hors UE, notamment pour des services auxiliaires (support, analytics). Brevo encadre ces transferts par les CCT et des mesures supplémentaires. Mais l’essentiel – le stockage et le traitement de vos données de contacts – reste en France.
Analyse d’impact sur les transferts (TIA)
Si vous devez réaliser une TIA pour votre utilisation de Brevo, la conclusion sera favorable : pas de transfert systématique vers un pays tiers pour les données de contacts, hébergement français, entreprise soumise au droit français et européen. C’est un dossier sensiblement plus simple à constituer que pour un outil hébergé aux États-Unis.
Sécurité informatique
Brevo dispose d’un dispositif de sécurité mature, conforme aux standards du marché :
- Certifications : SOC 2 Type II et ISO 27001, attestant d’un système de gestion de la sécurité de l’information audité par des tiers indépendants
- Hébergement : OVH (France), certifié ISO 27001, HDS (Hébergement de Données de Santé) et SOC 2
- Chiffrement : chiffrement des données en transit (TLS) et au repos
- Contrôle d’accès : authentification multi-facteurs disponible, gestion des rôles et permissions
- Équipe dédiée : équipe sécurité interne, programme de bug bounty, tests d’intrusion réguliers
- Disponibilité : infrastructure redondante, plan de continuité d’activité documenté
Du point de vue de l’article 32 du RGPD, le niveau de sécurité est adapté aux risques liés au traitement de données de contacts marketing. Brevo met en oeuvre des mesures techniques et organisationnelles appropriées, ce qui facilite votre propre démonstration de conformité en tant que responsable de traitement.
Configuration recommandée pour la conformité RGPD
Voici les étapes à suivre pour configurer Brevo de manière conforme :
1. Signer le DPA
Accédez aux paramètres de votre compte Brevo et acceptez le DPA. Conservez une copie signée dans votre documentation de conformité. Ce DPA doit être en place avant tout traitement de données personnelles via la plateforme.
2. Configurer le double opt-in
Activez le double opt-in pour vos formulaires d’inscription. Cette pratique, recommandée par la CNIL, permet de s’assurer que la personne a bien consenti à recevoir vos communications et fournit une preuve de consentement robuste.
3. Mettre en place le lien de désinscription
Chaque email marketing doit contenir un lien de désinscription fonctionnel et facilement accessible. Brevo l’inclut par défaut dans ses templates, mais vérifiez qu’il est visible et qu’il fonctionne correctement. Pour vos emails transactionnels, la désinscription n’est pas requise mais un lien de gestion des préférences est recommandé.
4. Renseigner votre registre des traitements
Ajoutez Brevo dans votre registre des traitements en tant que sous-traitant, en précisant les catégories de données traitées, les finalités, la durée de conservation et la base légale applicable.
5. Configurer la durée de conservation
Définissez des règles de suppression automatique des contacts inactifs. Brevo permet de configurer des automatisations pour nettoyer vos listes après une période d’inactivité définie. Cela participe au respect du principe de limitation de la conservation (article 5(1)(e) du RGPD).
6. Paramétrer le tracking avec discernement
Le tracking des ouvertures et des clics est activé par défaut. Évaluez si vous avez réellement besoin de toutes ces données. Le principe de minimisation (article 5(1)©) impose de ne collecter que les données nécessaires. Si le tracking de géolocalisation n’est pas utile à vos finalités, désactivez-le.
7. Mettre à jour votre politique de confidentialité
Mentionnez Brevo comme sous-traitant dans votre politique de confidentialité, en indiquant les données transmises, les finalités, et le fait que les données sont hébergées en France.
Points d’attention spécifiques
Fonctionnalités IA
Brevo intègre progressivement des fonctionnalités d’intelligence artificielle (optimisation d’envoi, génération de contenu, scoring prédictif). Chaque fonctionnalité IA activée peut modifier la qualification juridique du traitement et nécessiter une analyse d’impact spécifique, notamment au regard de l’AI Act qui entre progressivement en application.
Canaux SMS et WhatsApp
L’utilisation des canaux SMS et WhatsApp via Brevo implique le traitement de données supplémentaires (numéros de téléphone, métadonnées WhatsApp). Chaque canal constitue un traitement distinct qui doit figurer dans votre registre et disposer de sa propre base légale. Pour la prospection commerciale par SMS, les règles de la directive ePrivacy (transposées en droit français à l’article L.34-5 du CPCE) s’appliquent en complément du RGPD.
Emails transactionnels vs marketing
Brevo permet d’envoyer à la fois des emails transactionnels (confirmation de commande, réinitialisation de mot de passe) et des emails marketing (newsletter, promotions). La base légale diffère : exécution du contrat pour les transactionnels (article 6(1)(b)), consentement ou intérêt légitime pour le marketing. Veillez à bien séparer ces flux dans votre configuration Brevo et dans votre registre.
Si vous combinez Brevo avec de la publicité digitale (Meta Ads, LinkedIn Ads), attention : la qualification juridique change. Les plateformes publicitaires sont des responsables conjoints, pas des sous-traitants.
FAQ
Brevo est-il conforme au RGPD ?
Oui, Brevo offre un niveau de conformité RGPD élevé. Entreprise française hébergée chez OVH en France, Brevo propose un DPA conforme à l’article 28, des certifications SOC 2 Type II et ISO 27001, et évite les transferts de données hors UE pour ses services principaux. C’est l’une des options les plus favorables du marché pour les organisations soumises au RGPD.
Brevo transfère-t-il des données hors de l’Union européenne ?
Pour les fonctionnalités centrales (stockage des contacts, envoi d’emails, reporting), non. Les données sont hébergées chez OVH en France. Certains sous-traitants ultérieurs pour des services auxiliaires peuvent être hors UE, mais ces transferts sont encadrés par les CCT et des mesures supplémentaires. Consultez la liste des sous-traitants de Brevo pour le détail.
Faut-il réaliser une analyse d’impact (AIPD) pour utiliser Brevo ?
Une AIPD n’est pas systématiquement requise pour l’envoi de newsletters classiques. En revanche, si vous utilisez des fonctionnalités de profilage avancé, de scoring comportemental, ou si vous traitez des données à grande échelle, une AIPD peut être nécessaire conformément à l’article 35 du RGPD et aux critères de la CNIL.
Pourquoi choisir Brevo plutôt que Mailchimp pour la conformité RGPD ?
Le principal avantage de Brevo est l’absence de transfert de données vers les États-Unis. Mailchimp (Intuit) transfère les données vers des serveurs américains, ce qui impose de s’appuyer sur le DPF et d’évaluer le risque résiduel lié au CLOUD Act et aux programmes de surveillance. Avec Brevo, cette problématique est éliminée. C’est un argument décisif pour les organisations qui souhaitent minimiser leur exposition juridique sur les transferts internationaux.
Brevo et HubSpot se chevauchent sur le marketing automation. Si vous utilisez les deux, vérifiez que les données ne sont pas dupliquées inutilement entre les plateformes (principe de minimisation).
Automatisez votre conformite RGPD
Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.
Decouvrir Legiscope →