Mailjet et RGPD : guide de conformité 2026
Mailjet est-il conforme au RGPD ? Analyse du DPA, de l'hébergement européen, du transfert de données et de la configuration recommandée.
- Qualification juridique de Mailjet au regard du RGPD
- La vraie question : la base légale de vos envois
- Hébergement et transferts hors UE : l’argument « européen » à nuancer
- Sécurité et responsabilité partagée
- Durées de conservation et droits des personnes
- Documenter le traitement : registre et information
- Ce qu’il faut retenir
- FAQ
Mailjet se présente volontiers comme la solution d’emailing « française », hébergée en Europe — un argument qui rassure les responsables conformité fatigués des transferts vers les États-Unis. La réalité juridique mérite une lecture plus précise : Mailjet est aujourd’hui la propriété du groupe suédois Sinch, qui l’a racheté en 2021 avec Mailgun pour environ 1,9 milliard de dollars. Origine française, capital étranger, infrastructure européenne : ce triptyque change la manière dont vous devez documenter votre conformité.
Quand vous envoyez une campagne avec Mailjet, vous traitez des adresses email, des noms, des données comportementales (ouvertures, clics, géolocalisation par IP) et parfois des données de segmentation. Chacune de ces opérations est un traitement au sens de l’article 4(2) du RGPD. Cet article fait le point sur la qualification juridique de Mailjet, son DPA, l’hébergement des données, et la configuration à retenir pour rester conforme.
Pour une vue d’ensemble, consultez notre guide sur la conformité des outils et logiciels au RGPD. Vous pouvez aussi comparer les approches de Brevo (éditeur et infrastructure 100 % français) et de Mailchimp (éditeur américain) pour situer Mailjet entre ces deux modèles.
Qualification juridique de Mailjet au regard du RGPD
Lorsque vous utilisez Mailjet pour gérer vos contacts et diffuser vos campagnes, Mailjet agit comme sous-traitant au sens de l’article 28 du RGPD. Vous restez le responsable de traitement : c’est vous qui décidez des finalités (prospecter, fidéliser, envoyer une newsletter) et des moyens essentiels (quelles données collecter, auprès de qui, pour combien de temps).
Cette qualification emporte une conséquence pratique souvent négligée : la conformité ne se sous-traite pas. Mailjet vous fournit un outil et des garanties contractuelles, mais c’est vous qui répondez de la licéité de vos envois devant la CNIL. Un DPA signé ne couvre pas un fichier de prospects acheté sans base légale.
La signature d’un contrat de sous-traitance conforme à l’article 28(3) est une obligation, pas une option. Mailjet met à disposition un Data Processing Agreement (DPA) accessible depuis votre compte, qui doit notamment préciser l’objet du traitement, sa durée, la liste des sous-traitants ultérieurs et les mesures de sécurité. Vérifiez qu’il est bien accepté et archivé : en cas de contrôle, c’est la première pièce demandée.
La vraie question : la base légale de vos envois
C’est ici que se jouent la plupart des sanctions en matière d’emailing — et Mailjet n’y est pour rien. La base légale de vos campagnes dépend de votre cible.
Pour la prospection B2C (particuliers), le principe est le consentement préalable au titre de l’article L34-5 du Code des postes et des communications électroniques, transposant la directive ePrivacy. L’opt-in doit être libre, spécifique, éclairé et univoque (Art. 6(1)(a) et 7 RGPD). Une case précochée ne vaut pas consentement. En pratique, je recommande le double opt-in : il fournit une preuve datée et horodatée, exactement ce que la CNIL exige en cas de plainte.
Pour la prospection B2B, la CNIL admet le recours à l’intérêt légitime (Art. 6(1)(f)) lorsque l’objet de la sollicitation est en rapport avec la fonction professionnelle du destinataire et que celui-ci a été informé lors de la collecte. Cette tolérance ne dispense ni de l’information (Art. 13), ni du droit d’opposition. Notre guide sur la prospection commerciale et le RGPD détaille ces régimes.
Mailjet propose des formulaires d’inscription et des widgets : ce sont d’excellents outils pour matérialiser et tracer le consentement, à condition de les configurer correctement (mention d’information visible, finalité explicite, absence de pré-cochage). Les cookies déposés par ces formulaires hébergés relèvent de l’article 82 de la loi Informatique et Libertés et peuvent nécessiter un recueil de consentement.
Hébergement et transferts hors UE : l’argument « européen » à nuancer
Mailjet héberge les données de sa plateforme sur Google Cloud Platform, dans des centres situés à Francfort (Allemagne) et Saint-Ghislain (Belgique). Pour le stockage, vous restez donc dans l’Espace économique européen : il n’y a pas, en principe, de transfert hors UE au sens du chapitre V du RGPD. C’est l’argument commercial fort de Mailjet, et il est réel.
Deux nuances doivent toutefois figurer dans votre analyse. D’abord, Mailjet appartient au groupe Sinch et partage son écosystème technique avec Mailgun, société américaine : la chaîne de sous-traitants ultérieurs (support, outils internes, fonctionnalités annexes) peut impliquer des accès depuis des pays tiers. Ensuite, Google Cloud Platform est exploité par une société de droit américain, ce qui soulève la question de l’extraterritorialité (CLOUD Act), même lorsque les serveurs sont physiquement en Europe. C’est le même débat que pour tout cloud opéré par un acteur américain.
Concrètement, lisez la liste des sous-traitants ultérieurs annexée au DPA, identifiez ceux qui sont hors UE, et vérifiez qu’ils sont couverts par une décision d’adéquation (Data Privacy Framework) ou par des clauses contractuelles types accompagnées, le cas échéant, d’une analyse d’impact du transfert. Mailjet n’est pas qualifié SecNumCloud : pour un traitement réellement sensible ou souverain, c’est un critère à intégrer.
Sécurité et responsabilité partagée
Mailjet revendique une certification ISO 27001 et des mesures de chiffrement des données en transit et au repos. Ces garanties relèvent de l’article 32 du RGPD, mais elles ne couvrent que la partie « plateforme » de l’équation. La sécurité est partagée : la gestion de vos accès, la robustesse des mots de passe, l’activation de l’authentification à deux facteurs et surtout la protection de vos clés API restent de votre responsabilité.
Une clé API Mailjet exposée dans un dépôt de code public, c’est l’intégralité de votre base contacts accessible à un tiers. J’ai vu ce scénario se produire plus d’une fois. Encadrez l’usage par une charte informatique, limitez les comptes administrateurs et appliquez le principe du moindre privilège. En cas d’incident, la chaîne de notification s’enclenche : Mailjet vous informe en tant que sous-traitant, puis vous appréciez sous 72 heures l’obligation de notifier la CNIL au titre de l’article 33.
Durées de conservation et droits des personnes
Le principe de limitation de la conservation (Art. 5(1)(e)) impose de ne pas garder indéfiniment des contacts inactifs. La CNIL retient une durée de référence de trois ans à compter du dernier contact pour les prospects. Mailjet vous permet de segmenter et de purger vos listes, mais c’est à vous de définir et d’appliquer la politique de purge — l’outil ne le fera pas à votre place.
Attention au piège des listes de suppression : les adresses désabonnées ou en erreur permanente (hard bounces) doivent être conservées, non pour les solliciter, mais précisément pour ne plus les solliciter. Cette conservation a une base légale distincte et doit être documentée. Veillez aussi au principe de minimisation : ne collectez pas dix champs quand trois suffisent.
Côté droits des personnes, Mailjet doit vous permettre de répondre aux demandes d’accès (Art. 15), d’effacement (Art. 17) et surtout d’opposition (Art. 21). En emailing, le droit d’opposition prend la forme concrète du lien de désabonnement, qui doit être présent, visible et fonctionnel dans chaque message. Un désabonnement qui n’aboutit pas est l’un des manquements les plus fréquemment sanctionnés.
Documenter le traitement : registre et information
Chaque finalité servie par Mailjet (newsletter, prospection, emails transactionnels) doit figurer dans votre registre des activités de traitement au titre de l’article 30. Indiquez Mailjet comme sous-traitant, précisez la localisation de l’hébergement et la base légale de chaque traitement.
L’information des personnes (Art. 13) doit être délivrée au moment de la collecte : identité du responsable, finalités, base légale, durée de conservation, destinataires et droits. Un lien vers votre politique de confidentialité dans le formulaire d’inscription Mailjet remplit cette obligation, à condition que la politique soit à jour et mentionne réellement l’emailing. Pour aller plus loin sur la méthode, consultez notre guide sur l’email marketing et le RGPD.
Ce qu’il faut retenir
- Mailjet est un sous-traitant (Art. 28) ; vous restez responsable de traitement. Signez et archivez le DPA, mais n’oubliez pas que la conformité de vos envois vous incombe.
- La base légale est le vrai enjeu : consentement opt-in en B2C, intérêt légitime encadré en B2B. La majorité des sanctions en emailing portent sur ce point, pas sur l’outil.
- L’hébergement est européen (Google Cloud, Francfort et Saint-Ghislain), donc pas de transfert hors UE pour le stockage — mais vérifiez la chaîne de sous-traitants Sinch/Mailgun et l’extraterritorialité du cloud américain.
- La sécurité est partagée : protégez vos clés API, vos accès et vos mots de passe ; ISO 27001 ne couvre que la plateforme.
- Documentez tout : registre Art. 30, information Art. 13, durées de conservation (3 ans pour les prospects), désabonnement fonctionnel.
FAQ
Mailjet est-il conforme au RGPD ?
Mailjet fournit les garanties attendues d’un sous-traitant conforme : DPA accessible, hébergement européen sur Google Cloud (Francfort et Saint-Ghislain), certification ISO 27001 et DPO déclaré. Mais la conformité globale dépend surtout de votre usage : base légale de vos envois, information des destinataires et gestion des durées de conservation relèvent de votre responsabilité, pas de celle de Mailjet.
Les données Mailjet sont-elles hébergées en France ?
Mailjet héberge les données de sa plateforme dans l’Union européenne, sur Google Cloud Platform, à Francfort (Allemagne) et Saint-Ghislain (Belgique) — pas nécessairement en France. Le stockage reste dans l’EEE, mais comme Google Cloud est opéré par une société américaine et que Mailjet appartient au groupe Sinch, la question de l’extraterritorialité mérite d’être documentée dans votre analyse.
Mailjet ou Brevo pour la conformité RGPD ?
Les deux sont des solutions sérieuses sur le plan de la conformité. Brevo se distingue par un éditeur et une infrastructure entièrement français, un argument fort si la souveraineté est un critère prioritaire. Mailjet offre un hébergement européen mais appartient à un groupe étranger (Sinch). Le choix dépend de votre exigence de souveraineté ; dans les deux cas, la base légale de vos campagnes reste l’élément déterminant.
Faut-il le consentement pour envoyer une campagne avec Mailjet ?
Pour la prospection auprès de particuliers (B2C), le consentement préalable est en principe requis (opt-in). Pour le B2B, la CNIL admet l’intérêt légitime si la sollicitation est en lien avec la fonction du destinataire et que celui-ci a été informé. Dans tous les cas, le droit d’opposition (lien de désabonnement) doit être respecté à chaque envoi.
Vous souhaitez recevoir nos analyses de conformité chaque semaine ? Abonnez-vous à notre newsletter pour suivre l’actualité RGPD, les décisions de la CNIL et nos guides pratiques.