Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
Marketing Digital

Mixpanel et RGPD : guide de conformité 2026

Mixpanel et RGPD : consentement obligatoire, hébergement UE, transferts et obligations. Le guide pour configurer Mixpanel sans risque.

Beaucoup d’équipes produit installent Mixpanel comme elles installeraient un simple compteur de visites. C’est une erreur de qualification. Mixpanel n’est pas un outil de mesure d’audience : c’est du product analytics, qui suit chaque utilisateur individuellement, le relie d’un appareil à l’autre et construit un profil persistant pouvant contenir jusqu’à 2 000 attributs. Cette différence change tout au regard du RGPD. Voici pourquoi, et comment le configurer sans vous exposer.

Mixpanel n’est pas Matomo : pourquoi la qualification est décisive

La première question n’est pas « Mixpanel est-il conforme ? » mais « que fait réellement l’outil ? ». Un outil de mesure d’audience classique compte des pages vues et produit des statistiques agrégées. Mixpanel fait l’inverse : il repose sur un identifiant unique (le distinct_id) qui rattache chaque événement à une personne, fusionne les sessions et les appareils d’un même individu, et alimente un profil utilisateur enrichi (e-mail, ville, pays, propriétés métier). Par défaut, le SDK collecte aussi des « default properties » : adresse IP et localisation déduite, système d’exploitation, type d’appareil.

Autrement dit, Mixpanel traite des données à caractère personnel au sens de l’Art. 4(1) du RGPD, et le fait au niveau individuel. Dans la relation contractuelle, votre entreprise est responsable de traitement au sens de l’Art. 4(7) : c’est vous qui décidez des finalités (analyser le parcours, mesurer l’activation, segmenter). Mixpanel Inc., société américaine basée à San Francisco, agit comme sous-traitant au sens de l’Art. 28, qui traite les données sur vos instructions.

L’angle mort n°1 : l’exemption de consentement CNIL ne s’applique pas

C’est l’erreur la plus coûteuse. Depuis la réforme applicable au 1er janvier 2026, la CNIL a remplacé sa liste publique de solutions exemptées par un dispositif d’auto-évaluation : chaque éditeur doit démontrer que son outil remplit les conditions de l’exemption de consentement prévue à l’article 82 de la loi Informatique et Libertés. Or ces conditions sont, par construction, incompatibles avec le fonctionnement de Mixpanel.

Pour être exempté, un traceur doit servir exclusivement à la mesure d’audience pour le compte de l’éditeur, produire des statistiques anonymes, ne pas croiser les données avec d’autres traitements et ne pas permettre le suivi global de la personne entre applications ou sites. Mixpanel échoue sur chacun de ces points : le suivi est nominatif (distinct_id), les profils croisent les données comportementales avec des attributs identifiants, et le suivi cross-device est précisément la fonctionnalité vendue. Conclusion : le consentement préalable de l’internaute est obligatoire avant tout dépôt et toute collecte par Mixpanel.

En pratique, cela impose de déployer une plateforme de gestion du consentement (CMP) et de bloquer l’initialisation du SDK Mixpanel tant que l’utilisateur n’a pas consenti. Un consentement valable suppose un acte positif, libre, spécifique et univoque : pas de cases pré-cochées, pas de dépôt avant le clic. Les exigences détaillées d’un consentement RGPD valable s’appliquent intégralement, comme pour n’importe quel traceur soumis au régime cookies. C’est ce qui distingue Mixpanel d’un Matomo correctement configuré, qui peut, lui, viser l’exemption.

Base légale et information : ce que le consentement cookies ne suffit pas à couvrir

Le consentement de l’article 82 (la couche « cookies/traceurs ») et la base légale du RGPD (la couche « traitement de données ») sont deux étages distincts. Pour la plupart des usages analytiques fondés sur le consentement, l’Art. 6(1)(a) servira de base. Mais si vous poussez vers Mixpanel des données issues de votre back-office (statut d’abonnement, valeur client, événements serveur), interrogez-vous : l’intérêt légitime de l’Art. 6(1)(f) est-il mobilisable, et avez-vous mené la mise en balance ?

Côté transparence, votre mention d’information de l’article 13 doit nommer Mixpanel comme destinataire/sous-traitant, indiquer les finalités d’analyse, la durée de conservation et l’existence de transferts hors UE. Omettre de citer l’outil est le défaut d’information le plus fréquent — et celui que la CNIL relève le plus facilement.

Transferts hors UE : l’hébergement par défaut est américain

Par défaut, un projet Mixpanel est hébergé aux États-Unis (domaine mixpanel.com) et les données quittent donc l’Union. Ce transfert hors UE relève du chapitre V du RGPD (Art. 44 et suivants). Mixpanel l’encadre via son DPA (mis à jour en septembre 2024) intégrant les clauses contractuelles types, et s’appuie sur l’adéquation reconnue par le EU-US Data Privacy Framework (décision de la Commission du 10 juillet 2023).

Attention toutefois : ce cadre reste juridiquement contesté. Le Tribunal de l’Union européenne a rejeté le recours Latombe le 3 septembre 2025, mais un pourvoi demeure pendant devant la Cour de justice. Comme société américaine, Mixpanel reste par ailleurs dans le champ du CLOUD Act. La recommandation pratique : conserver les clauses contractuelles types comme filet de sécurité et documenter une analyse de transfert.

La parade la plus propre existe : Mixpanel propose un programme de résidence des données dans l’UE, sans surcoût. Les données sont alors stockées sur Google Cloud, région europe-west4 (Eemshaven, Pays-Bas), via le point d’entrée eu.mixpanel.com. Deux pièges de mise en œuvre : il faut configurer le SDK pour pointer vers l’endpoint EU (faute de quoi les données repartent aux États-Unis), et pour les projets EU créés depuis le 18 août 2025, aucune donnée n’est ingérée tant que le SDK n’envoie pas vers l’endpoint européen. Même hébergé dans l’UE, Mixpanel reste américain : Google Cloud devient sous-traitant ultérieur, à inscrire dans votre cartographie au même titre qu’AWS, Azure ou un autre cloud.

Profilage, données sensibles et minimisation

Mixpanel sert à construire des cohortes et des segments comportementaux : c’est du profilage au sens de l’Art. 4(4). Tant que ces segments alimentent vos analyses, le régime reste classique. Mais si un segment Mixpanel déclenche automatiquement une décision produisant des effets significatifs (suspension de compte, refus, tarification individualisée), vous entrez dans le champ de l’article 22 du RGPD sur la décision automatisée, qui exige des garanties spécifiques.

Le principe de minimisation de l’Art. 5(1)© doit guider votre plan de tracking : chaque propriété envoyée doit être justifiée par une finalité. Un profil pouvant accueillir 2 000 attributs, la tentation de « tout logguer » est forte — et dangereuse. Surveillez particulièrement les champs libres et les événements qui pourraient charrier des données sensibles au sens de l’Art. 9 (santé, opinions, orientation) : leur traitement est en principe interdit hors exception. Ne poussez jamais de mot de passe, de numéro de carte ou de donnée de santé dans un événement analytique.

Sécurité, droits et registre : vos obligations résiduelles

La sécurité de l’Art. 32 est une responsabilité partagée. Mixpanel sécurise l’infrastructure ; vous gérez les accès. Le risque le plus courant n’est pas une faille de l’éditeur mais un projet partagé sans MFA, ou une clé d’API exposée dans le code front : exposée, elle compromet l’ingestion. Activez l’authentification forte, appliquez le moindre privilège, et révoquez sans délai les accès des partants.

Côté droits des personnes, Mixpanel fournit des API pour répondre aux demandes : le droit d’accès de l’Art. 15 et le droit à l’effacement de l’Art. 17 doivent pouvoir être exercés sur un profil identifié par son distinct_id. Encore faut-il être capable de relier une identité réelle à cet identifiant — anticipez-le. La durée de conservation de l’Art. 5(1)(e) doit être définie et purgée ; ne conservez pas des profils comportementaux indéfiniment.

Enfin, n’oubliez pas la paperasse qui tient la conformité : inscrivez le traitement dans votre registre des activités de traitement (finalité, sous-traitant Mixpanel, transferts, durées), récupérez et archivez le DPA Art. 28(3), et intégrez l’outil à votre procédure de notification de violation de données sous 72 heures (Art. 33). Cartographier finement chaque outil SaaS, ses sous-traitants ultérieurs et ses flux de données est exactement le type de travail que Legiscope automatise.

Ce qu’il faut retenir

  • Mixpanel n’est pas un outil de mesure d’audience : c’est du product analytics nominatif et cross-device, qui ne remplit pas les conditions de l’exemption CNIL. Le consentement préalable via une CMP est donc obligatoire.
  • Votre entreprise est responsable de traitement (Art. 4(7)) ; Mixpanel est sous-traitant (Art. 28). Récupérez et archivez le DPA, citez l’outil dans votre information Art. 13.
  • Par défaut, l’hébergement est américain (transfert chapitre V encadré par le DPF + CCT). Activez le programme de résidence UE (eu.mixpanel.com, Pays-Bas) et vérifiez que le SDK pointe vers l’endpoint européen.
  • Appliquez la minimisation : justifiez chaque propriété, bannissez les données sensibles (Art. 9) des événements, définissez une durée de conservation.
  • Sécurisez les accès (MFA, clés d’API), prévoyez l’exercice des droits sur le distinct_id, et inscrivez le traitement au registre Art. 30.

FAQ

Faut-il une bannière cookies pour utiliser Mixpanel ?

Oui. Contrairement à un outil de mesure d’audience exempté, Mixpanel suit les utilisateurs de façon nominative et cross-device : il ne remplit pas les conditions d’exemption de la CNIL. Le consentement préalable de l’internaute, recueilli via une CMP qui bloque le SDK jusqu’au clic, est donc requis au titre de l’article 82 de la loi Informatique et Libertés.

Mixpanel est-il conforme au RGPD ?

Mixpanel fournit les briques nécessaires (DPA conforme à l’Art. 28, clauses contractuelles types, API pour les droits des personnes, résidence UE optionnelle). Mais la conformité dépend surtout de votre configuration : consentement, choix de l’hébergement, minimisation des données collectées et information des personnes relèvent de votre responsabilité de responsable de traitement.

Comment éviter le transfert de données vers les États-Unis ?

Activez le programme de résidence des données dans l’UE, qui stocke les données sur Google Cloud aux Pays-Bas via le point d’entrée eu.mixpanel.com. Vérifiez impérativement que vos SDK et appels d’API pointent vers l’endpoint européen : à défaut, les données continuent d’être traitées aux États-Unis malgré l’option activée.

Quelle base légale pour Mixpanel ?

Pour la collecte analytique soumise au consentement cookies, la base légale du traitement est généralement le consentement (Art. 6(1)(a)). Si vous enrichissez les profils avec des données issues de votre système d’information, l’intérêt légitime (Art. 6(1)(f)) peut être envisagé, à condition de mener et de documenter la mise en balance des intérêts.