RGPD et Brevo, ex-Sendinblue (email marketing)

Brevo (ex-Sendinblue) est-il conforme au RGPD ?

Brevo, société française dont les données sont hébergées dans l'Union européenne, simplifie la conformité RGPD par rapport aux outils américains : pas de transfert hors UE à justifier pour le traitement principal. Mais les obligations de fond demeurent : opt-in explicite pour la newsletter, lien de désinscription, signature du DPA et mention dans la politique de confidentialité.

Les 6 étapes pour utiliser Brevo en conformité RGPD :

  1. Recueillir le consentement par une case à cocher non pré-cochée, avec une information claire sur la finalité
  2. Activer le double opt-in dans Brevo pour conserver une preuve solide du consentement
  3. Vérifier la présence d'un lien de désinscription fonctionnel dans chaque campagne
  4. Signer le Data Processing Agreement (DPA) de Brevo, conformément à l'article 28 du RGPD
  5. Déclarer Brevo comme sous-traitant dans la politique de confidentialité (finalité, durée, droits)
  6. Purger les contacts inactifs selon la recommandation CNIL (3 ans après le dernier contact)

Brevo (anciennement Sendinblue) est la principale plateforme française d'email marketing et de CRM. Société fondée à Paris, elle annonce héberger les données de ses clients dans l'Union européenne : un argument de poids face aux plateformes américaines comme Mailchimp, puisqu'il n'y a pas de transfert hors UE à justifier pour le traitement principal au titre du chapitre V du RGPD.

Attention toutefois à ne pas confondre simplicité et dispense : choisir un outil européen ne rend pas conforme par magie. L'opt-in explicite des abonnés, la preuve du consentement, le lien de désinscription, la signature du DPA et la mention de Brevo dans votre politique de confidentialité restent entièrement à votre charge en tant que responsable de traitement.

Générer ma politique RGPD BrevoVoir tous les modèles RGPD

Un sous-traitant français hébergé en UE : ce que cela simplifie

Brevo est une société française dont le siège est à Paris et qui annonce héberger les données de ses clients dans des centres de données situés dans l'Union européenne. Concrètement, pour le traitement principal, vous n'avez pas de mécanisme de transfert hors UE à documenter dans votre politique de confidentialité — là où Mailchimp ou HubSpot imposent de mentionner le Data Privacy Framework ou les Clauses Contractuelles Types pour les flux vers les États-Unis.

Cet avantage ne dispense d'aucune obligation de fond : Brevo reste un sous-traitant au sens de l'article 28 du RGPD, à déclarer dans votre politique de confidentialité et votre registre des traitements, avec un contrat écrit (le DPA de Brevo). Vérifiez par ailleurs la liste de ses sous-traitants ultérieurs dans sa documentation contractuelle : certains services annexes peuvent impliquer des prestataires établis hors UE, à mentionner le cas échéant.

Opt-in, preuve du consentement et désinscription

L'inscription à une newsletter repose sur le consentement (article 6.1.a du RGPD) : une case à cocher non pré-cochée, accompagnée d'une information claire sur la finalité et du rappel du droit de se désinscrire à tout moment. Le double opt-in, intégré nativement à Brevo, n'est pas obligatoire en droit français mais constitue la meilleure preuve d'un consentement valide — et c'est à vous qu'incombe la charge de cette preuve (article 7 du RGPD).

Conservez les éléments de preuve : date et source de l'inscription, version du formulaire et du texte de consentement affiché au moment de la collecte. Brevo horodate les inscriptions ; archivez en complément des captures de vos formulaires à chaque modification de leur libellé.

Chaque campagne doit comporter un lien de désinscription fonctionnel, et la désinscription doit être effective sans délai. Si vous synchronisez Brevo avec un CRM ou une boutique en ligne, propagez l'opposition dans tous vos outils : une personne désinscrite ne doit plus recevoir de prospection, quel que soit le canal d'envoi.

Déclarer Brevo dans la politique de confidentialité et limiter la conservation

Votre politique de confidentialité doit mentionner Brevo comme sous-traitant : finalité (envoi de newsletters et d'emails transactionnels), base légale, données traitées (adresse email, prénom, comportements d'ouverture et de clic si le suivi est activé), durée de conservation et modalités d'exercice des droits. Le suivi des ouvertures et des clics repose sur des pixels et des liens traqués intégrés aux emails : mentionnez-le explicitement, et signalez la possibilité de le désactiver si vous choisissez cette mesure de minimisation.

Côté conservation, appliquez la recommandation de la CNIL : ne pas conserver les données de prospects au-delà de trois ans après le dernier contact émanant de la personne. Mettez en place une purge régulière des contacts inactifs dans Brevo et documentez cette règle dans votre registre des traitements. Les abonnés conservent par ailleurs leurs droits d'accès, de rectification et d'effacement, à exercer via le point de contact indiqué dans votre politique.

Générez votre document en 5 minutes

Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.

Générer ma politique RGPD Brevo

Questions fréquentes

Choisir Brevo plutôt que Mailchimp rend-il automatiquement conforme au RGPD ?

Non. L'hébergement en UE supprime la question des transferts internationaux pour le traitement principal, ce qui simplifie votre politique de confidentialité. Mais le consentement des abonnés, l'information, la désinscription, le contrat de sous-traitance et les durées de conservation restent entièrement de votre responsabilité, quel que soit l'outil choisi.

Brevo héberge-t-il vraiment les données en Europe ?

Brevo annonce un hébergement dans l'Union européenne pour les données de ses clients. Vérifiez ce point dans son DPA et dans la liste de ses sous-traitants ultérieurs, certains services annexes pouvant impliquer des prestataires hors UE. Mentionnez la localisation retenue dans votre politique de confidentialité.

Peut-on importer dans Brevo une liste d'emails achetée ?

C'est fortement déconseillé. La prospection B2C exige un consentement recueilli directement auprès de la personne, dont vous devez pouvoir apporter la preuve : une liste achetée ne la fournit généralement pas. Les conditions d'utilisation des plateformes d'emailing interdisent d'ailleurs habituellement ce type de listes, sous peine de suspension du compte.

Le suivi des ouvertures d'emails dans Brevo est-il soumis au RGPD ?

Oui. Le pixel de suivi associe un comportement (ouverture, clic) à une adresse email identifiée : c'est un traitement de données personnelles à part entière. Mentionnez-le dans votre politique de confidentialité avec sa finalité (mesure de la performance des campagnes). Désactiver ce suivi, lorsque vous n'en avez pas besoin, est une bonne mesure de minimisation.

Voir aussi

RGPD
RGPD et Mailchimp (email marketing)
RGPD
RGPD et HubSpot (CRM & marketing automation)
RGPD
RGPD pour site WordPress

Guides pour aller plus loin

Guide
Newsletter et RGPD : opt-in, double opt-in et prospection en 2026

Newsletter et prospection email en 2026 : règles d'opt-in B2C, soft opt-in B2B, intérêt du double opt-in, désinscription, durée de conservation et sanctions CNIL.