RGPD et Mailchimp (email marketing)
Mailchimp est l'une des plateformes d'email marketing les plus utilisées par les PME et entrepreneurs français. Depuis son acquisition par Intuit en 2021, Mailchimp est une société américaine dont les serveurs sont principalement situés aux États-Unis. Son utilisation dans un contexte RGPD impose des obligations précises sur le recueil du consentement, la gestion des désinscriptions, et la déclaration du transfert de données hors UE.
Contrairement aux outils publicitaires comme Google Analytics ou le Meta Pixel, Mailchimp est généralement utilisé avec le consentement comme base légale — la personne s'inscrit volontairement à une newsletter. Mais ce consentement doit être libre, spécifique, éclairé et univoque pour être valide au regard du RGPD, et Mailchimp lui-même doit être déclaré comme sous-traitant dans votre politique de confidentialité.
Recueil du consentement et double opt-in
Pour collecter des adresses email via Mailchimp en conformité avec le RGPD, le consentement doit être donné par un acte positif clair : une case à cocher non pré-cochée, accompagnée d'une information sur la finalité (réception de la newsletter), la fréquence d'envoi approximative, et le droit de se désinscrire à tout moment. Une formulation générique du type 'J'accepte les CGU' ne vaut pas consentement à la newsletter.
Le double opt-in — confirmation par email après inscription — est fortement recommandé par la CNIL, bien qu'il ne soit pas obligatoire en droit français. Il présente deux avantages majeurs : il prouve l'authenticité de l'adresse email et constitue une preuve supplémentaire du consentement explicite. Mailchimp intègre nativement cette fonctionnalité dans les paramètres de liste.
Conservez la preuve du consentement : date d'inscription, source (URL du formulaire), version du texte de consentement affiché, méthode utilisée. Mailchimp enregistre la date d'opt-in mais pas nécessairement la version du texte affiché — exportez régulièrement ces données et archivez les captures d'écran de vos formulaires.
Droits des abonnés et gestion des désinscriptions
Chaque email envoyé via Mailchimp doit comporter un lien de désinscription fonctionnel (exigé par Mailchimp lui-même et par la loi). Le traitement de la désinscription doit être immédiat : une personne désinscrite ne doit plus recevoir d'emails marketing. Mailchimp gère automatiquement les désinscriptions dans votre liste, mais si vous synchronisez Mailchimp avec un CRM ou une autre base de données, veillez à propager l'information.
Au-delà de la désinscription, les abonnés ont des droits RGPD plus larges : droit d'accès à leurs données, droit de rectification, droit à l'effacement. Mailchimp propose des fonctionnalités pour exporter les données d'un contact ou le supprimer depuis le tableau de bord. Indiquez dans votre politique de confidentialité comment les abonnés peuvent exercer ces droits (email de contact dédié ou formulaire en ligne).
Transferts hors UE : Mailchimp / Intuit aux États-Unis
The Rocket Science Group LLC, d/b/a Mailchimp, filiale d'Intuit Inc., est une société américaine établie en Géorgie (USA). Les données de vos abonnés (adresses email, prénoms, comportements d'ouverture et de clic) sont hébergées sur des serveurs américains. Ce transfert est encadré par le Data Privacy Framework (DPF) — Intuit Inc. est certifiée DPF — ainsi que par les Clauses Contractuelles Types intégrées dans les conditions de traitement des données (DPA) de Mailchimp.
Votre politique de confidentialité doit mentionner explicitement ce transfert vers les États-Unis, les entités concernées (Mailchimp / Intuit Inc.), et le mécanisme de garantie applicable (DPF et/ou CCT). Indiquez également la finalité du traitement par Mailchimp en tant que sous-traitant : envoi des emails, gestion des listes, tracking des ouvertures et clics. Si vous désactivez le tracking des ouvertures (fonctionnalité disponible dans Mailchimp), vous pouvez le mentionner dans votre politique comme mesure de minimisation.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique RGPD MailchimpQuestions fréquentes
Le double opt-in est-il obligatoire pour être conforme au RGPD ?
Non, le double opt-in n'est pas imposé par le texte du RGPD. Mais il est fortement recommandé car il constitue une preuve solide du consentement actif. Sans double opt-in, vous devez pouvoir démontrer par d'autres moyens que la personne a bien donné un consentement valide — ce qui est plus difficile en cas de contrôle CNIL.
Peut-on envoyer une newsletter commerciale à ses anciens clients sans consentement explicite ?
Oui, sous conditions strictes. La CNIL admet la prospection par email auprès de clients existants sur la base de l'intérêt légitime (art. 6.1.f RGPD), à condition que : l'email collecté lors de la vente, la prospection porte sur des produits similaires à ceux achetés, et la personne ait pu s'opposer à la prospection lors de la collecte et dans chaque email. Ce régime dérogatoire ne s'applique pas aux prospects.
Combien de temps peut-on conserver les données des abonnés Mailchimp ?
La CNIL recommande de ne pas conserver les données de prospection au-delà de 3 ans à compter du dernier contact de la personne ou du recueil du consentement. Mettez en place une politique de purge dans Mailchimp : archivez ou supprimez les contacts inactifs depuis plus de 3 ans, sauf si la personne a effectué une action récente (clic, réponse).
Faut-il un contrat de sous-traitance avec Mailchimp ?
Oui. Le RGPD (art. 28) impose un contrat écrit avec tout sous-traitant. Mailchimp met à disposition un Data Processing Addendum (DPA) accepté lors de l'inscription ou disponible dans les paramètres du compte. Acceptez-le formellement et conservez une trace de cette acceptation dans votre registre des traitements.