ActiveCampaign et RGPD : guide de conformité 2026
ActiveCampaign est-il conforme au RGPD ? DPA, transfert de données aux États-Unis, tracking de site, lead scoring et configuration recommandée.
- ActiveCampaign : sous-traitant, vous êtes le responsable de traitement
- Le vrai enjeu : automation et tracking, pas seulement l’e-mail
- La base légale : le cœur du sujet, et il vous appartient
- Le transfert de données hors UE : option européenne ≠ tout reste en Europe
- Sécurité et durées de conservation : votre part du travail
- Configuration recommandée en pratique
- Ce qu’il faut retenir
- FAQ
« Est-ce qu’ActiveCampaign est conforme au RGPD ? » La question revient sans cesse, et elle est mal posée. ActiveCampaign n’est pas un simple outil d’emailing : c’est une plateforme de marketing automation qui piste le comportement de vos visiteurs, attribue des scores à vos contacts et déclenche des scénarios automatiques. La charge de conformité est donc plus lourde qu’avec un routeur d’e-mails classique — et elle repose presque entièrement sur vos épaules, pas sur celles de l’éditeur.
ActiveCampaign : sous-traitant, vous êtes le responsable de traitement
ActiveCampaign LLC est une société américaine (fondée en 2003, siège à Chicago). Dans votre relation contractuelle, elle agit comme sous-traitant au sens de l’article 28 du RGPD : elle traite les données de vos contacts pour votre compte et selon vos instructions. C’est vous — l’entreprise qui collecte les adresses et déclenche les campagnes — qui êtes le responsable de traitement au sens de l’Art. 4(7).
Conséquence pratique : ActiveCampaign met à disposition un Data Processing Addendum (DPA) intégrant les clauses contractuelles types (CCT) version 2021 de la Commission européenne. Ce DPA est accessible et signable depuis les paramètres de votre compte. Tant que vous ne l’avez pas accepté, vous ne disposez d’aucun cadre contractuel valable pour la sous-traitance exigée par l’Art. 28(3). C’est la première vérification à faire.
Mais ne vous y trompez pas : signer le DPA ne vous rend pas conforme. Il règle un point contractuel. L’essentiel de la conformité se joue ailleurs — dans ce que vous collectez, sur quelle base, et dans la façon dont vous activez le tracking.
Le vrai enjeu : automation et tracking, pas seulement l’e-mail
C’est ce qui distingue ActiveCampaign de Mailjet, Brevo ou Mailchimp. Ces outils routent surtout des e-mails. ActiveCampaign y ajoute trois briques qui changent l’analyse RGPD.
Le site tracking : un traceur soumis au consentement
ActiveCampaign propose un script de site tracking à installer sur votre site. Il suit les pages visitées par chaque contact identifié et alimente vos scénarios (« si le contact a vu la page Tarifs, alors… »). Techniquement, ce script dépose et lit des informations sur le terminal de l’internaute à des fins de suivi comportemental.
Il ne s’agit donc pas d’un cookie strictement nécessaire. Il relève de l’article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy) et exige un consentement préalable, libre, spécifique et éclairé, recueilli via une CMP avant tout dépôt. Activer le site tracking « pour voir » sans l’intégrer à votre bandeau cookies est l’erreur la plus fréquente — et la plus visible en cas de contrôle. Voyez notre guide sur la conformité des cookies.
Le lead scoring : du profilage au sens de l’Art. 4(4)
L’attribution automatique de scores (engagement, probabilité de conversion) à vos contacts constitue un profilage au sens de l’Art. 4(4) : une évaluation d’aspects personnels par des moyens automatisés. Le profilage en lui-même n’est pas interdit, mais il doit être mentionné dans votre information (Art. 13) et reposer sur une base légale.
La ligne rouge est l’article 22 du RGPD : une décision fondée exclusivement sur un traitement automatisé et produisant des effets juridiques ou significatifs sur la personne. Trier des prospects pour prioriser des relances commerciales reste, dans la quasi-totalité des cas, en deçà de ce seuil. En revanche, exclure automatiquement quelqu’un d’une offre ou d’un tarif sur la seule foi d’un score s’en rapproche dangereusement. Tenez-vous-en à des usages d’aide à la décision, jamais de décision automatique sans intervention humaine. Pour approfondir, voyez notre guide sur les décisions automatisées.
L’envoi prédictif et l’IA
Les fonctions d’« envoi prédictif » et de contenu prédictif s’appuient sur l’analyse des comportements passés. Elles renforcent la logique de profilage. À documenter dans votre registre des activités de traitement au titre des finalités, et à couvrir par votre information.
La base légale : le cœur du sujet, et il vous appartient
Aucun outil ne règle la question de la base légale à votre place. Tout dépend de la nature de vos envois.
Pour la prospection commerciale par e-mail vers des particuliers (B2C), le principe est le consentement préalable opt-in (Art. 6(1)(a) du RGPD et art. L34-5 du Code des postes et des communications électroniques). Je recommande systématiquement le double opt-in : il constitue la preuve de consentement valable que vous devrez produire en cas de réclamation. ActiveCampaign sait gérer des formulaires à confirmation : utilisez-les.
Pour la prospection B2B, la CNIL admet l’intérêt légitime (Art. 6(1)(f)) lorsque le message est en rapport avec la fonction professionnelle du destinataire, avec information et droit d’opposition dès la collecte. Les règles détaillées figurent dans notre guide prospection commerciale et RGPD.
Dans tous les cas : le lien de désabonnement doit être fonctionnel et traité immédiatement — c’est l’expression directe du droit d’opposition de l’Art. 21.
Le transfert de données hors UE : option européenne ≠ tout reste en Europe
ActiveCampaign étant éditée par une société américaine, le transfert de données hors UE est au cœur de l’analyse (chapitre V du RGPD).
Depuis le premier trimestre 2024, ActiveCampaign a déployé des centres de données multirégionaux : un client européen se voit en principe rattaché au centre de données le plus proche dans sa région. C’est un progrès réel. Mais attention au piège : selon la politique d’ActiveCampaign, une partie des données de contact continue d’être traitée aux États-Unis et dans d’autres localisations, hors de la région d’hébergement principale. « Hébergement en Europe » ne signifie donc pas « aucun flux vers les États-Unis ».
Ces transferts sont aujourd’hui encadrés par l’EU-U.S. Data Privacy Framework : ActiveCampaign s’est auto-certifiée auprès du Département du commerce américain, et la Commission européenne a adopté sa décision d’adéquation le 10 juillet 2023. Le DPA prévoit en outre les CCT comme filet de sécurité. Concrètement, le transfert dispose d’un cadre juridique valable à ce jour.
Deux nuances que je signale toujours à mes clients. D’abord, l’adéquation DPF reste contestée et pourrait être fragilisée par un futur arrêt de la CJUE, comme l’ont été le Safe Harbor puis le Privacy Shield (jurisprudence Schrems) ; conservez les CCT en réserve. Ensuite, une société américaine reste soumise au CLOUD Act, quelle que soit la localisation physique des serveurs. Pour des données sensibles ou volumineuses, une analyse d’impact des transferts (TIA) est recommandée.
Sécurité et durées de conservation : votre part du travail
La sécurité relève de l’article 32 selon un principe de responsabilité partagée. ActiveCampaign sécurise sa plateforme (chiffrement, certifications) ; votre part consiste à gérer les accès selon le moindre privilège, activer l’authentification à deux facteurs, et protéger vos clés d’API. Une clé d’API exposée, c’est l’intégralité de votre base de contacts compromise — et une violation de données à notifier sous 72 heures à la CNIL au titre de l’article 33. Encadrez ces usages par une charte informatique.
Côté durées de conservation (Art. 5(1)(e)), la CNIL retient une base de référence de 3 ans à compter du dernier contact pour un prospect. Au-delà, le contact doit être supprimé ou anonymisé. ActiveCampaign permet de segmenter les contacts inactifs : créez une automatisation de purge, ne laissez pas votre base enfler indéfiniment. Pensez aussi au principe de minimisation (Art. 5(1)©) : chaque champ personnalisé de votre liste doit être justifié par une finalité. Méfiez-vous des champs libres où se glissent, sans contrôle, des données sensibles (santé, opinions) relevant de l’Art. 9.
Configuration recommandée en pratique
Dans mon expérience de conseil, une mise en conformité ActiveCampaign tient en quelques décisions structurantes : accepter le DPA depuis les paramètres du compte ; n’activer le site tracking qu’après l’avoir intégré à votre bandeau de consentement ; documenter le tracking, le scoring et l’envoi prédictif dans votre registre ; utiliser le double opt-in pour le B2C ; configurer une automatisation de suppression des contacts inactifs à 3 ans ; et tenir à jour votre information (Art. 13) en mentionnant l’outil, le profilage et le transfert hors UE. C’est exactement ce type de cartographie outil par outil que Legiscope aide à structurer.
Ce qu’il faut retenir
- ActiveCampaign est sous-traitant (Art. 28) ; vous êtes responsable de traitement. Signez le DPA depuis votre compte — il intègre les CCT 2021 — mais cela ne suffit pas à vous rendre conforme.
- L’automation déplace l’enjeu : le site tracking est un traceur soumis au consentement (art. 82 LIL), et le lead scoring est du profilage (Art. 4(4)) à documenter et à garder en deçà de l’Art. 22.
- La base légale vous appartient : opt-in (double opt-in conseillé) pour le B2C, intérêt légitime encadré pour le B2B, lien de désabonnement toujours fonctionnel (Art. 21).
- Le transfert hors UE est réel : hébergement européen possible depuis 2024, mais des flux subsistent vers les États-Unis ; ils sont couverts par le Data Privacy Framework (adéquation du 10 juillet 2023), avec les CCT en filet.
- Votre part de sécurité : MFA, moindre privilège, protection des clés d’API ; purge des prospects à 3 ans (recommandation CNIL).
FAQ
ActiveCampaign est-il conforme au RGPD ?
ActiveCampaign fournit les outils contractuels et techniques de la conformité (DPA avec CCT, certification Data Privacy Framework, double opt-in, gestion des désabonnements). Mais la conformité dépend surtout de votre usage : base légale des envois, recueil du consentement pour le site tracking, durées de conservation et information des personnes. Aucun outil n’est « conforme » dans l’absolu — c’est le responsable de traitement qui l’est ou non.
Les données ActiveCampaign sont-elles hébergées en Europe ?
Depuis 2024, ActiveCampaign rattache les clients européens à un centre de données régional. Toutefois, une partie des données de contact continue d’être traitée aux États-Unis. L’hébergement européen ne supprime donc pas tout transfert : celui-ci est encadré par le Data Privacy Framework et, en repli, par les clauses contractuelles types.
Faut-il un consentement pour le site tracking d’ActiveCampaign ?
Oui. Le script de site tracking suit le comportement de navigation et relève de l’article 82 de la loi Informatique et Libertés. Il exige un consentement préalable, recueilli via une plateforme de gestion du consentement avant tout dépôt, au même titre que les autres traceurs non essentiels.
Le lead scoring d’ActiveCampaign est-il autorisé par le RGPD ?
Oui, en tant qu’aide à la décision. Le scoring constitue un profilage (Art. 4(4)) qui doit être mentionné dans votre information. Il ne devient problématique que s’il fonde une décision exclusivement automatisée produisant des effets significatifs sur la personne (Art. 22) — par exemple exclure automatiquement un contact d’une offre. Gardez une intervention humaine dans la boucle.
Vous souhaitez sécuriser vos outils marketing un par un ? Recevez nos analyses conformité chaque semaine — décryptages RGPD, jurisprudence CNIL et guides pratiques, par Thiébaut Devergranne, docteur en droit et fondateur de donneespersonnelles.fr.