Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Brevo et RGPD : guide de conformité 2026
RGPD

Brevo et RGPD : guide de conformité 2026

Brevo (ex-Sendinblue) est-il conforme au RGPD ? Analyse du DPA, de l'hébergement français, et configuration recommandée.

Par Thiébaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202610 min de lecture
Sommaire
  1. Qualification juridique de Brevo au regard du RGPD
  2. Analyse du DPA de Brevo
  3. Transferts internationaux et analyse d’impact sur les transferts
  4. Sécurité informatique
  5. Configuration recommandée pour la conformité RGPD
  6. Points d’attention spécifiques
  7. FAQ

Brevo (anciennement Sendinblue) est devenu l’une des principales plateformes d’email marketing en Europe, avec une particularité qui intéresse directement les professionnels soucieux de conformité : c’est une entreprise française, hébergée sur infrastructure française. Dans un contexte où les transferts de données hors UE restent un sujet de tension juridique permanent, cette caractéristique n’est pas anecdotique.

La plateforme traite des données personnelles de vos contacts – adresses email, noms, données comportementales (ouvertures, clics, géolocalisation), adresses IP – dans le cadre de campagnes email, SMS, WhatsApp, et de fonctionnalités CRM et marketing automation. Chacune de ces opérations constitue un traitement de données personnelles au sens de l’article 4(2) du RGPD, et doit être encadrée juridiquement.

Lors d’un entretien avec l’équipe Sendinblue (devenu Brevo), nous avons pu constater la maturité de leur approche RGPD, notamment sur la gestion des sous-traitants et l’hébergement des données en France. Cet article analyse la conformité RGPD de Brevo en détail : qualification juridique, DPA, transferts, sécurité et configuration recommandée.

Pour une vue d’ensemble sur la conformité des outils et logiciels au RGPD, consultez notre guide dédié. Vous pouvez également consulter nos analyses de Sendy et Mailchimp pour comparer les approches.

Qualification juridique de Brevo au regard du RGPD

Brevo comme sous-traitant

Lorsque vous utilisez Brevo pour envoyer vos campagnes email ou gérer vos contacts, Brevo agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Vous restez le responsable de traitement : c’est vous qui déterminez les finalités (envoyer une newsletter, prospecter) et les moyens essentiels du traitement (quelles données collecter, à qui les envoyer).

Brevo traite les données sur vos instructions, dans le cadre du service que vous avez souscrit. Cette qualification s’applique aux fonctionnalités principales : envoi d’emails, gestion de listes, segmentation basée sur vos critères, et reporting de campagnes.

Zones de vigilance : responsabilité conjointe potentielle

Certaines fonctionnalités avancées de Brevo méritent une analyse plus fine. Les fonctionnalités d’optimisation par intelligence artificielle – comme l’optimisation de l’heure d’envoi ou les recommandations de contenu – impliquent que Brevo détermine partiellement les moyens du traitement. Dans ces cas, une qualification de responsabilité conjointe au sens de l’article 26 du RGPD peut être envisagée.

Catégories de données traitées

Les données traitées par Brevo dans le cadre de vos campagnes incluent :

  • Données d’identification : adresses email, noms, prénoms, numéros de téléphone (SMS/WhatsApp)
  • Données comportementales : ouvertures d’emails, clics sur liens, pages visitées (tracking web), géolocalisation approximative
  • Données techniques : adresses IP, type de client email, appareil utilisé
  • Données de segmentation : tout attribut personnalisé que vous stockez dans Brevo (fonction, entreprise, historique d’achat, etc.)

Les personnes concernées sont vos abonnés newsletter, vos contacts marketing, et le cas échéant vos contacts transactionnels.

Analyse du DPA de Brevo

Brevo met à disposition un Data Processing Agreement (DPA) conforme aux exigences de l’article 28 du RGPD. Voici l’analyse des clauses essentielles :

Exigence Art. 28 RGPD Présence dans le DPA Brevo Commentaire
Traitement sur instructions documentées Oui Les instructions sont définies par le contrat de service et les actions de l’utilisateur sur la plateforme
Confidentialité des personnes autorisées Oui Engagement de confidentialité du personnel Brevo
Mesures de sécurité (Art. 32) Oui Détaillées dans l’annexe sécurité (chiffrement, contrôle d’accès, etc.)
Conditions de recours à un sous-traitant ultérieur Oui Liste de sous-traitants publiée et mise à jour, notification des changements
Assistance pour les droits des personnes Oui Brevo s’engage à vous assister pour répondre aux demandes d’exercice de droits
Assistance pour les obligations de sécurité Oui Notification des violations de données, assistance pour les AIPD
Suppression ou restitution des données en fin de contrat Oui Suppression des données dans un délai défini après résiliation
Audits et inspections Oui Droit d’audit prévu, avec modalités pratiques encadrées

Le DPA de Brevo est globalement complet et conforme. Un point notable : Brevo publie une liste de ses sous-traitants ultérieurs et notifie les changements, ce qui vous permet de suivre la chaîne de sous-traitance conformément à l’article 28(2) du RGPD.

L’un des atouts du DPA de Brevo est qu’il intègre directement les Clauses Contractuelles Types (CCT) de la Commission européenne pour les cas résiduels de transfert, même si l’essentiel du traitement reste en France.

Transferts internationaux et analyse d’impact sur les transferts

C’est sur ce point que Brevo se distingue le plus nettement de ses concurrents américains.

Hébergement français, pas de transfert hors UE

Brevo est une société française dont le siège est à Paris. L’infrastructure principale est hébergée chez OVH, hébergeur français certifié. Cela signifie que pour les fonctionnalités centrales de la plateforme – stockage des contacts, envoi d’emails, reporting – il n’y a pas de transfert de données hors de l’Union européenne.

C’est un avantage considérable. Depuis l’arrêt Schrems II de la CJUE (C-311/18), les transferts de données vers les États-Unis restent juridiquement fragiles. Le Data Privacy Framework (DPF) adopté en 2023 fournit un cadre, mais sa pérennité fait l’objet de recours devant la CJUE. En choisissant Brevo, vous évitez entièrement cette problématique pour votre outil d’email marketing.

Sous-traitants ultérieurs

Certains sous-traitants ultérieurs de Brevo peuvent être situés hors UE, notamment pour des services auxiliaires (support, analytics). Brevo encadre ces transferts par les CCT et des mesures supplémentaires. Mais l’essentiel – le stockage et le traitement de vos données de contacts – reste en France.

Analyse d’impact sur les transferts (TIA)

Si vous devez réaliser une TIA pour votre utilisation de Brevo, la conclusion sera favorable : pas de transfert systématique vers un pays tiers pour les données de contacts, hébergement français, entreprise soumise au droit français et européen. C’est un dossier sensiblement plus simple à constituer que pour un outil hébergé aux États-Unis.

Sécurité informatique

Brevo dispose d’un dispositif de sécurité mature, conforme aux standards du marché :

  • Certifications : SOC 2 Type II et ISO 27001, attestant d’un système de gestion de la sécurité de l’information audité par des tiers indépendants
  • Hébergement : OVH (France), certifié ISO 27001, HDS (Hébergement de Données de Santé) et SOC 2
  • Chiffrement : chiffrement des données en transit (TLS) et au repos
  • Contrôle d’accès : authentification multi-facteurs disponible, gestion des rôles et permissions
  • Équipe dédiée : équipe sécurité interne, programme de bug bounty, tests d’intrusion réguliers
  • Disponibilité : infrastructure redondante, plan de continuité d’activité documenté

Du point de vue de l’article 32 du RGPD, le niveau de sécurité est adapté aux risques liés au traitement de données de contacts marketing. Brevo met en oeuvre des mesures techniques et organisationnelles appropriées, ce qui facilite votre propre démonstration de conformité en tant que responsable de traitement.

Configuration recommandée pour la conformité RGPD

Voici les étapes à suivre pour configurer Brevo de manière conforme :

1. Signer le DPA

Accédez aux paramètres de votre compte Brevo et acceptez le DPA. Conservez une copie signée dans votre documentation de conformité. Ce DPA doit être en place avant tout traitement de données personnelles via la plateforme.

2. Configurer le double opt-in

Activez le double opt-in pour vos formulaires d’inscription. Cette pratique, recommandée par la CNIL, permet de s’assurer que la personne a bien consenti à recevoir vos communications et fournit une preuve de consentement robuste.

3. Mettre en place le lien de désinscription

Chaque email marketing doit contenir un lien de désinscription fonctionnel et facilement accessible. Brevo l’inclut par défaut dans ses templates, mais vérifiez qu’il est visible et qu’il fonctionne correctement. Pour vos emails transactionnels, la désinscription n’est pas requise mais un lien de gestion des préférences est recommandé.

4. Renseigner votre registre des traitements

Ajoutez Brevo dans votre registre des traitements en tant que sous-traitant, en précisant les catégories de données traitées, les finalités, la durée de conservation et la base légale applicable.

5. Configurer la durée de conservation

Définissez des règles de suppression automatique des contacts inactifs. Brevo permet de configurer des automatisations pour nettoyer vos listes après une période d’inactivité définie. Cela participe au respect du principe de limitation de la conservation (article 5(1)(e) du RGPD).

6. Paramétrer le tracking avec discernement

Le tracking des ouvertures et des clics est activé par défaut. Évaluez si vous avez réellement besoin de toutes ces données. Le principe de minimisation (article 5(1)©) impose de ne collecter que les données nécessaires. Si le tracking de géolocalisation n’est pas utile à vos finalités, désactivez-le.

7. Mettre à jour votre politique de confidentialité

Mentionnez Brevo comme sous-traitant dans votre politique de confidentialité, en indiquant les données transmises, les finalités, et le fait que les données sont hébergées en France.

Points d’attention spécifiques

Fonctionnalités IA

Brevo intègre progressivement des fonctionnalités d’intelligence artificielle (optimisation d’envoi, génération de contenu, scoring prédictif). Chaque fonctionnalité IA activée peut modifier la qualification juridique du traitement et nécessiter une analyse d’impact spécifique, notamment au regard de l’AI Act qui entre progressivement en application.

Canaux SMS et WhatsApp

L’utilisation des canaux SMS et WhatsApp via Brevo implique le traitement de données supplémentaires (numéros de téléphone, métadonnées WhatsApp). Chaque canal constitue un traitement distinct qui doit figurer dans votre registre et disposer de sa propre base légale. Pour la prospection commerciale par SMS, les règles de la directive ePrivacy (transposées en droit français à l’article L.34-5 du CPCE) s’appliquent en complément du RGPD.

Emails transactionnels vs marketing

Brevo permet d’envoyer à la fois des emails transactionnels (confirmation de commande, réinitialisation de mot de passe) et des emails marketing (newsletter, promotions). La base légale diffère : exécution du contrat pour les transactionnels (article 6(1)(b)), consentement ou intérêt légitime pour le marketing. Veillez à bien séparer ces flux dans votre configuration Brevo et dans votre registre.

FAQ

Brevo est-il conforme au RGPD ?

Oui, Brevo offre un niveau de conformité RGPD élevé. Entreprise française hébergée chez OVH en France, Brevo propose un DPA conforme à l’article 28, des certifications SOC 2 Type II et ISO 27001, et évite les transferts de données hors UE pour ses services principaux. C’est l’une des options les plus favorables du marché pour les organisations soumises au RGPD.

Brevo transfère-t-il des données hors de l’Union européenne ?

Pour les fonctionnalités centrales (stockage des contacts, envoi d’emails, reporting), non. Les données sont hébergées chez OVH en France. Certains sous-traitants ultérieurs pour des services auxiliaires peuvent être hors UE, mais ces transferts sont encadrés par les CCT et des mesures supplémentaires. Consultez la liste des sous-traitants de Brevo pour le détail.

Faut-il réaliser une analyse d’impact (AIPD) pour utiliser Brevo ?

Une AIPD n’est pas systématiquement requise pour l’envoi de newsletters classiques. En revanche, si vous utilisez des fonctionnalités de profilage avancé, de scoring comportemental, ou si vous traitez des données à grande échelle, une AIPD peut être nécessaire conformément à l’article 35 du RGPD et aux critères de la CNIL.

Pourquoi choisir Brevo plutôt que Mailchimp pour la conformité RGPD ?

Le principal avantage de Brevo est l’absence de transfert de données vers les États-Unis. Mailchimp (Intuit) transfère les données vers des serveurs américains, ce qui impose de s’appuyer sur le DPF et d’évaluer le risque résiduel lié au CLOUD Act et aux programmes de surveillance. Avec Brevo, cette problématique est éliminée. C’est un argument décisif pour les organisations qui souhaitent minimiser leur exposition juridique sur les transferts internationaux.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min