Klaviyo et RGPD : guide de conformité e-commerce 2026

Klaviyo s’impose comme la plateforme de référence du marketing par email et SMS pour les e-commerçants, particulièrement ceux opérant sur Shopify. La proposition de valeur — segmentation comportementale fine, automatisations multi-canal, scoring prédictif par IA — séduit les marques B2C qui en font un pilier de leur stratégie d’acquisition et de fidélisation. Pour le responsable de traitement et le DPO accompagnant une organisation utilisant Klaviyo, l’analyse RGPD doit traiter quatre dimensions structurantes : la qualification juridique de Klaviyo (entité américaine), les exigences strictes du consentement B2C en France pour la prospection électronique, la localisation des données et les transferts hors UE, et les implications de Klaviyo AI sur les bases légales.

Dans ma pratique de conseil auprès de DPO et CMO de marques DTC françaises, Klaviyo soulève des questions plus tendues que pour les autres outils marketing : le décalage entre les paramètres par défaut de la plateforme (héritée d’une logique US opt-out plus permissive) et les exigences strictes de la directive ePrivacy transposée à l’article L.34-5 du Code des postes et communications électroniques fait de la configuration côté client le sujet central.

Pour une vue d’ensemble du marketing par email, voir nos analyses de HubSpot, Mailchimp, Brevo et Sendy. Pour le cadre général de la prospection commerciale en France, voir notre guide prospection commerciale RGPD.

Qualification juridique : Klaviyo sous-traitant

Le statut au sens de l’article 28 RGPD

Klaviyo, Inc. (États-Unis) — via son entité contractante européenne Klaviyo UK Limited ou Klaviyo Ireland selon les évolutions de la structure — agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble des services Klaviyo. Votre organisation détermine les finalités (prospection commerciale, fidélisation, segmentation, scoring) et les moyens essentiels (qui est inscrit en base, quelle politique de consentement est appliquée, quelles campagnes sont déclenchées). Klaviyo fournit l’infrastructure et traite les données selon les instructions documentées du client.

La qualification est sans ambiguïté pour les fonctionnalités de base : envoi d’emails, envoi de SMS, segmentation, automations.

Le périmètre des données

Klaviyo collecte et traite typiquement :

• Données d’identification : email, téléphone, prénom, nom
• Données comportementales : pages visitées, produits consultés, articles ajoutés au panier, achats réalisés
• Données de transaction : montant des commandes, fréquence, panier moyen
• Données de réponse aux campagnes : ouvertures, clics, conversions
• Données prédictives : valeur client estimée, probabilité de churn, segments d’IA

L’enrichissement automatique des profils est très poussé — un avantage opérationnel et un sujet de vigilance RGPD : chaque attribut collecté doit être justifié par une finalité et documenté dans le registre.

La question centrale : le consentement B2C en France

L’exigence française : opt-in préalable

Pour toute prospection commerciale électronique à destination de personnes physiques en France, l’article L.34-5 du Code des postes et communications électroniques impose le consentement préalable, libre, spécifique, éclairé et univoque. C’est une exigence stricte qui s’applique :

• À l’email marketing à destination d’adresses personnelles (Gmail, Outlook, Yahoo personnels)
• Au SMS marketing
• Aux notifications push commerciales
• Aux messages directs à destination des particuliers sur d’autres canaux électroniques

L’exception « soft opt-in »

L’article L.34-5 permet l’envoi sans consentement préalable dans un cas strictement encadré :

• Le destinataire est un client existant
• La prospection concerne des produits ou services analogues à ceux déjà fournis
• Le destinataire a pu refuser au moment de la collecte de son email
• Chaque envoi propose un moyen simple de s’opposer (lien de désabonnement)

Cette exception ne couvre pas la prospection vers les non-clients, ni la prospection pour des produits substantiellement différents.

La configuration Klaviyo conforme

Klaviyo propose par défaut des mécanismes d’inscription qui ne sont pas tous conformes au cadre français :

• Embed forms standards : à configurer pour exiger l’acte positif (case à cocher non pré-cochée)
• Popups avec double opt-in : recommandé pour les inscriptions newsletter (case non pré-cochée + confirmation par email)
• Klaviyo Forms avec collecte SMS : exiger le consentement explicite pour le SMS, distinct de l’email
• Intégrations Shopify : la collecte automatique d’emails au checkout ne vaut pas consentement marketing — paramétrer un opt-in explicite distinct
• Backflows de réactivation client : limiter au périmètre soft opt-in (clients existants, produits analogues, droit d’opposition garanti)

Recommandation : auditer chaque point de collecte (popups, embed forms, intégrations Shopify, importation de listes) et documenter pour chaque source l’acte positif obtenu.

Analyse du DPA Klaviyo

Le DPA Klaviyo est intégré aux Customer Terms of Service et peut être contre-signé. Évaluation au regard de l’article 28 RGPD :

Exigence Art. 28 RGPD	Couverture dans le DPA Klaviyo	Évaluation
Traitement uniquement sur instruction documentée (28.3.a)	Oui, périmètre fixé par le contrat	Conforme
Confidentialité du personnel (28.3.b)	Engagements internes, NDA	Conforme
Mesures de sécurité Art. 32 (28.3.c)	SOC 2 Type II, ISO 27001, chiffrement TLS et au repos	Conforme
Autorisation sous-sous-traitance (28.3.d)	Liste publiée, notification des évolutions	Conforme avec vigilance
Aide à l’exercice des droits (28.3.e)	API exports, suppression utilisateur, GDPR endpoints dédiés	Conforme
Aide aux Art. 32-36 (28.3.f)	Notification de violation sous 72h	Conforme
Suppression en fin de prestation (28.3.g)	Export possible, suppression dans le délai contractuel	Conforme
Audit du sous-traitant (28.3.h)	Rapports SOC, audits encadrés Enterprise	Conforme avec réserve

Transferts hors UE

Klaviyo héberge les données client sur infrastructure AWS aux États-Unis par défaut. À ma connaissance, en 2026, Klaviyo ne propose pas d’option de résidence européenne native — vérifier les évolutions au moment du déploiement.

Les transferts vers les États-Unis reposent sur :

1. Data Privacy Framework (DPF) — Klaviyo est certifié
2. Clauses contractuelles types (CCT 2021/914) — incluses dans le DPA

Pour les marques sensibles à la souveraineté (notamment B2C avec ICP français exigeant), évaluer si l’absence de résidence EU justifie le maintien de Klaviyo ou le passage à une alternative européenne (Brevo, Mailjet, ActiveCampaign avec hébergement EU).

Klaviyo AI : analyse RGPD spécifique

Klaviyo AI englobe plusieurs fonctionnalités déployées progressivement :

• Prédiction de valeur vie client (Customer Lifetime Value, CLV)
• Prédiction de probabilité de prochain achat
• Optimisation du moment d’envoi (Smart Sending Time)
• Génération de contenu (sujet d’email, texte)
• Segmentation prédictive

Sur le plan RGPD :

• Les prédictions individualisées constituent du profilage au sens de l’article 4(4) RGPD. Le profilage à finalité marketing relève du consentement ou de l’intérêt légitime avec test documenté (triple test)
• L’article 22 RGPD sur les décisions automatisées ne s’applique généralement pas (les prédictions Klaviyo n’ont pas d’effet juridique direct), mais doit être analysé si Klaviyo est utilisé pour des opérations à fort impact (exclusion de campagnes promotionnelles à grande échelle, par exemple)
• L’information des personnes doit mentionner explicitement le profilage et son droit d’opposition (Art. 21)

Pour les usages avancés (segmentation prédictive à grande échelle, prédiction de churn utilisée pour le tarif ou la priorisation client), une AIPD peut être requise.

Configuration recommandée pour la conformité RGPD

1. Points de collecte

• Formulaires d’inscription : opt-in explicite, case non pré-cochée
• Pop-ups : double opt-in pour la newsletter, opt-in distinct pour le SMS
• Checkout Shopify : ne pas confondre achat et consentement marketing, prévoir un opt-in distinct
• Importation de listes : ne jamais importer des emails sans consentement préalable documenté
• Programmes de parrainage : le parrain doit avoir le consentement du parrainé, ou la prospection vers le parrainé doit reposer sur une base légale documentée (notification au parrainé et droit d’opposition simple)

2. Préférences et désinscription

• Centre de préférences accessible depuis tous les emails (séparation email / SMS, choix par catégorie de communication)
• Lien de désabonnement clair et fonctionnel dans chaque envoi (un clic, sans authentification)
• Désinscription effective sous 48h maximum

3. Politiques de rétention

• Profils inactifs : suppression ou anonymisation après 3 ans sans interaction (cohérent recommandation CNIL prospection)
• Données comportementales : conservation alignée sur la durée d’engagement
• Historique des consentements : conservation pour la durée du consentement + 3 ans (preuve)

4. Gestion des droits

• Procédure d’effacement documentée et testée — Klaviyo propose des endpoints API dédiés
• Procédure d’opposition : prise en compte immédiate dans les campagnes, désinscription complète
• Procédure d’accès : export complet du profil et des interactions

5. Sécurité et accès

• SSO et MFA pour les accès administrateurs
• Permissions granulaires par utilisateur (rôle marketing, rôle technique, rôle administrateur)
• Audit régulier des comptes inactifs

Cas particuliers

Klaviyo et SMS marketing

Le SMS marketing est soumis à un consentement spécifique distinct de l’email. La double exigence — consentement RGPD + consentement ePrivacy — impose un opt-in clair, séparé de l’inscription newsletter. Tentative de collecte combinée (« recevez nos offres par email et SMS ») non conforme : les deux finalités doivent être proposées séparément.

Klaviyo et prospection vers les clients existants

Le soft opt-in (Art. L.34-5 CPCE) couvre la prospection vers les clients existants pour des produits analogues. Configurer une segmentation Klaviyo distinguant explicitement « clients existants » et « prospects », avec règles d’envoi différenciées.

Klaviyo et partage avec retargeting

L’intégration Klaviyo → Facebook Custom Audiences, Google Customer Match, TikTok Custom Audiences relève d’une finalité distincte (publicité ciblée tiers) nécessitant un consentement spécifique. Documenter le flux et garantir le respect de l’opposition.

Klaviyo pour marketplaces et plateformes multi-marques

Pour les vendeurs sur marketplace utilisant Klaviyo sur leur boutique propre, le consentement marketing est limité à la marque. La transmission d’emails vers d’autres marques relève d’une finalité distincte et impose un consentement explicite.

FAQ : Klaviyo et RGPD

Klaviyo est-il conforme au RGPD ?

L’architecture contractuelle de Klaviyo (DPA, certifications, mécanismes de transferts) est conforme à l’article 28 RGPD. La conformité d’ensemble dépend fortement de la configuration côté client : opt-in conforme, gouvernance des points de collecte, politique de rétention, gestion des droits. La conformité opérationnelle est plus exigeante que pour les outils B2B en raison du cadre strict de la prospection B2C en France.

Puis-je importer ma liste existante dans Klaviyo ?

Uniquement si vous disposez d’un consentement marketing préalable pour chaque adresse, documenté et conforme aux exigences françaises. L’importation d’adresses obtenues sans opt-in (carte de fidélité magasin sans opt-in marketing distinct, par exemple) constitue un manquement direct à l’article L.34-5 CPCE.

Comment gérer la migration depuis Mailchimp vers Klaviyo ?

Migrer uniquement les contacts disposant d’un consentement marketing actif documenté dans Mailchimp. Profiter de la migration pour renouveler le consentement des contacts dont le statut est ambigu (double opt-in).

Faut-il une AIPD pour utiliser Klaviyo AI ?

Recommandée systématiquement, et obligatoire pour les usages prédictifs à grande échelle ayant un impact significatif sur les personnes (priorisation client, exclusion de campagnes promotionnelles, segmentation utilisée pour la tarification).

Klaviyo est-il compatible avec le RGPD pour la prospection B2B en France ?

Oui sous conditions, en respectant le cadre opt-out B2B (information à la collecte, droit d’opposition simple, contenu lié à la fonction professionnelle, adresse nominative type prenom.nom@entreprise.com). Voir notre guide prospection commerciale RGPD pour le détail.

Que se passe-t-il en cas de violation de données via Klaviyo ?

Klaviyo notifie au client sous 72 heures conformément à son DPA. La procédure interne de notification de violation à la CNIL doit être préparée avec un référent administrateur Klaviyo identifié.

Pour structurer la conformité Klaviyo et industrialiser la documentation au registre, un logiciel RGPD permet de centraliser le suivi des sous-traitants et des consentements.