Mailchimp et RGPD : guide de conformité 2026

Mailchimp est l’une des plateformes d’email marketing les plus utilisées au monde, avec plus de 11 millions d’utilisateurs actifs. Depuis son rachat par Intuit en 2021, Mailchimp s’inscrit dans un écosystème plus large de services financiers et comptables américains. Pour les organisations européennes soumises au RGPD, cette situation impose une analyse rigoureuse : Mailchimp traite vos données de contacts sur une infrastructure principalement américaine, ce qui soulève des questions structurelles en matière de transferts de données hors UE.

Mailchimp traite des catégories variées de données personnelles : adresses email, noms, données comportementales détaillées (ouvertures, clics, géolocalisation, parcours web), adresses IP, et données de segmentation avancée. La plateforme propose également des fonctionnalités d’audience prédictive et de recommandation qui complexifient la qualification juridique du traitement.

Cet article analyse en détail la conformité RGPD de Mailchimp : qualification juridique, DPA, transferts internationaux, sécurité et configuration recommandée. Pour une comparaison avec des alternatives, consultez nos analyses de Brevo (hébergement français) et Sendy (auto-hébergement).

Pour une vue d’ensemble sur la conformité des outils et logiciels au RGPD, consultez notre guide dédié.

Qualification juridique de Mailchimp au regard du RGPD

Mailchimp comme sous-traitant

Dans le cadre de l’envoi de vos campagnes email, Mailchimp agit comme sous-traitant au sens de l’article 28 du RGPD. Vous êtes le responsable de traitement : vous décidez quelles données collecter, à qui envoyer, et dans quelle finalité. Mailchimp exécute le traitement sur vos instructions.

Cette qualification est claire pour les fonctionnalités de base : envoi d’emails, gestion de listes, segmentation manuelle, A/B testing sur vos critères.

Zones de responsabilité conjointe potentielle

La situation se complique avec certaines fonctionnalités avancées de Mailchimp :

• Audiences prédictives et lookalike audiences : Mailchimp analyse les comportements de vos contacts et les croise avec des données agrégées d’autres utilisateurs de la plateforme pour générer des prédictions (probabilité d’achat, valeur client estimée). Dans ce cas, Mailchimp détermine partiellement les finalités du traitement, ce qui peut caractériser une situation de responsabilité conjointe au sens de l’article 26 du RGPD.
• Recommandations produits : les algorithmes de recommandation utilisent des modèles entraînés sur les données de l’ensemble des utilisateurs Mailchimp, pas uniquement les vôtres.
• Mailchimp Presents : la plateforme de contenu éditorial de Mailchimp collecte des données d’engagement qui enrichissent les profils de contacts.

Ces fonctionnalités ne sont pas activées par défaut dans tous les plans, mais leur existence mérite une vigilance particulière. Si vous les utilisez, une analyse au titre de l’article 26 du RGPD est recommandée.

Catégories de données traitées

Les données personnelles traitées par Mailchimp incluent :

• Données d’identification : adresses email, noms, prénoms, adresses postales, numéros de téléphone
• Données comportementales : ouvertures d’emails, clics sur liens, parcours web (via le pixel Mailchimp), géolocalisation approximative, appareil et client email utilisés
• Données de profilage : score d’engagement, prédictions comportementales, segments automatiques
• Données techniques : adresses IP, cookies de tracking, données de connexion
• Données e-commerce : historique d’achats si vous connectez votre boutique en ligne

Les personnes concernées sont vos abonnés newsletter, vos contacts marketing, et potentiellement vos clients si vous utilisez les intégrations e-commerce.

Analyse du DPA de Mailchimp

Mailchimp propose un Data Processing Addendum (DPA) accessible depuis les paramètres du compte. Il s’agit d’un DPA “click-through” – vous l’acceptez en ligne sans négociation individuelle.

Exigence Art. 28 RGPD	Présence dans le DPA Mailchimp	Commentaire
Traitement sur instructions documentées	Oui	Instructions définies par les conditions de service et les actions utilisateur
Confidentialité des personnes autorisées	Oui	Engagement de confidentialité du personnel Mailchimp/Intuit
Mesures de sécurité (Art. 32)	Oui	Référence aux mesures techniques et organisationnelles en annexe
Conditions de recours à un sous-traitant ultérieur	Oui	Liste de sous-traitants publiée, mécanisme de notification des changements
Assistance pour les droits des personnes	Oui	Engagement d’assistance, avec des outils intégrés (export, suppression)
Assistance pour les obligations de sécurité	Oui	Notification des violations dans les délais requis
Suppression ou restitution des données en fin de contrat	Oui	Export possible avant suppression, suppression après un délai défini
Audits et inspections	Partiel	Audit principalement via les certifications tierces (SOC 2, ISO 27001), pas d’audit sur site facilement accessible

Le DPA de Mailchimp est fonctionnel mais présente quelques limites par rapport aux meilleures pratiques du marché :

• Droit d’audit limité : l’accès aux rapports de certification tient lieu d’audit, ce qui peut être insuffisant pour les organisations soumises à des exigences réglementaires strictes.
• Sous-traitants ultérieurs : la liste est longue et inclut des entités principalement américaines. Le mécanisme de notification laisse un délai pour s’opposer, mais en pratique l’opposition peut entraîner la résiliation du service.
• Clauses Intuit : depuis le rachat, certaines clauses de traitement des données s’inscrivent dans la politique de données plus large d’Intuit, ce qui mérite une lecture attentive.

Transferts internationaux et analyse d’impact sur les transferts

C’est le point de friction principal de Mailchimp au regard du RGPD.

Transfert systématique vers les États-Unis

Mailchimp est une entreprise américaine (Intuit, siège en Californie). L’infrastructure principale est hébergée aux États-Unis, principalement sur AWS US et Google Cloud US. Toute utilisation de Mailchimp implique un transfert de données personnelles vers les États-Unis.

Ce transfert concerne l’ensemble des données de vos contacts : emails, noms, données comportementales, adresses IP, et toute donnée personnalisée stockée dans Mailchimp.

Mécanisme de transfert : le Data Privacy Framework

Mailchimp (via Intuit) est certifié au titre du EU-U.S. Data Privacy Framework (DPF), adopté par la Commission européenne le 10 juillet 2023 (décision d’adéquation C(2023) 4745). Cette certification constitue le mécanisme juridique principal pour légitimer les transferts.

Le DPA intègre également les Clauses Contractuelles Types (CCT) de la Commission européenne en tant que mécanisme subsidiaire, applicable si le DPF venait à être invalidé.

Risques résiduels

Malgré la certification DPF, des risques résiduels subsistent :

• CLOUD Act : en tant qu’entreprise américaine, Intuit/Mailchimp est soumis au Clarifying Lawful Overseas Use of Data Act (CLOUD Act), qui permet aux autorités américaines d’exiger l’accès aux données stockées par des entreprises américaines, y compris les données hébergées hors des États-Unis. Le DPF prévoit des recours pour les citoyens européens (mécanisme de la Data Protection Review Court), mais l’efficacité de ces recours fait débat.

• Section 702 FISA : les programmes de surveillance en masse autorisés par la section 702 du Foreign Intelligence Surveillance Act restent en vigueur. Le DPF introduit des garde-fous (proportionnalité, nécessité), mais ces engagements américains sont exécutifs et pourraient être modifiés par un futur gouvernement.

• Pérennité du DPF : le DPF fait l’objet de recours devant la CJUE. Le Safe Harbor a été invalidé en 2015 (Schrems I), le Privacy Shield en 2020 (Schrems II). Une invalidation du DPF (Schrems III) n’est pas exclue, ce qui laisserait les CCT comme seul mécanisme de transfert, avec les mêmes vulnérabilités identifiées dans Schrems II.

Analyse d’impact sur les transferts (TIA)

Si vous utilisez Mailchimp, vous devez réaliser une TIA documentant :

1. La nature des données transférées (données de contacts marketing – risque modéré à élevé selon le volume et la sensibilité)
2. Le cadre juridique américain applicable (CLOUD Act, FISA 702)
3. Les mesures supplémentaires en place (DPF, CCT, chiffrement)
4. Le risque résiduel et votre évaluation de son acceptabilité

Le résultat de cette TIA dépendra de votre contexte spécifique, mais le risque résiduel est objectivement plus élevé qu’avec une solution hébergée en UE comme Brevo ou un Sendy auto-hébergé en Europe.

Sécurité informatique

Mailchimp dispose d’un dispositif de sécurité robuste, renforcé depuis l’intégration dans l’écosystème Intuit :

• Certifications : SOC 2 Type II et ISO 27001
• Infrastructure : AWS et Google Cloud, avec chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
• Contrôle d’accès : authentification multi-facteurs disponible (et recommandée), gestion des rôles et permissions
• Sécurité applicative : programme de bug bounty, tests d’intrusion réguliers, revue de code systématique
• Conformité Intuit : politiques de sécurité de l’information d’Intuit, audits internes et externes réguliers

Deux incidents de sécurité méritent d’être mentionnés pour une analyse complète :

• En 2022, Mailchimp a subi une compromission par ingénierie sociale permettant l’accès à des comptes clients, notamment dans le secteur des cryptomonnaies.
• En 2023, un second incident similaire a été signalé, affectant des comptes via un accès non autorisé à un outil interne.

Ces incidents ne remettent pas en cause les certifications techniques, mais ils illustrent que la sécurité organisationnelle (formation du personnel, contrôle des accès internes) est un point de vigilance permanent, même pour les grandes plateformes.

Configuration recommandée pour la conformité RGPD

Si vous choisissez d’utiliser Mailchimp malgré les réserves sur les transferts, voici les étapes de configuration recommandées :

1. Accepter le DPA

Accédez à Account > Legal > Data Processing Addendum et acceptez le DPA. Téléchargez une copie pour votre documentation de conformité. Cette étape est un prérequis absolu avant tout traitement de données personnelles européennes.

2. Activer le double opt-in

Activez le double opt-in (Settings > List defaults > Enable double opt-in) pour chaque audience. C’est la méthode de recueil de consentement la plus robuste et elle fournit une preuve documentée du consentement de chaque abonné.

3. Configurer les champs RGPD

Mailchimp propose des champs RGPD dédiés dans ses formulaires d’inscription. Activez-les pour permettre à vos abonnés de consentir de manière granulaire aux différents types de communication (email, personnalisation, publicité tierce).

4. Désactiver les fonctionnalités non nécessaires

Appliquez le principe de minimisation :

• Désactivez le tracking de géolocalisation si vous n’en avez pas besoin
• Désactivez les recommandations produits si vous ne les utilisez pas
• Limitez les intégrations tierces au strict nécessaire
• Évaluez si les fonctionnalités d’audience prédictive sont réellement utiles à vos finalités

5. Activer l’authentification multi-facteurs

Activez le MFA pour tous les comptes utilisateurs ayant accès à votre compte Mailchimp. C’est une mesure de sécurité élémentaire qui n’est pas activée par défaut.

6. Documenter dans votre registre

Inscrivez Mailchimp dans votre registre des traitements en tant que sous-traitant, en mentionnant expressément le transfert vers les États-Unis, le mécanisme de transfert (DPF + CCT), et les mesures supplémentaires.

7. Réaliser la TIA

Documentez votre analyse d’impact sur les transferts. Ce document est essentiel en cas de contrôle de la CNIL et démontre que vous avez évalué les risques liés au transfert, conformément aux recommandations du CEPD (Recommandations 01/2020).

8. Mettre à jour votre politique de confidentialité

Informez vos utilisateurs du transfert de leurs données vers les États-Unis, du mécanisme juridique utilisé (DPF), et de leurs droits. Cette information est requise par les articles 13(1)(f) et 14(1)(f) du RGPD.

Points d’attention spécifiques

Pratiques de données d’Intuit

Depuis le rachat, Mailchimp s’inscrit dans l’écosystème de données d’Intuit (TurboTax, QuickBooks, Credit Karma). Lisez attentivement la politique de confidentialité d’Intuit pour comprendre comment les données collectées via Mailchimp peuvent être utilisées dans cet écosystème plus large. Certaines utilisations pourraient dépasser le cadre de la sous-traitance et constituer un traitement pour les propres finalités d’Intuit.

Fonctionnalités d’audience et profilage

Les fonctionnalités “Predicted Demographics”, “Customer Lifetime Value”, et “Purchase Likelihood” constituent du profilage au sens de l’article 22 du RGPD. Si ces prédictions produisent des effets juridiques ou similairement significatifs sur les personnes concernées, les garanties de l’article 22(3) doivent être mises en place (droit d’obtenir une intervention humaine, d’exprimer son point de vue, de contester la décision).

Intégrations et sous-traitants ultérieurs

Mailchimp dispose d’un vaste écosystème d’intégrations (Shopify, WordPress, Salesforce, Facebook Ads, Google Analytics, etc.). Chaque intégration activée ajoute potentiellement un sous-traitant ultérieur et un flux de données supplémentaire. Cartographiez précisément les intégrations activées et évaluez leur nécessité au regard du principe de minimisation.

Position de la CNIL

La CNIL n’a pas prononcé de sanction spécifique contre Mailchimp à ce jour. Cependant, sa position générale sur les transferts vers les États-Unis est exigeante : elle a notamment mis en demeure des organisations utilisant Google Analytics pour transfert non conforme. L’utilisation de Mailchimp avec le DPF est juridiquement défendable, mais le risque de requalification existe en cas d’invalidation du DPF. Les organisations à faible tolérance au risque devraient envisager des alternatives européennes comme Brevo.

FAQ

Mailchimp est-il conforme au RGPD ?

Mailchimp propose les outils nécessaires à une utilisation conforme au RGPD : DPA, champs de consentement, double opt-in, outils d’exercice des droits. Cependant, l’utilisation de Mailchimp implique un transfert systématique de données vers les États-Unis, ce qui constitue un risque juridique résiduel malgré la certification DPF. La conformité dépend de votre configuration et de votre acceptation de ce risque résiduel.

Mailchimp transfère-t-il les données vers les États-Unis ?

Oui, systématiquement. L’infrastructure de Mailchimp est principalement hébergée aux États-Unis (AWS US, Google Cloud US). Toutes les données de vos contacts sont transférées et stockées sur des serveurs américains. Ce transfert est encadré par le DPF et les CCT, mais le risque lié au CLOUD Act et aux programmes de surveillance américains subsiste.

Quelle est la différence entre Mailchimp et Brevo pour la conformité RGPD ?

La différence principale concerne les transferts de données. Brevo est une entreprise française hébergée chez OVH en France : pas de transfert hors UE pour les données de contacts. Mailchimp transfère systématiquement vers les États-Unis. Pour les organisations qui souhaitent éliminer le risque lié aux transferts internationaux, Brevo est objectivement plus favorable. Mailchimp offre en revanche un écosystème d’intégrations plus large et des fonctionnalités d’audience avancées.

La CNIL peut-elle sanctionner l’utilisation de Mailchimp ?

La CNIL n’a pas sanctionné spécifiquement l’utilisation de Mailchimp, mais elle a sanctionné des transferts vers les États-Unis dans d’autres contextes (Google Analytics). Si le DPF est valide et que votre configuration est correcte (DPA signé, TIA réalisée, information des personnes), l’utilisation de Mailchimp est juridiquement défendable. Le risque principal est une éventuelle invalidation du DPF, qui remettrait en cause le mécanisme de transfert. Documentez votre analyse et prévoyez un plan de migration vers une alternative européenne en cas de Schrems III.