Sendy et RGPD : guide de conformité 2026

Sendy est un cas à part dans l’univers des outils d’email marketing. Contrairement aux plateformes SaaS comme Brevo ou Mailchimp, Sendy est une application PHP auto-hébergée que vous installez sur votre propre serveur. L’envoi des emails est délégué à Amazon SES (Simple Email Service), ce qui permet un coût d’exploitation très bas – environ 0,10 USD pour 1 000 emails, contre plusieurs dizaines d’euros par mois pour les solutions SaaS.

Cette architecture a des conséquences juridiques directes sur votre conformité RGPD. Vos listes d’abonnés ne transitent par aucune plateforme tierce : elles restent sur votre serveur, sous votre contrôle exclusif. C’est un atout considérable pour la maîtrise des données personnelles. Mais la contrepartie est que vous portez l’intégralité de la responsabilité en matière de sécurité et de conformité.

C’est d’ailleurs le choix que nous avons fait pour la newsletter de donneespersonnelles.fr, précisément pour cette raison de souveraineté des données.

Pour une vue d’ensemble sur la conformité des outils et logiciels au RGPD, consultez notre guide dédié.

Qualification juridique de Sendy au regard du RGPD

Un cas juridique atypique

La qualification juridique de Sendy est fondamentalement différente de celle d’un outil SaaS. Sendy est un logiciel que vous achetez (licence unique à 69 USD) et installez sur votre propre serveur. Il n’y a pas de relation de sous-traitance avec Sendy : le développeur de Sendy ne traite aucune de vos données personnelles. Il vous vend un logiciel, point final.

Vous êtes donc le responsable de traitement au sens de l’article 4(7) du RGPD pour l’ensemble des données stockées et traitées via votre installation Sendy. Vous déterminez les finalités (envoyer votre newsletter), les moyens (Sendy sur votre serveur), et vous contrôlez l’intégralité des données.

Amazon SES comme sous-traitant

Le seul sous-traitant dans cette architecture est Amazon SES, qui assure la livraison effective des emails. Quand un abonné reçoit votre newsletter, c’est Amazon SES qui achemine le message via son infrastructure. Amazon Web Services (AWS) agit donc comme sous-traitant au sens de l’article 28 du RGPD pour cette opération de transmission.

Les données transmises à Amazon SES sont :

• L’adresse email du destinataire
• Le contenu de l’email (incluant le nom du destinataire s’il figure dans le corps du message)
• Les métadonnées de livraison (accusés de réception, rebonds, plaintes)

Catégories de données traitées

Sur votre serveur Sendy, les données personnelles traitées incluent :

• Données d’identification : adresses email, noms, prénoms, tout champ personnalisé que vous configurez
• Données comportementales : ouvertures d’emails, clics sur liens (si le tracking est activé)
• Données techniques : adresses IP d’inscription, user-agent du client email
• Données de gestion : date d’inscription, statut (actif, désinscrit, rebond), historique d’envois

Les personnes concernées sont vos abonnés newsletter et contacts marketing. Le fait que toutes ces données résident sur votre serveur simplifie considérablement la cartographie des traitements pour votre registre.

Analyse du DPA : pas de DPA avec Sendy, mais un DPA avec Amazon SES

Pourquoi il n’y a pas de DPA avec Sendy

Un DPA (Data Processing Agreement) au sens de l’article 28 du RGPD n’a de sens qu’entre un responsable de traitement et un sous-traitant. Or, le développeur de Sendy ne traite aucune de vos données : il vous fournit un logiciel que vous exécutez sur votre infrastructure. Il n’y a donc pas de relation de sous-traitance, et par conséquent pas de DPA à conclure avec Sendy. C’est la même logique que pour un logiciel installé en local : vous n’avez pas de DPA avec Microsoft pour l’utilisation d’Excel installé sur votre poste.

Le DPA AWS (Amazon SES)

En revanche, vous devez impérativement disposer d’un DPA avec Amazon Web Services pour l’utilisation d’Amazon SES. AWS propose un Data Processing Addendum (DPA) qui couvre l’ensemble de ses services, dont SES.

Le DPA AWS inclut :

• Le traitement sur instructions documentées du client
• Les engagements de confidentialité du personnel AWS
• Les mesures de sécurité techniques et organisationnelles (détaillées dans les annexes)
• Les conditions de recours aux sous-traitants ultérieurs (liste publiée par AWS)
• L’assistance pour les droits des personnes concernées
• La notification des violations de données
• La suppression des données en fin de contrat
• Les droits d’audit (via les certifications tierces SOC, ISO)

Le DPA AWS intègre les Clauses Contractuelles Types (CCT) de la Commission européenne pour encadrer les transferts de données vers les États-Unis, en complément de la certification DPF d’AWS.

Pour activer le DPA AWS, vous devez l’accepter via la console AWS. Vérifiez qu’il est en place avant tout envoi d’email via SES. Conservez une copie dans votre documentation de conformité.

Transferts internationaux et analyse d’impact sur les transferts

Vos données de contacts : aucun transfert si vous hébergez en UE

C’est l’avantage structurel de Sendy. Vos listes d’abonnés, leurs données comportementales, et toute donnée personnalisée restent sur votre serveur. Si vous hébergez votre installation Sendy chez un hébergeur européen – OVH, Scaleway, Hetzner, Infomaniak – il n’y a aucun transfert de données hors de l’Union européenne pour le stockage de vos contacts.

Cette souveraineté totale sur les données de contacts est un avantage que les solutions SaaS américaines ne peuvent pas offrir, et que même Brevo n’atteint que partiellement (Brevo reste un tiers qui accède à vos données, même s’il les héberge en France).

Amazon SES : transfert vers l’infrastructure AWS

L’envoi effectif des emails via Amazon SES implique un transfert de données vers l’infrastructure AWS. Selon la région SES que vous choisissez, ce transfert peut rester intra-UE :

• eu-west-1 (Irlande) : pas de transfert hors UE
• eu-central-1 (Francfort) : pas de transfert hors UE
• eu-south-1 (Milan) : pas de transfert hors UE
• us-east-1, us-west-2, etc. : transfert vers les États-Unis

Configuration recommandée : utilisez une région SES européenne (eu-west-1 ou eu-central-1). Cela maintient le transit des emails dans l’UE. Même si AWS est une entreprise américaine soumise au CLOUD Act, le fait que les données transitent uniquement par des data centers européens réduit significativement le risque.

Analyse d’impact sur les transferts (TIA)

Si vous configurez Sendy avec un hébergement UE et Amazon SES en région européenne, votre TIA sera favorable : les données de contacts ne quittent jamais l’UE (votre serveur), et les données de transit email restent dans des data centers européens. Le risque résiduel concerne la soumission d’AWS au droit américain, mais il est atténué par le DPF, les CCT, et le chiffrement en transit.

Sécurité informatique

C’est le point critique de Sendy. Avec un outil SaaS, la sécurité de l’infrastructure est la responsabilité du prestataire. Avec Sendy, c’est votre responsabilité exclusive. L’article 32 du RGPD vous impose de mettre en oeuvre des mesures techniques et organisationnelles appropriées au risque.

Mesures de sécurité indispensables

Voici les mesures minimales à mettre en place pour votre installation Sendy :

Sécurité du serveur :

• HTTPS obligatoire avec certificat TLS valide (Let’s Encrypt ou équivalent)
• Mise à jour régulière du système d’exploitation, de PHP, et de MySQL/MariaDB
• Pare-feu configuré pour n’exposer que les ports nécessaires (80/443 pour le web, 22 pour SSH)
• Accès SSH par clé uniquement, mot de passe désactivé
• Fail2ban ou équivalent pour bloquer les tentatives de force brute

Sécurité de l’application :

• Sendy à jour (appliquer les mises à jour de sécurité dès leur publication)
• Mots de passe administrateur robustes
• Restriction d’accès à l’interface d’administration (IP whitelist si possible)
• Sauvegarde chiffrée régulière de la base de données MySQL

Sécurité de la base de données :

• MySQL/MariaDB non accessible depuis l’extérieur (bind sur localhost uniquement)
• Utilisateur MySQL dédié avec privilèges minimaux
• Chiffrement de la base de données au repos si votre hébergeur le permet

Sauvegardes :

• Sauvegarde quotidienne automatisée de la base de données
• Stockage des sauvegardes chiffré et sur un emplacement distinct du serveur principal
• Tests de restauration périodiques

Amazon SES : sécurité assurée par AWS

Côté Amazon SES, la sécurité est gérée par AWS avec son niveau de certification habituel : SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018. Le chiffrement TLS est appliqué pour le transit des emails. Vous bénéficiez de l’infrastructure de sécurité d’AWS sans configuration particulière.

Configuration recommandée pour la conformité RGPD

1. Choisir un hébergement européen

Installez Sendy sur un serveur hébergé dans l’UE. OVH, Scaleway, ou Hetzner sont des choix solides. Évitez les hébergeurs américains si vous souhaitez maximiser la souveraineté des données.

2. Configurer Amazon SES en région européenne

Dans la console AWS, créez votre identité SES dans la région eu-west-1 (Irlande) ou eu-central-1 (Francfort). Configurez Sendy pour utiliser le endpoint SES de cette région. Acceptez le DPA AWS via la console.

3. Activer le double opt-in

Sendy supporte nativement le double opt-in. Activez-le pour chaque liste. C’est la méthode de recueil de consentement la plus robuste et celle recommandée par la CNIL pour la prospection commerciale.

4. Implémenter le lien de désinscription

Sendy inclut automatiquement un lien de désinscription dans chaque email via la balise {{unsubscribe}}. Assurez-vous que ce lien est visible et fonctionne correctement. Ajoutez également un header List-Unsubscribe pour la désinscription en un clic (RFC 8058), que Sendy gère nativement.

5. Configurer le HTTPS

Votre installation Sendy doit être accessible exclusivement en HTTPS. Utilisez Let’s Encrypt pour un certificat gratuit et renouvelé automatiquement. Le HTTP non chiffré expose les données de connexion et les informations d’abonnés en clair.

6. Documenter dans votre registre des traitements

Inscrivez dans votre registre des traitements :

• Le traitement “Envoi de newsletter” avec Sendy comme outil interne
• Amazon SES comme sous-traitant pour la livraison d’emails
• Les catégories de données, les personnes concernées, la durée de conservation, la base légale
• La localisation des données (votre serveur UE + SES région UE)

7. Mettre en place une politique de conservation

Sendy ne dispose pas de mécanisme natif de suppression automatique des contacts inactifs. Vous devrez gérer manuellement (ou via un script personnalisé) la purge des contacts inactifs après une durée définie, conformément au principe de limitation de la conservation (article 5(1)(e) du RGPD).

Points d’attention spécifiques

Gestion des rebonds et plaintes

Amazon SES impose des seuils stricts en matière de taux de rebond (<5%) et de plaintes (<0,1%). Le non-respect de ces seuils entraîne la suspension de votre compte SES. Sendy gère automatiquement les rebonds via les notifications SNS d’AWS, mais vous devez configurer cette intégration correctement et surveiller vos métriques. Ce n’est pas seulement une question technique : traiter les rebonds est aussi une obligation RGPD de qualité des données (article 5(1)(d)).

Écosystème limité, surface d’attaque réduite

Sendy a un écosystème de plugins minimal. C’est un avantage du point de vue RGPD : moins d’intégrations tierces signifie moins de sous-traitants ultérieurs, moins de transferts de données, et une surface d’attaque réduite. L’application fait une chose – envoyer des emails – et la fait bien.

Mises à jour et maintenance

Sendy nécessite une maintenance technique régulière. Les mises à jour ne sont pas automatiques : vous devez les télécharger et les appliquer manuellement. Un retard dans l’application des correctifs de sécurité est un manquement à l’obligation de sécurité de l’article 32 du RGPD. Planifiez un processus de veille et de mise à jour.

Pas de support RGPD intégré

Contrairement aux SaaS qui fournissent des outils de gestion des droits (export de données, suppression automatisée), Sendy ne propose pas d’interface dédiée pour répondre aux demandes d’exercice de droits. Vous devrez traiter manuellement les demandes de droit d’accès, de droit à l’effacement, et de portabilité en accédant directement à la base de données MySQL.

FAQ

Sendy est-il conforme au RGPD ?

Sendy en tant que logiciel n’est ni conforme ni non conforme – c’est un outil neutre. La conformité dépend entièrement de la manière dont vous le configurez et l’exploitez. Hébergé sur un serveur européen, avec Amazon SES en région UE, un DPA AWS en place, et des mesures de sécurité appropriées, Sendy permet une conformité RGPD excellente avec un contrôle total sur les données. C’est une solution particulièrement adaptée aux organisations qui privilégient la souveraineté des données.

Faut-il un DPA avec le développeur de Sendy ?

Non. Le développeur de Sendy ne traite aucune de vos données personnelles. Il vous vend un logiciel que vous installez et exploitez sur votre propre infrastructure. Il n’y a pas de relation de sous-traitance au sens de l’article 28 du RGPD. En revanche, vous devez impérativement avoir un DPA avec Amazon Web Services pour l’utilisation d’Amazon SES.

Où sont stockées les données avec Sendy ?

Vos données d’abonnés (emails, noms, données comportementales) sont stockées dans la base de données MySQL de votre serveur, et uniquement là. Aucune copie n’est transmise à un tiers. Amazon SES reçoit ponctuellement les adresses email des destinataires et le contenu des emails au moment de l’envoi, mais ne stocke pas vos listes de contacts.

Sendy est-il adapté aux organisations soumises à des exigences strictes de confidentialité ?

Oui, c’est même l’un de ses principaux atouts. Les cabinets d’avocats, les professionnels de santé, les administrations publiques, et toute organisation traitant des données sensibles peuvent bénéficier du contrôle total offert par Sendy. Aucun tiers n’accède à vos listes d’abonnés. C’est le niveau maximal de souveraineté que vous pouvez atteindre avec un outil d’email marketing conforme au RGPD.