Votre outil d’emailing gère probablement votre actif numérique le plus précieux : votre liste de contacts. Des noms, des adresses email, des comportements d’achat, des préférences… C’est une base entière de données personnelles que vous confiez à un prestataire. Et pourtant, rares sont les entreprises qui ont vérifié les conditions dans lesquelles ces données sont traitées, stockées, et protégées.
Dans cet article, je passe en revue les principales solutions d’emailing — des plus souveraines aux plus connues — avec un regard honnête sur ce que chacune vaut vraiment en matière de conformité RGPD.
Ce que vous devez savoir avant de choisir un outil d’emailing
Un outil d’emailing traite des données personnelles à grande échelle : chaque adresse email dans votre liste est une donnée personnelle au sens du RGPD. En utilisant un tel outil, vous devenez responsable de traitement, et l’outil devient votre sous-traitant.
Trois questions essentielles à poser avant de choisir :
Où sont stockées les adresses email de vos contacts ? C’est la question numéro un. Un outil dont les serveurs sont aux États-Unis soumet ces données au Cloud Act américain, qui autorise les autorités US à y accéder sans votre consentement. Pour des données d’entreprises clientes ou de particuliers européens, c’est un risque réel.
Le DPA est-il en place ? Sans ce contrat de traitement des données, vous n’êtes juridiquement pas en règle, même si l’outil affiche « conforme au RGPD » sur sa page d’accueil.
L’outil peut-il accéder au contenu de vos emails ? La plupart des outils peuvent techniquement lire vos campagnes. C’est normal dans le cadre de la lutte anti-spam. Mais certains utilisent aussi vos données pour d’autres finalités — entraîner des IA, personnaliser des publicités — ce qui dépasse largement ce que vous leur avez autorisé.
Un point spécifique à l’emailing : les données de santé ne doivent jamais transiter par un outil d’emailing standard, quelle que soit sa conformité RGPD. L’email n’est pas un canal sécurisé pour des données médicales.
🟢 Les outils souverains : données hébergées en France ou en Europe
Brevo (ex-Sendinblue) ⭐ Outil que j’utilise dans mes prestations
Ce que c’est : Brevo est une plateforme française fondée en 2012, aujourd’hui devenue l’une des références mondiales du marketing automation. Elle va bien au-delà de l’emailing : CRM, SMS, chat, formulaires, pages de capture, landing pages, et automation multicanale sont regroupés dans une seule interface. C’est la solution tout-en-un la plus complète du marché avec un ancrage européen solide.
| Critère | Détail |
|---|---|
| Siège social | 🇫🇷 France (Paris) |
| Hébergement des données | 🇫🇷 France (OVHcloud) + 🇧🇪 Belgique (Google Cloud EU) + 🇩🇪 Allemagne (OVHcloud) |
| RGPD | ✅ Natif — DPA inclus dans les CGU, conforme dès le premier abonnement |
| DPA disponible | ✅ Oui (intégré aux conditions d’utilisation) |
| Plan requis pour hébergement EU | Tous les plans — données exclusivement dans l’UE par défaut |
| Données de santé (HDS) | ⚠️ Non certifié HDS par défaut — Possible sur offre Enterprise spécifique |
| Soumis au Cloud Act | ❌ Non — Siège et infrastructure en France/EU |
| API | ✅ Excellente |
| Automatisation Make | ✅ Natif |
| Automatisation Zapier | ✅ Natif |
| Automatisation n8n | ✅ Natif |
Attention : Brevo précise dans ses CGU que ses services n’ont pas été conçus pour collecter ou traiter des données sensibles au sens de l’article 9 du RGPD (santé, opinions politiques, convictions religieuses…). Brevo indique clairement que vous acceptez de ne pas utiliser les services pour collecter, gérer ou traiter ces données sensibles.
Mon avis : Brevo est un outil d’emailing de référence pour les clients français. La stratégie de stockage des données est hybride : des serveurs physiques basés principalement en France, et des serveurs cloud sur Google Cloud Platform en Belgique exclusivement. C’est une garantie concrète que vos listes de contacts ne quittent pas l’Union Européenne. Le plan gratuit est généreux (contacts illimités), et le modèle de facturation à la consommation d’emails est idéal pour les structures qui ont une grande base de contacts mais font peu d’envois. La richesse fonctionnelle (CRM intégré, SMS, automation) en fait une solution tout-en-un rare à ce niveau de conformité.
MailerLite ⭐ Outil chouchou que j’utilise dans mes prestations
Ce que c’est : MailerLite est fondée en 2010 à Vilnius, en Lituanie. C’est l’outil d’emailing qui a la réputation la plus solide pour sa simplicité et son rapport qualité/prix. Il excelle dans la création de newsletters soignées, les landing pages, les formulaires d’inscription, et les automatisations de base. C’est souvent le premier outil que je recommande pour les indépendants et petites structures qui démarrent.
| Critère | Détail |
|---|---|
| Siège social | 🇱🇹 Lituanie (Vilnius) — membre de l’Union Européenne |
| Hébergement des données | 🇪🇺 Union Européenne (datacenter certifié ISO 27001) |
| RGPD | ✅ Très bon niveau — DPA intégré aux CGU, tous les outils conformes (double opt-in, désinscription…) |
| DPA disponible | ✅ Oui — Le DPA fait désormais partie intégrante des CGU — il n’y a plus besoin de le signer séparément. En acceptant les conditions d’utilisation, vous acceptez également le DPA. |
| Plan requis pour hébergement EU | Tous les plans (y compris gratuit) |
| Données de santé (HDS) | ❌ Non certifié HDS |
| Soumis au Cloud Act | ❌ Non — Entreprise lituanienne, droit européen |
| API | ✅ Oui |
| Automatisation Make | ✅ Natif |
| Automatisation Zapier | ✅ Natif |
| Automatisation n8n | ✅ Natif |
Mon avis : MailerLite est basé à Vilnius, en Lituanie, et y stocke toutes ses données. La Lituanie fait partie de l’Union Européenne et est donc couverte par les lois européennes de protection des données. C’est la meilleure alternative européenne à Mailchimp en termes de rapport simplicité/prix. Le plan gratuit est l’un des plus généreux du marché pour démarrer. Attention : tous les sous-traitants de MailerLite sont basés dans l’UE, et le datacenter a la certification ISO 27001. Un très bon choix pour les indépendants, consultants, associations et petites structures qui veulent un outil simple, conforme, et abordable. C’est l’outil que je recommande le plus.
🟡 Les outils américains : puissants, mais avec des nuances à connaître
Mailchimp
Ce que c’est : Mailchimp est le leader mondial de l’emailing, avec plus de 14 millions d’utilisateurs dans le monde. Appartenant au groupe américain Intuit (QuickBooks, TurboTax), il est utilisé par des millions d’entreprises pour sa facilité de prise en main, ses nombreux templates, et son plan gratuit historiquement généreux.
| Critère | Détail |
|---|---|
| Siège social | 🇺🇸 États-Unis (Atlanta, Géorgie — Intuit Inc.) |
| Hébergement des données | 🇺🇸 États-Unis (données stockées aux USA, centres de données Google en Europe partiellement) |
| RGPD | ✅ DPA automatiquement inclus dans les CGU — Certifié EU-US Data Privacy Framework |
| DPA disponible | ✅ Oui (intégré aux conditions d’utilisation) |
| Plan requis pour hébergement EU | ❌ Pas d’hébergement EU exclusif disponible |
| Données de santé (HDS) | ❌ Non |
| Soumis au Cloud Act | ⚠️ Oui — Entité américaine (Intuit Inc.) |
| API | ✅ Excellente |
| Automatisation Make | ✅ Natif |
| Automatisation Zapier | ✅ Natif |
| Automatisation n8n | ✅ Natif |
À retenir : Mailchimp est certifié en vertu du Data Privacy Framework UE-États-Unis, ce qui permet les transferts de données légaux entre l’UE et les USA. Si ce cadre devait être invalidé, Mailchimp s’engage contractuellement à utiliser les clauses contractuelles types (CCT). En pratique, cela signifie que vos listes de contacts sont juridiquement protégées, mais physiquement stockées aux États-Unis, sous juridiction américaine. Mailchimp peut également partager des informations avec sa maison mère Intuit Inc. et d’autres sociétés du groupe pour développer leurs services — un point que peu d’utilisateurs ont lu dans les conditions générales. Pour un usage classique (newsletter, prospection commerciale), Mailchimp reste utilisable avec un DPA en place. Pour des données plus sensibles, préférez une alternative européenne.
Tableau comparatif récapitulatif
| Outil | Siège | Hébergement | RGPD | DPA | Plan EU | Données santé | Cloud Act | API | Make | Zapier | n8n |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Brevo | 🇫🇷 FR | 🇫🇷/🇧🇪/🇩🇪 EU | ✅ Natif | ✅ Inclus | Tous | ❌ | ❌ | ✅ | ✅ | ✅ | ✅ |
| MailerLite | 🇱🇹 LT (EU) | 🇪🇺 EU (ISO 27001) | ✅ Inclus CGU | ✅ Inclus | Tous | ❌ | ❌ | ✅ | ✅ | ✅ | ✅ |
| Mailchimp | 🇺🇸 US (Intuit) | 🇺🇸 USA | ✅ DPA/DPF | ✅ Inclus | ❌ | ❌ | ⚠️ | ✅ | ✅ | ✅ | ✅ |
Ce que vous devez faire concrètement
1. Vérifiez que votre DPA est en place — et archivez-le. Pour Brevo, MailerLite et Mailchimp, il est intégré aux CGU. Cela ne signifie pas que vous pouvez l’ignorer : gardez une trace de la version que vous avez acceptée (date, capture ou PDF). En cas de contrôle CNIL, vous devez pouvoir prouver que vous avez connaissance de ce contrat.
2. Ajoutez l’outil à votre registre des traitements. Mention obligatoire : nom de l’outil, catégories de données (email, prénom, comportement d’achat…), finalité (envoi de newsletters, prospection…), durée de conservation, et localisation des données.
3. Obtenez le consentement explicite de vos abonnés. Le RGPD l’impose : chaque personne inscrite à votre liste doit avoir donné son consentement libre, éclairé, et spécifique. Le double opt-in est la bonne pratique recommandée par la CNIL. Tous les outils cités dans cet article le proposent nativement.
4. Ne gardez pas de contacts inactifs indéfiniment. La CNIL recommande de supprimer les contacts inactifs après 3 ans sans interaction. La plupart des outils proposent des filtres d’engagement pour identifier ces contacts.
5. N’envoyez jamais de données de santé par email. Ni dans le corps d’un email, ni dans les données personnalisées d’une campagne. L’email marketing n’est pas un canal sécurisé pour les données médicales, quels que soient les outils utilisés.
6. Sur Mailchimp, lisez les conditions de partage avec Intuit. Depuis le rachat par Intuit, Mailchimp peut partager certaines données avec l’écosystème Intuit (QuickBooks, etc.). Si vos clients sont aussi clients Intuit, vérifiez les implications dans votre politique de confidentialité.
Quelques mots sur les IA intégrées dans les outils d’emailing
Tous ces outils ont intégré des fonctionnalités IA en 2024-2025 : génération d’objets d’email, rédaction de contenu, optimisation de l’heure d’envoi, prédictions d’engagement…
Ce que vous devez savoir : quand vous utilisez une fonctionnalité IA dans votre outil d’emailing, vous soumettez potentiellement le contenu de vos emails — et donc les noms de vos contacts, les produits qu’ils achètent, leurs comportements — à un sous-traitant IA (souvent OpenAI).
Brevo est le plus transparent sur ce point : leur usage de l’IA reste dans le cadre de leur infrastructure européenne, avec des engagements clairs sur la non-utilisation de vos données pour entraîner des modèles externes. Mailchimp, via Intuit, connecte ses fonctionnalités IA à un écosystème américain plus large — à surveiller dans votre analyse d’impact RGPD.
En résumé : quel outil pour quel besoin ?
- Vous êtes une PME française et voulez la solution tout-en-un la plus conforme → Brevo ⭐ (France, CRM + email + SMS + automation, gratuit pour commencer)
- Vous êtes indépendant, consultant ou association avec un budget maîtrisé → MailerLite ⭐ (Lituanie/EU, simplicité maximale, prix imbattable)
- Vous démarrez ou avez besoin de la notoriété mondiale + nombreuses intégrations → Mailchimp (USA, DPA inclus, mais données aux États-Unis)
