Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Mailgun

Que fait Mailgun ?

Mailgun est une plateforme d'API email transactionnel et marketing opérée par Sinch Email Inc. (groupe Sinch, Stockholm). Mailgun ne dépose pas de cookies sur les visiteurs d'un site. Le tracking d'ouverture et de clic dans les emails implique des identifiants stockés sur le terminal du destinataire au chargement des images, ce qui nécessite un consentement pour les campagnes marketing.

Ce qu''est Mailgun et comment il envoie des emails

Mailgun est une plateforme d''API email transactionnel et marketing fondée en 2010. Elle est aujourd''hui opérée par Sinch Email Inc., membre du groupe Sinch basé à Stockholm, Suède. Les clients envoient des emails en appelant l''API Mailgun côté serveur ou via relais SMTP. La plateforme propose aussi le routage entrant, la gestion de listes, la validation d''adresses et l''analytique. Mailgun est largement utilisé pour les réinitialisations de mot de passe, confirmations de commande, emails d''abandon de panier et newsletters.

Cookies et identifiants déposés sur les destinataires

Mailgun ne dépose aucun cookie sur les visiteurs d''un site (la plateforme est un émetteur d''email, pas un widget web). Lorsque le client active le tracking d''ouverture, Mailgun ajoute un pixel invisible 1x1 servi depuis email.mg.mailgun.net dans les emails sortants, le navigateur du destinataire le récupère à la lecture et Mailgun enregistre l''ouverture. Lorsque le tracking des clics est activé, les liens des emails sont réécrits via events.mailgun.net pour que chaque clic soit logué. Ces mécanismes lient une ouverture ou un clic à une adresse email destinataire, ce qui constitue une donnée personnelle.

Implications RGPD et ePrivacy

Pour les emails transactionnels, l''article 6(1)(b) du RGPD (exécution d''un contrat) couvre typiquement le message lui même. Pour les emails marketing, la base légale est le consentement (article 6(1)(a)) ou le soft opt in pour les clients existants selon les règles nationales. Le tracking d''ouverture et de clic implique le stockage d''identifiants et la lecture d''informations sur le terminal du destinataire, donc la CNIL et d''autres autorités européennes considèrent qu''un consentement éclairé est nécessaire pour les campagnes marketing. Le tracking transactionnel peut parfois s''appuyer sur l''intérêt légitime si la finalité est documentée.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts de données et Schrems II

Provisionnez Mailgun dans la région UE (api.eu.mailgun.net) pour garder le contenu des emails, les adresses destinataires et les logs d''événements dans l''EEE. La région US (mailgun.net) déclenche un transfert couvert par les clauses contractuelles types et le Data Privacy Framework UE États Unis. La maison mère Sinch est basée en Suède, pleinement sous RGPD. Certains outils de support et facturation incluent des fournisseurs US. Documentez le tout dans le RoPA.

Étapes pratiques de mise en conformité

Provisionnez le projet dans la région UE. Signez le DPA Mailgun (sous Sinch). Documentez Mailgun dans votre RoPA avec région, conservation et base légale par type de campagne. Désactivez le tracking d''ouverture et de clic pour les transactionnels lorsqu''il n''est pas strictement nécessaire. Pour les emails marketing, recueillez le consentement et fournissez un lien de désinscription facile. Incluez un paragraphe dans la politique de confidentialité expliquant le pixel et le mécanisme d''opt out. Implémentez des flux DSAR pouvant exporter et supprimer les données destinataire dans Mailgun via l''API.

Categorie de consentement RGPD

Analytique

Les sites web utilisant Mailgun doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleArticle 6(1)(f) GDPR (legitimate interest) or Article 6(1)(a) (consent) for the email content itself depending on the marketing or transactional purpose. Open and click tracking via Mailgun pixels involve identifiers stored on the recipient device when they load images, so they require informed consent for marketing campaigns under ePrivacy and the EDPB guidelines on direct marketing.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, DSGVO, RGPD, LSSI, CAN SPAM (US recipients), CASL (Canadian recipients), EU US Data Privacy Framework, French CNIL guidelines on email tracking

Considerations AIPD

Une AIPD est recommandée lorsque Mailgun est utilisé pour de l'email marketing à l'échelle ou pour envoyer des messages transactionnels au contenu sensible (santé, juridique, financier). Documenter le choix de la région UE, la base légale par campagne, la durée de conservation des événements et logs (3 à 7 jours pour le contenu, 30 à 90 jours pour les événements selon le plan), le mécanisme d'opt out et la procédure DSAR.

Exemple de texte de consentement

Nos emails marketing sont envoyés via Mailgun. Lorsque vous ouvrez un email, Mailgun charge un petit pixel de suivi qui nous informe de l'ouverture. Les liens peuvent être encapsulés pour suivre les clics. Vous pouvez désactiver le chargement des images dans votre client mail pour éviter le pixel et vous désinscrire à tout moment via le lien en bas de chaque email.

Details techniques

Methode de suiviTransactional and marketing email API platform. Mailgun is invoked server side to send emails, validate addresses and receive inbound messages. Optionally Mailgun rewrites links in sent emails so that clicks are tracked through events.mailgun.net and adds a 1x1 open pixel from email.mg.mailgun.net. The recipient browser may then load tracking pixels and click trackers when reading the email or following a link, but no Mailgun cookie is set on a website visitor unless the customer site embeds a Mailgun analytics widget.

Localisation des serveursSinch Email Inc. (formerly Mailgun Technologies Inc.) operates Mailgun from the United States as part of the Sinch group (headquartered in Stockholm, Sweden). Customers can choose between the US region (mailgun.net, AWS US East 1) and the EU region (api.eu.mailgun.net, AWS EU West 1, Ireland). Both regions handle email content, recipient addresses, open and click events and logs.

Suivi sans cookie disponibleOui

Domaines tiers contactes

mailgun.netapi.mailgun.netapi.eu.mailgun.netemail.mg.mailgun.netevents.mailgun.netapp.mailgun.comapp.eu.mailgun.com

Cookies deposes

Nom	Type	Duree	Finalite
mg-session	first-party (app.mailgun.com / app.eu.mailgun.com)	Session	Authentication session cookie for the Mailgun control panel used by the customer. Strictly necessary, never set on the public website that the customer operates.
mg_csrf	first-party (Mailgun control panel)	Session	Anti CSRF token used by the Mailgun web application. Strictly necessary, only relevant for Mailgun account users.

Mailgun collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

Mailgun dépose t il des cookies sur les visiteurs du site ?

Non. Mailgun est une API d'envoi d'emails et ne dépose pas de cookies sur un site web. Le tracking se passe dans le corps de l'email via un pixel invisible (email.mg.mailgun.net) et la réécriture des liens via events.mailgun.net. Ces artefacts ne se déclenchent qu'à l'ouverture d'un email ou au clic sur un lien tracké.

Le consentement est il requis pour Mailgun selon le RGPD et ePrivacy ?

Pour les emails transactionnels, l'article 6(1)(b) couvre le message. Pour les emails marketing, le consentement est requis au titre d'ePrivacy et des règles nationales. Le tracking d'ouverture et de clic sur emails marketing requiert un consentement éclairé selon le CEPD et la CNIL.

Quelle est la base légale du traitement avec Mailgun ?

Article 6(1)(b) RGPD (exécution d'un contrat) pour les emails transactionnels. Article 6(1)(a) (consentement) pour les emails marketing et le tracking ouverture/clic des campagnes marketing. Article 6(1)(f) (intérêt légitime) possible pour le monitoring transactionnel de délivrabilité si documenté. Le client est responsable de traitement, Sinch Email Inc. est sous traitant.

Mailgun transfère t il des données aux États Unis ?

Provisionnez le projet dans la région UE (api.eu.mailgun.net) pour garder le contenu des emails, les adresses destinataires et les événements dans l'EEE. La région US (mailgun.net) déclenche un transfert couvert par les CCT et le Data Privacy Framework UE États Unis. La maison mère Sinch est en Suède.

Une AIPD est elle nécessaire pour Mailgun ?

Une AIPD est recommandée pour les programmes d'email marketing à grande échelle ou les flux transactionnels au contenu sensible. Documentez la région UE, la base légale par campagne, la durée de conservation, la configuration du tracking et la procédure DSAR.

Comment intégrer Mailgun en conformité ?

Choisir la région UE à la création du projet, signer le DPA Mailgun (Sinch), documenter le sous traitant dans votre RoPA, recueillir le consentement pour les emails marketing, désactiver le tracking ouverture et clic quand ce n'est pas nécessaire, inclure la mention du tracking dans la politique de confidentialité et fournir un lien de désinscription clair.

Quelles sont les alternatives à Mailgun ?

Autres fournisseurs d'API email : SendGrid (Twilio, US), Postmark (US), Amazon SES, SparkPost (Bird), Brevo anciennement Sendinblue (France), Mailjet (Sinch), Mailtrap, Resend, Tipimail (FR) et des options auto hébergées comme Postal ou Haraka.

Comment mettre à jour la politique de cookies pour Mailgun ?

Mailgun n'a pas besoin de figurer dans la bannière cookies du site web puisqu'il ne pose pas de cookies web. Mettez à jour la politique de confidentialité pour décrire le pixel de tracking (ouverture) et la réécriture des liens (clic), avec la région UE utilisée et la durée de conservation. Incluez les procédures de désinscription et DSAR.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min