Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

SparkPost

Que fait SparkPost ?

SparkPost est un service d'infrastructure email utilisé pour les emails transactionnels, marketing et de notification. Depuis 2021 il fait partie de Bird (anciennement MessageBird), CPaaS basée à Amsterdam. SparkPost offre relay SMTP, API HTTP, parsing inbound et des analytics détaillés sur ouvertures, clics, bounces et engagement. Le tracking d'ouverture et de clic passe par pixels et URL wrapping ; les deux ont des implications RGPD et exigent une configuration soignée pour la conformité européenne.

Qu''est-ce que SparkPost ?

SparkPost est un service d''infrastructure email développé à l''origine par Message Systems, spécialiste américain de la délivrabilité. Il a été racheté par MessageBird en 2021 (CPaaS basée à Amsterdam, rebaptisée Bird en 2024) et fait désormais partie de la famille Bird aux côtés de Mailgun (racheté en 2023). SparkPost est utilisé par les éditeurs SaaS, e commerce et médias pour envoyer à grande échelle des emails transactionnels (réinitialisations de mot de passe, confirmations de commande, notifications) et marketing, avec des analytics détaillés sur la délivrabilité et l''engagement.

Comment fonctionne le tracking

SparkPost ne dépose pas de cookies navigateur puisque c''est un service email backend. Le tracking se fait à deux endroits : le tracking d''ouverture via une image transparente 1x1 en bas des emails HTML, téléchargée par le client mail à l''affichage, ce qui transmet IP, user agent et horodatage à SparkPost ; le tracking de clic via le wrapping d''URL, où chaque lien de l''email est remplacé par une URL de redirection SparkPost qui journalise le clic avant redirection. Les deux peuvent être désactivés par message via les SubAccounts ou les options de template. SparkPost émet aussi des évènements webhook pour livraison, bounce, complaint, désabonnement et engagement.

Implications RGPD et ePrivacy

Comme aucune information n''est stockée sur le terminal du destinataire, l''art. 5(3) ePrivacy ne s''applique pas aux emails SparkPost. La règle applicable est l''art. 13 ePrivacy (communications non sollicitées) pour les emails marketing, exigeant consentement ou opt in soft. Sous RGPD, les emails transactionnels reposent sur la nécessité contractuelle (art. 6(1)(b)), les emails marketing sur le consentement (art. 6(1)(a)). Le traitement de tracking d''ouverture et de clic repose sur l''intérêt légitime de l''art. 6(1)(f) mais doit être déclaré dans la politique de confidentialité et les destinataires doivent pouvoir le désactiver sur demande.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts et traitement régional

L''infrastructure SparkPost par défaut inclut des datacenters US ainsi que des régions UE (Francfort, Dublin). Les clients européens doivent activer explicitement le traitement régional UE lorsque les engagements de résidence l''exigent. Bird a son siège à Amsterdam, ce qui place la décision corporate en UE, mais le produit SparkPost conserve une infrastructure US pour l''efficacité du routage global. Bird s''auto certifie sous le EU US Data Privacy Framework et propose des CCT pour les transferts hors DPF.

Apple Mail Privacy Protection et inflation des taux d''ouverture

Apple Mail Privacy Protection, activée par défaut sur iOS 15 et macOS Monterey, prefetche toutes les images des emails sur les serveurs Apple aux États-Unis avant que le destinataire n''ouvre. Cela casse le tracking d''ouverture en gonflant les taux à près de 100 % pour les utilisateurs d''Apple Mail, et l''IP/user agent visibles par SparkPost deviennent ceux des relais Apple. Les données sont toujours traitées par SparkPost mais leur valeur analytique baisse. Les opérateurs doivent ajuster leurs attentes et ne pas tirer d''inférences individuelles depuis les taux d''ouverture des destinataires Apple Mail.

Mise en pratique

Distinguer clairement emails transactionnels (sans consentement sous nécessité contractuelle) et emails marketing (consentement ou opt in soft). Souscrire au traitement régional UE le cas échéant. Signer le DPA et les CCT Bird/SparkPost. Déclarer le tracking d''ouverture et de clic dans la politique de confidentialité. Fournir un lien de désabonnement fonctionnel dans tous les emails marketing et honorer la suppression en 72 heures. Inscrire le traitement au registre avec catégories de données, base légale, durée et mécanisme de transfert.

Categorie de consentement RGPD

Analytique

Les sites web utilisant SparkPost doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract necessity (GDPR Art. 6(1)(b)) for transactional emails tied to a service (password reset, order confirmation, account verification). Consent (Art. 6(1)(a)) or soft opt in for marketing emails under ePrivacy and PECR. Legitimate interest (Art. 6(1)(f)) for security and fraud notifications.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, UK PECR, German UWG, French CNIL recommendations on email marketing, US CAN SPAM Act for US recipients, EU US Data Privacy Framework, EU UK adequacy decision

Considerations AIPD

SparkPost ne dépose pas de cookies navigateur (pas de tracking web) mais embarque des pixels de tracking et des URL wrappées dans les emails envoyés. Points clés AIPD : (1) le pixel d'ouverture journalise IP, user agent et horodatage du destinataire à l'affichage ; (2) la redirection de tracking de clic journalise les mêmes données plus l'URL de destination initiale ; (3) certains clients webmail (Gmail, Apple Mail Privacy Protection) prefetchent les images, ce qui gonfle les taux d'ouverture et complique l'interprétation, sans changer l'analyse RGPD ; (4) Bird (la maison mère) est basée en UE (Amsterdam) mais le produit SparkPost tourne encore par défaut sur infrastructure US sauf activation explicite du traitement régional UE ; (5) les emails marketing exigent un consentement ou un opt in soft, distinct de la base contractuelle des emails transactionnels. Une AIPD est recommandée pour les expéditeurs marketing à fort volume et les sites mêlant flux transactionnel et marketing.

Exemple de texte de consentement

Nous utilisons SparkPost (produit Bird, avec infrastructure en [régions UE / régions US]) pour envoyer nos emails transactionnels (réinitialisation de mot de passe, confirmations de commande) et nos emails marketing lorsque vous y avez consenti. SparkPost embarque une petite image invisible et wrappe les liens de nos emails pour mesurer la délivrabilité et l'engagement. Votre IP est journalisée à l'affichage. Pour les emails marketing, vous pouvez vous désabonner à tout moment via le lien dans l'email ou en nous contactant.

Details techniques

Methode de suiviEmail delivery and infrastructure service. SparkPost provides SMTP relay, HTTP API and inbound email parsing for transactional, marketing and notification emails. Tracking is embedded in outgoing messages: a 1x1 transparent open tracking pixel and click tracking via URL wrapping (sparkpost-tracked URLs that redirect to the original destination). The service produces webhook events for each send, delivery, open, click, bounce, complaint and unsubscribe.

Localisation des serveursMultiple regions. SparkPost (now Bird, formerly MessageBird since the 2021 acquisition) operates US and EU data regions. Customers can choose EU regional processing (Frankfurt, Dublin) for European messaging traffic on Enterprise plans.

Suivi sans cookie disponibleOui

Donnees transferees hors UESparkPost is part of Bird (MessageBird), headquartered in Amsterdam with a strong US operation following the 2021 acquisition of Message Systems. EU regional processing is available for European customers, but default infrastructure routes through US data centres unless explicitly configured. Bird self certifies under the EU US Data Privacy Framework and offers Standard Contractual Clauses.

Domaines tiers contactes

sparkpost.comeu.sparkpost.comsparkpostmail.comapi.sparkpost.combird.com

SparkPost collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

SparkPost dépose-t-il des cookies ?

Aucun cookie navigateur. SparkPost est un service email backend qui n'exécute pas de JavaScript sur un site. Le tracking se fait dans les emails : pixel d'ouverture 1x1 et URLs de tracking de clic. Les deux peuvent être désactivés par message.

Le consentement est-il requis pour SparkPost ?

Non pour les emails transactionnels (nécessité contractuelle). Les emails marketing exigent consentement ou opt in soft sous l'art. 13 ePrivacy et PECR. Le traitement de tracking d'ouverture et de clic relève de l'intérêt légitime mais doit être déclaré dans la politique de confidentialité et les visiteurs doivent pouvoir refuser sur demande.

Quelle base légale pour le traitement SparkPost ?

Nécessité contractuelle (art. 6(1)(b)) pour les emails transactionnels. Consentement (art. 6(1)(a)) pour les emails marketing. Intérêt légitime (art. 6(1)(f)) pour les alertes de sécurité et les métriques de tracking d'ouverture/clic.

SparkPost transfère-t-il des données vers les États-Unis ?

Par défaut, oui. Le traitement régional UE est disponible en Enterprise. Bird (la maison mère) est basée à Amsterdam, mais le produit SparkPost utilise encore l'infrastructure US pour le routage global sauf configuration explicite. Bird s'auto certifie sous le EU US Data Privacy Framework et propose des CCT.

Faut-il une AIPD pour SparkPost ?

Une AIPD est recommandée pour les expéditeurs marketing à fort volume ou les sites mêlant flux transactionnel et marketing où les données se combinent en profils utilisateurs riches. Pour un email purement transactionnel sous nécessité contractuelle, l'AIPD peut ne pas être obligatoire mais l'inscription au registre reste impérative.

Comment implémenter SparkPost en conformité ?

Séparer clairement transactionnel et marketing. Recueillir un consentement explicite ou s'appuyer sur l'opt in soft pour le marketing. Souscrire au traitement régional UE si applicable. Signer le DPA et les CCT Bird/SparkPost. Déclarer le tracking d'ouverture et de clic dans la politique de confidentialité. Honorer les désabonnements en 72 heures et les propager aux systèmes liés.

Quelles alternatives à SparkPost ?

Autres fournisseurs d'infrastructure email : Mailgun (Bird aussi), Postmark (US), SendGrid (Twilio, US), Amazon SES (US), Brevo (anciennement Sendinblue, France, résidence UE), Mailjet (France/Sinch, résidence UE), et Postfix ou Postal en auto hébergé. Les options européennes comme Brevo et Mailjet évitent le transfert US par défaut.

Comment mettre à jour la politique cookies ou de confidentialité ?

SparkPost ne doit pas figurer sur la bannière cookies. Dans la politique de confidentialité, nommer Bird/SparkPost comme sous traitant, décrire le tracking d'ouverture et de clic, indiquer la base légale (transactionnel vs marketing), déclarer le choix de résidence (UE ou US) et le mécanisme de transfert. Fournir un lien de désabonnement fonctionnel dans chaque email marketing.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min