Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Sendinblue est une plateforme française d'email marketing, SMS, automation et CRM rebaptisée Brevo en 2023. La société est basée à Paris avec des data centres en France et en Allemagne. Sendinblue couvre l'e mail transactionnel, les newsletters, le marketing automation, les landing pages, le tracking web et le chat en direct, avec une forte orientation conformité RGPD pour les clients européens.
Sendinblue, rebaptisé Brevo en 2023, est une plateforme française d''e mail marketing et de CRM fondée en 2012 et basée à Paris. Le produit couvre les campagnes newsletter, l''e mail transactionnel (SMTP et API), le SMS et WhatsApp marketing, le marketing automation, les landing pages, les formulaires d''inscription, le tracking web et le chat en direct (Brevo Conversations). Sur un site public, Sendinblue apparaît sous la forme de formulaires d''inscription embarqués, du script de tracking et éventuellement du widget Conversations.
Le tracker Sendinblue pose des cookies first party (sib_cuid, sib_session) pour relier les pages vues à une fiche contact et alimenter des automatisations comme l''abandon de panier, la mise à jour de scores ou les newsletters comportementales. La plateforme stocke les données de contact (e mail, nom, attributs personnalisés, preuve de double opt in), les événements e mail (ouvertures, clics, bounces) et les métadonnées transactionnelles. Brevo Conversations pose ses propres cookies pour maintenir la conversation entre les pages.
Les cookies de tracking web posés par sib_tracking.js sortent du strictement nécessaire et requièrent un consentement au sens de l''article 6, paragraphe 1, point a) du RGPD et de l''article 5, paragraphe 3 de la directive ePrivacy avant chargement. Les e mails transactionnels envoyés à des clients authentifiés (confirmations de commande, réinitialisations de mot de passe) reposent sur l''exécution d''un contrat au sens de l''article 6, paragraphe 1, point b) du RGPD. Les inscriptions newsletter restent fondées sur le consentement et Sendinblue stocke la preuve de l''opt in pour satisfaire à la responsabilité RGPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sendinblue SAS (Brevo SA) a son siège à Paris et stocke les données clients sur une infrastructure européenne : data centres OVHcloud en France et AWS Francfort en Allemagne. Les flux de livraison d''e mail restent dans l''Union européenne. Certains outils support et sous traitants opérationnels peuvent être situés hors de l''UE ; les transferts éventuels s''appuient sur l''Addendum Brevo au traitement et les Clauses Contractuelles Types européennes au sens de l''article 46, paragraphe 2, point c) du RGPD.
Signez l''Addendum Brevo, utilisez le double opt in pour chaque liste newsletter, stockez les preuves d''opt in dans la fiche contact, configurez le tracker pour qu''il ne se charge qu''après consentement via une plateforme de gestion du consentement, fixez des durées de rétention pour les contacts inactifs et les e mails bounces et inscrivez Brevo comme sous traitant dans le registre des activités de traitement. Mentionnez les data centres UE et la base légale du consentement dans la politique de confidentialité.
Les sites web utilisant Sendinblue doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque Sendinblue contient de gros volumes de contacts avec des segments sensibles (santé, finance, religion, opinions politiques), lorsqu'il alimente des campagnes automatisées basées sur un profilage comportemental détaillé ou lorsque les canaux SMS et WhatsApp ciblent des mineurs européens.
Exemple de texte de consentement
Nous utilisons Sendinblue (Brevo), une plateforme d'e mail marketing exploitée par Sendinblue SAS à Paris. Le tracker Sendinblue de ce site pose des cookies (sib_cuid, sib_session) et relie vos interactions sur le site à votre fiche contact. Sendinblue stocke vos données sur des serveurs européens (France et Allemagne). En acceptant, vous autorisez ce suivi et le traitement associé au sens de l'article 6, paragraphe 1, point a) du RGPD.
Domaines tiers contactes
sendinblue.comsendinblue.comsendinblue.combrevo.comsibautomation.combrevo.combrevo.comt.sendinblue.comsibautomation.comr.sendinblue.comapp.brevo.comsibforms.comsibautomation.comsibforms.comr.sib2.comymlp.comsibforms.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| sib_cuid | Marketing | 13 months | Sendinblue persistent customer identifier set on the publisher domain to track a contact across sessions. |
| sib_cuid | First party (Sendinblue / Brevo tracking) | 1 year | Anonymous visitor identifier used by the Sendinblue tracking JavaScript and the marketing automation events |
| sib_cuid | Analytics (Sendinblue tracker) | 1 year | First party cookie set by sib_tracking.js to assign a unique visitor identifier. Used to link page views to a Brevo contact record for automation and segmentation. |
| sib_evt | First party (Sendinblue / Brevo tracking) | Session | Session level event tracking cookie used by the marketing automation flows |
| sib_lid | Marketing | 13 months | Sendinblue lead identifier created when a contact submits a form or is recognised in marketing automation workflows. |
| sib_session | Analytics (Sendinblue tracker) | Session | First party session cookie set by sib_tracking.js to group page views into a coherent visit for behavioural triggers. |
| sib_chat_session | First party (Brevo Conversations chat widget) | Session | Stores the current chat conversation when the Brevo Conversations widget is embedded |
| PHPSESSID | Functional | Session | PHP session cookie used by the Sendinblue tracker to maintain server side state during a session. |
| __sib_user | Functional (Conversations) | 6 months | Used by Brevo Conversations to remember the visitor between chat sessions and resume the conversation history. |
| sib_tracker_enabled | Marketing | 13 months | Flag set when the Sendinblue tracker is initialised, indicating that web events are being collected. |
| sib_form_submitted | First party (Brevo subscription form) | 30 days | Avoids displaying the same subscription popup form to a visitor who already submitted it |
| _brevo_visitor_id | Marketing | 13 months | Brevo visitor identifier used when the legacy Sendinblue tracker is replaced by the newer Brevo tracker. |
Sendinblue utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Le traceur dépose des cookies first party sur le domaine éditeur : sib_cuid (Sendinblue customer ID), sib_lid (lead ID) et PHPSESSID. Brevo dépose aussi sib_tracker_enabled lorsque le tracker est chargé. Le traceur utilise localStorage pour mettre en file les événements hors ligne.
Le tracker Sendinblue (Brevo) pose des cookies first party nommés sib_cuid (identifiant visiteur) et sib_session (identifiant de session). Le chat Brevo Conversations pose ses propres cookies de session pour la continuité du chat en direct. Les formulaires embarqués posent des cookies strictement nécessaires pendant la soumission.
Le JavaScript de tracking Sendinblue écrit sib_cuid (1 an, identifiant visiteur anonyme), sib_evt (session, suivi d'évènements) et des entrées de stockage local pour le widget chat. Le tracking d'ouverture utilise un pixel 1x1 depuis t.sendinblue.com (sans cookie). Le tracking de clic réécrit les URLs via r.sendinblue.com.
Oui pour le tracker web et l'automation comportementale. Le script sib_tracking.js ne doit se charger qu'après consentement au sens de l'article 6, paragraphe 1, point a) du RGPD et de l'article 5, paragraphe 3 de la directive ePrivacy. Les e mails transactionnels envoyés à des clients authentifiés ne nécessitent pas de consentement car ils reposent sur l'exécution du contrat.
Oui pour le JavaScript de tracking site (cookie sib_cuid) et pour l'email marketing. Les emails transactionnels (confirmations de commande, réinitialisation de mot de passe) n'exigent pas de consentement marketing sur la base contrat. La CNIL recommande le double opt in sur le formulaire d'inscription.
Le traceur n'est pas strictement nécessaire : un consentement préalable est requis au titre de l'article 5(3) ePrivacy. Les e-mails marketing exigent un consentement au titre de l'article 6(1)(a) RGPD et de la directive ePrivacy. Les e-mails transactionnels strictement nécessaires à un contrat peuvent reposer sur l'article 6(1)(b) RGPD.
Consentement au sens de l'article 6, paragraphe 1, point a) du RGPD pour les newsletters marketing, le tracking web et le marketing SMS. Exécution d'un contrat au sens de l'article 6, paragraphe 1, point b) pour les e mails transactionnels. Intérêt légitime au sens de l'article 6, paragraphe 1, point f) pour la prévention de la fraude, la gestion des bounces et la sécurité de la plateforme.
Le consentement (article 6(1)(a) RGPD) pour les prospects, avec double opt in et stockage de la preuve. Le soft opt in est admis pour les clients existants recevant des produits similaires au titre des transpositions nationales de l'article 13 ePrivacy.
Consentement (article 6(1)(a) RGPD) pour les emails marketing et le pixel de tracking. Contrat (article 6(1)(b)) pour les emails transactionnels. Intérêt légitime (article 6(1)(f)) pour le démarchage B2B sous le soft opt in ou pour les fiches CRM.
Les données de production restent en France et en Allemagne. Certains sous-traitants Brevo (Twilio pour SMS, Amazon SES, analytics) peuvent impliquer des transferts encadrés par les CCT UE. Passez en revue la liste des sous-traitants et documentez la chaîne dans votre registre.
Non pour les données client principales. Sendinblue héberge sur AWS Francfort et Dublin. Les transferts limités vers le support en Inde, au Canada et aux États Unis sont couverts par les CCT 2021. La plateforme évite les sous traitants US pour les flux principaux.
Sendinblue stocke les données clients dans des data centres OVHcloud en France et AWS Francfort en Allemagne. L'infrastructure de livraison e mail opère dans l'UE. Sendinblue ne transfère pas les données clients hors UE dans le cadre de son service principal, ce qui rend les CCT peu nécessaires pour les éditeurs européens.
Recommandée si le pixel de tracking, les évènements marketing automation ou le scoring CRM sont activés. L'AIPD doit documenter l'hébergement UE, le flux de consentement, la rétention marketing automation et toute intégration tierce.
Une AIPD est recommandée pour de l'automation comportementale à grande échelle (plus de 100 000 profils), pour l'enrichissement par tracking web, pour les secteurs sensibles (santé, finance) ou quand les Lookalike Audiences Brevo sont synchronisées avec des plateformes publicitaires.
Une AIPD est recommandée pour les grosses bases de contacts européens avec des segments sensibles (santé, finance, opinions politiques), pour des automations comportementales avancées et pour des campagnes SMS ou WhatsApp ciblant des mineurs ou des publics vulnérables. Pour une petite liste de contacts européens, une AIPD n'est généralement pas requise.
Implémenter une inscription en double opt in avec un texte de consentement clair mentionnant Brevo, signer le DPA Brevo, gater le JavaScript de tracking derrière le consentement marketing, segmenter les listes B2B et B2C, documenter la chaîne au registre des traitements et router les DSAR via le Brevo Privacy Center.
Utilisez le double opt in. Stockez la preuve du consentement. Bloquez le traceur derrière votre CMP. Fournissez un désabonnement en un clic. Honorez les demandes d'accès et d'effacement via l'API data subject. Signez le DPA Brevo avec les CCT UE pour les sous-traitants hors EEE.
Signez l'Addendum Brevo, utilisez le double opt in sur chaque liste, stockez la preuve de l'opt in dans la fiche contact, ne chargez le tracker web qu'après consentement via une plateforme de gestion du consentement, fixez des règles de rétention pour les contacts inactifs et les e mails bounces et inscrivez Brevo comme sous traitant dans le registre des activités de traitement.
Alternatives EU first: Mailjet (France, groupe Mailgun), Sarbacane (France), GetResponse (Pologne), Cleverreach (Allemagne), Rapidmail (Allemagne), Mailerlite (Lituanie), ActiveTrail (Israël). Options US avec résidence UE: HubSpot (US), Klaviyo (US), Mailchimp Intuit (US). Brevo, Mailjet et Cleverreach sont les plus centrés UE.
Mailjet (groupe Sinch, data centers français), Sarbacane (français), Sendgrid (US), Mailchimp (US), Klaviyo (US), ActiveCampaign (US) ou des alternatives open source auto-hébergées comme Listmonk, Mautic et Mautic Cloud. Les options basées UE réduisent le risque de transfert.
Les alternatives européennes incluent Mailjet (France, groupe Sinch), Mailchimp avec résidence UE (groupe américain), Klaviyo (US), MailerLite (Lituanie), CleverReach (Allemagne), Newsletter2Go et Sarbacane (France). Le bon choix dépend du volume, des besoins d'automation et de la profondeur d'intégration CRM.
Listez les cookies sib_cuid, sib_lid et PHPSESSID avec leur domaine, leur durée et leur finalité. Mentionnez Brevo (Sendinblue SAS) comme sous-traitant dans la mention d'information. Décrivez l'hébergement UE et les transferts de sous-traitants. Renvoyez vers la politique de confidentialité Brevo.
Lister Sendinblue SAS (Paris) comme sous traitant, déclarer les cookies sib_cuid et sib_evt avec leur durée, mentionner les pixels de tracking d'ouverture et de clic email, confirmer l'hébergement UE, faire un lien vers la politique de confidentialité Brevo et fournir un contact DSAR.
Listez Sendinblue SAS (Brevo SA) comme sous traitant de l'e mail marketing, identifiez les cookies de tracking (sib_cuid, sib_session), décrivez les cookies de Conversations si le chat est activé, mentionnez les data centres UE (France et Allemagne) et renvoyez vers la Politique de confidentialité de Brevo. Les CCT sont en principe inutiles pour le service principal.