Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Sympa est un gestionnaire de listes de diffusion libre développé à l'origine à l'Université de Rennes 1 en France et désormais maintenu par la communauté Sympa. Il anime les serveurs de listes des universités, des réseaux de recherche, des administrations et des associations en Europe. Sympa gère les abonnements, la modération, la diffusion des messages, les archives web et les digests. Étant auto hébergé par le client, l'empreinte vie privée se limite aux données nécessaires à la gestion des abonnements et à un cookie de session sur l'interface des archives web.
Sympa est un gestionnaire de listes de diffusion libre publié sous licence GNU GPL. Il a été développé en 1997 à l''Université de Rennes 1 et est aujourd''hui maintenu par la communauté Sympa, notamment RENATER, le réseau national de l''enseignement supérieur et de la recherche. Sympa est largement déployé dans les universités européennes, les réseaux de recherche, les administrations et les associations pour animer des listes de discussion, des bulletins d''annonces et des échanges de groupes de travail. Le logiciel est auto hébergé par le client, qui garde un contrôle total sur ses abonnés, son contenu et sa configuration.
Sympa enregistre l''adresse e mail de l''abonné, un nom d''affichage facultatif, la liste des abonnements, l''horodatage de la confirmation en double opt in et un statut de modération par liste. L''interface des archives web émet un unique cookie de session contenant l''identifiant utilisateur authentifié lorsque l''abonné consulte d''anciens messages ou modifie ses paramètres. Sympa conserve aussi des journaux de remise contenant l''enveloppe SMTP et les métadonnées de rebond. Aucun cookie tiers de mesure, aucun script de fingerprinting et aucun appel à un service analytique externe n''est intégré à l''interface par défaut.
Exploiter une liste de diffusion implique un traitement de données personnelles (l''adresse e mail) au sens du RGPD. L''article 13 de la directive ePrivacy, l''article L34 5 du Code des postes et des communications électroniques et la LCEN exigent un consentement préalable, libre, spécifique et éclairé pour envoyer des messages de prospection ou des lettres d''information à des personnes physiques. Les recommandations de la CNIL sur la prospection commerciale, l''UWG allemand et la LSSI espagnole convergent sur le double opt in. Le cookie de session des archives est strictement nécessaire et n''exige pas de consentement au titre de l''article 82 de la loi Informatique et Libertés.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour chaque abonnement, la base légale est le consentement explicite de l''article 6(1)(a) du RGPD, attesté par l''adresse fournie et par l''horodatage de confirmation en double opt in que Sympa enregistre par défaut. Les listes internes adressées aux salariés peuvent parfois reposer sur l''exécution du contrat (article 6(1)(b)) ou l''intérêt légitime (article 6(1)(f)) dès lors que la finalité, le périmètre et le droit d''opposition sont documentés. L''abonné doit pouvoir se désabonner en un clic dans chaque message, conformément aux recommandations de la CNIL et à l''article 21 du RGPD.
Sympa étant auto hébergé, le responsable choisit l''emplacement de son serveur. La plupart des déploiements universitaires et publics restent sur site ou sur l''infrastructure RENATER ou GEANT dans l''Union européenne, ce qui évite tout transfert vers un pays tiers. Des transferts peuvent apparaître si le responsable relaie le courrier sortant via un prestataire SMTP non européen (Amazon SES US, SendGrid, Postmark) ou si certains destinataires résident hors de l''EEE. Dans ces cas, des Clauses Contractuelles Types avec le sous traitant SMTP et une brève évaluation d''impact du transfert doivent être en place.
Activez le double opt in pour chaque liste, stockez l''horodatage et l''IP du consentement et fournissez un lien de désabonnement unique dans chaque message. Configurez DKIM, SPF et DMARC sur le domaine Sympa pour protéger la délivrabilité et empêcher l''usurpation. Définissez des durées de conservation : les adresses en bounce sont supprimées après un délai défini, les archives postérieures à la finalité documentée sont anonymisées ou effacées. Restreignez les rôles de modérateur et de propriétaire, journalisez les accès à l''interface web et maintenez Sympa à jour selon les bulletins de sécurité publiés sur sympa.community.
Les sites web utilisant Sympa doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données au titre de l'article 35 du RGPD n'est généralement pas requise pour un déploiement Sympa exploitant des listes internes ou communautaires avec des données standards (adresse e mail, nom facultatif, liste d'abonnements). Elle devient pertinente lorsque le responsable opère des listes à très grande échelle, traite des données sensibles (groupes de patients, militants) ou diffuse vers des destinataires en pays tiers. Le registre de l'article 30 doit documenter la base légale par liste, la conservation des abonnements et des archives, le relais SMTP utilisé et les mesures de sécurité du serveur Sympa.
Exemple de texte de consentement
Vous pouvez vous abonner à cette liste de diffusion gérée par notre serveur Sympa hébergé dans l'Union européenne. En confirmant votre adresse e mail via le lien de double opt in, vous donnez un consentement explicite au titre de l'article 6(1)(a) du RGPD pour recevoir les messages de la liste. Vous pouvez vous désabonner à tout moment grâce au lien présent dans chaque message ou en écrivant au propriétaire de la liste. Nous conservons votre adresse, vos préférences d'abonnement et la date de confirmation comme preuve de consentement.
Domaines tiers contactes
sympa.communitysympa.orggithub.comwww.renater.frCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| sympa_session | Session | Session | First party session cookie set by the Sympa web archive interface to keep the authenticated subscriber identifier while browsing list archives or changing personal subscription settings. Strictly necessary, no consent required. |
| sympauser | Persistent | 30 days | Optional first party cookie that remembers the email address of the last authenticated user on shared workstations so that the login form can be prefilled. Set only when the visitor ticks the remember me option. |
Sympa utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Sympa stocke l'adresse e mail de l'abonné, un nom d'affichage facultatif, la liste des abonnements, l'horodatage de la confirmation en double opt in, le statut de modération et des journaux de remise côté serveur qui contiennent l'enveloppe SMTP et les métadonnées de rebond. L'interface des archives web dépose un unique cookie de session première main portant l'identifiant utilisateur authentifié. Sympa ne charge aucune mesure d'audience tierce, ne dépose pas de cookie de suivi et ne pratique pas de fingerprinting. Hormis ce cookie, la seule donnée personnelle visible dans le navigateur est l'adresse e mail affichée sur les pages utilisateur.
Oui pour les abonnements, non pour le cookie de session des archives. L'abonnement à une liste relève du consentement explicite au titre de l'article 6(1)(a) du RGPD et de l'article 13 ePrivacy, attesté par la confirmation en double opt in. Le cookie de session des archives relève de l'exemption strictement nécessaire de l'article 5(3) ePrivacy et de l'article 82 de la loi Informatique et Libertés car il est nécessaire à la fourniture du service d'archives authentifié demandé par l'abonné. Aucune bannière de consentement n'est requise pour le cookie lui même.
La base principale est le consentement de l'article 6(1)(a) du RGPD pour chaque abonnement individuel, attestée par l'horodatage de confirmation en double opt in que Sympa enregistre. L'exploitation du serveur (journaux de sécurité, gestion des abus, traitement des rebonds) peut reposer sur l'intérêt légitime de l'article 6(1)(f). Les listes internes destinées aux salariés peuvent reposer sur l'exécution du contrat de l'article 6(1)(b) lorsque l'abonnement fait partie de la relation de travail. Chaque configuration de liste doit documenter la base retenue dans la description Sympa et le registre.
Sympa lui même ne transfère pas de données hors UE lorsqu'il est hébergé dans l'Union sur l'infrastructure du responsable. Des transferts peuvent apparaître si (i) le courrier sortant est relayé via un prestataire SMTP non européen (Amazon SES US, SendGrid, Postmark), (ii) le responsable choisit un cloud non UE ou (iii) certains abonnés résident hors EEE. Dans ces cas, des Clauses Contractuelles Types avec le sous traitant et une évaluation d'impact du transfert au titre de Schrems II sont requises. Les archives publiques de listes destinées à un public mondial n'ont pas besoin de mécanisme de transfert, en application de l'article 49 du RGPD.
Une AIPD formelle au titre de l'article 35 du RGPD n'est pas requise pour une installation Sympa traitant des listes et adresses standards à volume modéré. Elle devient recommandée lorsque le responsable gère de très grandes listes, lorsque les abonnés relèvent de catégories sensibles (patients, mineurs, opinions politiques ou religieuses) ou lorsque les listes génèrent un trafic transfrontalier important. Le registre de l'article 30 doit dans tous les cas documenter chaque liste, la base légale, la durée de conservation des abonnements et archives, et les sous traitants impliqués.
Hébergez Sympa dans l'UE et appliquez un durcissement Linux standard, TLS pour SMTP et HTTPS, ainsi qu'un contrôle des accès au back office. Activez le double opt in sur chaque liste, conservez les métadonnées de consentement et ajoutez un lien de désabonnement en un clic dans chaque message. Définissez des règles de conservation pour éliminer les adresses en bounce et anonymiser ou supprimer les archives au delà de la finalité documentée. Configurez DKIM, SPF et DMARC. Maintenez Sympa à jour selon les bulletins publiés sur sympa.community. Signez des contrats de sous traitance avec tout relais SMTP ou hébergeur utilisé.
Parmi les gestionnaires de listes libres figurent GNU Mailman 3, Listmonk, Mailtrain et phpList. Côté SaaS européen, Brevo (anciennement Sendinblue) en France, Mailjet et Sarbacane couvrent les besoins de newsletters. Pour les communautés académiques et de recherche, GroupServer ou les fonctions de discussion de Discourse et Element (Matrix) peuvent remplacer les listes pures. Le choix dépend du besoin d'archives publiques, de la volonté d'auto hébergement et du volume et type d'abonnés. Sympa reste la référence pour les listes académiques et institutionnelles à forte exigence de modération.
La politique doit décrire le service de listes propulsé par Sympa, les catégories de données (adresse e mail, nom facultatif, abonnements, horodatage de consentement, journaux de remise serveur), les finalités (diffusion, modération, sécurité), la base légale (consentement pour l'abonnement, intérêt légitime pour l'exploitation), la durée de conservation, le droit de se désabonner et les droits d'accès, de rectification et d'effacement. Indiquez la localisation UE du serveur Sympa et de tout relais SMTP. Ajoutez le cookie de session unique de l'interface d'archives dans le tableau des cookies techniques.