Email transactionnel et conformité RGPD : ce que les développeurs doivent savoir
Les emails transactionnels contiennent des données personnelles — adresses email, noms, détails de commande, informations de compte. Voici ce que le RGPD exige, quelles données votre fournisseur d'email stocke et comment choisir un fournisseur conforme.
Quelles données personnelles sont dans les emails transactionnels ?
Les emails transactionnels contiennent généralement plusieurs catégories de données personnelles :
Adresse email
Adresse du destinataire, adresses CC/BCC
Toujours présentNom
"Cher Jean Dupont" dans le corps de l'email
CourantDétails de commande
Produits, prix, adresse de livraison
E-commerceInformations de compte
Nom d'utilisateur, ID de compte, détails d'abonnement
SaaSTokens d'authentification
Liens de réinitialisation de mot de passe, codes de vérification
Haute sensibilitéDonnées financières
Montants de factures, confirmations de paiement
Services financiersQuelles données votre fournisseur d'email stocke-t-il ?
C'est la question critique. Différents fournisseurs ont des politiques de rétention des données très différentes :
| Fournisseur | Corps de l'email stocké ? | Période de rétention | Hébergé en EU ? |
|---|---|---|---|
| Emitlo | Non — effacé après envoi | Métadonnées uniquement (14–90 jours) | ✅ |
| Postmark | Oui | 45 jours | ❌ |
| SendGrid | Oui | 7 jours (activité) | ❌ |
| Mailjet | Oui | Variable | ⚠️ |
| Mailgun | Oui | 3 jours (logs) | ❌ |
Exigences RGPD pour les emails transactionnels
Base légale pour le traitement
Les emails transactionnels sont généralement justifiés par l''exécution du contrat' (Article 6(1)(b)) — vous devez envoyer une réinitialisation de mot de passe pour remplir votre contrat de service. Documentez votre base légale pour chaque type d'email.
Minimisation des données
Ne collectez et ne stockez que les données personnelles nécessaires à la finalité. Si vous n'avez pas besoin de stocker le contenu des emails, ne le faites pas. Emitlo efface le contenu des emails immédiatement après la livraison.
Limitation de la conservation
Ne stockez pas les données personnelles plus longtemps que nécessaire. Définissez des périodes de rétention pour les logs et métadonnées d'emails. Le plan gratuit d'Emitlo conserve les métadonnées pendant 14 jours ; le plan Pro pendant 90 jours.
Droit à l'effacement
Les individus peuvent demander la suppression de leurs données personnelles. Si votre fournisseur d'email stocke le contenu des emails, vous devez pouvoir le supprimer sur demande. Emitlo ne stocke pas le contenu des emails, simplifiant cette obligation.
Accord de traitement des données (DPA)
Si vous utilisez un fournisseur d'email tiers, vous devez avoir un DPA en place. C'est un contrat qui définit comment le sous-traitant gère les données personnelles en votre nom.
Transferts de données hors EU
Si votre fournisseur d'email est basé aux États-Unis, les transferts de données vers les États-Unis nécessitent des garanties supplémentaires (Clauses Contractuelles Types). Les fournisseurs hébergés en EU comme Emitlo évitent cette complexité.
Comment Emitlo gère la confidentialité des données
- ✓Le contenu des emails est effacé immédiatement après la mise en file d'attente du message pour la livraison — jamais stocké en base de données
- ✓Seules les métadonnées sont conservées : adresse du destinataire, statut de livraison, horodatages des événements
- ✓L'infrastructure est hébergée en Europe (résidence des données EU)
- ✓Rétention des métadonnées : 14 jours (plan Gratuit), 90 jours (plan Pro)
- ✓Accord de traitement des données (DPA) disponible sur demande
- ✓Pas de partage de données avec des tiers à des fins publicitaires ou analytiques
Email transactionnel conforme au RGPD — aucun contenu d'email stocké
12 000 emails/mois gratuits (400/jour) · Hébergement EU · Sans carte bancaire