Hébergement France/UE
Infrastructure cloud en région Paris, sur des datacenters certifiés. Aucun transfert hors UE sans garanties contractuelles documentées.
Nom, adresse, historique d'achats, moyens de paiement tokenisés : c'est votre actif. Le RGPD le dit clairement. Pourtant beaucoup d'éditeurs découvrent qu'ils ne peuvent pas exporter leur base sans attendre des semaines, ni payer un supplément.
L'éditeur détermine les finalités (expédition, facturation, marketing) : c'est le responsable de traitement. Le gestionnaire d'abonnements exécute sur instruction documentée : c'est le sous-traitant. Externaliser la gestion d'abonnés ne transfère jamais cette responsabilité, même si le prestataire héberge et manipule l'intégralité de la base au quotidien.
L'article 29 du RGPD interdit au sous-traitant d'utiliser les données à ses propres fins ou de les retenir pour forcer un renouvellement. En pratique, cela signifie que l'éditeur doit garder la main : accès aux logs, droit d'audit et capacité d'exporter sa base à tout moment, pas seulement en cas de contentieux.
Benchmark marché
Un export complet de base abonnés peut prendre plusieurs semaines et coûter jusqu'à environ 5 000 € sur deux mois chez certains prestataires historiques. Prism' inclut les exports dans le tarif unique.
Ces points doivent figurer dans votre contrat, pas seulement dans une politique de confidentialité générique.
L'article 20 du RGPD donne aux personnes le droit de récupérer leurs données dans un format structuré. Pour l'éditeur, l'enjeu est aussi opérationnel : campagnes, réconciliation ACPM, audits CNIL.
Un export CSV complet ne devrait pas coûter plusieurs milliers d'euros ni prendre deux mois.
Cinq articles à connaître avant de signer ou de renouveler un contrat de gestion d'abonnés.
| Article | Ce qu'il change pour l'éditeur |
|---|---|
| Art. 20 | Droit à la portabilité : export structuré, lisible par machine |
| Art. 28 | Encadrement du sous-traitant, liste des sous-traitants ultérieurs |
| Art. 29 | Interdiction d'utiliser les données à des fins propres |
| Art. 32 | Obligation de sécurité du traitement (accès, chiffrement) |
| Art. 33 | Notification d'une violation de données sous 72 h à la CNIL |
Ce qu'un éditeur peut exiger de vérifier chez son prestataire.
Infrastructure cloud en région Paris, sur des datacenters certifiés. Aucun transfert hors UE sans garanties contractuelles documentées.
Chaque sous-traitant ultérieur (hébergeur, paiement, e-mail) est encadré par un DPA à jour et listé pour l'éditeur.
Accès administrateurs protégés par authentification forte ; certifications applicatives (ex. SOC 2) communicables sous NDA en due diligence.
Seuls des identifiants techniques tokenisés transitent via le prestataire de paiement ; aucune donnée bancaire n'est conservée en clair côté gestionnaire d'abonnements.
Trois constats qui montrent pourquoi la propriété des données ne se règle pas seulement en interne.
Des éditeurs comme Fou de Pâtisserie ou Tchoupi ont parfois constaté des délais d'export longs ou des formats peu exploitables pour leurs campagnes saisonnières. Ce n'est pas qu'un sujet informatique : c'est un frein réel pour le marketing relationnel et la réactivité commerciale.
Exports dans le tarif unique par abonné et par parution, documentation de sécurité et d'hébergement disponible pour vos audits (DPA, registre des sous-traitants).
La réversibilité ne devrait pas être une clause activée au contentieux. Restitution standard sous 30 jours, cible 7 jours en offre entreprise. Voir Data Act et loi SREN et la leçon GLI 2016.
L'éditeur de presse. Le prestataire de gestion d'abonnements n'est qu'un sous-traitant au sens de l'article 28 du RGPD.
En fin de contrat, il doit restituer ou détruire les données sur instruction du responsable de traitement (art. 28.3.g). Conditionner l'accès courant à des frais disproportionnés contrevient à l'esprit du RGPD.
Données hébergées en France et dans l'Union européenne (infrastructure cloud, région Paris). Sous-traitants listés dans le DPA ; datacenters certifiés ; certifications des prestataires disponibles en due diligence. Accès administrateurs protégés par authentification forte. Aucune carte bancaire stockée en clair. Export CSV ou JSON.
Finalités, durées, mesures de sécurité, liste des sous-traitants, procédure de violation, restitution ou destruction en fin de contrat, assistance aux droits des personnes.
Le RGPD n'interdit pas tous les frais, mais conditionner l'accès courant à des montants disproportionnés contrevient à l'esprit de la portabilité et de la réversibilité.
Un prestataire technique auquel votre gestionnaire d'abonnements délègue une partie du traitement (hébergement, envoi d'e-mails, paiement). Il doit être listé dans le DPA et approuvé par l'éditeur, responsable de traitement.