Documentation pour votre DPO
Cette page rassemble les éléments dont votre DPO (ou votre conseil juridique) a besoin pour compléter votre registre de traitements, mettre à jour votre politique de confidentialité et préparer une éventuelle demande de la CNIL.
La qualification juridique des parties
Selon la finalité du traitement, Ediware intervient sous deux qualifications distinctes.
Ediware est sous-traitant (art. 28 RGPD) pour la mesure de performance §3.1, exécutée pour votre compte sur les contacts consentants. Cette relation est couverte par votre contrat de sous-traitance existant avec Ediware.
Ediware est co-responsable de traitement (art. 26 RGPD) pour les opérations propres à la délivrabilité plateforme §3.2 (réputation des IP d’envoi, détection de listes défaillantes au niveau infrastructure), où Ediware traite pour des finalités qui lui sont propres.
Les mentions à ajouter à votre politique de confidentialité
Votre politique de confidentialité doit être complétée avec les éléments suivants.
Sur les finalités et la base légale : indiquer l’utilisation de pixels de suivi dans vos courriels, avec les deux finalités distinctes. D’un côté la délivrabilité et l’hygiène des listes (§3.2, exemptée de consentement), de l’autre la mesure de performance individuelle (§3.1, nécessitant un consentement). Préciser que la base légale de la mesure de performance est le consentement au sens de l’article 82 de la loi Informatique et Libertés.
Sur le caractère facultatif : préciser que le consentement à la mesure de performance est facultatif, que son refus ou son retrait n’affecte pas la réception des courriels, et que certaines fonctionnalités statistiques (ouvreurs identifiés, relance par engagement) ne sont pas disponibles sans consentement.
Sur le retrait : mentionner la possibilité de retirer le consentement à tout moment via le lien en pied de chaque courriel, avec effet immédiat sur les courriels futurs.
Sur la qualification d’Ediware : sous-traitant pour la mesure de performance §3.1, co-responsable de traitement pour la délivrabilité §3.2.
Un modèle de clause est disponible sur demande auprès du support Ediware.
Les preuves disponibles en cas de contrôle CNIL
Quatre éléments à mobiliser, dans l’ordre de priorité d’un contrôle.
1. Le registre de consentements extractible.
Depuis Gestion du compte → Consentements pixel → Exporter CSV. L’export inclut pour chaque contact : adresse courriel, statut (granted / refused / withdrawn / unknown), source du consentement, date, date d’information §7 (informed_at), date de dernière mise à jour. La preuve de recueil (IP, user-agent, horodatage) est conservée en base et extractible sur demande.
2. La preuve de l’information transitoire §7.
Le champ informed_at est enregistré par destinataire lors de l’envoi via le module dédié, et inclus dans l’export. Si vous avez effectué l’information §7 par vos propres moyens (template maison, autre canal), importez informed_at via CSV pour compléter le registre.
3. Le document d’architecture de référence Ediware. Ediware tient à jour un document technique (version courante 1.14) détaillant les garanties d’anonymisation, les flux de données, les choix de conception et les mesures de sécurité. Il est transmis sur simple demande à votre DPO ou à la CNIL dans un délai raisonnable.
4. Votre analyse documentée des régimes appliqués. C’est le document que vous devez constituer et conserver. Il justifie les choix effectués liste par liste : position prudente §3.2 sur telles bases B2B cold, activation du §7 opt-out sur telles listes, recueil de consentements explicites §3.1 via tel formulaire. Ce document est à conserver dans votre propre registre de traitements. Il ne peut pas être produit par Ediware à votre place, car il traduit votre qualité de responsable de traitement.
Le B2B et l’exception L.34-5 : deux régimes distincts
L’exception de prospection B2B (article L.34-5 du CPCE) ne dispense pas du consentement au pixel. Ce sont deux régimes juridiques distincts :
| Régime | Texte | Cas B2B |
|---|---|---|
| Envoi du courriel de prospection | art. L.34-5 CPCE | Exempt sous conditions |
| Pose et lecture du pixel | art. 82 LIL | Pas d’exception B2B : consentement requis pour la mesure de performance individuelle |
La recommandation CNIL du 12 mars 2026 le précise explicitement dans son encadré « Point d’attention » : le consentement au pixel peut être nécessaire pour des courriels qui ne nécessitent pas le consentement à l’envoi (confirmation de commande, prospection B2B en rapport avec la profession, etc.).
Pour la mise en œuvre opérationnelle, reportez-vous au guide de mise en conformité et à la checklist.
Ce contenu a une visée pédagogique. Il ne constitue pas un avis juridique.