Guide d'Intégration du Consentement aux Cookies Brevo (Sendinblue) : Conformité GDPR pour le Marketing par E-mail et SMS en 2026
Brevo, la plateforme anciennement connue sous le nom de Sendinblue, est la plateforme de marketing par e-mail et SMS la plus largement déployée ayant son siège social en Europe continentale. Son changement de marque en 2023 a coïncidé avec une expansion substantielle de la surface produit : aux côtés du moteur d'automatisation des e-mails original, Brevo inclut désormais les e-mails transactionnels, le marketing SMS, la messagerie WhatsApp, un CRM de vente, un planificateur de réunions, des notifications push et un widget de conversation sur le site web. Chaque composant installe son propre script, définit ses propres cookies et transmet des données aux centres de données européens de Brevo. L'héritage français de la plateforme compte pour la conformité au consentement de deux manières. Premièrement, les centres de données de Brevo sont basés dans l'EU, ce qui simplifie considérablement l'analyse du transfert transfrontalier par rapport aux concurrents basés aux États-Unis. Deuxièmement, la CNIL — le régulateur domestique de Brevo — a été le régulateur le plus agressif en matière d'application des règles de consentement aux cookies en Europe, ce qui signifie que la documentation d'intégration par défaut de Brevo a historiquement été en retard par rapport à ce que le régulateur attend réellement. Ce guide décrit ce que chaque composant Brevo collecte, où se situe la frontière du consentement en 2026, et comment connecter l'ensemble de la pile Brevo à un CMP tiers de manière propre.
Les Surfaces de Suivi Brevo
Un déploiement Brevo complet touche quatre surfaces de suivi distinctes, chacune avec sa propre question de consentement.
Brevo Tracker (sib-tracker.js)
Le Brevo Tracker est la couche d'analyse comportementale, chargée depuis cdn.brevo.com/js/sib-tracker.js. Il identifie les visiteurs avec le cookie sib-tracker-id et transmet les données de pages vues, de clics et d'événements personnalisés à Brevo. Une fois qu'un visiteur est identifié par e-mail (généralement via la soumission d'un formulaire ou une connexion), le Tracker relie l'historique de navigation anonyme au profil de contact connu. D'un point de vue réglementaire, le Tracker est un tracker comportemental à des fins marketing nécessitant un consentement opt-in dans l'EU.
Formulaires d'inscription Brevo
Les formulaires Brevo se déclinent en deux variantes : les formulaires HTML intégrés (légers, aucun script externe requis) et les formulaires pop-up (un script distinct qui surveille le comportement des visiteurs pour décider quand s'afficher). Le formulaire intégré est à peu près équivalent à un formulaire de contact du point de vue de la confidentialité ; le formulaire pop-up est plus proche d'un tracker comportemental et requiert le même blocage que le Tracker.
Widget Conversations de Brevo
Le produit Conversations (le chat en direct de Brevo) charge son propre script depuis conversations-widget.brevo.com, définit des cookies de session et initie une connexion de présence en temps réel. Fonctionnellement similaire au Messenger d'Intercom ; le traitement du consentement est identique.
API transactionnelles et programmatiques
Brevo exploite également des surfaces côté serveur : l'API e-mail transactionnel pour les messages générés par le système, l'API SMS pour les textes sortants, et l'API Marketing Automation pour les campagnes déclenchées. Celles-ci ne s'exécutent pas sur l'appareil de l'utilisateur, mais les pixels de suivi e-mail intégrés dans les messages oui — et ces pixels sont une surface de consentement distincte héritant des mêmes contraintes que les pixels web sous Apple Mail Privacy Protection et les protections similaires côté e-mail.
Contrôles de Confidentialité Natifs de Brevo
Brevo a renforcé ses primitives de confidentialité natives au cours des deux dernières années, notamment en réponse aux directives de la CNIL sur les bannières de cookies et les registres de consentement.
doubleOptinRedirect et flux de confirmation
Le flux d'acquisition d'abonnés par défaut de Brevo utilise le double opt-in — un abonné s'inscrit, reçoit un e-mail de confirmation et doit cliquer pour confirmer. En vertu du GDPR, cela crée un enregistrement de consentement documenté qui est considérablement plus solide que les alternatives d'opt-in simple. Configurez le double opt-in par défaut sauf s'il existe une raison spécifique de ne pas le faire.
Le paramètre de consentement trackEvent
La fonction trackEvent du Tracker accepte une charge utile de consentement optionnelle. La transmettre vous permet de propager la décision du CMP dans le flux d'événements de Brevo, que le moteur de segmentation de Brevo respecte ensuite. Connectez-la depuis le callback de consentement du CMP.
Champs de consentement au niveau contact
Les profils d'abonnés Brevo disposent de champs intégrés pour le consentement e-mail, le consentement SMS, le consentement WhatsApp et la source du consentement. Les mises à jour via l'API Contacts se propagent en temps réel vers la logique de segmentation, de sorte que les campagnes respectent automatiquement l'état enregistré.
Résidence des données EU
Brevo exploite des centres de données à Paris et Munich. Pour les comptes où la résidence EU est importante, la résidence des données est automatique — aucune configuration opt-in n'est nécessaire. C'est une simplification opérationnelle significative par rapport aux concurrents basés aux États-Unis où la résidence EU est une option de configuration payante.
Guide Étape par Étape d'Intégration CMP
Le modèle d'intégration fiable consiste à différer chaque surface de suivi Brevo derrière le CMP et à synchroniser la décision de consentement avec les champs de niveau contact de Brevo via l'API.
1. Supprimer l'extrait Tracker par défaut de l'en-tête du document
L'extrait d'installation du Brevo Tracker est une balise de script d'une seule ligne. Remplacez-le par un élément de script espace réservé avec type="text/plain" et data-category="marketing". Le CMP réécrit le type en text/javascript lorsque le visiteur accepte le marketing.
2. Différer les formulaires pop-up séparément des formulaires intégrés
Les formulaires d'inscription HTML intégrés peuvent s'afficher au chargement initial de la page sans blocage — ils ne définissent pas de cookies et ne chargent pas de scripts externes. Les formulaires pop-up doivent être bloqués derrière le consentement marketing, tout comme le Tracker. La plupart des installations Brevo confondent les deux ; effectuez un audit de votre inventaire de formulaires et traitez-les différemment.
3. Bloquer Conversations explicitement
Le widget Conversations se charge depuis conversations-widget.brevo.com et initialise une connexion de session au chargement de la page. Bloquez-le derrière le consentement marketing. Pour les utilisateurs qui refusent le marketing, fournissez un chemin de contact d'assistance alternatif — un formulaire, un lien e-mail, ou un bouton explicite Démarrer le chat qui charge le widget uniquement lorsqu'on clique dessus.
4. Écrire la décision CMP dans le profil contact
Lorsqu'un abonné connu met à jour son consentement via la bannière CMP, appelez l'API Contacts de Brevo pour mettre à jour les champs de consentement e-mail, SMS et WhatsApp de l'abonné. Cela maintient la segmentation de Brevo alignée avec l'état enregistré. La plupart des CMP modernes disposent d'un connecteur Brevo qui gère cela de bout en bout.
5. Honorer la révocation en temps réel
Lors de la révocation du consentement, le CMP doit appeler à la fois la fonction d'arrêt du Tracker sur la page et le point de terminaison de l'API Contacts pour mettre à jour le profil. Sans les deux, la bannière enregistre une révocation mais le suivi sous-jacent se poursuit au niveau du contact.
Pièges Courants
Quatre erreurs d'intégration représentent la plupart des conclusions des audits sur les déploiements Brevo.
Opt-in simple pour les acquisitions européennes
Brevo prend en charge à la fois l'opt-in simple et le double opt-in. L'opt-in simple crée un enregistrement de consentement plus faible et a été cité par la CNIL dans des actions d'application contre plusieurs opérateurs français et belges. Pour tout public européen, configurez le double opt-in par défaut.
Confusion entre formulaires intégrés et pop-up
Les formulaires intégrés sont à faible risque ; les formulaires pop-up relèvent du suivi de catégorie marketing. Bloquez-les différemment. Traiter les deux comme des formulaires et soit bloquer les deux, soit ne bloquer aucun, est le défaut de configuration le plus courant.
Appels d'API côté serveur sans contexte de consentement
L'API e-mail transactionnel et l'API SMS peuvent être appelées depuis votre backend sans l'état de consentement sur la page dans la portée. Le backend doit rechercher l'état de consentement du contact au moment de l'envoi et le respecter ; sinon, la décision du CMP n'est pas appliquée pour les messages initiés par le serveur.
Oublier le pixel e-mail
Les pixels de suivi e-mail de Brevo sont soumis à la même dégradation Apple Mail Privacy Protection que tout autre fournisseur. Le pixel nécessite toujours une décision de consentement distincte, différente du consentement aux cookies sur votre site web. De nombreux opérateurs enregistrent le consentement aux cookies mais n'enregistrent jamais explicitement le consentement aux pixels e-mail.
Liste de Contrôle d'Audit
Six questions concrètes auxquelles répondre pour tout déploiement Brevo touchant le trafic EU, UK ou Californie.
- Le Tracker attend-il le consentement ? Ouvrez la page dans une fenêtre privée et confirmez qu'aucune requête brevo.com ou sendinblue.com ne se déclenche avant l'acceptation de la bannière.
- Les formulaires pop-up sont-ils bloqués séparément des formulaires intégrés ? Confirmez que les impressions de formulaires pop-up ne se déclenchent pas avant le consentement marketing.
- Conversations est-il bloqué ? Confirmez que le widget de chat ne s'initialise pas avant le consentement et qu'un chemin de support non-Conversations est disponible.
- Le double opt-in est-il configuré ? Confirmez que le flux d'inscription utilise le double opt-in pour les publics européens.
- Les API côté serveur honorent-elles le consentement ? Confirmez que les appels aux API Transactionnel et SMS vérifient l'état de consentement du contact avant l'envoi.
- La décision CMP est-elle synchronisée avec les profils Brevo ? Confirmez que le CMP écrit les décisions de consentement dans le contact Brevo via l'API.
La Place de Brevo dans une Pile Axée sur le Consentement
Brevo occupe une position privilégiée par rapport à ses concurrents américains : des données résidant dans l'EU, un double opt-in par défaut, et de solides primitives de consentement natives. L'héritage français de la plateforme signifie qu'elle a été conçue dès le départ selon les attentes de la CNIL, ce qui constitue un avantage opérationnel significatif lorsque ces attentes sont devenues la norme européenne de facto. Le travail d'intégration est en grande partie identique à celui de toute autre plateforme marketing — bloquez les surfaces de suivi, synchronisez la décision de consentement via l'API, documentez l'architecture — mais la friction réglementaire est moindre que pour les alternatives dont le siège est aux États-Unis. Pour les opérateurs européens ou pour toute petite entreprise souhaitant maintenir sa pile marketing dans le périmètre réglementaire de l'EU, Brevo combiné à un CMP correctement intégré est l'une des postures les plus défendables disponibles en 2026.