Vos données d'abonnés vous appartiennent
Nom, adresse, historique d'achats, moyens de paiement tokenisés : c'est votre actif. Le RGPD le dit clairement. Pourtant beaucoup d'éditeurs découvrent qu'ils ne peuvent pas exporter leur base sans attendre des semaines, ni payer un supplément.
Responsable vs sous-traitant
L'éditeur détermine les finalités (expédition, facturation, marketing). Le gestionnaire d'abonnements exécute sur instruction documentée. L'article 29 interdit au sous-traitant d'utiliser les données à ses propres fins ou de les retenir pour forcer un renouvellement.
Check-list due diligence avant signature
- DPA conforme art. 28 avec liste des sous-traitants
- Localisation des données (UE, idéalement France)
- Modalités d'export (format, délai, coût en cours de contrat et en fin)
- Droit de portabilité art. 20 (format structuré, lisible par machine)
- Clause de réversibilité sans pénalité abusive
- Accès éditeur aux logs et preuves de consentement marketing
Portabilité et export courant
L'article 20 RGPD donne aux personnes le droit de récupérer leurs données dans un format structuré. Pour l'éditeur, l'enjeu est aussi opérationnel : campagnes, réconciliation ACPM, audits CNIL. Un export CSV complet ne devrait pas coûter plusieurs milliers d'euros ni prendre deux mois.
Ce que contient un export utile
- Identité et coordonnées (postal, e-mail, téléphone)
- Statut abonnement (actif, suspendu, impayé)
- Historique des paiements et modes d'encaissement
- Dates anniversaire et préavis (pour les relances Chatel)
- Consentements marketing et traces de contact
Sécurité et hébergement
Les données abonnés sont hébergées en France et dans l'Union européenne, sur une infrastructure cloud en région Paris. Chaque sous-traitant est contractualisé (DPA, sous-traitance ultérieure). Les datacenters sont certifiés ; les prestataires applicatifs peuvent disposer de certifications reconnues (par exemple SOC 2, communiquées sous NDA en due diligence). Les accès administrateurs sont protégés par authentification forte. Aucune donnée de carte bancaire n'est conservée en clair : seuls des identifiants techniques tokenisés transitent via le prestataire de paiement.
Retours documentés du marché
Des éditeurs comme Fou de Pâtisserie ou Tchoupi ont parfois constaté des délais d'export longs ou des formats peu directement exploitables pour leurs campagnes saisonnières. Ce n'est pas qu'un sujet informatique : c'est un frein réel pour le marketing relationnel et la réactivité commerciale.
Prism' inverse la logique : exports inclus dans le tarif unique de 0,50 € HT / abonné / parution, documentation de sécurité et hébergement disponible pour vos audits (DPA, registre des sous-traitants).
Réversibilité continue
La réversibilité ne devrait pas être une clause activée au contentieux. Export régulier, restitution sous 30 jours en standard (cible 7 jours en offre entreprise). Voir aussi Data Act et loi SREN et la leçon GLI 2016.
RGPD : l'éditeur reste responsable de traitement
Externaliser la gestion d'abonnés ne transfère pas la responsabilité des données personnelles. L'éditeur doit encadrer le sous-traitant (DPA), vérifier l'hébergement France/UE, et garder la capacité d'exporter la base sans délai abusif ni surcoût prohibitif.
En pratique, un benchmark marché situe un export complet de base abonnés entre quelques semaines de délai et des coûts pouvant atteindre environ 5 000 € sur deux mois chez certains prestataires historiques. Prism' inclut les exports dans le service.
Checklist DPA et sécurité
- Localisation des données (France / UE)
- Sous-traitants ultérieurs listés et approuvés
- Délai maximum d'export en cas de fin de contrat
- Procédure de notification de violation sous 72 h
- Droit d'audit annuel du responsable de traitement
Ces points doivent figurer dans votre contrat, pas seulement dans une politique de confidentialité générique.
Voir aussi
Questions fréquentes
Qui est responsable de traitement des données abonnés ?
L'éditeur de presse. Le prestataire de gestion d'abonnements n'est qu'un sous-traitant au sens de l'article 28 du RGPD.
Le prestataire peut-il facturer chaque export ?
En fin de contrat, il doit restituer ou détruire les données sur instruction du responsable de traitement (art. 28.3.g). Conditionner l'accès courant à des frais disproportionnés contrevient à l'esprit du RGPD.
Comment Prism' traite les données hébergées ?
Données hébergées en France et dans l'Union européenne (infrastructure cloud, région Paris). Sous-traitants listés dans le DPA ; datacenters certifiés ; certifications des prestataires disponibles en due diligence. Accès administrateurs protégés par authentification forte. Aucune carte bancaire stockée en clair. Export CSV ou JSON.
Que doit contenir un DPA conforme ?
Finalités, durées, mesures de sécurité, liste des sous-traitants, procédure de violation, restitution ou destruction en fin de contrat, assistance aux droits des personnes.
Peut-on exporter pendant le contrat sans frais ?
Le RGPD n'interdit pas tous les frais, mais conditionner l'accès courant à des montants disproportionnés contrevient à l'esprit de la portabilité et de la réversibilité.