Démo · Audit conformité vie privée par Olivier

Synthèse DPO — Chief Risk Officer

Lemlist SAS présente un profil de conformité vie privée significativement sous-optimal au regard de ses obligations réglementaires multi-juridictionnelles. En tant qu'éditeur SaaS traçant des données de contact B2B pour le compte de ~15 000 clients dans 100+ pays, Lemlist cumule deux statuts juridiques distincts selon les traitements : responsable de traitement pour ses propres opérations (analytics, marketing, RH, cookies), et sous-traitant Art. 28 RGPD pour le compte de ses clients concernant les données prospects. Cette dualité crée une exposition réglementaire complexe que la société n'a pas encore formellement documentée. Les risques les plus critiques identifiés par cet audit sont : (1) l'absence de DPA Art. 28 RGPD signés avec les sous-traitants critiques (OpenAI, Clearbit/HubSpot, LinkedIn) — exposition directe à une injonction CNIL ; (2) les transferts UE→US sans Transfer Impact Assessment (TIA) Schrems II documentés sur 12 flux critiques — depuis l'arrêt Schrems II (CJUE C-311/18, 2020), le seul recours aux SCCs 2021 sans TIA est insuffisant ; (3) l'absence de Consent Management Platform (CMP) sur lemlist.com avec Google Analytics 4, Meta Pixel et LinkedIn Insight Tag actifs — violation caractérisée de la recommandation CNIL 2020-091, exposition à une mise en demeure immédiate ; (4) le pixel tracking d'ouverture d'email inséré dans 2Mds d'emails/an sans consentement RGPD des destinataires finaux — les destinataires ne sont pas clients de Lemlist. L'absence de DPO nommé formellement est en zone grise Art. 37 RGPD (Lemlist traite des données à grande échelle de manière systématique — critère §1(b) potentiellement déclenché). La plainte ICO UK en cours renforce l'urgence d'une formalisation du dossier de conformité. Budget de remédiation estimé : €157k sur 6 mois, représentant un ROI de protection de €4.6 d'exposition sanction évitée par €1 investi.

Registre des traitements — Article 30 RGPD

Référence : Règlement (UE) 2016/679 — Art. 30 · 15 traitements documentés

T01

Collecte et stockage de données de contact prospects B2B (clients)

Critique · Contrat (Art. 6§1b) · DPIA requise

Transfert SCCs 2021

Finalité : Stockage des listes de contacts importées par les clients pour exécution des campagnes de prospection commerciale

Personnes : Prospects B2B des clients Lemlist (estimé 50M contacts uniques)Durée : Durée de l'abonnement actif + 30 jours après résiliation (suppression automatisée). Données de logs d'envoi : 12 mois.ST Art. 28 : AWS (US-East + Frankfurt), Mailgun (Sinch), Twilio SendGrid

Traitement à grande échelle de données personnelles. DPIA obligatoire CNIL liste 2018. Absence DPA client = risque de co-responsabilité non clarifié.

T02

Pixel tracking ouverture et clic emails

Critique · Intérêt légitime (Art. 6§1f) · DPIA requise

Transfert SCCs 2021

Finalité : Mesure des taux d'ouverture et de clic pour les rapports analytics des campagnes clients

Personnes : Destinataires des emails envoyés par les clients (tiers à Lemlist)Durée : 90 jours pour les données d'interaction brutes, agrégées indéfinimentST Art. 28 : AWS, Datadog

Traitement potentiellement illicite. Aucun mécanisme de consentement ou opt-out accessible aux destinataires. Risque de plainte massive CNIL via réclamations individuelles.

T03

Enrichissement automatique profils prospects (APIs tierces)

Élevé · Intérêt légitime (Art. 6§1f) · DPIA non requise

Transfert SCCs 2021

Finalité : Enrichissement des données prospects avec informations publiques pour améliorer la personnalisation des emails

Personnes : Prospects B2B enrichis automatiquement (5M/mois)Durée : Durée de la liste prospect dans le compte client. Données d'enrichissement : 6 mois après utilisation.ST Art. 28 : Hunter.io, Clearbit (HubSpot), Apollo.io

Notification aux personnes enrichies (Art. 14 RGPD) non réalisée — délai 30 jours si informations non obtenues directement. Impraticable à grande échelle : prévoir mention dans politique de confidentialité des clients.

T04

Analytics comportementale utilisateurs SaaS (Mixpanel/Amplitude)

Moyen · Intérêt légitime (Art. 6§1f) · DPIA non requise

Transfert SCCs 2021

Finalité : Amélioration produit, analyse du funnel d'activation et de rétention des utilisateurs Lemlist

Personnes : Utilisateurs clients Lemlist (15k comptes actifs)Durée : 24 mois pour les données comportementales, agrégées indéfinimentST Art. 28 : Mixpanel, Amplitude, Segment (Twilio)

Consentement via CGU acceptable en B2B. Prévoir opt-out analytics dans les paramètres utilisateur.

T05

Gestion abonnements et facturation (Stripe)

Faible · Contrat (Art. 6§1b) · DPIA non requise

Pas de transfert

Finalité : Traitement des paiements, gestion des abonnements SaaS, émission des factures et archivage comptable

Personnes : Clients abonnés Lemlist (contacts de facturation)Durée : Données de facturation : 10 ans (obligation Art. L123-22 Code de commerce). Données de carte : non stockées (tokenisation Stripe).ST Art. 28 : Stripe

Traitement majoritairement conforme. Stripe traite via entité irlandaise (UE) — pas de transfert international hors UE pour ce traitement.

T06

Support client (Intercom)

Moyen · Intérêt légitime (Art. 6§1f) · DPIA non requise

Transfert SCCs 2021

Finalité : Gestion des tickets de support client, résolution des problèmes techniques et commerciaux

Personnes : Clients ayant contacté le support LemlistDurée : 3 ans après clôture du ticket ou résiliation de l'abonnementST Art. 28 : Intercom

Mentionner Intercom comme sous-traitant dans les CGU clients.

T07

Email marketing et newsletters Lemlist

Moyen · Consentement (Art. 6§1a) · DPIA non requise

Transfert SCCs 2021

Finalité : Promotion de Lemlist, communication avec les prospects et clients, onboarding sequences

Personnes : Prospects opt-in + clients Lemlist (200k contacts)Durée : Consentement opt-in : 3 ans d'inactivité. Clients : durée abonnement + 3 ans.ST Art. 28 : Customer.io

Preuves de consentement opt-in à archiver. Double opt-in recommandé CNIL.

T08

Authentification comptes utilisateurs (Auth0/SSO)

Faible · Contrat (Art. 6§1b) · DPIA non requise

Transfert SCCs 2021

Finalité : Gestion des identités, authentification sécurisée, sessions et accès à la plateforme

Personnes : Utilisateurs de la plateforme LemlistDurée : Logs d'authentification : 90 jours. Données compte : durée abonnement + 30 jours.ST Art. 28 : Auth0 (Okta), Google OAuth

T09

Scraping LinkedIn via extension Chrome

Critique · Intérêt légitime (Art. 6§1f) · DPIA requise

Transfert Aucun

Finalité : Import de profils LinkedIn dans les listes de prospects pour les campagnes Lemlist

Personnes : Utilisateurs LinkedIn ciblés par les clientsDurée : Durée de la liste prospect dans le compte clientST Art. 28 : LinkedIn (Microsoft)

Risque maximal. Aucune base légale solide. Recommandation : passer par l'API officielle LinkedIn Marketing Solutions ou limiter fonctionnalité.

T10

IA personnalisation emails via OpenAI GPT-4

Élevé · Contrat (Art. 6§1b) · DPIA non requise

Transfert SCCs 2021

Finalité : Génération de phrases de personnalisation d'emails via LLM basé sur les données prospect

Personnes : Prospects ciblés par les clients Lemlist (500k/mois)Durée : Données transmises à OpenAI : pas de stockage côté OpenAI (API mode, opt-out training activé à vérifier). Résultats : durée de la liste.ST Art. 28 : OpenAI

Vérifier: (1) OpenAI DPA signé côté Lemlist, (2) opt-out training activé via API, (3) clause DPA clients autorisant sous-traitance cascade OpenAI.

T11

Logs sécurité et audit système

Moyen · Intérêt légitime (Art. 6§1f) · DPIA non requise

Transfert SCCs 2021

Finalité : Détection d'intrusion, audit de sécurité interne, forensics incident de sécurité

Personnes : Utilisateurs de la plateformeDurée : 12 mois (recommandation ANSSI NIS2 Art. 21§2)ST Art. 28 : Datadog, AWS CloudWatch

T12

Gestion RH et paie (Payfit)

Faible · Obligation légale (Art. 6§1c) · DPIA non requise

Pas de transfert

Finalité : Administration du personnel, paie des salariés, gestion des congés et des arrêts de travail

Personnes : 120 salariés LemlistDurée : Données paie : 5 ans (prescription URSSAF). Bulletins de salaire : 50 ans ou jusqu'à retraite du salarié.ST Art. 28 : Payfit

Traitement conforme. Vérifier registre des traitements RH séparé (données employés ≠ données clients).

T13

Cookies analytics et marketing (lemlist.com)

Critique · Consentement (Art. 6§1a) · DPIA non requise

Transfert SCCs 2021

Finalité : Mesure d'audience du site, retargeting publicitaire, optimisation des pages de conversion

Personnes : Visiteurs lemlist.com (500k/mois)Durée : Cookies analytics : 13 mois max (recommandation CNIL). Données Hotjar : 365 jours.ST Art. 28 : Google Analytics (GA4), Meta Pixel, LinkedIn Insight Tag, Hotjar

Action immédiate requise. Implémenter CMP (Didomi/Axeptio/Cookiebot) dans les 30 jours. Désactiver tous les cookies non essentiels en attendant.

T14

Programme d'affiliation (PartnerStack)

Faible · Contrat (Art. 6§1b) · DPIA non requise

Pas de transfert

Finalité : Gestion des commissions affiliés, suivi des conversions, paiements des partenaires

Personnes : Affiliés et partenaires (500 affiliés)Durée : 5 ans après fin de la relation d'affiliation (prescriptions fiscales)ST Art. 28 : PartnerStack

T15

Vidéos/images personnalisées dans emails (Lemvideo)

Faible · Contrat (Art. 6§1b) · DPIA non requise

Transfert SCCs 2021

Finalité : Génération dynamique de visuels personnalisés (nom, logo prospect) dans les emails de prospection

Personnes : Prospects ciblés par les campagnes clientsDurée : Visuels générés : 30 jours (CDN cache), puis suppressionST Art. 28 : AWS (CloudFront CDN)

DPIA — Analyses d'impact sur la protection des données (Art. 35 RGPD)

DPIA obligatoire pour les traitements à risque élevé. Probabilité × Sévérité → Risque résiduel.

T01 — Collecte et stockage données de contact prospects B2B (clients)

DPIA Art. 35 RGPD

Continuer avec mesures

Avis DPO : Traitement à risque élevé justifiant la DPIA. Les mesures techniques actuelles (chiffrement, isolation tenant) sont satisfaisantes. Les lacunes identifiées concernent principalement la documentation des sous-traitants (TIA manquants Mailgun) et l'absence de DPA Art. 28 signés avec certains clients. Avis : proceed-with-measures. Formaliser DPA clients et TIA Mailgun dans les 30 jours.

Mesures prises :

Isolation multi-tenant en base de données (filtres customer_id systématiques)
Chiffrement AWS KMS au repos et TLS 1.3 en transit
Politique de rétention automatisée (suppression J+30 après résiliation)
Accès aux données clients limité à l'équipe support sur justification ticket

T02 — Pixel tracking ouverture et clic emails

DPIA Art. 35 RGPD

Consulter l'APD

Avis DPO : Ce traitement est le risque réglementaire le plus aigu de Lemlist. En l'état, la base légale 'intérêt légitime' ne résiste pas à l'analyse pour les destinataires des emails (tiers). Recommandation urgente : (1) ajouter mention 'Cet email contient un pixel de tracking' dans chaque email et lien opt-out tracking ; (2) envisager migration vers tracking côté serveur agrégé sur 3 mois ; (3) consulter la CNIL en amont via la procédure de conseil informel.

Mesures prises :

Lien de désabonnement présent dans chaque email (opt-out aux emails futurs, mais pas au tracking)
Données de tracking agrégées dans les rapports (pas de profiling individuel exposé aux clients)

T09 — Scraping LinkedIn via extension Chrome

DPIA Art. 35 RGPD

Ne pas procéder

Avis DPO : Traitement à risque maximal. Le disclaimer de responsabilité ne dégage pas Lemlist de sa responsabilité de sous-traitant Art. 28 — Lemlist fournit activement l'outil de scraping. Avis : do-not-proceed en l'état. Soit migrer vers l'API LinkedIn officielle (délai 60 jours), soit désactiver la fonctionnalité. La CNIL et l'ICO ont tous deux prononcé des sanctions pour des pratiques similaires.

Mesures prises :

L'extension affiche un disclaimer que l'utilisateur est responsable de la conformité
Pas de stockage des données scrapées par Lemlist en dehors du compte client

Heatmap de conformité — traitements × frameworks

Lecture : chaque cellule = statut par framework pour ce traitement. P0 = criticité critique.

Conforme

Partiel

Non-conforme

N/A

P0= criticité critique

Top 15 gaps — priorisés par exposition réglementaire

Cookies non essentiels actifs sans CMP conforme CNIL (GA4, Meta Pixel, LinkedIn, Hotjar)

RGPD / UK GDPR · T13 · Deadline : Immédiat — CNIL peut ouvrir enquête sur signalement ou contrôle d'initiative 2026

60k–150k€

Remédiation : €8k

Lemlist dépose des cookies GA4, Meta Pixel, LinkedIn Insight Tag et Hotjar sur lemlist.com (500k visiteurs/mois) sans recueil de consentement conforme à la délibération CNIL 2020-091. L'absence d'un bouton 'Tout refuser' accessible aussi facilement que 'Tout accepter' constitue une violation caractérisée. La CNIL a sanctionné Google (€150M) et Facebook (€60M) en janvier 2022 précisément pour ce motif.

Action : Implémenter une CMP certifiée CNIL (Didomi/Axeptio/Cookiebot) dans les 15 jours. Désactiver immédiatement Meta Pixel et LinkedIn Insight Tag en attendant.

Pixel tracking email sans base légale RGPD pour les destinataires (2Mds emails/an)

RGPD / UK GDPR · T02 · Deadline : Plainte ICO UK en cours — risque de mise en demeure dans les 3-6 mois

180k–720k€

Remédiation : €25k

Le pixel tracking (IP, timestamp, device) de 2Mds destinataires/an sans information ni opt-out constitue un traitement sans base légale valide au sens RGPD. Les destinataires sont des tiers à la relation Lemlist/client — l'intérêt légitime ne résiste pas au test de mise en balance. La plainte ICO UK en cours porte sur ce sujet. Exposition sanction : jusqu'à 4% CA = €720k.

Action : Court terme (30j) : ajouter mention tracking dans footer email + lien opt-out tracking distinct du lien unsubscribe. Moyen terme (90j) : migrer vers tracking côté serveur agrégé sans IP individuelle.

Scraping LinkedIn sans base légale — fonctionnalité à do-not-proceed

RGPD / UK GDPR / CCPA-CPRA · T09 · Deadline : Immédiat — risque d'action LinkedIn + CNIL sans délai réglementaire précis

90k–360k€

Remédiation : €15k

L'extension Chrome permettant le scraping LinkedIn collecte ~1M profils/mois sans base légale RGPD valide et en violation des CGU LinkedIn. La CNIL a sanctionné Clearview AI (€20M) pour des pratiques de scraping similaires en 2022. LinkedIn a obtenu des injonctions judiciaires contre des scrapers en 2022-2024. Lemlist est directement exposée.

Action : Désactiver la fonctionnalité de scraping automatique dans les 30 jours. Migrer vers l'API LinkedIn Marketing Solutions avec base légale documentée. Afficher un avertissement clair dans l'extension que le client est responsable de la conformité de ses listes.

Absence de DPA Art. 28 RGPD avec ~40% des clients (RT sans contrat)

RGPD / UK GDPR / LGPD · T01 · Deadline : Sanction possible à tout contrôle CNIL — précédent Meta €1.2B (2023) inclut manquements DPA

100k–500k€

Remédiation : €20k

Sans DPA Art. 28 RGPD signé avec chaque client responsable de traitement, Lemlist ne peut pas légalement traiter les données prospects pour leur compte. C'est une violation structurelle. La CNIL et le Comité européen de protection des données (EDPB Guidelines 07/2020 sur les notions de RT et ST) sont très stricts sur ce point. La mise en demeure peut être immédiate.

Action : Implémenter un Data Processing Agreement (DPA) standard en flux contractuel : à signer lors du checkout (clic-wrap ou DocuSign) pour tous les nouveaux clients. Campagne de régularisation pour les clients existants via email + banner in-app.

TIA Schrems II manquants pour 8 sous-traitants US critiques

RGPD / UK GDPR · T01 · Deadline : Recommandations EDPB 01/2020 applicables depuis arrêt Schrems II (16 juil. 2020) — exigible maintenant

72k–360k€

Remédiation : €18k

Les SCCs 2021 (décision UE 2021/914) ne suffisent pas seules depuis l'arrêt Schrems II (CJUE C-311/18). Un Transfer Impact Assessment (TIA) documenté est requis pour chaque transfert vers un pays tiers (US, notamment) pour évaluer si le droit américain (FISA 702, EO 12333) compromet les garanties des SCCs. Lemlist n'a aucun TIA documenté pour ses 8+ sous-traitants US (Mailgun, Datadog, Mixpanel, Intercom, OpenAI, Customer.io, Apollo.io, Auth0).

Action : Réaliser des TIA standardisés (template EDPB/CNIL) pour les 8 sous-traitants US prioritaires. Vérifier leur participation au Data Privacy Framework (DPF décision 2023/1795) — si oui, TIA allégé. Documenter les mesures techniques supplémentaires (chiffrement, pseudonymisation).

Absence de DPA OpenAI pour le traitement IA des données prospects (sous-traitance cascade)

RGPD / UK GDPR · T10 · Deadline : Immédiat — chaque appel API OpenAI avec données prospect est une violation Art. 28§4

54k–216k€

Remédiation : €5k

L'envoi de données prospect (nom, email, titre, entreprise) à l'API OpenAI pour la personnalisation des emails constitue une sous-traitance en cascade Art. 28§4 RGPD. Cela requiert : (1) DPA signé entre Lemlist et OpenAI ; (2) autorisation préalable dans les DPA clients ; (3) vérification que OpenAI n'utilise pas les données API pour entraîner ses modèles (opt-out training). Ces 3 éléments sont actuellement absents ou non documentés.

Action : Signer le DPA OpenAI Enterprise (ou vérifier que le DPA API standard couvre ce cas). Activer l'opt-out training via les paramètres API (zéro-retention option). Mettre à jour les DPA clients pour autoriser explicitement OpenAI comme sous-traitant de niveau 2.

Nommination formelle d'un DPO — obligation Art. 37 RGPD à évaluer

RGPD · T01 · Deadline : Évaluation immédiate — si obligation confirmée, nomination dans les 30 jours

10k–40k€

Remédiation : €24k

L'Art. 37§1(b) RGPD impose la nomination d'un DPO pour les organismes dont les activités de base consistent en des traitements qui 'exigent un suivi régulier et systématique des personnes concernées à grande échelle'. Lemlist traite 50M contacts prospects de façon systématique — seuil 'grande échelle' vraisemblablement atteint. L'absence de DPO nommé (même externe) constitue une violation Art. 37-39 RGPD. La CNIL a sanctionné l'absence de DPO dans plusieurs délibérations 2022-2024.

Action : Mandater un DPO externe certifié CIPP/E (coût €2-4k/mois) dans les 30 jours. Enregistrer la nomination sur le registre CNIL (https://notifications.cnil.fr/notifications/index). Définir les attributions et l'indépendance du DPO (Art. 38 RGPD).

Politique de confidentialité non conforme LGPD pour les utilisateurs brésiliens

LGPD · T07 · Deadline : Première sanction ANPD 2024 — enquêtes en cours sur les SaaS internationaux sans politique PT-BR

15k–90k€

Remédiation : €8k

La LGPD exige une politique de confidentialité en portugais, accessible aux résidents brésiliens, mentionnant les bases légales, les droits des titulaires, les contacts DPO/DPA, et les flux internationaux. Lemlist n'a pas de version portugaise de sa politique de confidentialité. L'ANPD a commencé les enquêtes sur les SaaS internationaux opérant sans conformité LGPD en 2024 (Resolução CD/ANPD n. 4 sur les transferts internationaux, nov. 2023).

Action : Rédiger et publier une politique de confidentialité en portugais brésilien. Ajouter les informations LGPD (base légale, droits Art. 18 LGPD, contact ANPD). Implémenter un mécanisme de suppression de données pour les résidents brésiliens. Désigner un représentant légal au Brésil si volume BR significatif.

Absence de mécanisme opt-out 'Do Not Sell or Share' pour les résidents californiens

CCPA-CPRA · T13 · Deadline : CPPA enforcement actions 2024-2025 — obligation en vigueur depuis janv. 2023

30k–150k€

Remédiation : €12k

Le partage de données de résidents californiens avec Meta, Google et LinkedIn à des fins publicitaires constitue un 'sharing' sous CCPA-CPRA (Art. 1798.140(ah)). Lemlist doit afficher un lien 'Do Not Sell or Share My Personal Information' sur son site web, et honorer les demandes opt-out dans les 15 jours. La CPPA a multiplié les actions en 2024 contre les SaaS B2B sans mécanisme opt-out visible.

Action : Ajouter le lien 'Do Not Sell or Share My Personal Information' dans le footer de lemlist.com. Configurer la CMP pour honorer les Global Privacy Control (GPC) signals automatiquement. Vérifier les Service Provider Agreements avec Google, Meta, LinkedIn pour s'assurer de l'absence de revente.

DSAR workflow sous-dimensionné — délai réponse Art. 15-21 non garanti

RGPD / UK GDPR · T01 · Deadline : SLA 30 jours RGPD Art. 12 exigible à chaque demande reçue

20k–80k€

Remédiation : €10k

Aucun processus formel de traitement des demandes d'exercice de droits (DSAR) n'est documenté chez Lemlist. L'absence d'un formulaire dédié, d'un owner nommé, et d'un SLA de 30 jours expose Lemlist à des plaintes CNIL dès la première demande non traitée dans les délais. La CNIL traite ~13 000 plaintes/an dont ~30% portent sur les droits des personnes.

Action : Créer une page 'Exercer mes droits' sur lemlist.com avec formulaire dédié. Désigner un owner (DPO ou Legal) responsable du traitement des DSAR. Implémenter un ticket système dans Intercom avec tag 'DSAR' et SLA 25 jours (marge 5 jours). Documenter la procédure de vérification d'identité du demandeur.

Enrichissement prospects sans notification Art. 14 RGPD

RGPD · T03 · Deadline : Exigible dans les 30 jours de la collecte des données (Art. 14§3 RGPD)

36k–180k€

Remédiation : €5k

L'Art. 14 RGPD impose d'informer les personnes dont les données sont collectées indirectement (ici via Hunter.io/Clearbit/Apollo). Cependant, l'exception Art. 14§5(b) permet d'invoquer l'effort disproportionné à 5M/mois — mais requiert une mention dans la politique de confidentialité des clients et une mise à disposition d'informations via un canal accessible (ex: page web).

Action : Ajouter dans les DPA clients une clause Art. 14 obligeant les clients RT à informer leurs prospects de l'enrichissement (ou d'invoquer l'exception effort disproportionné avec justification). Publier une notice Art. 14 accessible via l'URL privacy.lemlist.com/data-sources.

Legitimate Interest Assessment (LIA) manquant pour 4 traitements invoquant l'Art. 6§1(f)

RGPD / UK GDPR · T04 · Deadline : Bonne pratique exigée par EDPB Guidelines 06/2014 — vérifiable lors d'un contrôle CNIL

18k–72k€

Remédiation : €6k

4 traitements invoquent l'intérêt légitime Art. 6§1(f) (pixel tracking, enrichissement, analytics SaaS, support) sans Legitimate Interest Assessment (LIA) documenté en 3 étapes (purpose test, necessity test, balancing test). L'ICO (2023) et la CNIL exigent cette documentation lors des contrôles. L'absence de LIA fragilise la base légale invoquée.

Action : Rédiger des LIA documentés pour les 4 traitements concernés. Template EDPB/ICO disponible. Stocker dans la documentation de conformité DPO. Revoir annuellement.

Politique de confidentialité non traduite UK + absence de mentions UK ICO

UK GDPR · T07 · Deadline : Recommandation ICO Accountability Framework 2024 — enjeu pour la plainte en cours

10k–50k€

Remédiation : €4k

La politique de confidentialité de Lemlist ne mentionne pas le cadre spécifique UK GDPR post-Brexit (ICO comme autorité UK, UK Representative nommé si nécessaire, Article 27 UK GDPR). La plainte ICO en cours nécessite une démonstration active de conformité UK.

Action : Ajouter une section UK GDPR à la politique de confidentialité. Désigner un représentant UK Art. 27 UK GDPR (service type Repsuta ou Bird & Bird). Mentionner l'ICO comme autorité UK de contrôle. Traiter la plainte ICO avec assistance d'un solicitor UK GDPR.

Registre Art. 30 RGPD incomplet — volumes et durées non documentés

RGPD / ISO 27701 · T01 · Deadline : Exigible depuis le 25 mai 2018 — vérifiable lors de tout contrôle CNIL

10k–40k€

Remédiation : €4k

Le registre Art. 30 de Lemlist est incomplet : volumes de personnes concernées non indiqués, durées de conservation non documentées pour 8 traitements, liste des sous-traitants outdatée (pas de mention Datadog, Amplitude, Customer.io, OpenAI). La CNIL vérifie systématiquement le registre lors des contrôles et peut prononcer des injonctions de mise en conformité.

Action : Mettre à jour le registre Art. 30 avec les 15 traitements documentés dans cet audit. Ajouter : volumes estimés, durées de conservation, liste complète sous-traitants avec pays et mécanisme de transfert. Outil recommandé : CNIL Registre en ligne ou DPOrganizer.

Absence de formation RGPD obligatoire pour les équipes traitant des données personnelles

RGPD / ISO 27701 / NIST Privacy Framework · T01 · Deadline : Obligation de responsabilité Art. 5§2 RGPD — vérifiable lors d'un contrôle

5k–20k€

Remédiation : €3k

Le principe de responsabilité (accountability) Art. 5§2 RGPD exige que Lemlist puisse démontrer la conformité de ses pratiques. La formation des équipes (support, commercial, produit, marketing) aux obligations RGPD est un élément de preuve clé. Aucune formation documentée identifiée chez Lemlist.

Action : Organiser une session de sensibilisation RGPD all-hands (2h, interne ou via CNIL e-learning). Former spécifiquement les équipes support et commercial sur les DSAR. Documenter les formations (dates, participants, contenu) dans le dossier DPO.

Plan de remédiation 6 mois — 3 sprints

Budget total : €157k sur 6 mois

Sprint 1 — M+1-2 (Urgences)— 6 actions · €60k

Implémenter une CMP certifiée CNIL (Didomi ou Axeptio) sur lemlist.com — désactiver immédiatement Meta Pixel et LinkedIn Insight Tag en attendant

Owner : CTO + CMOBudget : €8 000KPI : CMP live dans 15 jours, taux de consentement cookies mesuréDeadline : M+0.5RGPD / UK GDPR

Implémenter un DPA Art. 28 RGPD standard en clic-wrap dans le checkout Lemlist (nouveau client) + campagne régularisation clients existants

Owner : Legal + ProductBudget : €15 000KPI : 100% nouveaux clients avec DPA signé / 80% clients existants régularisés dans 60 joursDeadline : M+1RGPD / UK GDPR / LGPD

Nommer un DPO externe certifié CIPP/E et l'enregistrer auprès de la CNIL

Owner : CEO + LegalBudget : €24 000KPI : DPO nommé et enregistré CNIL dans 30 joursDeadline : M+1RGPD

Désactiver la fonctionnalité de scraping automatique LinkedIn dans l'extension Chrome + avertissement UI de responsabilité client

Owner : CTOBudget : €5 000KPI : Fonctionnalité scraping désactivée dans 30 joursDeadline : M+1RGPD / UK GDPR / CCPA-CPRA

Ajouter mention tracking pixel dans le footer de tous les emails envoyés via Lemlist + lien opt-out tracking distinct

Owner : CTO + ProductBudget : €3 000KPI : 100% des emails avec mention tracking et opt-out dans 30 joursDeadline : M+1RGPD / UK GDPR

Signer le DPA OpenAI Enterprise, activer zéro-retention API, mettre à jour DPA clients pour autoriser OpenAI comme sous-traitant L2

Owner : Legal + CTOBudget : €5 000KPI : DPA OpenAI signé + opt-out training activé dans 30 joursDeadline : M+1RGPD / UK GDPR

Sprint 2 — M+3-4 (Structuration)— 6 actions · €58k

Réaliser les TIA Schrems II pour les 8 sous-traitants US prioritaires (Mailgun, Datadog, Mixpanel, Intercom, Customer.io, Apollo.io, Auth0, AWS) — vérifier participation DPF

Owner : DPO + LegalBudget : €18 000KPI : 8 TIA documentés et archivés dans les 60 joursDeadline : M+3RGPD / UK GDPR

Créer une page dédiée DSAR (Exercer mes droits) avec formulaire, implémenter ticketing DSAR dans Intercom avec SLA 25 jours, désigner owner DPO

Owner : DPO + Product + SupportBudget : €10 000KPI : Page DSAR live, 100% demandes traitées en < 30 jours dès M+2Deadline : M+3RGPD / UK GDPR

Ajouter lien 'Do Not Sell or Share My Personal Information' dans footer lemlist.com, configurer GPC signal dans la CMP, vérifier Service Provider Agreements Meta/Google/LinkedIn

Owner : Legal + CMO + CTOBudget : €12 000KPI : Lien opt-out CCPA visible, GPC signals honorés automatiquementDeadline : M+3CCPA-CPRA

Rédiger et publier une politique de confidentialité en portugais brésilien (LGPD) sur lemlist.com/privacy-br + désigner représentant légal Brésil

Owner : Legal + DPOBudget : €8 000KPI : Page PT-BR live + représentant LGPD désigné dans 60 joursDeadline : M+3LGPD

Mettre à jour le registre Art. 30 RGPD avec les 15 traitements documentés dans cet audit (volumes, durées, sous-traitants) — outil recommandé DPOrganizer

Owner : DPOBudget : €4 000KPI : Registre Art. 30 100% complet et à jour dans 60 joursDeadline : M+3RGPD / ISO 27701

Rédiger les Legitimate Interest Assessments (LIA) pour les 4 traitements invoquant Art. 6§1(f) (enrichissement, analytics SaaS, support, marketing clients)

Owner : DPO + LegalBudget : €6 000KPI : 4 LIA documentés et archivés dans 60 joursDeadline : M+3RGPD / UK GDPR

Sprint 3 — M+5-6 (Documentation)— 4 actions · €50k

Migrer le tracking email vers un tracking côté serveur agrégé (sans IP individuelle) — évaluer solution Postmark ou tracking propre avec agrégation

Owner : CTO + ProductBudget : €25 000KPI : Tracking côté serveur opérationnel, suppression pixel invisible dans 100% des emails à M+6Deadline : M+6RGPD / UK GDPR

Organiser formation RGPD all-hands (2h) + formation spécifique DSAR pour équipes support et commercial. Documenter les formations.

Owner : DPO + RHBudget : €3 000KPI : 100% des équipes formées, documentation archivéeDeadline : M+5RGPD / ISO 27701 / NIST Privacy Framework

Ajouter section UK GDPR à la politique de confidentialité + désigner représentant UK Art. 27 + traiter plainte ICO avec solicitor UK

Owner : Legal + DPOBudget : €12 000KPI : Politique UK GDPR publiée, représentant UK désigné, réponse ICO envoyéeDeadline : M+4UK GDPR

Engager démarche ISO 27701 (gap assessment initial + roadmap certification) en complément du SMSI ISO 27001 existant ou à créer

Owner : RSSI + DPOBudget : €10 000KPI : Gap assessment ISO 27701 réalisé, plan de certification 18 mois validéDeadline : M+6ISO 27701

Audit cookies & banner de consentement — CNIL 2024

Conformité banner CNIL

Non conforme

Cookies détectés

28 cookies

Consentement analytics

Non

Consentement marketing

Non

TCF / CMP implémenté

Non

Non-conformités CNIL Recommandation 2024 (8 gaps) :

Absence de bouton 'Tout refuser' visible aussi facilement que 'Tout accepter' (délibération CNIL 2020-091 §4)
Cookies déposés avant consentement (GA4 présent dans le DOM avant interaction utilisateur)
Pas de liste détaillée des cookies par catégorie accessible dans le banner
Pas de mécanisme de retrait du consentement aussi simple que l'accord initial (Art. 7§3 RGPD)
Durée de conservation des cookies supérieure à 13 mois pour certains cookies analytics
Absence de CMP certifiée CNIL (liste officielle : OneTrust, Didomi, Axeptio, Cookiebot, TrustCommander)
Hotjar : dépôt de cookies de session recording sans consentement spécifique pour ce traitement
Pas de gestion des Global Privacy Control (GPC) signals (recommandé CNIL 2024)

Remédiations recommandées :

Implémenter Didomi ou Axeptio (certifié CNIL) avec design conforme : refus aussi visible que l'acceptation
Configurer la CMP pour bloquer GA4, Meta Pixel, LinkedIn Insight Tag et Hotjar avant consentement (mode consentement GA4 V2)
Désactiver immédiatement Meta Pixel et LinkedIn Insight Tag en attendant la CMP (risque CNIL immédiat)
Configurer la CMP pour honorer automatiquement le GPC signal (Do Not Track avancé)
Réduire la durée des cookies analytics à 13 mois maximum (CNIL recommandation 2022)
Publier une page dédiée cookies avec liste exhaustive par catégorie, finalité, durée et tiers
Mettre en place un audit cookies automatisé trimestriel (outil Cookiebot scan ou OneTrust Discovery)

Workflow droits des personnes — DSAR (Art. 12-21 RGPD)

Maturité DSAR globale

Faible

SLA légal : 1 mois (Art. 12 RGPD) · Prorogeable 2 mois si complexe

Art. 15 — Droit d'accès

SLA : 30 jours

Actuellement : email à contact@lemlist.com. Pas de formulaire dédié. Traitement manuel par l'équipe support sans procédure documentée. Aucun SLA garanti. Pas de vérification d'identité standardisée.

Pas de formulaire dédié DSAR
Pas de SLA de 30 jours garanti et monitoré
Pas de procédure de vérification d'identité documentée
Accès aux données prospects clients techniquement complexe (données client RT != données Lemlist RT)

Art. 16 — Droit de rectification

SLA : 30 jours

Non formalisé. En théorie : modification manuelle en base de données par un ingénieur sur ticket support.

Pas d'interface utilisateur de rectification dans l'app Lemlist
Délai de traitement non monitored
Rectification des données prospects (données clients RT) : Lemlist peut informer le client mais ne peut agir directement

Art. 17 — Droit à l'effacement

SLA : 30 jours

Bouton de suppression de compte disponible dans les paramètres. Suppression des données après 30 jours de la résiliation. Données de facturation conservées 10 ans.

Suppression données prospects dans les listes : délai 30 jours post-résiliation, pas de suppression immédiate possible
Aucune procédure de notification aux sous-traitants (Mailgun, OpenAI) de la suppression
Données de logs conservées 12 mois même après suppression compte

Art. 18 — Droit à la limitation

SLA : 30 jours

Pas de procédure documentée pour la limitation du traitement.

Aucun mécanisme technique de gel d'un traitement sans suppression
Procédure de limitation non documentée

Art. 20 — Droit à la portabilité

SLA : 30 jours

Export CSV des données compte disponible dans les paramètres. Données prospects : export CSV disponible par campagne.

Format d'export non standardisé (pas de JSON structuré ou format interopérable)
Données comportementales (analytics) non incluses dans l'export
Pas de portabilité directe vers un autre SaaS concurrent

Art. 21 — Droit d'opposition

SLA : 30 jours

Lien de désabonnement dans les emails marketing. Pas de mécanisme d'opposition générale au traitement par intérêt légitime.

Pas d'opposition possible au pixel tracking (seul l'opt-out email est disponible)
Pas d'opposition documentée pour le traitement enrichissement
Aucune mention du droit d'opposition Art. 21 dans la politique de confidentialité actuelle

Actions prioritaires DSAR :

Créer une page dédiée 'Exercer mes droits' avec formulaire structuré par type de droit (Art. 15-21)
Implémenter un SLA de 25 jours dans le ticketing support avec tag DSAR et escalade automatique au DPO
Documenter la procédure de vérification d'identité pour chaque type de demande (RGPD Art. 12§6)
Distinguer les demandes portant sur les données Lemlist RT (compte utilisateur) vs les données clients RT (prospects)
Mettre en place des notifications automatiques aux sous-traitants en cas de suppression/limitation

Transferts internationaux — Conformité Schrems II (Art. 44-49 RGPD)

Arrêt CJUE C-311/18 (16 juil. 2020) — SCCs 2021 + TIA obligatoire pour pays sans adéquation. DPF US (décision 2023/1795) : allège TIA si sous-traitant certifié.

T01

Destination : États-Unis (AWS US-East)

Mécanisme : SCCs 2021 · TIA réalisé : Non

Schrems II : Partiel

Mesures complémentaires : Chiffrement AES-256 au repos (AWS KMS) · TLS 1.3 en transit

Aucun TIA documenté évaluant les risques FISA 702 / EO 12333 pour les données stockées sur AWS US-East
AWS participe au DPF (décision 2023/1795) — à vérifier et documenter pour alléger le TIA
Pas de mesure de pseudonymisation pre-transfer documentée

T02

Destination : États-Unis (Mailgun/Sinch)

Mécanisme : SCCs 2021 · TIA réalisé : Non

Schrems II : Non-conforme

TIA Schrems II absent pour Mailgun
Mailgun ne participe pas au DPF — SCCs 2021 seules insuffisantes sans TIA
Contenu des emails (données personnelles) en transit via serveurs US sans mesure de chiffrement end-to-end au niveau Lemlist

T04

Destination : États-Unis (Mixpanel, Segment/Twilio)

Mécanisme : SCCs 2021 · TIA réalisé : Non

Schrems II : Partiel

Mesures complémentaires : Pseudonymisation des user IDs avant envoi à Mixpanel (à implémenter)

TIA Mixpanel absent
Segment (Twilio) DPF participation à vérifier
Données comportementales (actions utilisateurs) transmises sans pseudonymisation documentée

T10

Destination : États-Unis (OpenAI)

Mécanisme : SCCs 2021 · TIA réalisé : Non

Schrems II : Non-conforme

TIA OpenAI absent — OpenAI soumis à FISA 702 en tant qu'entreprise US
Pas de vérification que l'option zéro-retention (données non stockées post-appel) est activée
DPF participation OpenAI à vérifier (incertaine à ce jour)
Données prospect (nom, email, titre) envoyées sans pseudonymisation préalable

T13

Destination : États-Unis (Google Analytics, Meta Pixel, LinkedIn)

Mécanisme : SCCs 2021 · TIA réalisé : Non

Schrems II : Non-conforme

Consentement préalable absent = transfert illicite avant même d'analyser le mécanisme Schrems II
GA4 mode consentement V2 non activé (bloque les données sans consentement)
Meta Pixel et LinkedIn ne participent pas au DPF pour les données de tracking web
EDPB recommandation 01/2022 sur les outils analytics = utiliser Matomo ou équivalent EU si consentement non obtenu

T06

Destination : États-Unis (Intercom)

Mécanisme : SCCs 2021 · TIA réalisé : Non

Schrems II : Partiel

Mesures complémentaires : Données support chiffrées en transit (TLS)

TIA Intercom absent
Intercom Inc. (US) — vérifier si Intercom R&D Unlimited (IE) peut traiter les données EU exclusivement
Données des tickets support (messages clients) transmises sans pseudonymisation

T09

Destination : États-Unis (LinkedIn/Microsoft)

Mécanisme : Aucun · TIA réalisé : Non

Schrems II : Non-conforme

Aucun mécanisme de transfert valide — scraping non autorisé par LinkedIn
Pas de DPA avec LinkedIn
Traitement à arrêter — voir T09 DPIA do-not-proceed

T07

Destination : États-Unis (Customer.io)

Mécanisme : SCCs 2021 · TIA réalisé : Non

Schrems II : Partiel

TIA Customer.io à réaliser
Customer.io DPF participation à vérifier (liste certifiée https://www.dataprivacyframework.gov)

Exposition sanctions — waterfall par framework

Probabilité high

Probabilité medium

Probabilité low

Exposition min

RGPD — Violations Art. 6 (base légale) + Art. 13-14 (information) : CNIL délibération SAN-2022-019 (Doctissimo €380k cookies) · CNIL SAN-2022-021 (Google €150M + Facebook €60M cookies) · ICO enforcement sur PECR email tracking 2023-2024

RGPD — Violation Art. 28 (contrats sous-traitants) + Art. 44-49 (transferts internationaux) : DPC Irlande Meta €1.2Md (2023) transferts UE→US · CNIL Clearview AI €20M (2022) scraping + transferts · EDPB avis 2024 sur TIA Schrems II

UK GDPR — ICO enforcement (plainte en cours) : ICO amende TikTok £12.7M (2023) · ICO amende Clearview AI £7.5M (2022) · ICO enforcement email marketing 2024 (Easyjet, Halfords)

CCPA-CPRA — CPPA enforcement : CPPA amende Sephora $1.2M (2022 — premier enforcement CCPA) · AG CA amende DoorDash $375k (2024) · CPPA investigation auditeurs data brokers 2024

LGPD — ANPD enforcement : ANPD première sanction Telemarketing company (2023) · ANPD Resolução CD/ANPD n. 4 (2023) sur transferts internationaux · ANPD plan fiscalização 2025 incluant SaaS internationaux

Méthodologie & références régulatoires

Audit réalisé selon la méthodologie DPO certifié CIPP/E (IAPP). Références : Règlement (UE) 2016/679 (RGPD) · UK GDPR · California CCPA-CPRA · LGPD Brésil · NIST Privacy Framework 1.0 · ISO 27701:2019. Délibérations CNIL 2020-2024 · ICO Codes of Practice 2023-2024 · EDPB Guidelines 2020-2024 · ANPD Resoluções 2023. Les sanctions exposées sont des estimations basées sur la jurisprudence APD et les plafonds légaux en vigueur.

RGPD — Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Articles 5-6 (principes, base légale), Art. 13-14 (information), Art. 28-30 (sous-traitants, registre), Art. 35-36 (DPIA), Art. 44-49 (transferts internationaux), Art. 83 (sanctions).

SCCs 2021 — Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0914

Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers. Remplace les SCCs 2010. Obligation d'évaluation Transfer Impact Assessment (TIA) pour les transferts vers des pays sans décision d'adéquation (arrêt Schrems II, CJUE C-311/18, 2020).

CNIL — Délibération SAN-2022-021 (Google €150M + Facebook €60M) du 6 janvier 2022

https://www.cnil.fr/fr/cookies-google-ecope-dune-amende-de-150-millions-deuros-et-facebook-de-60-millions-deuros

La CNIL a sanctionné Google (€150M) et Facebook/Meta (€60M) pour l'absence d'un mécanisme de refus des cookies aussi simple que le mécanisme d'acceptation. Délibération de référence pour la conformité des banners de cookies.

EDPB Recommandations 01/2020 sur les mesures qui complètent les outils de transfert

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Guide pour la réalisation des Transfer Impact Assessments (TIA) post-arrêt Schrems II. Les responsables du traitement doivent évaluer si le droit du pays tiers (notamment US : FISA 702, EO 12333) assure un niveau de protection essentiellement équivalent à celui de l'UE.

Décision d'adéquation UE-US Data Privacy Framework — Décision (UE) 2023/1795 du 10 juillet 2023

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32023D1795

Le Data Privacy Framework (DPF) permet des transferts UE→US sans SCCs ni TIA pour les entreprises certifiées DPF. Liste de certification : https://www.dataprivacyframework.gov. À vérifier pour chaque sous-traitant US de Lemlist.

CNIL — Recommandation sur les cookies et traceurs (délibération 2020-091 + mise à jour 2022)

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/que-dit-la-loi

Consentement préalable obligatoire pour les cookies non essentiels. Banner doit proposer un bouton 'Tout refuser' aussi visible que 'Tout accepter'. Durée de conservation des cookies : 13 mois maximum. Renouvellement du consentement : tous les 6 mois.

LGPD — Lei n° 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais)

https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Art. 7 (bases légales — 10 hipóteses), Art. 18 (droits des titulaires), Art. 33 (transferts internationaux), Art. 52 (sanctions : 2% do faturamento no Brasil, max BRL 50M par infraction).

ANPD — Resolução CD/ANPD n. 4 de 24 de outubro de 2023 (transferts internationaux)

https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-outubro-de-2023

Régit les transferts internationaux de données personnelles depuis le Brésil. Mécanismes reconnus : décision d'adéquation ANPD, clauses contractuelles standard ANPD, BCR, certification. Décisions d'adéquation en cours pour l'UE et quelques pays.

CCPA-CPRA — California Civil Code §1798.100 et seq. (California Consumer Privacy Act)

https://oag.ca.gov/privacy/ccpa

CPRA (AB 1397, en vigueur janv. 2023) : nouveaux droits (correction, limitation SPI, portabilité), création CPPA, extension B2B et employés. Art. 1798.120 : droit opt-out de la 'vente et du partage'. Sanctions : jusqu'à $7 500/violation intentionnelle.

ICO — Cookie guidance and PECR (Privacy and Electronic Communications Regulations)

https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/cookies-and-similar-technologies/

L'ICO exige un consentement préalable valable pour les cookies non essentiels au sens des PECR. La plainte en cours contre Lemlist porte sur les pratiques d'email marketing non conformes au PECR. ICO enforcement priorities 2024-2025 incluent le dark pattern cookies.

CJUE — Arrêt Schrems II (C-311/18) du 16 juillet 2020

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62018CJ0311

Invalide le Privacy Shield UE-US. Valide les SCCs mais impose l'évaluation du droit du pays tiers (TIA). Les responsables de traitement doivent s'assurer que le droit du pays tiers n'empiète pas sur le niveau de protection garanti par les SCCs.