Oui. Bitly est conforme au RGPD dans le sens qui compte pour une checklist d'achat : il publie un accord de traitement des données, transfère les données sous clauses contractuelles types, détient une certification Data Privacy Framework UE-US active, exploite une entité européenne à Berlin, et répond aux demandes des personnes concernées au titre des articles 15 à 21. Si la case sur votre formulaire fournisseur indique « conforme au RGPD : oui/non », la réponse honnête est oui.
La question la plus difficile - celle que pose votre DPO après la checklist - est de savoir où vivent réellement vos données de clic. La conformité de Bitly repose sur le déplacement de données personnelles UE vers les États-Unis et la couverture de ce transfert par un instrument légal. Cela est légal aujourd'hui. Ce n'est pas la même chose que la résidence des données dans l'UE, et pour certains acheteurs, l'écart entre ces deux notions détermine le contrat.
Il s'agit d'une lecture du cluster conformité, donc les articles sont cités et les sources sont liées afin que vous puissiez les transmettre à votre propre conseil juridique. Pour le cadre qui sous-tend tout cela - ce que le RGPD exige de tout raccourcisseur, pas seulement de Bitly - le pilier RGPD pour les raccourcisseurs d'URL passe en revue les articles 3, 6, 28, 30, 32 et 35 un par un.
La réponse courte, et l'astérisque
Bitly a accompli le travail de conformité qu'on attend d'un fournisseur sérieux. En lisant sa politique de confidentialité (consultée le 17/07/2026), tout l'appareillage est présent :
- Un accord de traitement des données, intégré aux conditions d'utilisation.
- Des clauses contractuelles types pour les transferts hors EEE.
- Une certification Data Privacy Framework UE-US active, plus l'extension britannique et le cadre suisse-américain.
- Un établissement dans l'UE : Bitly Europe GmbH à Berlin, avec un délégué à la protection des données nommé (DataCo GmbH).
- Un processus de droits des personnes concernées, réparti entre
[email protected]pour les questions américaines et[email protected]pour les questions européennes, couvrant l'accès, la rectification, l'effacement, la limitation, la portabilité et l'opposition. - Une règle de conservation énoncée : les données personnelles sont effacées ou anonymisées sur demande, ou après trois ans suivant le dernier contact avec la personne concernée, selon la première échéance.
Rien de tout cela n'est contestable. Un fournisseur avec un DPA, des SCC, une certification Framework et un DPO européen n'« ignore pas le RGPD », et tout article qui prétend le contraire vend autre chose. L'astérisque ne porte pas sur la question de savoir si Bitly est conforme. Il porte sur comment il l'est - et le mécanisme est le transfert transatlantique.
Où vont réellement vos données Bitly
La propre structure de Bitly en est la démonstration la plus claire. Bitly Europe GmbH (Berlin) et Bitly Inc. (New York) sont responsables conjoints du traitement au titre de l'article 26, liés par un accord de responsabilité conjointe. Vos données de compte, et les données de clic circulant à travers vos liens, se trouvent à l'intérieur de cet arrangement conjoint, et l'arrangement traverse l'Atlantique par conception.
La politique de confidentialité est explicite : les données personnelles « peuvent être transférées en dehors de l'Union européenne et de l'Espace économique européen, y compris, mais sans s'y limiter, vers les États-Unis d'Amérique. » Chaque redirection enregistre une adresse IP et un user-agent ; les deux peuvent constituer des données personnelles pour des personnes identifiables. Le flux de clics qu'un raccourcisseur enregistre entre donc dans le champ d'application, et pour Bitly ce flux est acheminé vers un modèle de traitement centré sur les États-Unis.
C'est légal. C'est aussi une dépendance permanente aux instruments légaux qui soutiennent le transfert UE-US - et ces instruments ont un historique.
Pourquoi « certifié Data Privacy Framework » n'est pas la fin de l'histoire
Les garanties de transfert sur lesquelles s'appuie Bitly ont été reconstruites deux fois après que la Cour de justice les a invalidées. Le Safe Harbour est tombé en 2015. Le Privacy Shield est tombé dans Schrems II (CJUE C-311/18, 2020), qui a également relevé la barre pour les SCC en exigeant une analyse d'impact du transfert pour chaque transfert. Le Data Privacy Framework UE-US, adopté par la Commission européenne en 2023, est le successeur actuel - et celui sous lequel Bitly est certifié.
Deux conséquences pour un acheteur.
Premièrement, une certification est une déclaration à un instant donné, pas un état permanent. Les certifications expirent, sont retirées, ou tombent en non-conformité. Si vous vous appuyez sur le statut Framework de Bitly, vérifiez qu'il est toujours actif sur la liste officielle des participants au Data Privacy Framework plutôt que de prendre la page de politique pour argent comptant.
Deuxièmement, le Framework lui-même est sous pression juridique. Des défenseurs de la vie privée ont signalé leur intention de le contester, et un troisième jugement Schrems est un scénario que les acheteurs prudents planifient désormais. Le chapitre V du RGPD - les articles 44 à 49 sur les transferts internationaux - est la partie du règlement dont le terrain est le moins stabilisé. Construire une pile d'attribution marketing sur le chapitre le plus susceptible d'évoluer est un risque que certaines organisations acceptent et que d'autres refuseront.
Conforme n'est pas la même chose qu'exclusivement UE
Voici la distinction qui décide réellement des achats. « Conforme au RGPD » et « les données restent dans l'UE » sont deux affirmations différentes, et Bitly satisfait la première sans faire la seconde.
Pour beaucoup d'équipes, c'est très bien. Une équipe marketing qui raccourcit des liens pour une campagne publique, fondant l'analyse des clics sur l'intérêt légitime, est bien servie par un fournisseur conforme basé sur le transfert. Les instruments légaux les couvrent.
Cela cesse d'être suffisant lorsque votre secteur inscrit la résidence dans l'exigence. Les données du secteur public et de la santé allemandes sous les règles de protection des données sociales, les données de santé françaises sous certification HDS, les données des services financiers sous les directives de l'ABE - tout cela pousse vers un traitement exclusivement UE. Dans ces cas, une posture basée sur le transfert n'est pas une case à cocher, c'est une obligation continue : vous portez l'analyse d'impact du transfert, vous la refaites lorsque le fondement juridique change, et vous documentez pourquoi un transfert vers les États-Unis est défendable pour des données personnelles que vous auriez pu garder dans l'UE. Un raccourcisseur résidant dans l'UE élimine ce travail car il n'y a aucun transfert à évaluer.
Si votre exigence est que les données de clic UE ne quittent jamais l'UE, Elido les garde dans la région UE par défaut - la résidence est contractuelle et appliquée opérationnellement, pas une ligne dans une brochure. C'est la différence entre répondre « sommes-nous conformes ? » et répondre « pouvons-nous prouver que les données n'ont jamais quitté l'UE ? » sans analyse de transfert associée.
Ce qu'il faut vérifier avant de s'appuyer sur Bitly
Le statut de conformité est réel, donc le travail utile consiste à déterminer s'il correspond à vos obligations. Cinq points à confirmer par écrit :
- Votre exigence est-elle la conformité, ou est-ce la résidence ? Si une partie prenante a dit « exclusivement UE », une certification Framework ne la satisfait pas. Vous avez besoin d'un engagement de résidence à la place, et ce sont des clauses différentes.
- Vérifiez la règle de conservation par défaut. La règle énoncée par Bitly conserve les données jusqu'à trois ans après le dernier contact, donc si votre politique de responsable de traitement est plus courte, cela doit être configuré plutôt que supposé.
- Demandez la liste des sous-traitants. Une structure de responsabilité conjointe s'étendant sur deux continents tend à impliquer davantage de parties touchant les données, et vous voulez savoir lesquelles se trouvent sur le chemin des événements de clic.
- Confirmez que la certification Framework est active aujourd'hui sur la liste gouvernementale, pas seulement référencée sur la page de politique. Les certifications expirent.
- Lisez le DPA. Il est intégré aux conditions d'utilisation, donc le modèle d'autorisation des sous-traitants et le SLA d'effacement s'y trouvent plutôt que dans un document signé séparé. Un DPA qui satisfait l'article 28 est le plancher, pas le plafond - le pilier détaille ce que chaque clause de l'article 28(3) devrait dire.
Pour une vue plus large du marché de qui s'engage pour un traitement UE et qui transfère, le tour d'horizon meilleurs raccourcisseurs d'URL européens et l'article approfondi résidence des données UE pour le marketing couvrent les alternatives. Si le modèle de Bitly est la chose spécifique que vous pesez, Elido contre Bitly place la résidence et les prix côte à côte, et les interstitiels publicitaires sur les liens Bitly gratuits sont une raison distincte pour laquelle les équipes UE ont réévalué leur choix.
En résumé
Bitly est-il conforme au RGPD ? Oui. Il dispose du DPA, des SCC, de la certification Data Privacy Framework, de l'entité européenne, et de l'appareillage des droits des personnes concernées. Quiconque prétend que Bitly est carrément non conforme a tort.
Mais « conforme » n'a jamais été toute la question. La conformité de Bitly est construite sur le transfert de données personnelles UE vers les États-Unis et la couverture de ce transfert par des instruments que le chapitre V du RGPD ne cesse de déstabiliser. Si vous êtes un marketeur menant des campagnes publiques, c'est un compromis raisonnable. Si vous occupez un poste réglementé ou soucieux de souveraineté où les données de clic UE ne peuvent pas quitter l'UE, alors « conforme via transfert » ne franchit pas votre barre - et la solution n'est pas un meilleur DPA, c'est un raccourcisseur qui n'effectue jamais le transfert en premier lieu. Décidez dans quel siège vous êtes avant de décider de l'outil.
Lire la série du pilier
Ceci s'inscrit dans le cluster conformité. Le pilier est RGPD pour les raccourcisseurs d'URL : ce que votre DPO veut vraiment voir - commencez là pour le cadre article par article. Pour le résumé orienté achats, la page confiance et solutions/compliance sont les deux ressources à mettre en favoris.
À lire aussi sur le blog
- RGPD pour les raccourcisseurs d'URL : ce que votre DPO veut vraiment voir
- Les meilleurs raccourcisseurs d'URL européens, classés par posture de résidence
- Résidence des données UE pour les outils marketing : ce que votre DPO demande vraiment
- Elido vs Bitly : prix, fonctionnalités et résidence UE
- Dub vs Bitly : prix, plans gratuits et fonctionnalités
Questions fréquentes
Bitly est-il conforme au RGPD ?
Oui, au sens formel. Bitly publie un accord de traitement des données (DPA), transfère les données sous clauses contractuelles types, détient une certification Data Privacy Framework UE-US active, exploite une entité européenne à Berlin, et honore les demandes des personnes concernées au titre des articles 15 à 21. La nuance est que sa conformité repose sur le transfert de données personnelles UE vers les États-Unis, ce qui est légal mais n'équivaut pas à garder les données dans l'UE.
Bitly stocke-t-il les données de clic dans l'UE ?
Pas par défaut. La politique de confidentialité de Bitly indique que les données personnelles peuvent être transférées en dehors de l'UE et de l'EEE, y compris vers les États-Unis, sous clauses contractuelles types et Data Privacy Framework. Il n'existe aucun engagement standard de traitement exclusivement dans l'UE dans les conditions publiques, donc si la résidence UE est une exigence pour vous, il faut la demander spécifiquement.
Bitly dispose-t-il d'un accord de traitement des données ?
Oui. Le DPA de Bitly est intégré à ses conditions d'utilisation plutôt que signé comme document séparé, et Bitly Europe GmbH et Bitly Inc. agissent en tant que responsables conjoints du traitement au titre de l'article 26 pour les données qu'ils contrôlent. Lisez directement les termes du DPA pour confirmer le modèle d'autorisation des sous-traitants et le SLA d'effacement avant de vous y fier.
Bitly est-il certifié dans le cadre du Data Privacy Framework UE-US ?
Oui. Bitly a certifié auprès du Département du Commerce américain qu'il adhère aux principes du Data Privacy Framework UE-US, ainsi qu'à l'extension britannique et au cadre suisse-américain. Vous pouvez vérifier que la certification est toujours active sur la liste officielle des participants à dataprivacyframework.gov, car les certifications peuvent expirer ou être retirées.
Bitly est-il sûr pour les entreprises de l'UE dans le cadre du RGPD ?
Pour un usage marketing général, oui - les instruments légaux sont en place. La question devient plus délicate lorsque votre secteur exige un traitement exclusivement dans l'UE (données sociales allemandes, données de santé françaises sous HDS, services financiers), car une posture basée sur le transfert vous laisse porter une analyse d'impact du transfert (Transfer Impact Assessment) qu'un raccourcisseur résidant dans l'UE élimine entièrement.
Essayer Elido
Collez une URL, obtenez un lien court
Sans inscription. Lien actif 30 jours. Inscrivez-vous pour le garder pour toujours.
Gratuit, sans inscription · 2 par jour