Vous envoyez des emails à votre base de prospects en France ? Attention : les règles ne sont pas les mêmes selon que vous ciblez des consommateurs (B2C) ou des entreprises (B2B). Le consentement, élément clé du marketing par email, revêt deux formes bien distinctes sous le droit français et le RGPD. Cet article clarifie les obligations légales pour chaque segment et vous aide à construire une stratégie email conforme.
Opt-in obligatoire en B2C : le consentement explicite
En B2C (business-to-consumer), tout email commercial adressé à un consommateur exige un consentement préalable et explicite : c'est l'opt-in. Cette règle découle de la LCEN (Loi pour la confiance dans l'économie numérique) et du RGPD.
Le consentement doit être donné librement, de manière spécifique et sans équivoque — par exemple, une case explicitement cochée lors d'une inscription indiquant « J'accepte de recevoir des emails commerciaux ». Attention à la case pré-cochée ou aux formulations ambiguës : elles ne valent pas consentement légal.
Bon nombre d'entreprises mettent en place un double opt-in : après l'inscription initiale, elles envoient un email de confirmation demandant à l'utilisateur de cliquer un lien pour valider son adhésion. Cette pratique renforce la qualité de la liste et offre une meilleure protection légale en cas d'audit par la CNIL.
Intérêt légitime en B2B : un régime assouplissant
En B2B (business-to-business), la CNIL autorise un régime dit d'intérêt légitime. Cela signifie que vous pouvez envoyer un email commercial à un responsable RH, un décideur ou un gestionnaire professionnel sans consentement préalable, dès lors que vous avez une justification légitime — par exemple, proposer une solution utile pour son secteur d'activité.
Condition sine qua non : l'email doit contenir un moyen simple, gratuit et visible de s'opposer (opt-out) et de demander le retrait des données. Vous devez traiter cette demande dans les 10 jours ouvrables.
Attention toutefois : la frontière entre B2C et B2B n'est pas toujours tranchée. Une PME contactée sur l'adresse Gmail personnelle de son dirigeant, ou une personne physique avec une activité indépendante, peuvent être considérées comme des consommateurs et exiger le régime opt-in plus strict.
Les obligations légales communes à B2B et B2C
Au-delà de la différence consentement/intérêt légitime, plusieurs obligations s'imposent à tous les emails commerciaux en France :
- Identification claire de l'expéditeur : votre nom, adresse postale physique et adresse email de contact doivent apparaître dans chaque message.
- Moyen simple de s'opposer : un lien de désabonnement visible et fonctionnel en bas de chaque email. Ce n'est pas optionnel.
- Délai de traitement : toute demande de désabonnement doit être honorée dans les 10 jours ouvrables.
- Justification des consentements : en cas d'audit CNIL, vous devez prouver que le consentement a été collecté légalement et documenté (logs de formulaires, dates, IP, etc.).
- Pas de revente sans mention : vous ne pouvez pas vendre ou transférer votre liste sans mentionner explicitement le droit d'opposition aux destinataires.
SPF, DKIM, DMARC : les fondamentaux techniques
Depuis février 2024, Google et Yahoo exigent que les emails massifs passent par l'authentification SPF, DKIM et DMARC. Ces protocoles certifient que vous êtes bien le propriétaire du domaine d'envoi, ce qui renforce la confiance auprès des filtres anti-spam français et internationaux.
Pour la France, les fournisseurs d'accès (Orange, Free, SFR) et les ESP locaux (Brevo, Mailjet) intègrent ces vérifications. Sans SPF/DKIM/DMARC correctement configurés, vos emails risquent de finir en spam, même s'ils respectent toutes les règles de consentement.
Une autre bonne pratique déjà largement adoptée : le bouton de désabonnement en un clic (RFC 8058, dit « one-click unsubscribe »). Cela améliore l'expérience utilisateur et limite les plaintes aux filtres.
Mettre en place une stratégie compliant en France
Pour sécuriser votre campagne email et respecter la loi française, suivez ces étapes :
- Auditer votre base : qualifier chaque adresse en B2C ou B2B et vérifier l'origine du consentement (formulaire, achat de base, partenariat).
- Mettre à jour vos formulaires : ajouter des cases opt-in explicites pour le B2C, clarifier l'intérêt légitime et le droit d'opposition pour le B2B.
- Configurer l'authentification : SPF, DKIM, DMARC sur votre domaine d'envoi (ou déléguer à un ESP certifié Brevo, Mailjet, etc.).
- Tester avant de lancer : vérifier la délivrabilité gratuitement pour voir où arrivent vos emails (Inbox, Spam) chez Orange, Free, SFR, Gmail, Outlook, Yahoo et autres fournisseurs français.
- Documenter : conservez les preuves du consentement, les logs d'envoi et les paramètres techniques pour une éventuelle vérification par la CNIL.