Réglementation8 min de lecture

CNIL : recommandations pour l'emailing

Les recommandations de la CNIL encadrent chaque campagne d'email marketing en France. Découvrez les obligations légales, les bonnes pratiques et comment vérifier la conformité technique de vos envois.

La Commission nationale de l'informatique et des libertés (CNIL), autorité de régulation française, publie régulièrement des recommandations destinées à encadrer l'email marketing. Ces directives ne sont pas des interdictions absolues, mais plutôt des bonnes pratiques légales que tout responsable de campagne d'emailing doit connaître et respecter pour éviter les sanctions et construire une relation de confiance avec ses destinataires.

CNIL et la régulation de l'emailing en France

La CNIL supervise l'application du RGPD et de la Loi informatique et libertés en France. L'emailing commercial est un sujet clé pour l'autorité, car il touche directement à la vie privée des personnes. Les recommandations de la CNIL visent à harmoniser les pratiques des entreprises, des PME et des structures publiques qui envoient des messages électroniques de prospection ou de communication.

À côté du RGPD, la Loi pour la confiance dans l'économie numérique (LCEN) complète le cadre français avec des exigences spécifiques aux messages de marketing direct. Le respect de ces normes n'est pas optionnel : la CNIL dispose du pouvoir de contrôler, de mettre en demeure et de sanctionner les contrevenants.

Consentement : opt-in B2C versus intérêt légitime B2B

La grande majorité des professionnels de l'emailing rencontre une question centrale : faut-il le consentement préalable du destinataire, ou l'intérêt légitime suffit-il ? La CNIL dessine une ligne claire entre deux contextes.

Pour les campagnes B2C (consommateurs), le standard est le consentement explicite avant envoi (opt-in). L'abonné reçoit une proposition claire, donne son accord explicitement—par exemple en cochant une case—et seulement après cela reçoit les emails. Double opt-in (confirmation par lien) renforce cette preuve de consentement.

En B2B, la doctrine de la CNIL autorise une approche fondée sur l'intérêt légitime. Autrement dit : vous pouvez contacter une entreprise (via email professionnel ou domaine) pour une première prospection, sans consentement préalable, sous réserve que votre offre soit pertinente et que vous fournissiez un moyen simple de refuser les futurs envois (opt-out). Cette exception B2B n'exempte pas du droit de désabonnement : elle permet seulement le premier contact non sollicité.

Identification et transparence de l'expéditeur

Chaque email commercial doit clairement identifier l'expéditeur. La CNIL exige que le destinataire sache immédiatement qui lui envoie le message et pour quelle raison. Cela signifie :

  • Un nom ou une raison sociale clairement affichée dans l'adresse From ou dans l'en-tête du message.
  • Une adresse email de contact authentique (pas de noreply@ générique si ce domaine ne vous appartient pas).
  • Si applicable, le numéro de SIRET ou d'identification de votre structure, surtout si elle est assujettie à déclaration.
  • Une formulation honnête de l'objet et du contenu : éviter les sujets trompeurs ou les preview-textes masquant le vrai sujet commercial.

Cette transparence n'est pas un obstacle administratif : elle renforce la crédibilité de vos emails et réduit les marquages en spam par filtres intelligents de Gmail, Orange, Free, La Poste, Outlook et autres.

Le droit de désabonnement incontournable

La CNIL insiste sur le fait que chaque email commercial doit comporter un moyen simple et visible pour se désabonner. Ce n'est pas une suggestion : c'est une obligation.

  • Un lien unique de désinscription, idéalement dans le pied de page ou en en-tête (RFC 8058 one-click unsubscribe, supporté par Gmail et Yahoo).
  • Ce lien doit fonctionner immédiatement, sans redirection vers un formulaire compliqué ou une page exigeant une authentification.
  • La suppression de la base de données doit intervenir sans délai (ou dans un délai raisonnable : quelques jours au maximum).
  • Pas de pénalité pour l'abonné qui se désabonne (pas de double opt-in inverse, pas de conditions supplémentaires).

De plus en plus de fournisseurs d'accès (Gmail, Yahoo, Orange, Free) étudient ou valident les en-têtes List-Unsubscribe des emails. Les respecter améliore votre taux de délivrabilité.

Bonnes pratiques pour rester conforme aux recommandations CNIL

Au-delà de ces obligations minimales, la CNIL recommande des bonnes pratiques qui réduisent les risques et améliorent les performances :

  1. Documentez votre fondement légal. Conservez une trace (date, formulaire, case cochée) de chaque consentement ou de votre justification d'intérêt légitime B2B. La CNIL demande cette traçabilité en cas de contrôle.
  2. Faites un audit régulier de votre base. Les données obsolètes ou mal collectées augmentent le risque de bounce, complaint et, par ricochet, d'une réputation auprès des fournisseurs d'accès.
  3. Informez clairement sur la fréquence et le contenu. Si vous promettez une newsletter hebdomadaire, tenez parole. Les surprises négatives poussent les destinataires à cliquer sur « signaler en spam ».
  4. Respectez le délai légal d'opt-out. Ne gardez pas quelqu'un sur votre liste plus longtemps que prévu ou en opposition à sa volonté explicite.
  5. Mettez à jour votre politique de confidentialité. Expliquez comment vous collectez, utilisez et stockez les adresses email, qui y a accès et combien de temps vous les conservez.
À retenir
Le consentement explicite (opt-in B2C) est plus sûr juridiquement et renforce votre délivrabilité auprès des fournisseurs d'accès : les destinataires ayant accepté activement ont un taux de signalement en spam bien inférieur. Investir dans une collecte de consentement de qualité paie en conformité et en performance.

Vérifier la conformité technique de vos emails

Au-delà du droit, la conformité passe aussi par la technique. Un email envoyé sans SPF, DKIM ou DMARC correctement configurés risque d'être filtré en spam chez Orange, Gmail, Yahoo, Free, La Poste et Outlook, même si votre base est 100% consentie. La CNIL, dans ses recommandations, ne prescrit pas tel ou tel protocole, mais elle reconnaît que les meilleures pratiques incluent la mise en place de ces authentifications.

Avant de lancer une campagne, testez vos emails auprès de destinataires réels chez les principaux fournisseurs français (Orange, Free, SFR, La Poste, Gmail, Outlook). Un outil de test gratuit de délivrabilité vous permet de vérifier en quelques secondes si votre message arrive en boîte de réception, en spam ou ailleurs, et d'identifier les problèmes de SPF, DKIM et DMARC.

Votre domaineSPF/DKIM/DMARCAuthentification requiseFiltres de fournisseurs d'accèsRéputation, contenu, liste noireBoîte de réceptionDossier Spam ou Promotions
Flux d'email conforme : du consentement à la boîte de réception

La CNIL impose-t-elle un format d'email ou une mise en page particulière ?

Non, la CNIL n'impose pas un design ou un format d'email spécifique. Elle exige cependant que le contenu soit lisible, que l'identité de l'expéditeur soit claire et que le lien de désabonnement soit visible et accessible. Si vous utilisez un template responsive, c'est un plus pour l'expérience utilisateur, mais ce n'est pas obligatoire d'un point de vue légal.

Combien de temps dois-je conserver les adresses email après désabonnement ?

Selon la CNIL et le RGPD, une fois qu'une personne se désabonne, vous devez cesser de lui envoyer des emails commerciaux immédiatement. Vous pouvez néanmoins conserver son adresse—mais marquée comme « opt-out »—pour éviter de la contacter à nouveau. La durée de conservation dépend de votre politique : un délai raisonnable est de quelques mois à quelques années, selon votre activité. Consultez votre politique de confidentialité pour la clarifier.

Dois-je demander le consentement avant d'envoyer des emails transactionnels (confirmations de commande, reçus, etc.) ?

Non. Les emails transactionnels—ceux qui confirment une action que le destinataire a lui-même initiée (achat, inscription, mot de passe oublié)—ne sont pas des emails commerciaux ou de marketing. Ils sont considérés comme nécessaires à l'exécution du service. Cependant, l'expéditeur doit toujours être clairement identifiable et les informations de contact doivent être complètes et honnêtes.
À lire aussi
Found this useful? Share it
AB
À propos de l'auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Vérifiez votre délivrabilité chez plus de 20 fournisseurs

Gmail, Outlook, Yahoo, Orange, GMX, ProtonMail et plus. Captures réelles de la boîte de réception, SPF/DKIM/DMARC, verdicts des filtres anti-spam. Gratuit, sans inscription.

Lancer le test gratuit →

Tests illimités · Plus de 20 boîtes · Résultats en direct · Sans compte