Réglementation8 min de lecture

RGPD et email marketing : les règles à respecter

Envoyer une campagne d'email-marketing en France n'est pas qu'une question de technique : c'est avant tout une affaire de droit. Le RGPD et la doctrine de la CNIL encadrent strictement le consentement, l'usage des données personnelles et le respect du droit de désabonnement.

Depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD), puis avec les évolutions de la jurisprudence et des recommandations de la CNIL (Commission nationale de l'informatique et des libertés), les règles qui s'appliquent à l'email-marketing en France n'ont cessé de se clarifier — et de se renforcer. Qu'il s'agisse de B2C ou de B2B, de campagnes promotionnelles ou de newsletters éditoriales, les principes fondamentaux restent les mêmes : transparence, consentement, identification claire et droit de désabonnement. Ignorer ces obligations expose l'entreprise à des risques financiers et réputationnels considérables.

Les trois piliers du RGPD appliqués à l'email

Le RGPD repose sur trois piliers essentiels quand il s'agit d'email-marketing. Le premier est la licéité : vous devez avoir une base légale pour traiter les données personnelles de vos destinataires. La deuxième est la transparence : la personne doit savoir qui vous êtes, ce que vous allez faire de ses données et comment elle peut exercer ses droits. La troisième est la limitation des usages : vous ne pouvez utiliser les adresses emails que pour les objectifs que vous aviez déclarés ou pour lesquels vous avez obtenu consentement.

En parallèle, la Loi Informatique et Libertés (LIL) et la Loi pour la Confiance dans l'Économie Numérique (LCEN) complètent le cadre français et imposent, notamment, que tout message commercial soit clairement identifié et contienne un moyen de se désabonner. Ces trois niveaux de régulation — européen, national, et sectoriel — s'ajoutent les uns aux autres et créent un filet de protection solide, mais aussi exigeant.

Consentement et opt-in en B2C : la règle d'or

En France, le principe pour le B2C est clair et non négociable : vous devez obtenir le consentement préalable, explicite et libre de la personne avant de lui envoyer une email commerciale. Cela signifie qu'un simple « consentement implicite » — par exemple, ne pas cocher une case — ne suffit pas. La personne doit cocher une case, cliquer sur un bouton ou prendre une action positive pour donner son accord.

Concrètement, lorsque vous collectez une adresse email sur votre site web (via un formulaire de newsletter, une inscription de compte client, un achat), la case « M'envoyer des offres commerciales » doit être décochée par défaut. C'est l'utilisateur qui active l'option. Si la case est déjà cochée et que l'utilisateur ne doit que laisser comme c'est, le consentement n'est pas valide aux yeux de la CNIL.

Cette règle s'applique également au double opt-in : beaucoup d'entreprises envoient un email de confirmation après l'inscription. C'est une bonne pratique, mais l'email ne doit jamais être « pré-consentant » — c'est-à-dire que vous ne devez pas ajouter la personne à vos listes avant qu'elle clique sur le lien de confirmation.

Conseil pratique : vérifiez vos records SPF/DKIM/DMARC pour gagner en crédibilité
Au-delà du consentement légal, mettre en place des records d'authentification email (SPF, DKIM, DMARC) renforce la confiance de vos destinataires et des filtres anti-spam. Utilisez un test de placement gratuit pour vérifier que vos emails arrivent bien en boîte de réception et que votre configuration d'authentification est correcte.

Email B2B : une dérogation, mais pas de blanc-seing

La France et l'UE reconnaissent une dérogation au principe strict du consentement préalable pour les communications B2B « prospection commerciale » adressées aux professionnels. La doctrine de la CNIL autorise, dans certains cas, à envoyer une email de prospection à une adresse professionnelle sans consentement préalable, dès lors que l'envoi est fondé sur un intérêt légitime (par exemple, une prospection de service dans le cadre de votre activité).

Toutefois, cette dérogation a des limites strictes. D'abord, elle ne s'applique que si vous envoyez à une adresse professionnelle, pas personnelle (par exemple, contact@entreprise.com, pas prenom.nom@gmail.com). Ensuite, vous devez impérativement inclure dans chaque email un lien ou un moyen simple pour que la personne se désabonne — un formulaire d'opt-out valide et fonctionnel. Enfin, dès que la personne vous dit « non merci », vous devez respecter son refus et cesser les envois, sinon vous tombez dans l'abus et la CNIL peut sanctionner.

Important : si vous doublez une adresse professionnelle avec une adresse personnelle, ou si vous apprenez qu'une adresse que vous pensiez professionnelle est en réalité un forward personnel, le doute doit profiter à la personne — demandez le consentement explicite.

Identification claire et traçabilité

La LCEN impose que « tout message publicitaire » soit clairement identifiable comme tel. Concrètement, cela signifie que le sujet de l'email (subject line) ne doit pas tromper sur le contenu. Si l'email est une promotion, ce ne doit pas être déguisé en newsletter éditoriale. Si c'est un email transactionnel (confirmation de commande), un email éditorial ou promotionnel, cela doit être évident pour le destinataire.

Vous devez également inclure dans chaque email : le nom ou la dénomination sociale de l'entreprise, l'adresse postale du siège, et idéalement une adresse email de contact pour les réclamations. Une signature type à la fin du pied de page suffit. Cette transparence remplit deux objectifs : d'abord, elle fait respecter l'obligation légale ; ensuite, elle renforce la confiance du destinataire, ce qui améliore votre réputation auprès des filtres anti-spam.

Le droit de désabonnement : un droit, pas une suggestion

Chaque email commercial — que ce soit une promotion, une newsletter, ou un email de prospection B2B — doit contenir un lien ou un formulaire de désabonnement fonctionnel et clairement visible. L'utilisateur qui clique sur ce lien ne doit pas être obligé de remplir un formulaire supplémentaire ou de vous écrire un email. Le désabonnement doit être immédiat ou dans un délai très court (quelques jours maximum).

Après la mise en œuvre des standards Google et Yahoo pour les massives mailings (depuis février 2024), le désabonnement en un clic (RFC 8058) est devenu un incontournable pour atteindre les boîtes Gmail et Yahoo. Mais en France, c'est aussi une obligation légale depuis longtemps : la CNIL rappelle régulièrement que le droit de se désabonner doit être au moins aussi facile que celui de s'abonner. Mettre le lien de désabonnement en très petit ou le noyer au milieu d'autres liens expose à une sanction.

Votre entrepriseSPF/DKIM/DMARCAuthentification requiseFiltres anti-spam (Orange, Free, SFR, La Poste)Réputation de domaine + consentement légalBoîte de réceptionSpam
Flux simplifié de conformité légale pour une email-campagne en France

Risques et sanctions en cas de non-conformité

La CNIL peut imposer des sanctions en cas de violation du RGPD. Les montants varient en fonction de la gravité et du nombre de personnes affectées. Les plus lourdes sanctions concernent les violations massives de droit d'accès, de transparence, ou le défaut de consentement légitime. Pour l'email-marketing, les violations courantes qui déclenchent des enquêtes et des sanctions incluent :

  • L'envoi massif d'emails sans consentement préalable ou base légale valide (B2C sans opt-in, B2B sans droit de désabonnement)
  • L'absence de lien de désabonnement valide ou fonctionnel
  • La non-identification de l'expéditeur ou du lien promotionnel
  • L'achat ou l'utilisation de listes de contacts sans vérifier le consentement
  • Le refus de cesser les envois après un opt-out explicite

Au-delà des sanctions officielles, une violation du RGPD nuit lourdement à votre réputation auprès des fournisseurs d'accès et des outils de réputation email. Les emails non-conformes sont plus susceptibles d'être classés comme spam, et les plaintes des destinataires via les boutons « Signaler comme spam » vont directement impacter votre score de délivrabilité.

Je collecte les emails de mes clients pour leur envoyer des reçus (transactionnels). Dois-je demander un consentement séparé pour la prospection ?

Oui. Les emails transactionnels (confirmations de commande, reçus, etc.) ne relèvent pas du consentement marketing car ils sont nécessaires à l'exécution du contrat. Cependant, si vous souhaitez aussi envoyer à ce même client des offres promotionnelles futures, vous devez obtenir un consentement distinct. Une bonne pratique consiste à proposer dans l'email transactionnel un lien ou une case pour s'inscrire à votre newsletter avec un consentement explicite. Ne présumez jamais que le client qui a acheté une fois veut recevoir toutes vos promotions.

Un contact me demande de cesser les envois. Combien de temps ai-je pour supprimer son adresse ?

Légalement, dès qu'une personne formule un droit de désabonnement ou d'opposition, vous devez cesser les envois immédiatement ou dans un délai très court (quelques jours). En pratique, votre système d'email-marketing doit traiter le désabonnement en direct, sans attendre plusieurs jours. Garder une personne sur votre liste après un « non » explicite est non seulement une violation du RGPD, mais aussi du LCEN. Conservez un log des demandes de désabonnement à titre de preuve de conformité.

J'achète une liste de contacts d'un tiers. Comment vérifier que j'ai le droit de l'utiliser ?

Avant d'utiliser une liste achetée ou louée, demandez au fournisseur une preuve écrite que les contacts ont donné leur consentement à la commercialisation de leurs données. Cette preuve doit montrer le moment du consentement, le texte proposé, et la liste elle-même. Méfiez-vous des listes « opt-in pré-remplis » sans documentation : en cas d'enquête de la CNIL, vous serez responsable de la conformité. Si le doute persiste, mieux vaut envoyer un email de double opt-in avant d'intégrer le contact à votre campagne principale.

À lire aussi
Found this useful? Share it
AB
À propos de l'auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Vérifiez votre délivrabilité chez plus de 20 fournisseurs

Gmail, Outlook, Yahoo, Orange, GMX, ProtonMail et plus. Captures réelles de la boîte de réception, SPF/DKIM/DMARC, verdicts des filtres anti-spam. Gratuit, sans inscription.

Lancer le test gratuit →

Tests illimités · Plus de 20 boîtes · Résultats en direct · Sans compte