RGPD et email marketing : pourquoi c'est sérieux

Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) a profondément changé les règles de l'email marketing en Europe. En 2026, la CNIL a renforcé ses contrôles et les sanctions peuvent atteindre 4 % du chiffre d'affaires mondial ou 20 millions d'euros. Ce guide vous explique les règles essentielles pour être en conformité.

Le principe fondamental : le consentement préalable

En Europe, il est interdit d'envoyer des emails marketing à des personnes qui n'ont pas explicitement consenti à les recevoir. Ce consentement doit être :

  • Libre : l'inscription ne doit pas être conditionnée à l'accès à un service
  • Spécifique : la personne sait exactement ce qu'elle accepte de recevoir
  • Éclairé : elle comprend qui lui écrira et sur quoi
  • Univoque : une case pré-cochée ne vaut pas consentement

Les obligations concrètes pour vos campagnes

Le double opt-in : bonne pratique recommandée

Le double opt-in (confirmation par email après inscription) n'est pas obligatoire légalement, mais il est fortement recommandé. Il vous permet de prouver le consentement, d'améliorer la qualité de votre liste et d'améliorer votre délivrabilité.

Le lien de désinscription : obligatoire dans chaque email

Chaque email commercial doit contenir un lien de désinscription fonctionnel, accessible en un clic. La désinscription doit prendre effet immédiatement. La CNIL considère les délais supérieurs à 10 jours comme une violation.

La durée de conservation des données

Vous ne pouvez pas conserver les données d'un contact indéfiniment. Les règles généralement reconnues :

  • Contact inactif (n'a pas ouvert vos emails depuis 3 ans) → suppression ou reconfirmation de consentement
  • Contact désinscrit → suppression des données personnelles sous 30 jours maximum
  • Gardez un historique de preuve de consentement (date, source, IP) pendant 3 ans

La mention d'identification dans chaque email

Chaque email doit clairement identifier l'expéditeur : nom de votre entreprise, adresse postale réelle (pas une boîte postale), et votre adresse email de contact. Les emails envoyés depuis une adresse "no-reply" sans alternative de contact sont problématiques.

Ce que font bien les bons outils emailing

Les outils conformes RGPD comme Brevo ou Sarbacane intègrent ces contraintes nativement :

  • Gestion automatique des désinscriptions et des suppressions
  • Double opt-in configurable
  • Historique de consentement traçable
  • Données hébergées en Europe (RGPD facilité)
  • Export des données sur demande

Les 3 erreurs les plus courantes sanctionnées par la CNIL

  1. Acheter des listes d'emails : illégal en B2C, très risqué en B2B. Les personnes n'ont pas consenti à recevoir vos emails.
  2. Ne pas respecter les délais de désinscription : continuer d'envoyer des emails à quelqu'un qui s'est désinscrit est une violation.
  3. Ne pas avoir de politique de confidentialité accessible : chaque formulaire de collecte d'emails doit être lié à votre politique de confidentialité.

Check-list RGPD pour votre email marketing

  • ☐ Formulaire d'inscription avec case à cocher non pré-cochée
  • ☐ Mention explicite de ce que recevront les abonnés
  • ☐ Lien vers la politique de confidentialité
  • ☐ Double opt-in activé
  • ☐ Lien de désinscription dans chaque email
  • ☐ Processus de suppression des données des désinscrits
  • ☐ Purge régulière des contacts inactifs (3 ans)
  • ☐ Adresse postale réelle dans le pied de chaque email