Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 10 juillet 2026
Marketing Digital

Email marketing RGPD 2026 : checklist et règles opt-in

Email marketing et RGPD en 2026 : opt-in B2C, intérêt légitime B2B, désinscription, durées de conservation, sanctions CNIL et checklist prête à l'emploi.

L’essentiel. En B2C, la prospection par email suppose un consentement préalable (opt-in), sauf exception du soft opt-in entre un e-commerçant et ses clients pour des produits analogues. En B2B, le consentement préalable n’est pas exigé si le message est adressé à un professionnel dans le cadre de ses fonctions, sur un objet lié à sa profession, avec information et droit d’opposition — la base légale étant alors l’intérêt légitime. Dans tous les cas : information claire, lien de désinscription en un clic dans chaque email, et durée de conservation limitée. Non-conformité = amendes CNIL pouvant atteindre plusieurs centaines de milliers d’euros.

L’email marketing est l’un des canaux les plus rentables du marketing digital, et l’un des plus encadrés. Deux textes s’appliquent cumulativement : le RGPD, qui régit le traitement des données de la base de contacts, et la directive 2002/58/CE dite ePrivacy, transposée à l’article L.34-5 du Code des postes et des communications électroniques (CPCE), qui régit spécifiquement la prospection électronique. Maîtriser leur articulation est la condition pour envoyer des campagnes sans exposer l’entreprise à un contrôle.

RGPD et ePrivacy : deux textes qui se cumulent

La directive ePrivacy (article L.34-5 CPCE) est la lex specialis de la prospection directe par voie électronique : email, SMS, MMS. Elle pose le principe du consentement préalable à toute communication commerciale électronique et ses exceptions.

Le RGPD, lui, encadre le traitement sous-jacent : constitution et gestion de la base de contacts, segmentation, profilage, conservation, exercice des droits. Il impose les principes de l’article 5 — licéité, loyauté, transparence, minimisation, limitation de la conservation, intégrité et confidentialité — et exige une base légale valable au titre de l’article 6.

Concrètement : une campagne d’emailing doit respecter à la fois les règles de consentement du CPCE et les principes du RGPD. Les deux logiques se superposent, elles ne se substituent pas l’une à l’autre.

Le vrai critère : adresse nominative ou générique

L’article L.34-5 s’applique à toute prospection par courrier électronique utilisant les coordonnées d’une personne physique. Point souvent mal compris : même en B2B, dès lors que le message vise une personne physique identifiable (prenom.nom@entreprise.com), les règles s’appliquent. La distinction utile n’est pas « personne physique / personne morale », mais adresse nominative / adresse générique (contact@, info@). Une adresse générique n’identifie pas une personne physique et échappe largement au régime de l’article L.34-5.

B2C : le consentement préalable (opt-in) est la règle

Les quatre qualités du consentement

En B2C, le principe est sans ambiguïté : consentement préalable obligatoire. Ce consentement doit satisfaire les quatre critères de l’article 4(11) du RGPD :

Qualité Ce que cela impose en pratique
Libre Ne pas conditionner l’accès à un service essentiel à l’inscription marketing
Spécifique Une case dédiée à la prospection, distincte des CGV et des cookies
Éclairé Identité du responsable, finalité, fréquence approximative, droits
Univoque Un acte positif clair — les cases pré-cochées sont interdites

L’interdiction des cases pré-cochées est confirmée par la CJUE dans l’arrêt Planet49 (1er octobre 2019) : l’inaction ou le silence ne valent pas consentement. Pour une vue d’ensemble des mécanismes, voir notre comparatif opt-in / opt-out.

L’exception du soft opt-in

L’article L.34-5 prévoit une exception au consentement préalable lorsque cinq conditions cumulatives sont réunies :

  1. les coordonnées ont été recueillies directement auprès de la personne ;
  2. à l’occasion d’une vente ou d’une prestation de services ;
  3. la prospection porte sur des produits ou services analogues ;
  4. la personne a été informée de cet usage au moment de la collecte ;
  5. elle peut s’opposer gratuitement à chaque envoi.

Cette exception permet à un e-commerçant de re-solliciter ses clients existants pour des produits similaires, mais pas de contacter des prospects sans relation commerciale préalable. Elle est centrale pour toute activité de e-commerce.

Le double opt-in : recommandé, pas obligatoire

Le double opt-in ajoute un email de confirmation demandant à la personne de valider son inscription par un clic. Il n’est pas juridiquement obligatoire en France, mais fortement recommandé :

  • il constitue une preuve robuste du consentement, exigée par l’article 7(1) qui impose de pouvoir démontrer le consentement ;
  • il réduit les plaintes auprès de la CNIL ;
  • il améliore la qualité de la base et la délivrabilité en éliminant les adresses erronées ou piégées.

La CNIL considère le simple opt-in comme suffisant sur le plan juridique, mais le double opt-in reste la meilleure pratique. Nos modèles de consentement RGPD couvrent les deux configurations.

B2B : un régime plus souple mais encadré

L’exception professionnelle

L’article L.34-5 dispense de consentement préalable la prospection adressée à un professionnel, sous conditions cumulatives :

  1. message adressé à une personne dans le cadre de ses fonctions professionnelles ;
  2. objet en rapport avec la profession du destinataire ;
  3. information préalable sur l’usage des coordonnées à des fins de prospection ;
  4. droit d’opposition simple et gratuit dans chaque message.

Un cabinet d’expertise-comptable peut ainsi prospecter des dirigeants sur un logiciel de facturation ; il ne peut pas leur envoyer une offre de voyages. Pour approfondir, voir notre guide sur la prospection commerciale B2B et le RGPD.

La base légale : l’intérêt légitime

En l’absence d’obligation de consentement ePrivacy, la base légale RGPD du traitement B2B est généralement l’intérêt légitime (article 6(1)(f)), explicitement rattaché à la prospection commerciale par le considérant 47.

Mais l’intérêt légitime n’est pas un blanc-seing : il impose de documenter une mise en balance entre l’intérêt de l’entreprise et les droits et libertés des personnes. Cette analyse, formalisée dans un test de mise en balance en trois étapes, doit prendre en compte la nature de la relation, les attentes raisonnables des personnes, la nature des données et l’impact concret du traitement. Sans ce test documenté, la base légale est fragile en cas de contrôle.

Le lien de désinscription : une obligation absolue

Tout email de prospection doit comporter un mécanisme d’opposition. Cette obligation découle à la fois de l’article L.34-5 CPCE et du droit d’opposition de l’article 21 du RGPD. Le mécanisme doit être :

  • simple : un lien cliquable en un clic ; exiger une connexion à un compte, un courrier postal ou un appel est non conforme ;
  • gratuit : aucun frais ne peut être facturé ;
  • effectif : la désinscription doit être prise en compte sous quelques jours ouvrés au maximum ;
  • présent dans chaque message, sans exception.

Le header List-Unsubscribe est devenu incontournable

Au-delà du lien visible, implémentez le header technique List-Unsubscribe (RFC 2369 et RFC 8058), qui affiche un bouton de désinscription directement dans le client de messagerie. Depuis 2024, Gmail et Yahoo l’exigent des expéditeurs de masse (au-delà d’environ 5 000 emails quotidiens), avec une désinscription en un clic ; à défaut, les messages sont dégradés en spam ou rejetés. La conformité juridique rejoint ici la performance de délivrabilité.

Listes achetées : le risque à ne pas prendre

L’achat de fichiers d’adresses est l’une des pratiques les plus risquées. Elle n’est pas expressément interdite, mais se heurte à des obstacles quasi insurmontables :

  • En B2C, le consentement doit avoir été donné au responsable de traitement qui prospecte, pas à un revendeur. Un consentement « au partage avec des partenaires » non identifiés est invalide.
  • En B2B, il faut démontrer que les personnes ont été informées de la transmission à des fins de prospection — démonstration presque impossible avec un fichier dont la source est opaque.

La CNIL a sanctionné à plusieurs reprises la prospection à partir de fichiers acquis auprès de tiers sans information adéquate des personnes. La règle de sécurité est simple : ne prospectez que des contacts dont vous pouvez documenter l’origine et la licéité.

Durées de conservation

Le RGPD impose de limiter la conservation au strict nécessaire (article 5(1)(e)). Les repères usuels, alignés sur la doctrine de la CNIL :

Catégorie Durée de référence
Prospects (sans achat) 3 ans à compter du dernier contact actif (clic, ouverture, demande)
Clients Durée de la relation commerciale + 3 ans après sa fin
Preuve du consentement Le temps de validité du consentement, puis durée de prescription

Voir notre tableau des durées de conservation pour les autres catégories de données. Purger les inactifs n’est pas qu’une obligation : c’est aussi une bonne pratique marketing, car les contacts inactifs dégradent la délivrabilité et la réputation d’expéditeur de tout le domaine.

Sanctions : un risque réel et documenté

La CNIL sanctionne régulièrement les manquements en matière de prospection électronique. Deux exemples marquants :

  • CANAL+ : 600 000 € (2022) pour prospection sans consentement valable et non-respect du droit d’opposition ;
  • HUBSIDE.STORE : 525 000 € (2022) pour prospection à partir de fichiers achetés sans information adéquate des personnes.

Au-delà des amendes, la CNIL peut prononcer des injonctions, des interdictions de traitement et rendre ses décisions publiques, avec un préjudice réputationnel durable. Les personnes disposent en outre d’un droit à réparation (article 82), et les signalements auprès de Signal Spam peuvent déclencher un contrôle ciblé. Pour le panorama complet, voir notre guide sur les sanctions RGPD.

Checklist de conformité avant campagne

1. Auditer la base

  • identifier la source de chaque contact (collecte directe, relation client, achat) ;
  • vérifier la disponibilité des preuves de consentement en B2C ;
  • supprimer les contacts dont l’origine n’est pas documentée ;
  • appliquer la règle des 3 ans d’inactivité.

2. Configurer techniquement

  • case à cocher dédiée, non pré-cochée, spécifique à la newsletter ;
  • double opt-in activé dans la plateforme d’envoi ;
  • lien de désinscription fonctionnel et header List-Unsubscribe dans chaque email ;
  • désinscriptions traitées automatiquement et sans délai ;
  • segmentation B2B / B2C correctement paramétrée.

3. Informer

  • politique de confidentialité mentionnant la finalité de prospection, la base légale, la durée de conservation et les droits (accès, opposition, retrait) ;
  • pour une newsletter dédiée, appliquez les règles de notre guide newsletter et RGPD.

Ces contrôles portent sur des données personnelles : leur documentation matérialise votre responsabilité. Un logiciel RGPD permet d’industrialiser la tenue du registre de ces traitements marketing, le suivi des preuves de consentement et la traçabilité des désinscriptions.

FAQ

L’opt-in est-il obligatoire pour une newsletter B2C ?

Oui. En B2C, la prospection par email suppose un consentement préalable, libre, spécifique, éclairé et univoque. Seule l’exception du soft opt-in (client existant, produits analogues, information et droit d’opposition) permet de s’en dispenser.

Puis-je envoyer des emails B2B sans consentement ?

Oui, sous conditions : message adressé à un professionnel dans le cadre de ses fonctions, objet lié à sa profession, information préalable et droit d’opposition. La base légale est alors l’intérêt légitime, qui suppose un test de mise en balance documenté.

Le double opt-in est-il légalement obligatoire ?

Non. Le simple opt-in est juridiquement suffisant selon la CNIL. Le double opt-in reste toutefois fortement recommandé, car il fournit une preuve solide du consentement et améliore la qualité de la base.

Combien de temps puis-je conserver un prospect inactif ?

En principe 3 ans à compter du dernier contact actif (ouverture, clic, demande). Au-delà, le contact doit être supprimé ou anonymisé, sauf base légale distincte. Voir le tableau des durées de conservation.

Que risque-t-on en cas de prospection non conforme ?

Des amendes CNIL pouvant atteindre plusieurs centaines de milliers d’euros (CANAL+ : 600 000 € ; HUBSIDE.STORE : 525 000 €), des injonctions, la publication de la décision et un droit à réparation des personnes au titre de l’article 82. Détails dans notre guide sanctions RGPD.

L’achat de fichiers d’emails est-il interdit ?

Il n’est pas expressément interdit mais quasi impraticable en conformité : en B2C le consentement doit avoir été donné à celui qui prospecte, et en B2B il faut prouver l’information des personnes — ce qu’un fichier acheté à source opaque ne permet pas.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →