Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Marketing Digital/Email marketing et RGPD : règles, consentement et sanctions
Marketing Digital

Email marketing et RGPD : règles, consentement et sanctions

L'email marketing est encadré par le RGPD et la directive ePrivacy. Consentement, opt-in B2B/B2C, désinscription et sanctions CNIL.

Par Thiébaut DevergrannePublie le 12 fevrier 2026Mis a jour le 12 fevrier 202610 min de lecture
Sommaire
  1. Email marketing et RGPD : règles, consentement et sanctions
  2. Le cadre juridique : articulation entré RGPD et ePrivacy
  3. B2C : le consentement préalable obligatoire
  4. B2B : un régime plus souple mais encadre
  5. Le lien de désinscription : une obligation absolue
  6. Les listes achetées : un risque juridique majeur
  7. La conservation des données
  8. Les sanctions : un risque réel
  9. Recommandations pratiques
  10. Conclusion

Email marketing et RGPD : règles, consentement et sanctions

L’email marketing est l’un des canaux les plus utilisés par les professionnels du marketing digital, mais aussi l’un des plus strictement encadrés par le droit européen et français. Le cadre juridique repose sur deux textes complémentaires : le RGPD et la directive 2002/58/CE dite ePrivacy, transposée en droit français par l’article L.34-5 du Code des postes et des communications électroniques (CPCE). Maîtriser ces règles est indispensable pour éviter des sanctions substantielles.

Le cadre juridique : articulation entré RGPD et ePrivacy

Deux textes complémentaires

La directive ePrivacy, transposée à l’article L.34-5 du CPCE, régit spécifiquement la prospection directe par voie électronique (email, SMS, fax). Elle posé le principe du consentement préalable à l’envoi de toute communication commerciale électronique. Ce texte constitue la lex specialis en matière de marketing électronique.

Le RGPD, quant à lui, encadre le traitement des données personnelles sous-jacent à toute opération d’email marketing : constitution et gestion de la base de contacts, segmentation comportementale, profilage, conservation des données et exercice des droits des personnes concernées. Ces deux textes s’appliquent cumulativement. Un traitement d’email marketing doit donc respecter à la fois les règles de consentement de l’article L.34-5 CPCE et les principes généraux du RGPD (licite, loyauté, transparence, minimisation, limitation de la conservation, intégrité et confidentialité).

Le champ d’application

L’article L.34-5 CPCE s’applique à toute prospection directe par courrier électronique utilisant les coordonnées d’une personne physique. Le terme “courrier électronique” couvre l’email, le SMS, les messages MMS et tout message adressé à une adressé électronique identifiable.

Point important : même en B2B, dès lors que le message est adressé à une personne physique identifiable (nom.prénom@entreprise.com), les règles s’appliquent. La distinction pertinente n’est pas entré personnes physiques et morales, mais entré adressés génériques et adressés nominatives.

B2C : le consentement préalable obligatoire

Le principe de l’opt-in

En B2C, le principe est clair : le consentement préalable est obligatoire. L’article L.34-5 du CPCE interdit la prospection directe par email utilisant les coordonnées d’une personne physique n’ayant pas exprimé son consentement préalable.

Ce consentement doit respecter les critères de l’article 4, paragraphe 11 du RGPD :

  • Libre : le consentement ne doit pas être conditionné à l’accès à un service ou à un avantage. Les mécanismes “inscrivez-vous à notre newsletter pour accéder au contenu” sont problématiques s’ils conditionnent l’accès à un service essentiel.
  • Specifique : le consentement à la réception d’emails marketing doit être distinct d’autres consentements (conditions générales, cookies, etc.). Une case à cocher séparée et dédiée est nécessaire.
  • Eclaire : la personne doit être informée, au moment du recueil du consentement, de l’identité du responsable de traitement, des finalités de la collecte, de la fréquence approximative des envois et des modalités d’exercice de ses droits.
  • Univoque : un acte positif clair est requis. Les cases pré-cochées sont interdites (arrêt Planet49 de la CJUE, 1er octobre 2019). L’inaction ou le silence ne constituent pas un consentement validé.

L’exception du soft opt-in

L’article L.34-5 prévoit une exception : le consentement n’est pas requis lorsque les coordonnées ont été recueillies directement auprès du destinataire à l’occasion d’une vente ou prestation de services, et que la prospection concerne des produits ou services analogues. Les conditions sont cumulatives :

  1. Collecte directe auprès de la personne.
  2. Collecte dans le cadre d’une relation commerciale existante.
  3. Prospection portant sur des produits ou services analogues.
  4. Information préalable sur l’utilisation à des fins de prospection.
  5. Possibilité de s’opposer gratuitement à chaque envoi.

Cette exception permet à un e-commerçant de prospecter ses clients existants pour des produits similaires, mais pas de contacter des personnes sans relation commerciale préalable.

Le double opt-in : recommandation forte

Le double opt-in consiste à envoyer un email de confirmation après l’inscription, demandant à la personne de cliquer sur un lien pour valider son consentement. Cette pratique n’est pas juridiquement obligatoire en France, mais elle est fortement recommandée pour plusieurs raisons :

  • Elle fournit une preuve robuste du consentement, conformément à l’article 7, paragraphe 1 du RGPD qui impose au responsable de traitement de pouvoir démontrer que la personne a consenti.
  • Elle réduit considérablement les risques de plaintes auprès de la CNIL.
  • Elle améliore la qualité de la base de contacts et les taux de délivrabilité en éliminant les adressés erronées ou fictives.

La CNIL considéré que le simple opt-in (une seule case à cocher) est suffisant du point de vue juridique, mais le double opt-in constitue une bonne pratique que les professionnels ont intérêt à adopter systématiquement.

B2B : un régime plus souple mais encadre

L’exception B2B

L’article L.34-5 du CPCE prévoit que le consentement préalable ne s’applique pas à la prospection adressée à des professionnels dans le cadre de leur activité, sous conditions :

  1. Message adressé à une personne dans le cadre de ses fonctions professionnelles.
  2. Objet en rapport avec la profession du destinataire.
  3. Information préalable sur l’utilisation des coordonnées à des fins de prospection.
  4. Possibilité de s’opposer gratuitement et simplement.

Pour approfondir le cadre B2B, consultez notre guide sur la prospection commerciale B2B et le RGPD.

La base légale en B2B : l’intérêt légitime

En l’absence d’obligation de consentement au titre de la directive ePrivacy, la base légale du traitement au titre du RGPD sera généralement l’intérêt légitime du responsable de traitement (article 6, paragraphe 1, point f du RGPD). L’intérêt légitime de prospection commerciale est explicitement mentionné au considérant 47 du RGPD.

Toutefois, le recours à l’intérêt légitime impose de réaliser une balance des intérêts (test de mise en balance) documentant que l’intérêt du responsable de traitement à prospecter est proportionnel aux intérêts, libertés et droits fondamentaux des personnes concernées. Cette balance doit prendre en compte la nature de la relation avec les personnes, le caractère raisonnable de leurs attentes, la nature des données traitées et l’impact concret du traitement sur les personnes.

Le lien de désinscription : une obligation absolue

Le cadre juridique

Tout email de prospection commerciale doit obligatoirement comporter un mécanisme permettant au destinataire de s’opposer à la réception de futurs messages. Cette obligation resulte à la fois de l’article L.34-5 du CPCE et de l’article 21 du RGPD relatif au droit d’opposition.

Le mécanisme de désinscription doit être :

  • Simple : un lien cliquable en un clic est la norme. Exiger la connexion à un compte, l’envoi d’un courrier postal ou un appel téléphonique est contraire aux exigences légales.
  • Gratuit : aucun frais ne peut être facturé pour la désinscription.
  • Effectif : la désinscription doit être prise en compte dans un délai raisonnable, que la CNIL estimé à un maximum de quelques jours ouvrables.
  • Present dans chaque message : chaque email doit contenir le lien de désinscription, sans exception.

Le List-Unsubscribe header

Au-delà du lien visible dans le corps de l’email, il est fortement recommandé d’implémenter le header technique List-Unsubscribe (RFC 2369 et RFC 8058). Ce header permet aux clients de messagerie d’afficher un bouton de désinscription directement dans l’interface, facilitant l’exercice du droit d’opposition. Gmail et Yahoo l’exigent désormais pour les expéditeurs de masse (plus de 5 000 emails quotidiens), faute de quoi les messages risquent d’être rejetes ou classes en spam.

Les listes achetées : un risque juridique majeur

L’achat de listes d’adressés email est l’une des pratiques les plus risquées. Bien que non expressément interdit, il se heurte à des obstacles quasi insurmontables :

En B2C, l’envoi de prospection via une liste achetee violé le consentement préalable. Le consentement doit être donne au responsable de traitement, pas à un revendeur. Un consentement au partagé avec des “partenaires” non identifiés est invalidé.

En B2B, le responsable doit démontrer que les personnes ont été informées de la transmission à des fins de prospection. Cette démonstration est extrêmement difficile avec des fichiers achetés dont la source est opaque.

La CNIL a sanctionné plusieurs entreprises sur ce fondement, dont la société NESTOR (20 000 euros en 2020) pour prospection à partir de bases acquises auprès de tiers sans consentement validé.

La conservation des données

Le RGPD impose de limiter la conservation au strict nécessaire (article 5, paragraphe 1, point e). La CNIL recommandé :

  • Prospects : suppression au bout de 3 ans sans contact actif (clic, visité, demande).
  • Clients : conservation pendant la relation commerciale et 3 ans après sa fin.
  • Preuves de consentement : conservation tant que le consentement est validé, puis pendant la durée de prescription (5 ans).

La suppression ou l’archivage des contacts inactifs n’est pas seulement une obligation juridique, c’est aussi une bonne pratique marketing essentielle. Les contacts inactifs deteriorent les taux de délivrabilité, augmentent les risques de signalement en spam et affectent la réputation d’expéditeur de l’ensemble du domaine, ce qui pénalisé in fine la délivrabilité de l’ensemble des campagnes.

Les sanctions : un risque réel

Les amendes CNIL

La CNIL sanctionné régulièrement les manquements en matière de prospection :

  • CANAL+ : 600 000 euros pour prospection par SMS sans consentement et non-respect du droit d’opposition.
  • FREE : 300 000 euros pour manquements relatifs à la prospection et à la sécurité.
  • PERFORMECLIC : 100 000 euros en 2024 pour prospection à partir de données collectées de manière déloyale.
  • HUBSIDE.STORE : 525 000 euros pour prospection à partir de fichiers achetés sans information adéquate.

Au-delà des amendes, la CNIL peut prononcer des injonctions, des interdictions de traitement et rendre ses décisions publiques, avec un préjudice réputationnel significatif.

Les risques complémentaires

Les personnes concernées disposent également d’un droit à réparation au titre de l’article 82 du RGPD. Les actions de groupé en matière de protection des données, bien que encore peu fréquentes en France, se développent progressivement et constituent un risque emergent. Par ailleurs, les signalements auprès de Signal Spam alimentent directement les actions de la CNIL et peuvent déclencher des contrôles ciblés sur les entreprises les plus signalees.

Recommandations pratiques

Audit de la base de contacts

Avant toute campagne :

  1. Identifiez la source de chaque contact (collecté directe, relation client, achat de fichier).
  2. Vérifiez la disponibilité des preuves de consentement en B2C.
  3. Supprimez les contacts dont l’origine ne peut être documentée.
  4. Appliquez la règle des 3 ans d’inactivité.

Configuration technique conforme

  • Formulaires avec case à cocher non pré-cochée spécifique à la newsletter. Pour les bonnes pratiques de conception, consultez notre guide sur les formulaires de contact et le RGPD.
  • Double opt-in activé dans la plateforme d’envoi.
  • Lien de désinscription fonctionnel et header List-Unsubscribe dans chaque email.
  • Désinscriptions traitées automatiquement et immédiatement.
  • Segmentation B2B/B2C correctement paramétrée.

Information et transparence

La politique de confidentialité doit mentionner le traitement de prospection, ses finalités, sa base légale, la durée de conservation et les droits des personnes. Pour la mise en conformité globale, consultez notre guide sur les cookies et la conformité RGPD.

Conclusion

L’email marketing et le RGPD ne sont pas incompatibles, mais leur articulation exigé rigueur et méthode. Le cadre français distingué les régimes B2C (opt-in obligatoire) et B2B (opt-in non requis sous conditions), tout en imposant dans les deux cas transparence, désinscription et limitation de la conservation.

Les professionnels du marketing digital ont tout intérêt a considérer la conformité non pas comme un frein, mais comme un levier de qualité : des bases de contacts qualifiées, des destinataires réellement intéressés et une réputation d’expéditeur préservée sont les fondations d’un email marketing performant et durable. Le coût de la non-conformité – amendes pouvant atteindre plusieurs centaines de milliers d’euros, préjudice réputationnel lie à la publication des décisions, détérioration de la délivrabilité – excède largement l’investissement nécessaire pour se mettre en conformité.

Articles lies

Marketing Digital

Chatbot et RGPD : obligations de conformité

11 avril 2026 · 12 min
Marketing Digital

Formulaire contact RGPD : mentions obligatoires

11 avril 2026 · 10 min
Marketing Digital

Taux de consentement cookies : benchmarks 2026

11 avril 2026 · 11 min