Email marketing et RGPD : regles, consentement et sanctions

L’email marketing est l’un des canaux les plus utilises par les professionnels du marketing digital, mais aussi l’un des plus strictement encadres par le droit europeen et francais. Le cadre juridique repose sur deux textes complementaires : le RGPD et la directive 2002/58/CE dite ePrivacy, transposee en droit francais par l’article L.34-5 du Code des postes et des communications electroniques (CPCE). Maitriser ces regles est indispensable pour eviter des sanctions substantielles.

Le cadre juridique : articulation entre RGPD et ePrivacy

Deux textes complementaires

La directive ePrivacy, transposee a l’article L.34-5 du CPCE, regit specifiquement la prospection directe par voie electronique (email, SMS, fax). Elle pose le principe du consentement prealable a l’envoi de toute communication commerciale electronique. Ce texte constitue la lex specialis en matiere de marketing electronique.

Le RGPD, quant a lui, encadre le traitement des donnees personnelles sous-jacent a toute operation d’email marketing : constitution et gestion de la base de contacts, segmentation comportementale, profilage, conservation des donnees et exercice des droits des personnes concernees. Ces deux textes s’appliquent cumulativement. Un traitement d’email marketing doit donc respecter a la fois les regles de consentement de l’article L.34-5 CPCE et les principes generaux du RGPD (licite, loyaute, transparence, minimisation, limitation de la conservation, integrite et confidentialite).

Le champ d’application

L’article L.34-5 CPCE s’applique a toute prospection directe par courrier electronique utilisant les coordonnees d’une personne physique. Le terme “courrier electronique” couvre l’email, le SMS, les messages MMS et tout message adresse a une adresse electronique identifiable.

Point important : meme en B2B, des lors que le message est adresse a une personne physique identifiable (nom.prenom@entreprise.com), les regles s’appliquent. La distinction pertinente n’est pas entre personnes physiques et morales, mais entre adresses generiques et adresses nominatives.

B2C : le consentement prealable obligatoire

Le principe de l’opt-in

En B2C, le principe est clair : le consentement prealable est obligatoire. L’article L.34-5 du CPCE interdit la prospection directe par email utilisant les coordonnees d’une personne physique n’ayant pas exprime son consentement prealable.

Ce consentement doit respecter les criteres de l’article 4, paragraphe 11 du RGPD :

• Libre : le consentement ne doit pas etre conditionne a l’acces a un service ou a un avantage. Les mecanismes “inscrivez-vous a notre newsletter pour acceder au contenu” sont problematiques s’ils conditionnent l’acces a un service essentiel.
• Specifique : le consentement a la reception d’emails marketing doit etre distinct d’autres consentements (conditions generales, cookies, etc.). Une case a cocher separee et dediee est necessaire.
• Eclaire : la personne doit etre informee, au moment du recueil du consentement, de l’identite du responsable de traitement, des finalites de la collecte, de la frequence approximative des envois et des modalites d’exercice de ses droits.
• Univoque : un acte positif clair est requis. Les cases pre-cochees sont interdites (arret Planet49 de la CJUE, 1er octobre 2019). L’inaction ou le silence ne constituent pas un consentement valide.

L’exception du soft opt-in

L’article L.34-5 prevoit une exception : le consentement n’est pas requis lorsque les coordonnees ont ete recueillies directement aupres du destinataire a l’occasion d’une vente ou prestation de services, et que la prospection concerne des produits ou services analogues. Les conditions sont cumulatives :

1. Collecte directe aupres de la personne.
2. Collecte dans le cadre d’une relation commerciale existante.
3. Prospection portant sur des produits ou services analogues.
4. Information prealable sur l’utilisation a des fins de prospection.
5. Possibilite de s’opposer gratuitement a chaque envoi.

Cette exception permet a un e-commercant de prospecter ses clients existants pour des produits similaires, mais pas de contacter des personnes sans relation commerciale prealable.

Le double opt-in : recommandation forte

Le double opt-in consiste a envoyer un email de confirmation apres l’inscription, demandant a la personne de cliquer sur un lien pour valider son consentement. Cette pratique n’est pas juridiquement obligatoire en France, mais elle est fortement recommandee pour plusieurs raisons :

• Elle fournit une preuve robuste du consentement, conformement a l’article 7, paragraphe 1 du RGPD qui impose au responsable de traitement de pouvoir demontrer que la personne a consenti.
• Elle reduit considerablement les risques de plaintes aupres de la CNIL.
• Elle ameliore la qualite de la base de contacts et les taux de delivrabilite en eliminant les adresses erronees ou fictives.

La CNIL considere que le simple opt-in (une seule case a cocher) est suffisant du point de vue juridique, mais le double opt-in constitue une bonne pratique que les professionnels ont interet a adopter systematiquement.

B2B : un regime plus souple mais encadre

L’exception B2B

L’article L.34-5 du CPCE prevoit que le consentement prealable ne s’applique pas a la prospection adressee a des professionnels dans le cadre de leur activite, sous conditions :

1. Message adresse a une personne dans le cadre de ses fonctions professionnelles.
2. Objet en rapport avec la profession du destinataire.
3. Information prealable sur l’utilisation des coordonnees a des fins de prospection.
4. Possibilite de s’opposer gratuitement et simplement.

Pour approfondir le cadre B2B, consultez notre guide sur la prospection commerciale B2B et le RGPD.

La base legale en B2B : l’interet legitime

En l’absence d’obligation de consentement au titre de la directive ePrivacy, la base legale du traitement au titre du RGPD sera generalement l’interet legitime du responsable de traitement (article 6, paragraphe 1, point f du RGPD). L’interet legitime de prospection commerciale est explicitement mentionne au considerant 47 du RGPD.

Toutefois, le recours a l’interet legitime impose de realiser une balance des interets (test de mise en balance) documentant que l’interet du responsable de traitement a prospecter est proportionnel aux interets, libertes et droits fondamentaux des personnes concernees. Cette balance doit prendre en compte la nature de la relation avec les personnes, le caractere raisonnable de leurs attentes, la nature des donnees traitees et l’impact concret du traitement sur les personnes.

Le lien de desinscription : une obligation absolue

Le cadre juridique

Tout email de prospection commerciale doit obligatoirement comporter un mecanisme permettant au destinataire de s’opposer a la reception de futurs messages. Cette obligation resulte a la fois de l’article L.34-5 du CPCE et de l’article 21 du RGPD relatif au droit d’opposition.

Le mecanisme de desinscription doit etre :

• Simple : un lien cliquable en un clic est la norme. Exiger la connexion a un compte, l’envoi d’un courrier postal ou un appel telephonique est contraire aux exigences legales.
• Gratuit : aucun frais ne peut etre facture pour la desinscription.
• Effectif : la desinscription doit etre prise en compte dans un delai raisonnable, que la CNIL estime a un maximum de quelques jours ouvrables.
• Present dans chaque message : chaque email doit contenir le lien de desinscription, sans exception.

Le List-Unsubscribe header

Au-dela du lien visible dans le corps de l’email, il est fortement recommande d’implementer le header technique List-Unsubscribe (RFC 2369 et RFC 8058). Ce header permet aux clients de messagerie d’afficher un bouton de desinscription directement dans l’interface, facilitant l’exercice du droit d’opposition. Gmail et Yahoo l’exigent desormais pour les expediteurs de masse (plus de 5 000 emails quotidiens), faute de quoi les messages risquent d’etre rejetes ou classes en spam.

Les listes achetees : un risque juridique majeur

L’achat de listes d’adresses email est l’une des pratiques les plus risquees. Bien que non expressement interdit, il se heurte a des obstacles quasi insurmontables :

En B2C, l’envoi de prospection via une liste achetee viole le consentement prealable. Le consentement doit etre donne au responsable de traitement, pas a un revendeur. Un consentement au partage avec des “partenaires” non identifies est invalide.

En B2B, le responsable doit demontrer que les personnes ont ete informees de la transmission a des fins de prospection. Cette demonstration est extremement difficile avec des fichiers achetes dont la source est opaque.

La CNIL a sanctionne plusieurs entreprises sur ce fondement, dont la societe NESTOR (20 000 euros en 2020) pour prospection a partir de bases acquises aupres de tiers sans consentement valide.

La conservation des donnees

Le RGPD impose de limiter la conservation au strict necessaire (article 5, paragraphe 1, point e). La CNIL recommande :

• Prospects : suppression au bout de 3 ans sans contact actif (clic, visite, demande).
• Clients : conservation pendant la relation commerciale et 3 ans apres sa fin.
• Preuves de consentement : conservation tant que le consentement est valide, puis pendant la duree de prescription (5 ans).

La suppression ou l’archivage des contacts inactifs n’est pas seulement une obligation juridique, c’est aussi une bonne pratique marketing essentielle. Les contacts inactifs deteriorent les taux de delivrabilite, augmentent les risques de signalement en spam et affectent la reputation d’expediteur de l’ensemble du domaine, ce qui penalise in fine la delivrabilite de l’ensemble des campagnes.

Les sanctions : un risque reel

Les amendes CNIL

La CNIL sanctionne regulierement les manquements en matiere de prospection :

• CANAL+ : 600 000 euros pour prospection par SMS sans consentement et non-respect du droit d’opposition.
• FREE : 300 000 euros pour manquements relatifs a la prospection et a la securite.
• PERFORMECLIC : 100 000 euros en 2024 pour prospection a partir de donnees collectees de maniere deloyale.
• HUBSIDE.STORE : 525 000 euros pour prospection a partir de fichiers achetes sans information adequate.

Au-dela des amendes, la CNIL peut prononcer des injonctions, des interdictions de traitement et rendre ses decisions publiques, avec un prejudice reputationnel significatif.

Les risques complementaires

Les personnes concernees disposent egalement d’un droit a reparation au titre de l’article 82 du RGPD. Les actions de groupe en matiere de protection des donnees, bien que encore peu frequentes en France, se developpent progressivement et constituent un risque emergent. Par ailleurs, les signalements aupres de Signal Spam alimentent directement les actions de la CNIL et peuvent declencher des controles cibles sur les entreprises les plus signalees.

Recommandations pratiques

Audit de la base de contacts

Avant toute campagne :

1. Identifiez la source de chaque contact (collecte directe, relation client, achat de fichier).
2. Verifiez la disponibilite des preuves de consentement en B2C.
3. Supprimez les contacts dont l’origine ne peut etre documentee.
4. Appliquez la regle des 3 ans d’inactivite.

Configuration technique conforme

• Formulaires avec case a cocher non pre-cochee specifique a la newsletter.
• Double opt-in active dans la plateforme d’envoi.
• Lien de desinscription fonctionnel et header List-Unsubscribe dans chaque email.
• Desinscriptions traitees automatiquement et immediatement.
• Segmentation B2B/B2C correctement parametree.

Information et transparence

La politique de confidentialite doit mentionner le traitement de prospection, ses finalites, sa base legale, la duree de conservation et les droits des personnes. Pour la mise en conformite globale, consultez notre guide sur les cookies et la conformite RGPD.

Conclusion

L’email marketing et le RGPD ne sont pas incompatibles, mais leur articulation exige rigueur et methode. Le cadre francais distingue les regimes B2C (opt-in obligatoire) et B2B (opt-in non requis sous conditions), tout en imposant dans les deux cas transparence, desinscription et limitation de la conservation.

Les professionnels du marketing digital ont tout interet a considerer la conformite non pas comme un frein, mais comme un levier de qualite : des bases de contacts qualifiees, des destinataires reellement interesses et une reputation d’expediteur preservee sont les fondations d’un email marketing performant et durable. Le cout de la non-conformite – amendes pouvant atteindre plusieurs centaines de milliers d’euros, prejudice reputationnel lie a la publication des decisions, deterioration de la delivrabilite – excede largement l’investissement necessaire pour se mettre en conformite.