Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 29 avril 2026
Accueil/RGPD/Opt-in et opt-out RGPD : définitions et règles
RGPD

Opt-in et opt-out RGPD : définitions et règles

Opt-in ou opt-out ? Guide pratique des règles RGPD et LCEN applicables au consentement marketing, à la prospection et aux cookies en France.

Par Thiebaut DevergrannePublie le 14 avril 2026Mis a jour le 14 avril 202610 min de lecture
Sommaire
  1. Opt-in et opt-out : de quoi parle-t-on ?
  2. La règle applicable en France : opt-in par principe
  3. Opt-in valide : les 4 critères à respecter
  4. Le droit de retrait : opt-out toujours disponible
  5. Tableau récapitulatif : quelle règle pour quel cas ?
  6. Les erreurs qui mènent aux sanctions
  7. Mise en œuvre pratique : checklist
  8. Ce qu’il faut retenir
  9. FAQ

La confusion entre opt-in et opt-out coûte cher. En 2024, la CNIL a prononcé 87 millions d’euros de sanctions liées à des défauts de consentement marketing ou publicitaire. Pourtant, la règle est simple : en France, c’est l’opt-in qui prévaut pour la prospection électronique, avec quelques exceptions précises. Voici ce que disent exactement le RGPD et la LCEN, et comment appliquer la bonne règle selon le canal et le destinataire.

Opt-in et opt-out : de quoi parle-t-on ?

Définition de l’opt-in

L’opt-in désigne le mécanisme de consentement préalable et explicite : la personne doit accomplir un acte positif avant que ses données soient utilisées à une finalité donnée (cocher une case, cliquer sur un bouton « J’accepte », confirmer par email). Tant que ce geste n’a pas été fait, aucun traitement n’est permis. Cette approche est le standard posé par l’Art. 4(11) et l’Art. 7 du RGPD, qui exigent un consentement « libre, spécifique, éclairé et univoque ».

On distingue :

  • le simple opt-in : la personne coche une case ou clique sur un bouton ;
  • le double opt-in : la personne confirme son inscription par un second acte (généralement un email de confirmation). C’est la pratique recommandée par la CNIL pour les newsletters, car elle prouve le consentement de manière incontestable.

Définition de l’opt-out

L’opt-out est le mécanisme inverse : les données sont utilisées par défaut, et la personne doit accomplir un acte pour s’y opposer (lien de désinscription, décochage d’une case pré-cochée, demande écrite). Ce mécanisme n’est autorisé que dans des hypothèses strictement encadrées — il n’est pas la règle en France.

Attention à une idée reçue : une case pré-cochée n’est jamais un opt-in valide au sens du RGPD. La CJUE l’a tranché définitivement dans l’arrêt Planet49 (C-673/17, 1er octobre 2019) : le consentement ne peut résulter que d’un acte positif clair. Une case pré-cochée relève de l’opt-out déguisé.

La règle applicable en France : opt-in par principe

Prospection B2C par email et SMS : opt-in obligatoire

Pour la prospection commerciale électronique adressée à un particulier (personne physique agissant en dehors de son activité professionnelle), l’article L.34-5 du Code des postes et des communications électroniques (transposition de la directive ePrivacy) impose l’opt-in préalable. Ce principe s’applique à :

  • les emails marketing ;
  • les SMS/MMS promotionnels ;
  • les messages envoyés via des services de messagerie automatisée (WhatsApp marketing, etc.).

Le consentement doit être recueilli au moment de la collecte des coordonnées, avec une information claire sur la finalité prospective et l’identité de l’expéditeur. Pour une mise en œuvre pratique, voir notre guide sur la conformité RGPD des newsletters.

L’exception « produits ou services analogues »

L’article L.34-5 prévoit une exception importante : si les coordonnées ont été recueillies à l’occasion d’une vente (ou d’une prestation) et que la prospection porte sur des produits ou services analogues fournis par la même entreprise, un simple opt-out suffit — à condition que la personne ait été informée au moment de la collecte qu’elle pouvait s’y opposer, et que chaque message comporte un moyen simple de désinscription.

Cette exception est d’interprétation stricte. La CNIL a rappelé dans sa délibération SAN-2023-014 que « analogue » ne signifie pas « vendu par la même société » : il faut que le produit/service proposé entre dans la même catégorie d’usage que celui initialement acheté.

Prospection B2B : opt-out sous conditions

La prospection par email vers une adresse professionnelle nominative (pierre.dupont@entreprise.fr) relève de l’opt-out, à condition que :

  • le message soit en lien avec la fonction professionnelle du destinataire ;
  • l’identité de l’annonceur soit clairement visible ;
  • un moyen simple de désinscription soit proposé dans chaque envoi ;
  • la personne ait été informée de l’utilisation de son adresse au moment de la collecte.

Pour les adresses génériques (contact@, info@), la prospection est libre, sous réserve de respecter l’obligation de désinscription. Attention : l’adresse professionnelle est une donnée personnelle au sens du RGPD dès qu’elle permet d’identifier une personne. Voir notre guide complet sur la prospection commerciale et RGPD.

Cookies et traceurs : opt-in sauf exception

Depuis les lignes directrices CNIL d’octobre 2020 et la recommandation du 17 septembre 2020, le dépôt de cookies non strictement nécessaires (publicitaires, analytiques tiers, de personnalisation) est soumis à un opt-in explicite. La poursuite de la navigation ou une bannière d’information ne valent pas consentement. Refuser doit être aussi simple qu’accepter — c’est le principe de symétrie.

Les cookies techniques (panier, session, sécurité) et, dans certaines conditions, les cookies de mesure d’audience exemptés par la CNIL, peuvent être déposés sans consentement. Pour l’optimisation du parcours, consultez notre analyse des taux de consentement cookies.

Opt-in valide : les 4 critères à respecter

Le consentement opt-in n’est valide que s’il cumule quatre qualités (Art. 4(11) et Art. 7 RGPD) :

  1. Libre : la personne doit pouvoir refuser sans subir de conséquence. Conditionner un service à l’acceptation de finalités non nécessaires est interdit (sauf rares exceptions).
  2. Spécifique : un consentement par finalité. Un bouton « J’accepte tout » qui couvre newsletter + publicité ciblée + partage à des partenaires ne remplit pas ce critère.
  3. Éclairé : la personne doit savoir à quoi elle consent — finalité, identité du responsable, base légale, durée, destinataires, droits (Art. 13 RGPD).
  4. Univoque : il faut un acte positif clair. Le silence, l’inactivité ou une case pré-cochée sont exclus.

Ces critères doivent pouvoir être prouvés à tout moment (Art. 7(1) RGPD). Conservez la date, l’heure, la formulation exacte du texte accepté et, idéalement, l’adresse IP ou un identifiant technique. Dans mon expérience de conseil auprès de PME, l’absence de preuve est le défaut le plus fréquemment relevé lors des contrôles CNIL.

Le droit de retrait : opt-out toujours disponible

Même lorsqu’un opt-in a été valablement recueilli, la personne peut à tout moment retirer son consentement (Art. 7(3) RGPD). Ce retrait doit être aussi simple que l’expression initiale du consentement. Concrètement :

  • un lien de désinscription en un clic dans chaque email marketing ;
  • un bouton accessible dans l’espace client ou sur la page de gestion des cookies ;
  • une adresse email ou un formulaire dédié, traité dans un délai raisonnable (la CNIL retient habituellement 48h).

Le retrait n’a pas d’effet rétroactif : les traitements effectués avant restent licites. Mais dès la réception du retrait, l’entreprise doit cesser tout envoi et, si la personne n’a plus d’autre relation avec elle, supprimer ou archiver les données selon les règles de durée de conservation applicables.

Tableau récapitulatif : quelle règle pour quel cas ?

Situation Règle applicable Fondement
Email marketing B2C Opt-in préalable L.34-5 CPCE + Art. 6(1)(a) RGPD
Email B2C vers client existant, produit analogue Opt-out (info au moment de la vente) L.34-5 CPCE
Email B2B vers adresse nominative Opt-out si en lien avec la fonction L.34-5 CPCE + CNIL
Email vers adresse générique (contact@) Libre, désinscription obligatoire L.34-5 CPCE
SMS marketing B2C Opt-in préalable L.34-5 CPCE
Appel téléphonique de prospection B2C Opt-out via Bloctel L.223-1 Code conso
Cookies non nécessaires Opt-in explicite CNIL + ePrivacy
Cookies techniques / exemptés Pas de consentement CNIL
Publicité personnalisée par profilage Opt-in explicite EDPB Guidelines 8/2020

Les erreurs qui mènent aux sanctions

Le pré-cochage déguisé

Case pré-cochée, bouton « J’accepte » mis en avant alors que « Je refuse » est caché dans un sous-menu, formulations orientées (« Je ne veux pas manquer d’informations »). La CNIL a sanctionné Yahoo (10 millions d’euros, décembre 2023) pour une architecture de choix trompeuse sur les cookies. L’asymétrie entre « accepter » et « refuser » est une pratique contraire à l’Art. 7(3).

Le consentement global

Un seul bouton « J’accepte » qui couvre newsletter, profilage, transferts à des partenaires et cookies publicitaires ne respecte pas l’exigence de spécificité. Chaque finalité distincte doit pouvoir être acceptée ou refusée séparément.

La preuve introuvable

Lors d’un contrôle, la CNIL demande systématiquement la preuve du consentement. Un fichier Excel avec des adresses email mais sans date, sans texte de consentement, sans trace technique ne suffit pas. Mettez en place une journalisation horodatée à la collecte.

L’absence de désinscription simple

Un lien de désinscription caché en bas d’un email en police minuscule, un formulaire à remplir pour se désabonner, une validation téléphonique obligatoire : la CNIL sanctionne régulièrement ces pratiques qui rendent le retrait plus complexe que l’adhésion.

Confondre intérêt légitime et opt-out

Invoquer l’intérêt légitime pour éviter l’opt-in sur la prospection B2C est une erreur classique. La directive ePrivacy impose le consentement préalable pour les communications électroniques — l’intérêt légitime ne peut s’y substituer. Meta l’a appris à ses dépens (sanction de 390 millions d’euros, DPC irlandaise, janvier 2023).

Mise en œuvre pratique : checklist

Avant de lancer une campagne marketing ou d’installer un outil de tracking, vérifiez :

  • la base légale retenue pour chaque finalité (opt-in ou exception) ;
  • la formulation du recueil de consentement (libre, spécifique, éclairé, univoque) ;
  • la présence d’une information complète au sens de l’Art. 13 RGPD ;
  • la journalisation technique du consentement (date, heure, texte, preuve) ;
  • un mécanisme de retrait aussi simple que l’adhésion ;
  • la mise à jour du registre des traitements ;
  • la conformité des mentions sur les formulaires et emails.

Ce qu’il faut retenir

  • En France, l’opt-in est le principe pour la prospection électronique B2C et les cookies non nécessaires.
  • L’opt-out est réservé à des hypothèses précises : B2B nominatif, clients existants / produits analogues, cookies techniques.
  • Une case pré-cochée n’est jamais un opt-in valide (CJUE, Planet49).
  • Le consentement doit être libre, spécifique, éclairé, univoque — et prouvable.
  • Le retrait doit être aussi simple que l’adhésion, sans conséquence pour la personne.

FAQ

L’opt-out est-il interdit en France ?

Non. Il reste autorisé dans des cas précis : prospection B2B nominative, clients existants pour des produits analogues, cookies techniques ou exemptés. En dehors de ces hypothèses, l’opt-in préalable est obligatoire pour la prospection électronique et les traceurs publicitaires.

Le double opt-in est-il obligatoire pour une newsletter ?

Non, le RGPD n’impose pas le double opt-in. Mais la CNIL le recommande fortement car il fournit une preuve incontestable du consentement et élimine les inscriptions frauduleuses. Dans mon expérience, c’est la pratique la plus sûre pour écarter tout risque de sanction.

Peut-on invoquer l’intérêt légitime pour éviter l’opt-in en prospection ?

Non pour la prospection par email, SMS ou messagerie vers un particulier : la directive ePrivacy (article L.34-5 CPCE) impose un consentement préalable, qui ne peut être remplacé par l’intérêt légitime. En B2B vers adresse nominative, l’intérêt légitime peut en revanche servir de base, à condition de réaliser un triple test et d’offrir un droit d’opposition.

Combien de temps conserver la preuve du consentement ?

Au moins pendant toute la durée d’utilisation des données plus la durée de prescription applicable — en pratique 3 ans minimum après le dernier contact pour la prospection commerciale, conformément aux recommandations CNIL. La preuve doit rester accessible et lisible tout au long de cette période.

Thiebaut Devergranne est docteur en droit (Paris II) et conseille depuis plus de 20 ans des entreprises sur leur conformité RGPD. Pour recevoir chaque semaine nos analyses conformité et décisions CNIL commentées, abonnez-vous à la newsletter.

Articles lies

RGPD

Article 16 RGPD : le droit de rectification expliqué

29 avril 2026 · 13 min
RGPD

Article 32 RGPD : sécurité du traitement décryptée

29 avril 2026 · 15 min
RGPD

Article 12 RGPD : modalités d'exercice des droits

28 avril 2026 · 16 min